Guide Fortigate

GUIDE D’ADMINISTRATION
FortiGate
Version 3.0
www.fortinet.com
Guide d’administration FortiGate
Version 3.0
24 avril 2006
01-30001-0203-20060424
© Droit d’auteur 2006 Fortinet, Inc. Tous droits réservés. En aucun cas, tout ou
partie de cette publication, y compris les textes, exemples, diagrammes ou
illustrations, ne peuvent être reproduits, transmis ou traduits, sous aucune forme et
d’aucune façon, que ce soit électronique, mécanique, manuelle, optique ou autre,
quelqu’en soit l’objectif, sans autorisation préalable de Fortinet, Inc.
Marques déposées
Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS,
FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System,
FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion,
FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS,
FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et
FortiWiFi sont des marques déposées de Fortinet, Inc. aux États-Unis et/ou dans
d’autres pays. Les noms des sociétés et produits mentionnés ici peuvent être des
marques déposées par leurs propriétaires respectifs.
2 Guide d’Administration FortiGate Version 3.0

01-30001-0203-20060424
Table des Matières
Introduction .......................................................................................................15
Présentation des équipements FortiGate ............................................................................. 15
Châssis FortiGate série 5000 ............................................................................................... 15
A propos des modules FortiGate série 5000 ........................................................................ 16
FortiGate-3600...................................................................................................................... 17
FortiGate-3000...................................................................................................................... 17
FortiGate-1000A ................................................................................................................... 18
FortiGate-1000AFA2............................................................................................................. 18
FortiGate-1000...................................................................................................................... 18
FortiGate-800........................................................................................................................ 18
FortiGate-800F...................................................................................................................... 19
FortiGate-500A ..................................................................................................................... 19
FortiGate-500........................................................................................................................ 19
FortiGate-400A ..................................................................................................................... 19
FortiGate-400........................................................................................................................ 19
FortiGate-300A ..................................................................................................................... 20
FortiGate-300........................................................................................................................ 20
FortiGate-200A ..................................................................................................................... 20
FortiGate-200........................................................................................................................ 20
FortiGate-100A ..................................................................................................................... 20
FortiGate-100........................................................................................................................ 21
FortiGate-60/60M/ADSL ....................................................................................................... 21
FortiWiFi-60 .......................................................................................................................... 21
FortiGate-50A ....................................................................................................................... 21
Gamme de Produits Fortinet.................................................................................................. 22
Services de souscription FortiGuard..................................................................................... 22
FortiAnalyser......................................................................................................................... 22
FortiClient.............................................................................................................................. 22
FortiManager......................................................................................................................... 23
FortiBridge ............................................................................................................................ 23
FortiMail ................................................................................................................................ 23
FortiReporter......................................................................................................................... 23
A propos de ce document ...................................................................................................... 24
Conventions utilisées dans ce document ............................................................................. 26
Documentation FortiGate ....................................................................................................... 27
CD d’outils et de documentation Fortinet.............................................................................. 28
Base de Connaissance Fortinet (Fortinet Knowledge Center) ............................................. 28
Remarques sur la documentation technique Fortinet........................................................... 28
Service clientèle et support technique ................................................................................. 28
Interface d’administration web ........................................................................29

Fonctionnalités de la barre de boutons ................................................................................ 30
Contacter le Support Technique ........................................................................................... 30
Aide en Ligne ........................................................................................................................ 30
Accès au mode console........................................................................................................ 33
Déconnexion ......................................................................................................................... 34
Guide d’Administration FortiGate Version 3.0 3

01-30001-0203-20060424
Pages de l’interface d’administration web ........................................................................... 34
Menu de l’interface d’administration web.............................................................................. 35
Listes..................................................................................................................................... 36
Icônes.................................................................................................................................... 36
Barre de statuts..................................................................................................................... 37
Enregistrement d’un équipement FortiGate......................................................................... 37
Utilisation de domaines virtuels ......................................................................40

Domaines virtuels ................................................................................................................... 40
Paramètres de configuration des domaines virtuels............................................................. 41
Paramètres de la Configuration Globale............................................................................... 42
Activation du mode Multiple VDOM ...................................................................................... 43
Configuration des VDOM et paramètres globaux ................................................................ 43
Visualisation, création et édition de domaines virtuels et édition de paramètres globaux ... 44
Ajout d’interfaces à un domaine virtuel................................................................................. 45
Affectation d’un administrateur à un domaine virtuel............................................................ 46
Statuts du Système...........................................................................................47
Page des statuts...................................................................................................................... 47
Visualisation des statuts du système.................................................................................... 47
Modification des informations du système .......................................................................... 51
Paramétrage des date et heure ............................................................................................ 51
Modification du nom d’hôte du boîtier FortiGate................................................................... 52
Modification du logiciel FortiGate ......................................................................................... 53
Mise à jour logicielle.............................................................................................................. 53
Retour à une version logicielle antérieure ............................................................................ 54
Visualisation de l’historique opérationnel............................................................................ 55
Mise à jour manuelle des définitions FortiGuard................................................................. 55
Mise à jour manuelle des définitions AV FortiGuard ............................................................ 56
Mise à jour manuelle des définitions IPS FortiGuard ........................................................... 56
Visualisation des Statistiques ............................................................................................... 57
Visualisation de la liste des sessions.................................................................................... 57
Visualisation des Archives de Contenu ................................................................................ 58
Visualisation du Journal des Attaques.................................................................................. 59
Système > Réseau ............................................................................................61

Interface ................................................................................................................................... 61
Paramètres de l’interface ...................................................................................................... 63
Création d’une interface agrégée 802.3ad ........................................................................... 66
Création d’une interface redondante .................................................................................... 67
Création d’une interface sans fil ........................................................................................... 68
Configuration DHCP d’une interface..................................................................................... 69
Configuration PPPoE d’une interface ................................................................................... 70
Configuration d’un service DNS dynamique d’une interface ................................................ 72
Configuration d’une interface IPSec virtuelle........................................................................ 72

01-30001-0203-20060424
Configuration additionnelle des interfaces............................................................................ 74
Zone .......................................................................................................................................... 75
Paramètres d’une zone......................................................................................................... 76
Options..................................................................................................................................... 76
Détection de l’échec d’une passerelle .................................................................................. 76
Configuration des Options du Réseau.................................................................................. 77
Table de Routage (en mode Transparent) ............................................................................ 78
Paramètres d’une route en mode Transparent..................................................................... 78
Configuration de l’interface modem...................................................................................... 79
Configuration des paramètres du modem ............................................................................ 79
Configuration du mode Redondant....................................................................................... 81
Configuration du mode stand alone...................................................................................... 82
Ajout de règles pare-feu pour les connexions modem ......................................................... 83
Connexion et déconnexion du modem ................................................................................. 83
Vérification du statut du modem ........................................................................................... 84
Aperçu sur les VLAN............................................................................................................... 84
Equipements FortiGate et VLAN .......................................................................................... 85
VLAN en mode NAT/Route ..................................................................................................... 85
Consignes sur les identificateurs VLAN................................................................................ 86
Consignes sur les adresses IP VLAN................................................................................... 86
Ajout de sous-interfaces VLAN............................................................................................. 87
VLAN en mode Transparent................................................................................................... 88
Consignes sur les identificateurs VLAN................................................................................ 90
Domaines virtuels et VLAN en mode Transparent ............................................................... 90
Support FortiGate IPv6 ........................................................................................................... 91
Système Sans Fil ..............................................................................................92

Interface LAN sans fil FortiWiFi............................................................................................. 92
Domaines régulatoires............................................................................................................ 92
Paramètres sans fil du système (FortiWiFi-60) .................................................................... 94
Paramètres sans fil du système (FortiWiFi-60A et 60AM)................................................... 95
Filtrage des MAC ..................................................................................................................... 96
Surveillance du module sans fil ............................................................................................ 97
Système DHCP ..................................................................................................99

Serveurs et relais DHCP FortiGate ........................................................................................ 99
Configuration des services DHCP....................................................................................... 100
Configuration d’une interface comme relais DHCP ............................................................ 101
Configuration d’un serveur DHCP ...................................................................................... 101
Visualisation des baux d’adresses...................................................................................... 103
Réservation d’adresses IP pour clients spécifiques ........................................................... 103

01-30001-0203-20060424
Configuration du Système .............................................................................104
Haute Disponibilité................................................................................................................ 104
Aperçu sur la Haute Disponibilité........................................................................................ 105
Protocole de Clustering FortiGate (FGCP) ......................................................................... 106
Modes HA (actif-actif et actif-passif) ................................................................................... 107
Compatibilité de la HA FortiGate avec DHCP et PPPoE.................................................... 108
Aperçu sur le clustering virtuel............................................................................................ 108
Aperçu sur le maillage intégral HA ..................................................................................... 109
Configuration d’options HA (clustering virtuel inactivé) ...................................................... 112
Configuration d’options HA pour clustering virtuel.............................................................. 112
Options HA.......................................................................................................................... 114
Liste des membres d’un cluster .......................................................................................... 120
Visualisation des statistiques HA........................................................................................ 122
Modification du nom d’hôte et de la priorité d’un membre subordonné.............................. 123
Configuration d’un cluster HA ............................................................................................. 124
Configuration d’un clustering virtuel.................................................................................... 127
Administration d’un cluster.................................................................................................. 133
Déconnexion d’un membre du cluster ................................................................................ 136
Adresses MAC virtuelles d’un cluster ................................................................................. 138
Exemple de configuration d’un clustering virtuel ................................................................ 139
Administration de clusters virtuels ...................................................................................... 141
Exemple de configuration en maillage intégral HA............................................................. 143
Maillage intégral HA pour clustering virtuel ........................................................................ 148
HA et interfaces redondantes ............................................................................................. 149
HA et interfaces agrégées 802.3ad .................................................................................... 150
SNMP ...................................................................................................................................... 152
Configuration SNMP ........................................................................................................... 153
Configuration d’une communauté SNMP ........................................................................... 154
MIB FortiGate...................................................................................................................... 156
Traps FortiGate................................................................................................................... 156
Champs MIB Fortinet .......................................................................................................... 158
Messages de remplacement ................................................................................................ 161
Liste des messages de remplacement ............................................................................... 161
Modification des messages de remplacement.................................................................... 162
Modification de la page de connexion et d’authentification ................................................ 163
Modification de la page d’ignorance du filtrage web FortiGuard ........................................ 164
Modification du message de connexion VPN SSL ............................................................. 165
Modification de la page d’information d’authentification ..................................................... 165
Mode de fonctionnement des VDOM et accès administratif ............................................ 166
Modification du mode de fonctionnement ........................................................................... 166
Administration du Système ...........................................................................168

Administrateurs..................................................................................................................... 168
Configuration de l’authentification RADIUS des administrateurs ....................................... 169
Visualisation de la liste des administrateurs ....................................................................... 169
Configuration d’un compte administrateur .......................................................................... 170
Profils d’administration ........................................................................................................ 174
Visualisation de la liste des profils d’administration ........................................................ 176
Configuration d’un profil d’administration ......................................................................... 176

01-30001-0203-20060424
FortiManager.......................................................................................................................... 178
Paramètres............................................................................................................................. 178
Contrôle des administrateurs .............................................................................................. 180
Maintenance du Système ...............................................................................181

Sauvegarde et Restauration................................................................................................. 181
Centre FortiGuard ................................................................................................................. 184
Réseau de Distribution FortiGuard ..................................................................................... 184
Services FortiGuard ............................................................................................................ 184
Configuration du boîtier FortiGate pour les services FDN et FortiGuard ........................... 186
Résolution de problèmes de connexion FDN ..................................................................... 188
Mise à jour des signatures antivirus et IPS......................................................................... 189
Activation des mises à jour forcées .................................................................................... 191
Licence ................................................................................................................................... 193
Routeur Statique .............................................................................................194

Route Statique ....................................................................................................................... 194
Concepts de routage........................................................................................................... 194
Visualisation, création et édition de routes statiques.......................................................... 197
Route par défaut et passerelle par défaut .......................................................................... 198
Ajout d’une route statique à la table de routage ................................................................. 200
Règle de Routage .................................................................................................................. 201
Ajout d’une règle de routage............................................................................................... 202
Déplacement d’une règle de routage.................................................................................. 203
Routeur dynamique ........................................................................................205

RIP........................................................................................................................................... 205
Fonctionnement RIP ........................................................................................................... 206
Visualisation et édition des paramètres de base RIP ......................................................... 206
Sélection d’options RIP avancées ...................................................................................... 208
Ignorer les paramètres de fonctionnement RIP d’une interface ......................................... 209
OSPF....................................................................................................................................... 211
Systèmes autonomes OSPF .............................................................................................. 211
Définition d’un système autonome (AS) OSPF .................................................................. 212
Visualisation et édition de paramètres de base OSPF ....................................................... 212
Sélection d’options avancées OSPF .................................................................................. 214
Définitions d’aires OSPF..................................................................................................... 216
Spécification de réseaux OSPF.......................................................................................... 217
Sélection de paramètres de fonctionnement d’une interface OSPF .................................. 218
BGP......................................................................................................................................... 219
Fonctionnement de BGP..................................................................................................... 220
Visualisation et édition des paramètres BGP ..................................................................... 220
Multicast................................................................................................................................. 221
Visualisation et édition de paramètres multicast ................................................................ 222
Ignorer les paramètres multicast d’une interface................................................................ 223

01-30001-0203-20060424
Table de Routage ............................................................................................225
Affichage des informations sur le routage ......................................................................... 225
Recherche dans la table de routage FortiGate .................................................................. 227
Règle Pare-feu.................................................................................................228
A propos des règles pare-feu .............................................................................................. 228
Comment fonctionne la correspondance de règles ? ......................................................... 229
Visualisation de la liste des règles pare-feu ...................................................................... 230
Ajout d’une règle pare-feu................................................................................................... 231
Déplacement d’une règle dans la liste................................................................................ 231
Configuration des règles pare-feu....................................................................................... 232
Options des règles pare-feu ............................................................................................... 234
Ajout d’une authentification aux règles pare-feu ................................................................ 238
Ajout d’une priorité de trafic aux règles pare-feu ................................................................ 239
Options des règles pare-feu IPSec..................................................................................... 242
Options des règles pare-feu VPN SSL ............................................................................... 243
Adresse Pare-Feu ...........................................................................................245

A propos des adresses pare-feu ......................................................................................... 245
Visualisation de la liste des adresses pare-feu ................................................................. 246
Configuration des adresses................................................................................................. 247
Visualisation de la liste des groupes d’adresses .............................................................. 247
Configuration des groupes d’adresses .............................................................................. 248
Service Pare-feu..............................................................................................249
Visualisation de la liste des services prédéfinis................................................................ 249
Visualisation de la liste des services personnalisés......................................................... 253
Configuration des services personnalisés......................................................................... 253
Visualisation de la liste des groupes de services ............................................................. 255
Configuration des groupes de services.............................................................................. 255
Plage horaire d’un Pare-feu ...........................................................................257

Visualisation de la liste des plages horaires ponctuelles................................................. 257
Configuration des plages horaires ponctuelles................................................................. 258
Visualisation de la liste des plages horaires récurrentes................................................. 258
Configuration des plages horaires récurrentes................................................................. 259
IP virtuelles......................................................................................................260
IP virtuelles ............................................................................................................................ 260
Comment les adresses IP virtuelles gèrent-elles leurs connexions à travers le boîtier
FortiGate ? .......................................................................................................................... 260

01-30001-0203-20060424
Visualisation de la liste d’IP virtuelles ................................................................................ 264
Configuration des adresses IP virtuelles ........................................................................... 264
Ajout d’une adresse IP virtuelle de translation à une seule adresse IP ............................. 265
Ajout d’une adresse IP virtuelle de translation à une plage d’adresses IP......................... 267
Ajout d’un relayage de port de translation à une seule adresse IP et un seul port ............ 269
Ajout d’un relayage de port de translation à une plage d’adresses IP et une plage de ports
............................................................................................................................................ 270
Ajout d’une IP virtuelle d’équilibrage de charge à une plage d’adresses IP....................... 272
Ajout d’une IP virtuelle relayage de port équilibrage de charge à une plage d’adresses IP et
une plage de ports .............................................................................................................. 274
Ajout d’IP virtuelles dynamiques......................................................................................... 276
Plages IP ................................................................................................................................ 277
Plages IP et NAT dynamique.............................................................................................. 277
Plages IP pour les règles pare-feu utilisant des ports fixes................................................ 277
Visualisation des plages IP .................................................................................................. 278
Configuration des plages IP................................................................................................. 278
Profil de Protection.........................................................................................279
Qu’est-ce qu’un profil de protection? ................................................................................. 279
Profils de protection par défaut........................................................................................... 280
Visualisation de la liste des profils de protection ............................................................. 280
Configuration d’un profil de protection .............................................................................. 281
Options Antivirus................................................................................................................. 282
Options du filtrage Web ...................................................................................................... 283
Options du filtrage FortiGuard-Web.................................................................................... 285
Options du filtrage antispam ............................................................................................... 286
Options IPS......................................................................................................................... 289
Options des archives de contenu ....................................................................................... 289
Options IM et P2P............................................................................................................... 290
Options de la journalisation ................................................................................................ 291
Ajout d’un profil de protection à une règle ........................................................................ 292
Configuration CLI d’un profil de protection ....................................................................... 293
Config firewall profile........................................................................................................... 293
VPN IPSEC.......................................................................................................294
Aperçu du mode interface IPSec ......................................................................................... 294
Auto Key................................................................................................................................. 295
Création d’une nouvelle configuration phase 1 .................................................................. 296
Définition des paramètres avancés de la phase 1.............................................................. 299
Création d’une nouvelle configuration phase 2 .................................................................. 302
Définition des paramètres avancés de la phase 2.............................................................. 303
Clé Manuelle .......................................................................................................................... 305
Création d’une nouvelle configuration à clé manuelle ........................................................ 306
Concentrateur........................................................................................................................ 308
Définition des options d’un concentrateur........................................................................... 309

01-30001-0203-20060424
Tunnels actifs ........................................................................................................................ 310
VPN PPTP ........................................................................................................312

Plage PPTP ............................................................................................................................ 312
VPN SSL ..........................................................................................................313

Configuration......................................................................................................................... 313
Monitor ................................................................................................................................... 315
Certificats VPN ................................................................................................316

Certificat locaux .................................................................................................................... 316
Générer une requête de certificat ....................................................................................... 317
Téléchargement et soumission d’une requête de certificat ................................................ 318
Importation d’un certificat serveur signé ............................................................................. 319
Importation d’un certificat serveur exporté et de sa clé privée ........................................... 319
Importation de fichiers séparés de certificat serveur et leur clé privée .............................. 320
Certificats CA......................................................................................................................... 320
Importation de certificats de l’autorité de certification......................................................... 321
CRL ......................................................................................................................................... 322
Importation d’une liste de révocation de certificat .............................................................. 322
Utilisateur ........................................................................................................324
Configuration de l’authentification d’un utilisateur........................................................... 324
Paramétrage du timeout d’authentification ......................................................................... 324
Comptes utilisateurs locaux ................................................................................................ 325
Edition d’un compte utilisateur............................................................................................ 325
Serveurs RADIUS .................................................................................................................. 326
Configuration d’un serveur RADIUS ................................................................................... 326
Serveurs LDAP ...................................................................................................................... 327
Configuration d’un serveur LDAP ....................................................................................... 328
Serveurs Windows AD .......................................................................................................... 328
Configuration d’un serveur Windows AD ............................................................................ 329
Groupe d’utilisateurs ............................................................................................................ 330
Types de groupe d’utilisateurs............................................................................................ 331
Liste de groupes d’utilisateurs ............................................................................................ 332
Configuration d’un groupe d’utilisateurs ............................................................................. 333
Configuration des options override FortiGuard pour un groupe d’utilisateurs .................... 334
Configuration des options des groupes d’utilisateurs VPN SSL......................................... 335
Configuration de paires et de groupes de paires .............................................................. 336
Antivirus ..........................................................................................................337
Antivirus................................................................................................................................. 337

01-30001-0203-20060424
Modèles de Fichier ................................................................................................................ 338
Visualisation du catalogue de la liste des modèles de fichier (FortiGate-800 et plus
uniquement) ........................................................................................................................ 339
Création d’une nouvelle liste de modèles de fichier ( FortiGate-800 et plus uniquement). 340
Visualisation de la liste de modèles de fichier .................................................................... 340
Configuration de la liste de modèles de fichier ................................................................... 342
Mise en Quarantaine ............................................................................................................. 342
Visualisation de la liste des Fichiers mis en Quarantaine .................................................. 343
Visualisation de la liste de soumission automatique .......................................................... 344
Configuration de la liste de soumission automatique ......................................................... 345
Configuration des options de mise en quarantaine ............................................................ 345
Configuration......................................................................................................................... 347
Visualisation de la liste des virus ........................................................................................ 347
Visualisation de la liste des Graywares .............................................................................. 348
Configuration de l’Antivirus à partir de l’interface de ligne de commande .................... 350
system global optimize........................................................................................................ 350
config antivirus heuristic...................................................................................................... 350
config antivirus quarantine .................................................................................................. 351
config antivirus service <service_name>............................................................................ 351
Protection contre les Intrusions ....................................................................352

A propos de la protection contre les intrusions ................................................................ 352
Signatures prédéfinies.......................................................................................................... 354
Visualisation de la liste de signatures prédéfinies .............................................................. 354
Configuration de groupes de signatures prédéfinies .......................................................... 357
Configuration des signatures prédéfinies ........................................................................... 357
Signatures personnalisées .................................................................................................. 358
Visualisation de la liste des signatures personnalisées...................................................... 358
Création de signatures personnalisées .............................................................................. 359
Décodeurs de protocoles ..................................................................................................... 360
Visualisation de la liste de décodeurs de protocoles.......................................................... 361
Configuration des groupes de décodeurs de protocoles IPS ............................................. 362
Configuration des décodeurs de protocoles IPS ................................................................ 362
Anomalies .............................................................................................................................. 362
Visualisation de la liste des anomalies de trafic ................................................................. 363
Configuration des anomalies de trafic IPS.......................................................................... 364
Configuration de l’IPS à partir de l’interface de ligne de commande .............................. 365
system autoupdate ips ........................................................................................................ 365
ips global fail-open .............................................................................................................. 365
ips global ip_protocol .......................................................................................................... 365
ips global socket-size.......................................................................................................... 365
(config ips anomaly) config limit.......................................................................................... 365
Filtrage Web ....................................................................................................366

Filtrage Web........................................................................................................................... 366
Filtrage par mots-clés ........................................................................................................... 368

01-30001-0203-20060424
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus)
............................................................................................................................................ 368
Création d’une nouvelle liste de blocage de contenu Web (Modèle boîtier FortiGate-800 et
plus) .................................................................................................................................... 369
Visualisation de la liste de blocage de contenu Web ......................................................... 369
Configuration de la liste de blocage de contenu web ......................................................... 371
Visualisation du contenu de la liste d’exemption des contenus Web (modèles FortiGate-800
et plus) ................................................................................................................................ 371
Création d’une nouvelle liste d’exemption des contenus Web (modèles FortiGate-800 et
plus) .................................................................................................................................... 372
Visualisation de la liste d’exemption des contenus Web .................................................... 372
Configuration de la liste d’exemption des contenus Web................................................... 373
Filtre URL ............................................................................................................................... 374
Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et plus) ....... 374
Création d’une nouvelle liste de filtres URL (Modèles FortiGate-800 et plus).................... 375
Visualisation de la liste des filtres URL............................................................................... 375
Configuration d’une liste de filtres URL .............................................................................. 377
Déplacement d’URL au sein de la liste de filtres URL........................................................ 378
Filtrage Web FortiGuard ....................................................................................................... 378
Configuration du filtrage FortiGuard-Web........................................................................... 378
Visualisation de la liste override ......................................................................................... 379
Configuration de règles d’ignorance ................................................................................... 380
Création de catégories locales ........................................................................................... 382
Visualisation de la liste des évaluations locales ................................................................. 382
Configuration d’évaluations locales .................................................................................... 383
Configuration d’un blocage de catégorie à partir de l’interface de ligne de commande..... 384
Rapports du Filtrage FortiGuard-Web ................................................................................ 384
Antispam .........................................................................................................386
Antispam ................................................................................................................................ 386
Ordre du filtrage antispam .................................................................................................. 386
Mots bannis ........................................................................................................................... 389
Visualisation du catalogue de listes de mots bannis antispam (Modèles FortiGate-800 et
plus) .................................................................................................................................... 389
Création d’une nouvelle liste de mots bannis antispam (modèles FortiGate-800 et plus) . 390
Visualisation de la liste de mots bannis antispam .............................................................. 390
Configuration de la liste des mots bannis antispam ........................................................... 392
Liste noire et liste blanche ................................................................................................... 392
Visualisation du catalogue de listes d’adresses IP antispam (modèles FortiGate-800 et
plus). ................................................................................................................................... 393
Création d’une nouvelle liste d’adresses IP antispam (modèles FortiGate-800 et plus) .... 393
Visualisation de la liste d’adresses IP antispam ................................................................. 394
Configuration de la liste des adresses IP antispam............................................................ 395
Visualisation du catalogue de listes d’adresses mail antispam (modèles FortiGate-800 et
plus). ................................................................................................................................... 395
Création d’une nouvelle liste d’adresses mail antispam (modèles FortiGate-800 et plus). 396
Visualisation de la liste d’adresses IP mail antispam ......................................................... 396
Configuration de la liste des adresses mail antispam ........................................................ 398
Configuration antispam avancée......................................................................................... 398
config spamfilter mheader................................................................................................... 398
config spamfilter rbl............................................................................................................. 399

01-30001-0203-20060424
Utilisation des expressions régulières en Perl .................................................................. 400
Expression Régulière vs Modèle à méta-caractère ........................................................... 400
Limite des mots................................................................................................................... 400
Sensibilité à la casse des caractères.................................................................................. 400
Formats des expressions régulières en Perl ...................................................................... 400
Exemples ............................................................................................................................ 402
IM/P2P ..............................................................................................................403
Statistiques ............................................................................................................................ 403
Visualisation des statistiques d’ensemble .......................................................................... 403
Visualisation des statistiques par protocole........................................................................ 404
Utilisateur............................................................................................................................... 405
Visualisation de la liste des utilisateurs connectés............................................................. 405
Visualisation de la liste des utilisateurs .............................................................................. 406
Ajout d’un nouvel utilisateur à la liste des utilisateurs ........................................................ 406
Configuration d’une politique utilisateur globale ................................................................. 407
Configuration IM/P2P à partir de l’interface de ligne de commande ............................... 408
Journaux & Alertes .........................................................................................409

Journalisation FortiGate....................................................................................................... 409
Niveaux de sévérité des journaux ....................................................................................... 410
Stockage des Journaux........................................................................................................ 411
Journalisation sur un boîtier FortiAnalyzer ......................................................................... 411
Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique............ 412
Test de la configuration d’un boîtier FortiAnalyzer ............................................................. 412
Journalisation sur la mémoire ............................................................................................. 413
Journalisation sur un serveur Syslog.................................................................................. 414
Journalisation sur WebTrends ............................................................................................ 415
Journalisation d’un cluster Haute Disponibilité ................................................................ 415
Types de Journaux................................................................................................................ 416
Journal Trafic ...................................................................................................................... 416
Journal Evénement ............................................................................................................. 417
Journal Antivirus ................................................................................................................. 418
Journal Filtrage Web........................................................................................................... 418
Journal des Attaques .......................................................................................................... 418
Journal Antispam ................................................................................................................ 419
Journal IM / P2P ................................................................................................................. 419
Accès aux Journaux ............................................................................................................. 420
Accès aux messages journalisés stockés en mémoire ...................................................... 420
Accès aux journaux stockés sur un boîtier FortiAnalyzer................................................... 420
Visualisation des informations journalisées ........................................................................ 421
Paramètres des colonnes ................................................................................................... 422
Filtrage des messages journalisés ..................................................................................... 423
Rapports................................................................................................................................. 424
Rapports de base sur le trafic ............................................................................................. 424
Rapports FortiAnalyzer ....................................................................................................... 426

01-30001-0203-20060424
Mail d’alerte............................................................................................................................ 432
Configuration des mails d’alerte ......................................................................................... 433
Index ................................................................................................................435

01-30001-0203-20060424
Introduction
Bienvenue et merci d’avoir choisi les produits Fortinet pour la protection en temps
réel de votre réseau.
Les boîtiers FortiGateTM Unified Threat Management System (Système de Gestion

Unifiée des Attaques) sécurisent les réseaux, réduisent les mauvais usages et
abus réseaux et contribuent à une utilisation plus efficace des ressources de
communication, sans compromettre la performance de votre réseau. La gamme a
reçu les certifications ICSA pare-feu, VPN IPSec et antivirus.
L’appliance FortiGate est un boîtier entièrement dédié à la sécurité. Il est convivial

et fournit une gamme complète de services, que ce soit:
• au niveau des applications (comme le filtrage antivirus, la protection contre les
intrusions, les filtrages antispam, de contenu web et IM/P2P).
• au niveau du réseau (comme le pare-feu, la détection et prévention d’intrusion,
les VPN IPSec et VPN SSL et la qualité de service).
• Au niveau de l’administration (comme l’authentification d’un utilisateur, la
journalisation, les rapports du FortiAnalyzer, les profils d’administration, l’accès
sécurisé au web et l’accès administratif CLI et SNMP).
Le système FortiGate utilise la technologie de Dynamic Threat Prevention System

(Système Dynamique de Prévention des Attaques) (DTPSTM). Celle-ci s’appuie sur
les dernières avancées technologiques en matière de conception de microcircuits,
de gestion de réseaux, de sécurité et d’analyse de contenu. Cette architecture
unique basée sur un Asic permet d'analyser en temps réel les contenus applicatifs
et les comportements du réseau.
Ce chapitre parcourt les sections suivantes :
• Introduction aux équipements FortiGate

• Gamme de produits Fortinet
• A propos de ce document
• Documentation FortiGate
• Service clientèle et support technique
Présentation des équipements FortiGate

Toutes les appliances FortiGate Unified Threat Management offrent les
fonctionnalités antivirus, filtrage de contenu, pare-feu, VPN et détection/prévention
d’intrusion destinées aux réseaux des petites comme des grandes entreprises.
Châssis FortiGate série 5000

Les plates-formes de sécurité réseau FortiGate série 5000 sont des systèmes à
châssis destinés aux grandes entreprises et fournisseurs de services haut débit
Internet. Ils garantissent des services de sécurité intégrant pare-feu, VPN,
protection antivirus, antispam, filtrage de contenu web et système de prévention
contre les intrusions (IPS). Le grand choix de configurations système qu’offrent les
FortiGate série 5000 assure la flexibilité nécessaire à la croissance des réseaux de
haute performance. Les châssis FortiGate série 5000 supportent de multiples

01-30001-0203-20060424
modules FortiGate série 5000 ainsi que des sources d’alimentation échangeables
à chaud.
Cette approche modulaire offre aux entreprises et utilisateurs des FAI

(Fournisseurs d’accès Internet) une solution adaptable, hautement performante et
tolérante aux pannes.
Châssis FortiGate-5140
Le châssis FortiGate-5140 comprend quatorze slots (logements) permettant
d’installer jusqu’à quatorze modules pare-feu antivirus FortiGate-5000. Il s’agit d’un
châssis de 12U comprenant deux modules redondants et échangeables à chaud
d’alimentation de courant continu qui se connectent à une alimentation -48 VDC
des salles d’hébergement. Ce châssis possède également trois plateaux de
ventilateurs échangeables à chaud.
Le châssis FortiGate-5050 comprend cinq slots permettant d’installer jusqu’à cinq
modules pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 5U comprenant
deux connexions redondantes d’alimentation de courant continu qui se connectent
à une alimentation -48 VDC des salles d’hébergement. Ce châssis possède
également un plateau de ventilateurs échangeable à chaud.
Le châssis FortiGate-5020 comprend deux slots permettant l’installation d’un ou de
deux module(s) pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 4U
comprenant deux entrées d’alimentation de courant AC vers DC redondantes qui
se connectent à une alimentation AC. Ce châssis possède également un plateau
interne de ventilateurs.
A propos des modules FortiGate série 5000

Chaque module FortiGate série 5000 est un système de sécurité autonome
pouvant faire partie d’un cluster HA FortiGate. Tous les modules sont
échangeables à chaud. Ces équipements sont des systèmes de sécurité de haute

01-30001-0203-20060424
performance possédant de multiples interfaces gigabits, des capacités de
domaines virtuels et d’autres fonctionnalités FortiGate de grande qualité.
Module FortiGate-5001SX
Le module FortiGate-5001SX est un système de sécurité hautement performant et
autonome possédant huit interfaces Ethernet gigabits. Il supporte les
fonctionnalités de haut niveau notamment les VLAN 802.1Q ainsi que de multiples
domaines virtuels.
Module FortiGate-5001FA2
Le module FortiGate-5001FA2 est un système de sécurité hautement performant
et autonome possédant six interfaces Ethernet gigabits. Il est similaire au module
FortiGate-5001SX à l’exception de deux interfaces qui, intégrant la technologie
Fortinet, offrent une accélération de la performance du traitement des petits
paquets.
Module FortiGate-5002FB2
Le module FortiGate-5002FB2 est un système de sécurité hautement performant
et autonome possédant un total de six interfaces Ethernet gigabits. Deux de ces
interfaces intégrant la technologie Fortinet offrent une accélération de la
performance du traitement des petits paquets.
FortiGate-3600
La fiabilité et les performances du
FortiGate-3600 sont élevés à un
niveau de type opérateur et
répondent aux exigences des
grandes entreprises et fournisseurs
de services.
Son architecture multiprocesseur et Asic fournit un débit de 4Gbit/s, répondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend
des blocs d’alimentation redondants et un partage de charge, avec un secours
assuré sans interruption de service. La grande capacité du FortiGate-3600, sa
fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de
services de sécurité managés.
FortiGate-3000
La fiabilité et les performances du
FortiGate-3000 sont élevés à un
niveau de type opérateur et
répondent aux exigences des
de services.
Son architecture multiprocesseur et Asic fournit un débit de 3Gbit/s, répondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend
des blocs d’alimentation redondants et un partage de charge, avec un secours
assuré sans interruption de service. La grande capacité du FortiGate-3000, sa
fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de
services de sécurité managés.

01-30001-0203-20060424
FortiGate-1000A
Le boîtier FortiGate-1000A est une
solution hautement performante
répondant aux exigences des
de services.
Grâce à son réseau de distribution (FortiGuard Distribution Network), les services

FortiGuard permettent au FortiGate-1000A de disposer des informations les plus
récentes, assurant une protection continue contre les virus, vers, troyens et autres
menaces, même les plus récentes. Son architecture flexible lui permet de s’adapter
aux technologies émergeantes telles que IM, P2P ou VOIP mais aussi de contrer
les méthodes frauduleuses de collectes d’informations privées utilisées par les
spyware, phishing et pharming.
FortiGate-1000AFA2
Le boîtier FortiGate-1000AFA2 est
une solution hautement performante
répondant aux exigences des
de services.
Ses deux ports de fibres optiques supplémentaires, bénéficiant de la technologie
FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses
fonctions de sécurité critique sur une plateforme hautement sécurisée garantissent
fiabilité, rentabilité, rapidité de déploiement, coûts opérationnels bas et un taux
supérieur de détection des anomalies connues et inconnues.
FortiGate-1000
Le boîtier FortiGate-1000 est conçu
pour les grandes entreprises. Son
architecture multiprocesseur et Asic
fournit un débit de 2Gbit/s,
répondant ainsi aux besoins des applications les plus exigeantes. Le boîtier
FortiGate-1000 comprend des blocs d’alimentation redondants minimisant les
points uniques de panne, ainsi que des supports pour un partage de charge et un
secours assuré sans interruption de service.
FortiGate-800
Le boîtier FortiGate-800 fournit en
plus d’un haut débit, un total de huit
connexions réseau (quatre étant
personnalisables), un support des
VLAN et des domaines virtuels.
Lors d’une configuration de cluster FortiGate, il fournit une redondance matérielle
stateful en haute disponibilité. Ses fonctionnalités hautement performantes en font
un choix naturel pour les grandes entreprises qui exigent une sécurité optimum de
leurs réseaux.

01-30001-0203-20060424
FortiGate-800F
Le boîtier FortiGate-800F offre les
mêmes fonctionnalités que le boîtier
FortiGate-800, mais avec quatre
interfaces de fibre optique : Internal,
External, DMZ et HA.
Ce boîtier fournit également une redondance matérielle stateful en haute
disponibilité et un support aux protocoles de routage RIP et OSPF. Il garantit la
flexibilité, fiabilité et gestion aisée que les grandes entreprises recherchent.
FortiGate-500A
Le boîtier FortiGate-500A
offre
un niveau de performance
et de fiabilité de classe
opérateur, répondant
aux exigences des
fournisseurs de services et
des grandes entreprises.
Ses 10 connexions réseaux (dont un commutateur 4 ports LAN) et ses
fonctions haute disponibilité avec réplication automatique sans coupure de
réseau font du FortiGate-500A une solution performante aux applications
les plus critiques. Sa flexibilité, fiabilité et sa gestion aisée en font un choix
naturel pour les opérateurs de services de sécurité managés.
FortiGate-500
Le boîtier FortiGate-500 est conçu pour
les grandes entreprises. Sa flexibilité, sa
fiabilité et sa gestion aisée en font un
choix naturel pour les opérateurs de
services de sécurité managés. Le boîtier FortiGate-500 supporte la haute
disponibilité.
FortiGate-400A
Le boîtier FortiGate-400A
répond aux exigences des
grandes entreprises en terme de
performance, disponibilité
et fiabilité. Il supporte la haute
disponibilité et présente une
réplication automatique
sans coupure de réseau. Ses caractéristiques en font le meilleur choix
pour les applications les plus critiques.
FortiGate-400
les grandes entreprises. Il fournit un
débit jusqu’à 500Mbit/s et supporte la
haute disponibilité, qui comprend une
réplication automatique sans coupure de réseau.

01-30001-0203-20060424
FortiGate-300A
Le boîtier FortiGate-300
répond aux exigences
des grandes
entreprises en terme
de performance, disponibilité et fiabilité. Il supporte la haute disponibilité et
comprend une réplication automatique sans coupure de réseau. Ses
caractéristiques en font le meilleur choix pour les applications les plus
critiques.
FortiGate-300
les grandes entreprises. Il supporte la
haute disponibilité, qui comprend une
réplication automatique sans
coupure de réseau. Ses caractéristiques en font le meilleur choix pour les
applications les plus critiques.
FortiGate-200A
Le boîtier FortiGate-200A est
une solution conviviale et facile
à gérer garantissant un haut
niveau de performance, idéal
pour répondre aux applications
d’entreprises à domicile ou de petites entreprises ou succursales. L’assistant
d’installation FortiGate guide les utilisateurs à travers des procédures simples
d’installation qui permettent au boîtier d’être opérationnel en quelques minutes.
FortiGate-200
répondre aux applications
d’entreprises à domicile ou de petites
entreprises ou succursales.
Il offre une solution conviviale, facile à gérer. Le boîtier FortiGate-200 supporte la
haute disponibilité.
FortiGate-100A
Le boîtier FortiGate-100A est une
solution pratique et facile à gérer qui
répond parfaitement aux applications
des petites entreprises, bureaux à
domicile et succursales. Ce boîtier
supporte des fonctions avancées
telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.

01-30001-0203-20060424
FortiGate-100
Le boîtier FortiGate-100 est conçu
pour répondre aux applications
d’entreprises à domicile ou de petites
entreprises ou succursales.
Il supporte les fonctions avancées telles que VLAN 802.1Q, domaines virtuels,
haute disponibilité et protocoles de routage RIP et OSPF.
FortiGate-60/60M/ADSL
les bureaux de personnel itinérant et
les magasins. Il comprend un port
modem extérieur qui peut servir de
connexion Internet redondante ou
stand alone.
Le boîtier FortiGate-60M comprend quant à lui un modem interne qui peut
également servir de connexion Internet redondante ou stand alone. Le boîtier
FortiGate-60ADSL est pour sa part muni d’un modem ADSL interne.
FortiWiFi-60
Le modèle FortiWiFi est une solution
intégrée qui assure des connexions
sans fil sécurisées. Il combine
mobilité et flexibilité grâce à ses
fonctions FortiWiFi Antivirus Firewall.
De plus, il s’adapte aux
avancées technologiques
radiophoniques. Il peut faire office de
point de connexion entre réseaux
sans fil et réseaux câblés ou tenir
lieu de point central d’un
réseau sans fil stand alone.
FortiGate-50A
Le boîtier FortiGate-50A est conçu
pour les télétravailleurs, les
utilisateurs mobiles, les petites
entreprises et les succursales
comptant 10 employés ou moins. Il
comprend un port modem extérieur
qui peut servir de connexion
autonome à Internet ou de service de sauvegarde.

01-30001-0203-20060424
Gamme de Produits Fortinet
En complément de sa gamme FortiGate, Fortinet propose une solution complète
de logiciels et d’appliances de sécurité, adressant notamment la sécurité de la
messagerie, la journalisation et l’édition de rapports statistiques, la gestion du
réseau et des configurations. Pour plus d’informations sur les gammes de produits
Fortinet, vous pouvez consulter le site www.fortinet.com/products.
Services de souscription FortiGuard

Les services FortiGuard sont des services de sécurité développés, mis à jour et
gérés par une équipe de professionnels en sécurité Fortinet. Ces services assurent
la détection et le filtrage des attaques, même les plus récentes, pour préserver les
ordinateurs et les ressources du réseau. Ces services ont été mis au point à partir
des plus récentes technologies de sécurité et sont conçus pour opérer à des coûts
opérationnels les plus bas possible.
Les services FortiGuard comprennent:
• Le service FortiGuard antivirus

• Le service FortiGuard IPS (Intrusion Prevention System)
• Le service FortiGuard de filtrage web
• Le service FortiGuard antispam
• Le service FortiGuard premier
Sur notre site web, vous trouverez également un scanner de virus et une
encyclopédie des virus et attaques.
FortiAnalyser
FortiAnalyserTM fournit aux administrateurs réseaux les informations nécessaires
qui leur permettent d’assurer une meilleure protection du réseau, une plus grande
sécurité contre attaques et vulnérabilités. FortiAnalyser permet entre autres:
• de centraliser les journaux des boîtiers FortiGate, des serveurs syslog et du

FortiClient
• de générer des centaines de rapports à partir des données collectées
• de scanner le réseau et générer des rapports de vulnérabilités
• de stocker les fichiers mis en quarantaine par FortiGate
FortiAnalyser peut également être configuré en sniffer réseau et capturer en temps

réel le trafic intercepté. Vous pouvez en outre utiliser FortiAnalyser comme lieu de
stockage où les utilisateurs peuvent accéder et partager des données, telles que
des rapports et journaux conservés sur son disque dur.
FortiClient
Le logiciel FortiClientTM offre un environnement informatique sécurisé et fiable aux
utilisateurs d’ordinateurs de bureau et d’ordinateurs portables munis des systèmes

01-30001-0203-20060424
d’exploitation les plus répandus de Microsoft Windows. FortiClient offre de
nombreuses fonctionnalités, y compris:
• un accès VPN pour se connecter aux réseaux distants

• un antivirus temps réel
• une protection contre des modifications du registre Windows
• une recherche des virus sur tout ou partie du disque dur
FortiClient peut s’installer de façon silencieuse et se déployer aisément sur un parc

d’ordinateurs selon un paramétrage pré-établi.
FortiManager
FortiManagerTM est conçu pour répondre aux besoins des grandes entreprises (y
compris les fournisseurs de services de gestion de sécurité) responsables du
déploiement et du maintien de dispositifs de sécurité à travers un parc
d’équipements FortiGate. FortiManager vous permet de configurer et de contrôler
les statuts de plusieurs boîtiers FortiGate. Vous pouvez également consulter leurs
journaux en temps réel et leurs historiques. FortiManager est facile à utiliser et
s’intègre aisément à des systèmes tiers.
FortiBridge
FortiBridgeTM permet d’assurer une continuité de connexion réseau même en cas
de panne électrique d’un système FortiGate. Le FortiBridge connecté en parallèle
au FortiGate dévie le flux réseau lorsqu'il détecte une panne sur le boîtier et reçoit
alors le trafic pour éviter toute coupure réseau. FortiBridge est facile à utiliser et à
déployer. Vous pouvez programmer à l’avance les actions que FortiBridge mettra
en place en cas de panne de courant ou de panne dans le système FortiGate.
FortiMail
FortiMailTM fournit une analyse heuristique puissante et flexible, de même que des
rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en
oeuvre des techniques fiables et hautement performantes pour détecter et bloquer
les mails non désirés, tels que les signatures SHASH (Spam Hash) ou les filtres
bayesians. Construit sur base des technologies primées FortiOS et FortiASIC,
FortiMail utilise ses pleines capacités d’inspection de contenu afin de détecter les
menaces les plus avancées dans les courriers électroniques.
FortiReporter
Le logiciel FortiReporterTM Security Analyzer génère des rapports explicites. Il peut
centraliser des journaux de n’importe quel boîtier FortiGate, ainsi que de plus de
30 boîtiers de réseau et de sécurité provenant de constructeurs tiers. FortiReporter
offre une visibilité sur les abus réseau, l’utilisation de la bande passante et l’usage
du web afin de s’assurer que le réseau est utilisé de façon appropriée.
FortiReporter permet aux administrateurs d’identifier les attaques et d’y répondre. Il
permet également de définir des actions proactives de protection des réseaux
avant que ceux-ci ne soient confrontés à une augmentation des menaces.

01-30001-0203-20060424
A propos de ce document
Ce Guide d’Administration FortiGate FortiOS v3.0 fournit des informations
détaillées sur les fonctionnalités de l’interface d’administration web FortiGate et
celles ne pouvant être configurées qu’à partir de l’interface de ligne de commande
(CLI).
Ce Guide d’Administration parcourt les fonctions de l’interface graphique dans le

même ordre que le menu de cette interface. Le document commence avec une
description générale de l’interface d’administration web FortiGate et une
description des domaines virtuels FortiGate. Les chapitres suivants couvrent toutes
les options des menus Système, Routeur, Pare-Feu et VPN. Enfin, les menus
Utilisateur, Antivirus, Protection Anti-Intrusion, Filtrage Web, Antispam, IM/P2P et
Journaux/Alertes sont décrits séparément. Un index se trouve à la fin du
document.
La dernière version de ce document se trouve sur la page FortiGate du site de

Documentation Technique Fortinet (Fortinet Technical Documentation). Les
informations contenues dans ce document sont également disponibles, sous une
forme quelque peu différente, dans l’aide en ligne de l’interface d’administration
web FortiGate.
De la documentation technique complémentaire sur FortiOS v3.0 est disponible sur

la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical
Documentation) et dans la Base de Connaissance Fortinet (Fortinet Knowledge
Center), à l’adresse http://kc.forticare.com.
Ce Guide d’Administration contient les chapitres suivants :
• Interface d’administration web : fournit une introduction aux fonctionnalités de

l’interface graphique, explique comment enregistrer un équipement FortiGate
et comment utiliser l’aide en ligne de l’interface.
• Utilisation de domaines virtuels : décrit comment définir et administrer les
domaines virtuels d’un équipement FortiGate.
• Statut du Système : détaille les informations « statuts » visibles, y compris le
statut du système, les informations sur l’équipement, les ressources du
système, la console de message d’alerte, ainsi que les statistiques des
sessions, de l’archive de contenu et du journal des attaques. Les changements
de statuts sont également parcourus dans ce chapitre, tels que les
modifications apportées au microcode, au nom d’hôte et à l’heure du système.
• Réseau du Système : retrace la configuration des interfaces physiques et
virtuelles, ainsi que les paramètres DNS sur le boîtier FortiGate.
• Système Sans Fil : décrit la configuration d’une interface LAN Wireless sur un
équipement FortiWiFi-60.
• Système DHCP : explique comment configurer une interface FortiGate comme
serveur DHCP ou Relais DHCP.
• Configuration du Système : développe les procédures de configuration d’un
clustering HA et virtuel, de configuration SNMP, de remplacement de
messages et de modification du mode de fonctionnement.
• Administration du Système : vous guide dans l’ajout et l’édition de comptes
administrateurs, dans la définition de profils d’accès administrateurs, dans la
configuration d’accès au FortiManager et dans la définition des paramètres

01-30001-0203-20060424
généraux des administrateurs tels que les langues, les timeouts et les ports
d’administration web.
• Maintenance du Système : détaille comment sauvegarder et restaurer la
configuration du système, activer les mises à jour FortiProtectTM Distribution
Network (FDN), enregistrer l’équipement FortiGate, créer des rapports sur les
bogues et entrer une clé de licence pour augmenter le nombre maximum de
domaines virtuels.
• Routeur Statique : explicite comment définir des routes statiques et créer des
règles pour celles-ci. Une route statique permet aux paquets d’être transférés
vers une destination autre que celle de la passerelle par défaut.
• Routeur Dynamique : définit la configuration de protocoles dynamiques pour
guider le trafic à travers de larges réseaux complexes.
• Table de Routage: permet d’interpréter la liste et les entrées de la Table de
routage.
• Règle Pare-Feu : décrit comment ajouter des règles pare-feu qui contrôlent les
connexions et le trafic entre les interfaces FortiGate, les zones et les sous-
interfaces VLAN.
• Adresse Pare-Feu : retrace la configuration d’adresses et de groupes
d’adresses pour les règles pare-feu.
• Service Pare-Feu : répertorie les services disponibles et explique comment
configurer des groupes de services pour les règles pare-feu.
• Plage horaire d’un Pare-Feu : permet de configurer des plages horaire pare-
feu ponctuelles et récurrentes.
• IP Virtuelles : décrit comment configurer et utiliser les adresses IP virtuelles et
les plages d’adresses IP.
• Profil de Protection : explique comment configurer des profils de protection
pour les règles pare-feu.
• VPN IPSEC : offre des informations pour le mode tunnel et le mode route
(mode interface) sur les options VPN IPSec (Internet Protocol Security)
disponibles à partir de l’interface d’administration web.
• VPN PPTP : explique comment utiliser l’interface d’administration web pour
spécifier une plage d’adresses IP pour des clients PPTP.
• VPN SSL : informe sur les paramètres de base VPN SSL.
• Certificats VPN : décrit comment gérer les certificats de sécurité X.509.
• Utilisateur : détaille comment contrôler l’accès aux ressources du réseau via
une authentification de l’utilisateur.
• Antivirus : explique comment activer les options antivirus lors de la création de
profils de protection pare-feu.
• Protection contre les Intrusions : parcourt la configuration d’options IPS lors de
la création de profils de protection pare-feu.
• Filtrage Web : parcourt la configuration d’options de filtrage du contenu web
lors de la création de profils de protection pare-feu.
• Antispam : parcourt la configuration d’options de filtrage de spams lors de la
création de profils de protection pare-feu.

01-30001-0203-20060424
• IM / P2P : parcourt la configuration d’options IM et P2P lors de la création de
profils de protection pare-feu. Les statistiques IM et P2P permettent d’avoir un
aperçu de l’utilisation des protocoles dans le réseau.
• Journaux et Alertes : décrit comment activer la journalisation, visualiser les
journaux et rapports de base disponibles à partir de l’interface d’administration
web.
Conventions utilisées dans ce document

Les conventions suivantes sont utilisées dans ce guide :
• Dans les exemples, les adresses IP privées sont utilisées aussi bien pour les
adresses IP privées que publiques.
• Les remarques et attentions fournissent des informations importantes :
Les « remarques » vous apportent de l’information additionnelle utile.
Les « attentions » vous mettent en garde contre des commandes et procédures qui
pourraient avoir des résultats inattendus ou indésirables tels que perte de données ou
détérioration de l’équipement.
Conventions typographiques
La documentation du FortiGate utilise les conventions typographiques suivantes :
Convention Exemple
Commandes de Menus Allez dans VPN > IPSEC et sélectionnez Créer Phase 1.
Entrée clavier Dans le champ Nom de Passerelle, tapez un nom pour le client
VPN distant (par exemple, Central_Office_1).
Exemple de code config sys global
set ips-open enable
end
Syntaxe CLI (Interface config firewall policy
de ligne de commande) edit id_integer
set http_retry_count <retry_integer>
set natip <address_ipv4mask>
end
Noms des documents Guide d’Administration FortiGate
Contenu de fichier <HTML><HEAD><TITLE>Firewall

Authentication</TITLE></HEAD>
<BODY><H4>You must authenticate to use this
service.</H4>
Affichage du résultat
Welcome!
d’un programme
Variables <address_ipv4>

01-30001-0203-20060424
Documentation FortiGate
Les versions les plus récentes de la documentation Fortinet, de même que les
précédentes parutions, sont disponibles sur le site de documentation technique
Fortinet à l’adresse http://docs.forticare.com.
Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront
aussi disponibles en français :
• FortiGate QuickStartGuide - Guide de démarrage rapide FortiGate
Fournit les informations de base sur la connexion et l’installation d’un FortiGate
• FortiGate Install Guide - Guide d’Installation FortiGate
Décrit comment installer un FortiGate. Il comprend des informations sur le
matériel, des informations sur la configuration par défaut, ainsi que des
procédures d’installation, de connexion et de configuration de base. Sélectionnez
le guide en fonction du numéro du modèle du produit.
• FortiGate Administration Guide - Guide d’Administration FortiGate
Fournit les informations de base sur la manière de configurer un FortiGate, y
compris la définition des profils de protection FortiGate et des règles pare-feu.
Explique comment appliquer les services de prévention d’intrusion, protection
antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt également
la manière de configurer un VPN.
• FortiGate online help - Aide en ligne FortiGate
Fournit le Guide d’Administration au format HTML avec des outils de recherche.
Vous pouvez accéder à l’aide en ligne à partir de l’interface d’administration web.
• FortiGate CLI Reference - Guide de Référence CLI
Décrit comment utiliser l’interface de ligne de commande FortiGate et répertorie
toutes ses commandes.
• FortiGate Log Message Reference - Guide de référence des messages
journalisés d’un FortiGate
Disponible uniquement à partir de la base de connaissance (Fortinet Knowledge
Center), ce mode d’emploi décrit la structure et le contenu des messages
présents dans les journaux FortiGate.
• FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilité FortiGate
Fournit une description détaillée des fonctions de haute disponibilité et du
protocole de clustering FortiGate.
• FortiGate IPS User Guide - Guide utilisateur de l’IPS FortiGate (Système de
Prévention d’Intrusion)
Décrit la configuration des paramètres IPS FortiGate et le traitement des
attaques les plus courantes.
• FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate
Fournit des instructions pas à pas sur la configuration VPN IPSec via l’interface
• FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate
Compare les technologies FortiGate VPN IPSec et VPN SSL et décrit comment
configurer à partir de l'interface graphique les modes VPN SSL web et VPN SSL
tunnel pour les connexions à distance des utilisateurs.

01-30001-0203-20060424
• FortiGate PPTP VPN User Guide - Guide utilisateur du VPN PPTP FortiGate
Explique comment configurer un VPN PPTP via l’interface d’administration web.
• FortiGate Certificate Management User Guide - Guide utilisateur de gestion des
certificats FortiGate
Indique comment gérer les certificats digitaux, et notamment comment générer
des requêtes de certificat, installer des certificats, importer le certificat de
l'autorité de certification et des listes de révocation, sauvegarder et restaurer des
certificats et leurs clés privées associées.
• FortiGate VLANs and VDOMs User Guide - Guide utilisateur des VLANs et
VDOMs FortiGate
Décrit comment configurer des VLAN et VDOM en mode NAT/Route et
Transparent. Des exemples détaillés y sont repris.
CD d’outils et de documentation Fortinet

Toute la documentation Fortinet est disponible sur le CD d’outils et de
documentation fourni avec votre matériel livré. Les documents du CD
correspondent à l’équipement fourni. Pour obtenir les versions les plus à jour de la
documentation Fortinet, visitez le site de Documentation Technique Fortinet sur
http://docs.forticare.com.
Base de Connaissance Fortinet (Fortinet Knowledge Center)

De la documentation technique complémentaire est disponible dans la base de
connaissance Fortinet (Fortinet Knowledge Center), notamment des articles sur les
dépannages et questions les plus fréquemment rencontrés, des notes techniques,
et davantage. Vous pouvez consulter le site de la Base de Connaissance Fortinet à
l’adresse http://kc.forticare.com.
Remarques sur la documentation technique Fortinet

Merci d’indiquer toute éventuelle erreur ou omission trouvée dans cette
documentation à techdoc@fortinet.com.
Service clientèle et support technique

Le Support Technique Fortinet (Fortinet Technical Support) propose son
assistance pour une installation rapide, une configuration facile et une fiabilité des
systèmes Fortinet.
Pour connaître ces services, consultez le site de Support Technique Fortinet à

l’adresse http://support.fortinet.com.

01-30001-0203-20060424
Interface d’administration web
Cette section décrit les fonctionnalités conviviales de l’interface d’administration
web de votre FortiGate.
Vous pouvez configurer et administrer le boîtier FortiGate avec une connexion
HTTP ou HTTPS, à partir de tout ordinateur muni d’un navigateur web. L’interface
d’administration web fonctionne en plusieurs langues, dont le français. Vous
pouvez configurer le boîtier FortiGate pour une administration HTTP et HTTPS à
partir de n’importe quelle interface FortiGate.
Illustration 1 : Ecran de l’interface d’administration web
L’interface d’administration web permet de configurer la plupart des paramètres

FortiGate et de contrôler son statut. Les changements de configuration apportés à
partir de l’interface d’administration web sont instantanément pris en compte, sans
qu’il soit nécessaire de réinitialiser le pare-feu et sans interruption de service. Une
fois votre configuration souhaitée accomplie, il est conseillé de la sauvegarder. Elle
pourra alors être restaurée dès que nécessaire.
Pour plus d’informations sur la connexion à l’interface d’administration web, voir

« Accès à l’interface d’administration web » dans le Guide d’Installation de votre
FortiGate.
Les sujets suivants sont parcourus dans cette section :

• Fonctionnalités de la barre de boutons
• Pages de l’interface d’administration web
• Enregistrement d’un équipement FortiGate

01-30001-0203-20060424
Fonctionnalités de la barre de boutons
Les boutons de la barre en haut à droite de l’interface d’administration web
fournissent un accès à plusieurs fonctionnalités importantes du FortiGate.
Illustration 2 : Barre de boutons de l’interface d’administration web
Contacter le Support Technique

En cliquant sur le bouton « Contacter le Support Technique» (Contact Customer
Support), la page du site de support Fortinet s’ouvre dans une nouvelle fenêtre. De
cette page, vous pouvez :
• enregistrer votre équipement FortiGate (Product Registration). Pour plus de

détails sur les instructions, voir « Enregistrement d’un équipement FortiGate »
à la page 37. Fortinet vous enverra un courrier électronique reprenant votre
compte utilisateur et le mot de passe qui vous permettront de vous inscrire au
Centre de Support Client (Customer Support Center).
• entrer sur le site du Centre de Support Client.
• visiter le Centre FortiGuard.
• accéder à la Base de Connaissance.
• télécharger les mises à jour des bases de connaissance antivirus et IPS.
• obtenir tous les renseignements sur les programmes de formation et de
certification.
• en apprendre davantage sur Fortinet et ses produits.
Aide en Ligne
Les boutons de l’aide en ligne (Online Help) activent l’affichage de l’aide en ligne
pour la page ouverte de l’interface d’administration web. La page d’aide en ligne
affichée contient les informations et procédures relatives aux commandes de la
page ouverte. La plupart des pages d’aide contiennent également des hyperliens
sur certains sujets dont il est question. Le système d’aide en ligne comprend
également plusieurs commandes offrant de l’information additionnelle.

01-30001-0203-20060424
Illustration 3 : Page d’aide en ligne des statuts du système
Show Navigation Ouvre le panneau de navigation de l’aide en ligne. A partir de

là, vous pouvez utiliser la table des matières de l’aide en ligne,
l’index et le moteur de recherche. L’aide en ligne est organisée
de la même manière que l’interface d’administration web et
que le Guide d’Administration FortiGate.
Previous Retourne à la page précédente de l’aide en ligne.
Next Passe à la page suivante de l’aide en ligne.
Email Envoie un courrier électronique au centre de Documentation
Technique Fortinet à techdoc@fortinet.com. Tout commentaire
ou rectificatif sur la documentation des produits Fortinet peut
être envoyé à cette adresse.
Print Imprime la page ouverte de l’aide en ligne.
Bookmark Ajoute une entrée à cette page d’aide en ligne dans les
marque-pages de votre navigateur ou dans votre liste de
Favoris. Ce bouton facilite la recherche de pages d’aide en
ligne.
Sélectionnez « Show Navigation » pour afficher le panneau de navigation

de l’aide en ligne.
Illustration 4 : page de l’aide en ligne avec panneau de navigation
Contents Affiche la table des matières de l’aide en ligne. Vous pouvez

naviguer à travers la table des matières pour trouver des
informations dans l’aide en ligne. L’aide en ligne est organisée
de la même manière que l’interface d’administration web et
que le Guide d’Administration FortiGate.
Index Affiche l’index de l’aide en ligne. Vous pouvez utiliser l’index
pour trouver de l’information dans l’aide en ligne.

01-30001-0203-20060424
Search Affiche le moteur de recherche de l’aide en ligne. Voir « A
propos de la recherche de l’aide en ligne » à la page 32 pour
tout renseignement sur le moteur de recherche de l’aide en
ligne.
Show in Contents Si vous avez utilisé l’index, le moteur de recherche ou les
hyperliens pour trouver l’information recherchée dans l’aide en
ligne, la table des matières a probablement disparu de votre
écran. Sélectionnez « Show in Contents » pour afficher la table
des matières vous indiquant la localisation de la page d’aide
ouverte.
A propos de la recherche dans l’aide en ligne

Grâce à sa fonction de recherche, l’aide en ligne vous permet de lancer une
recherche à partir d’un mot ou d’un groupe de mots présents dans le texte de l’aide
en ligne FortiGate.
Quelques remarques pour vous aider dans votre recherche :
• Si vous entrez un groupe de mots, les résultats de la recherche afficheront les

pages qui contiennent tous les mots du groupe et non pas l’un ou l’autre de
ces mots.
• Les pages affichées lors du résultat de la recherche sont classées par ordre
logique. Les premiers résultats affichés ont plus de chance de contenir les
informations utiles à propos du mot ou des mots recherché(s). Les pages
d’aide qui reprennent un ou plusieurs des mots recherchés se trouvent en haut
de la liste des résultats.
• L’astérisque (*) remplace n’importe quel nombre ou caractère dans un mot. De
cette manière, l’entrée auth* vous permettra de trouver les pages contenant
auth, authentique, authentification, authentifier, etc.
• Dans certains cas la recherche donne lieu à des correspondances identiques.
Par exemple, si vous entrez « fenêtres », la recherche ne portera pas sur
« fenêtre » au singulier. Afin d’éviter cet inconvénient, vous pouvez utiliser
l’astérisque (dans cet exemple, fenêtre*).
Chercher dans l’aide en ligne

1 A partir de n’importe quelle page de l’interface d’administration web, sélectionnez
le bouton d’aide en ligne.
2 Sélectionnez « Show Navigation » pour afficher le panneau de navigation de l’aide
en ligne.
3 Sélectionnez Search.
4 Tapez un ou plusieurs mots à rechercher dans le champ Search et tapez ensuite
sur Enter ou cliquez sur Go.
Le panneau de recherche répertorie le nom de toutes les pages d’aide en ligne qui
contiennent le(s) mot(s) entré(s). Sélectionnez un des noms de la liste pour afficher
la page d’aide.

01-30001-0203-20060424
Navigation dans l’aide en ligne à partir des entrées du clavier
Le tableau 1 répertorie les raccourcis clavier qui permettent d’afficher et trouver
les informations souhaitées dans l’aide en ligne.
Tableau 1 : Touches de navigation dans l’aide en ligne

Touche Fonction
Alt+1 Affiche la table des matières.
Alt+2 Affiche l’index.
Alt+3 Affiche le moteur de recherche.
Alt+4 Retourne à la page précédente.
Alt+5 Passe à la page suivante.
Alt+7 Envoie un courrier électronique au centre de
Documentation Technique de Fortinet à
techdoc@fortinet.com. Tout commentaire ou rectificatif sur
la documentation des produits Fortinet peut être envoyé à
cette adresse.
Alt+8 Imprime la page ouverte.
Alt+9 Ajoute une entrée à cette page d’aide en ligne dans les
marque-pages de votre navigateur ou dans votre liste de
Favoris. Ce bouton facilite la recherche de pages d’aide en
ligne.
Accès au mode console

L’interface de ligne de commande (CLI), interface basée sur du texte, peut servir
d’alternative à l’interface d’administration web. Certaines options ne sont
configurables qu’à partir des commandes CLI.
Le bouton d’accès au mode console (Console Access) ouvre une application

Terminal basée sur Java. L’ordinateur d’administration doit être muni de la version
Java 1.3 ou supérieure.
Pour plus d’informations sur l’utilisation des commandes CLI, référez-vous au

FortiGate CLI Reference.

01-30001-0203-20060424
Illustration 5 : Accès au mode console
Connect Se connecte au boîtier FortiGate à partir de l’interface de ligne de

commande.
Disconnect Se déconnecte au boîtier FortiGate.
Clear screen Efface l’écran.
Déconnexion
Le bouton « Déconnecter » (Logout) vous déconnecte immédiatement de
l’interface d’administration web. N’oubliez pas de vous déconnecter avant de
fermer la fenêtre du navigateur. Si vous fermez la fenêtre ou quittez l’interface
d’administration web sans vous déconnecter, vous restez connecté jusqu’à
l’expiration du timeout d’inactivité (par défaut 5 minutes).
Pages de l’interface d’administration web

L’interface d’administration web se compose d’un menu et de pages, qui pour la
plupart, possèdent différents onglets (Tabs). Lorsque vous cliquez sur un des
éléments du menu (par exemple Système), celui-ci s’ouvre sur un sous-menu.
Lorsque vous sélectionnez un des éléments d’un sous-menu, la page associée
s’ouvre et affiche le contenu de son premier onglet. Pour visualiser le contenu
d’une page différente, cliquez sur son onglet.
Les procédures décrites dans ce manuel vous dirigent vers la page désirée en
spécifiant l’élément du menu, l’élément du sous-menu et l’onglet. Par exemple :
1 Sélectionnez Système > Réseau > Interface.

01-30001-0203-20060424
Illustration 6 : Les différentes parties de l’interface d’administration web
Menu de l’interface d’administration web

Le menu procure l’accès à des options de configuration pour toutes les
fonctionnalités majeures du boîtier FortiGate.
Système Configure les fonctionnalités du système telles que les

interfaces réseau, les domaines virtuels, les services DHCP,
l’heure du système et les options d’installation du système.
Routeur Configure le routeur.

Pare-Feu Configure les règles pare-feu et les profils de protection qui
s’appliquent aux fonctionnalités de protection du réseau.
Configure également les adresses IP virtuelles et les plages
IP.
VPN Configure les réseaux privés virtuels.
Utilisateur Configure les comptes utilisateurs utilisés dans les règles
pare-feu requérant une authentification des utilisateurs.
Configure également les serveurs externes d’authentification.
Antivirus Configure une protection antivirus.
Intrusion Protection Configure le système de prévention anti-intrusion.
Filtrage Web Configure le filtrage de contenu web.
Anti-Spam Configure le filtrage des spams dans les emails
IM / P2P Configure le contrôle des services de messageries Internet et
peer-to-peer.
Journaux / Alertes Configure les modalités de la journalisation. Affiche des
messages journalisés.

01-30001-0203-20060424
Listes
De nombreuses pages de l’interface d’administration web se présentent sous
forme de liste. On trouve par exemple des listes des interfaces réseaux, des règles
pare-feu, des administrateurs, des utilisateurs, etc.
Illustration 7 : Exemple d’une liste de l’interface d’administration web
La liste offre des informations sur chaque élément. Les icônes de la dernière
colonne permettent de modifier le statut de ces éléments. Dans cet exemple, il est
possible de sélectionner Delete (Supprimer) pour supprimer l’élément ou Edit
(Editer) pour l’éditer.
Pour ajouter un nouvel élément à une liste, cliquez sur Créer Nouveau. Une boîte
de dialogue s’ouvre pour créer et définir le nouvel élément. Cette boîte de dialogue
est similaire à celle d’Edition d’un élément existant.
Icônes
Les icônes, également présentes dans l’interface d’administration web, permettent
d’interagir avec le système. Des conseils sur les outils sont disponibles pour vous
aider à comprendre la fonction de chacune de ces icônes. Placez le curseur de la
souris sur l’icône pour visualiser le commentaire de l’outil. Le tableau suivant
reprend la description des icônes de l’interface d’administration web.
Icône Nom Description

Changer le Mot Modifie le mot de passe administrateur. Cette icône
de Passe apparaît dans la liste des Administrateurs seulement si
votre profil d’accès vous donne la permission d’attribuer
des droits en écriture aux administrateurs.
Supprimer Supprime une ou plusieurs entrées.
Dérouler Cette icône est utilisée dans certaines boîtes de dialogues

et listes pour cacher certains champs. Cliquer sur cette
icône fait apparaître les champs cachés.
Formatage des Sélectionne les colonnes à afficher.
colonnes
Suppression Supprime un élément. Cette icône apparaît dans des

listes où l’élément peut être supprimé et seulement
lorsque vous en avez les droits en écriture.
Description Affiche la description de l’entrée du tableau sélectionnée.
Télécharger ou Télécharge un fichier journalisé ou sauvegarde un fichier

Sauvegarder de configuration.
Télécharger Télécharge une requête de signature d’un certificat.

01-30001-0203-20060424
Editer ou Edite une configuration. Cette icône apparaît dans les
Configurer listes pour lesquelles vous avez les droits en écriture
requis.
Dérouler Déroule une section qui révèle des champs
supplémentaires. Cette icône est utilisée dans certaines
boîtes de dialogues et listes.
Filtre Insère un filtre sur une ou plusieurs colonnes d’un
tableau. Une boîte de dialogue s’ouvre dans laquelle vous
pouvez spécifier les filtres désirés. L’icône est verte dans
les colonnes où un filtre est activé. Dans le cas contraire,
elle est grise.
Go Lance une recherche.
Insérer une Crée une nouvelle règle qui précède la règle courante.
règle avant
Déplacer Déplace un élément de la liste.
Page Suivante Affiche la page suivante de la liste.
Page Affiche la page précédente de la liste.

Précédente
Rafraîchir Met l’information de la page à jour.
Restaurer Restaure la configuration à partir d’un fichier.
Visualiser Visualise une configuration. Cette icône apparaît dans les

listes à la place de l’icône d’Edition dans le cas où vous
n’avez pas les droits en écriture requis.
Barre de statuts
La barre de statuts se trouve en bas de l’écran de l’interface d’administration web.
Illustration 8 : Barre de statuts
Cette barre affiche :

• le nombre d’administrateurs connectés au boîtier FortiGate. Voir « Contrôle
des administrateurs » à la page 180.
• depuis combien de temps le boîtier FortiGate est actif depuis son dernier
redémarrage.
Enregistrement d’un équipement FortiGate

Après avoir acheté et installé un nouvel équipement FortiGate, vous pouvez
enregistrer celui-ci à partir de l’interface d’administration web. Sélectionnez
Enregistrer (« Register ») dans la section Information Licence sur la page Statut du
Système. Vous pouvez aussi procéder à l’enregistrement via le site :
http://support.fortinet.com en cliquant sur « Product Registration ».

01-30001-0203-20060424
L’enregistrement consiste à entrer vos coordonnées et le(s) numéro(s) de série
de(s) nouveau(x) équipement(s) acquis. Plusieurs enregistrements peuvent être
introduits lors d’une seule session.
Une fois l’enregistrement accompli, Fortinet vous envoie un compte utilisateur et un

mot de passe Support Login à votre compte de messagerie. Ces données sont
nécessaires pour se connecter au site de support Fortinet afin de :
• visualiser la liste des équipements que vous avez enregistrés

• enregistrer des équipements additionnels
• ajouter ou modifier les numéros du Contrat de Support FortiCare (FortiCare
Support Contract) pour chaque équipement
• visualiser et modifier les informations entrées lors de l’enregistrement
• télécharger les mises à jour des bases de connaissances antivirus et IPS
• télécharger les mises à jour logicielles
• modifier les informations entrées lors de l’enregistrement après un RMA.
Toutes les informations sur les enregistrements sont sauvées dans la base de
données du Support aux Clients Fortinet (Fortinet Customer Support). Ces
informations sont utiles pour assurer une mise à jour régulière de vos
équipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais
ces informations avec des organisations tiers.
Les propriétaires de nouveaux équipements FortiGate bénéficient d’un support

technique pendant 90 jours. Pour continuer à bénéficier de ce service de support,
des Contrats de Support FortiCare sont en vente chez vos revendeurs et
distributeurs autorisés Fortinet. Afin de correspondre à vos besoins, différents
niveaux de support sont disponibles. Pour garantir une protection réseau
maximum, Fortinet recommande à tous ses clients d’acheter un contrat de service
qui comprenne les mises à jour des bases de connaissances antivirus et IPS. Pour
plus d’informations sur les formules et prix, veuillez vous adresser à votre
revendeur ou distributeur Fortinet.
Pour activer un Contrat de Support FortiCare, il est indispensable d’enregistrer

l’équipement FortiGate et d’ajouter le numéro de Contrat de Support FortiCare aux
informations sur l’enregistrement. Il est également possible d’enregistrer un
FortiGate sans acheter un Contrat de Support FortiCare. Dans ce cas, lors d’un
l’achat ultérieur d’un Contrat de Support FortiCare, les informations sur
l’enregistrement doivent être mises à jour et le numéro du contrat de support
ajouté.
Un seul Contrat de Support FortiCare peut couvrir plusieurs équipements

FortiGate. Vous devez alors entrer le même numéro de contrat de service pour
tous les modèles couverts par ce contrat.
Enregistrer un équipement FortiGate

Les informations suivantes sont indispensables à l’enregistrement d’un FortiGate :
• Vos coordonnées, y compris :

• Nom et prénom
• Nom de la société

01-30001-0203-20060424
• Adresse email (votre compte utilisateur et le mot de passe Support Login
vous seront envoyés à cette adresse.)
• Adresse
• Numéro de téléphone de contact
• Une question de sécurité et sa réponse. Cette information servira en cas de
perte du mot de passe. La question de sécurité doit être simple et vous seul
devez en connaître la réponse. La réponse à cette question ne doit pas être
facile à deviner.
• Le modèle du produit et son numéro de série, et ce pour chaque équipement
FortiGate que vous désirez enregistrer. Le numéro de série est situé sur une
étiquette au bas du FortiGate. Vous pouvez également visualiser le numéro de
série dans l’interface d’administration web, dans Système > Statut ou via la
commande CLI get system status.
• Les numéros de Contrats de Support FortiCare achetés pour les équipements
que vous voulez enregistrer.
1 Sélectionnez Système > Statut.

2 Dans la section Information Licence, sélectionnez Enregistrer à côte de Contrat de
Support.
3 Entrez vos informations de contact sur le formulaire d’enregistrement du produit.
4 Introduisez une question de sécurité et sa réponse.
5 Sélectionnez le modèle du produit à enregistrer.
6 Entrez le numéro de série de votre FortiGate.
7 Entrez le numéro de Contrat de Support FortiCare de l’équipement si vous en avez
acheté un.
8 Cliquez sur « Suivant ».
Si vous avez entré un numéro de contrat de support, une validation en temps réel
a lieu pour vérifier que les informations SCN correspondent à l’équipement
FortiGate. Si ce n’est pas le cas, tentez à nouveau d’entrer le numéro de contrat.
S’affiche alors une page web qui contient les informations détaillées sur le service
de support technique de Fortinet disponible pour l’équipement enregistré.
Vos compte utilisateur et mot de passe vous sont envoyés par email à l’adresse
entrée avec vos coordonnées.

01-30001-0203-20060424
Utilisation de domaines virtuels
Cette section décrit comment utiliser des domaines virtuels pour que votre
équipement opère comme s’il s’agissait de multiples unités virtuelles, fournissant
des pare-feu et services de routage séparément à de multiples réseaux.
Cette section couvre les sujets suivants:

• Domaines virtuels
• Activation du mode multiple VDOM
• Configuration des VDOM et des paramètres généraux
Domaines virtuels
Les domaines virtuels permettent à un boîtier FortiGate de fonctionner comme de
multiples unités indépendantes. Il peut fournir des règles pare-feu, des routages et
des configurations VPN séparés pour chaque niveau d’organisation. L’utilisation de
VDOM peut également simplifier l’administration de configurations complexes.
Il est nécessaire d’activer la configuration de domaines virtuels pour configurer et

utiliser les VDOM. Voir à ce propos « Activation du mode multiple VDOM » à la
page 43.
Lors de la création et de la configuration d’un domaine virtuel, vous devez lui

attribuer des interfaces ou des sous-interfaces VLAN. Eventuellement, vous
pouvez aussi lui assigner un compte administrateur qui pourra uniquement se
connecter à ce VDOM. Si un VDOM est créé pour servir une organisation, cela
permet à l’organisation de gérer sa configuration de manière autonome.
Chaque VDOM contient ses propres zones, règles pare-feu, routage,

authentification d’utilisateurs et configuration VPN. Chaque domaine virtuel
fonctionne de manière similaire à un équipement FortiGate en matière de
configuration du paramétrage. Cette séparation simplifie la configuration parce
qu’elle évite de gérer de nombreuses règles pare-feu et routes à la fois.
Lorsqu’un paquet entre dans un domaine virtuel sur l’équipement FortiGate, il reste
limité à ce domaine virtuel. Dans un domaine donné, vous pouvez seulement créer
des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou des
zones de ce domaine virtuel. Les paquets ne passent jamais la frontière d’un
domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut
également être sélectionné séparément sur chaque VDOM.
Les autres fonctions du FortiGate sont générales. Elles s’appliquent à tous les
domaines virtuels. Cela signifie qu’il existe une seule configuration de prévention
anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage
de contenu web, une seule configuration de profils de protection etc. Dans le
même ordre d’idée, les domaines virtuels partagent les mêmes versions logicielles
et bases de connaissances antivirus et IPS. Pour une liste complète des
paramètres de configurations partagés, voir « Paramètres de la configuration
générale» à la page 42.
Votre équipement FortiGate supporte par défaut un maximum de 10 VDOM pour

toutes combinaisons des modes NAT/Route et Transparent.

01-30001-0203-20060424
Des clés de licence sont vendues pour tous les modèles FortiGate 3000 et plus
(3600, série 5000...) afin d’augmenter le nombre maximum de VDOM jusqu’à 25,
50, 100 ou 250.
Pour connaître le nombre maximum de domaines virtuels supporté par votre boîtier
FortiGate, veillez à ce que la configuration des domaines virtuels vous le
permettent et connectez-vous en tant qu’administrateur admin. Allez ensuite dans
Système > Statut et regarder sous Domaine Virtuel dans les Informations sur la
Licence.
Chaque FortiGate fonctionne par défaut avec un domaine virtuel appelé root. Ce
domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN,
zones, règles pare-feu, paramètres de routage et paramètres VPN du FortiGate.
Les outils d’administration tels que les SNMP, journalisation, emails d’alerte, mises
à jour via le FDN ou encore paramétrage du temps via un serveur NTP utilisent
des adresses et routage dans le domaine virtuel root pour communiquer avec le
réseau. Ils ne peuvent se connecter qu’aux ressources du réseau qui
communiquent avec le domaine virtuel d’administration, qui est configuré sur root
par défaut.
Une fois un nouveau domaine virtuel créé, vous pouvez le configurer en ajoutant
des sous-interfaces VLAN, des zones, des règles pare-feu, des paramètres de
routage et des paramètres VPN. Vous pouvez également déplacer des interfaces
physiques du domaine virtuel root vers d’autres domaines virtuels et déplacer les
sous-interfaces VLAN d’un domaine virtuel vers un autre.
Paramètres de configuration des domaines virtuels

Les paramètres de configuration suivants sont propres à un domaine virtuel et ne
sont pas partagés entre les domaines virtuels. Un administrateur régulier d’un
VDOM ne peut que visualiser ces paramètres, tandis que l’administrateur admin
par défaut peut accéder à ces paramètres. Il doit avant tout sélectionner le VDOM
qu’il veut configurer.
• Paramètres du Système
• Zones
• Services DHCP
• Mode de fonctionnement (NAT/Route ou Transparent)
• IP d’administration (en mode Transparent)
• Configuration du routeur
• Paramètres des pare-feu
• Règles
• Adresses
• Services prédéfinis, personnalisés et groupés
• Plage horaire
• IP Virtuelle
• Plages IP
• Configuration VPN

01-30001-0203-20060424
• IPSec
• PPTP
• SSL
• Paramètres de l’utilisateur
• Utilisateurs
• Groupes d’utilisateurs
• Serveurs RADIUS et LDAP
• Serveurs Microsoft Windows Active Directory
• Statistiques P2P (visualiser/réinitialiser)
• Configuration de la journalisation, accès aux journaux et rapports.
Paramètres de la Configuration Globale

Les paramètres de configuration suivants impactent tous les domaines virtuels.
Seul l’administrateur admin par défaut peut accéder aux paramètres globaux
lorsque la configuration des domaines virtuels est activée.
• Paramètres du système
• Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou
sous-interface VLAN appartient à un seul VDOM. Chaque VDOM ne peut
utiliser ou configurer que ses propres interfaces.)
• Paramètres DNS
• Nom d’hôte, heure du système, version du Microcode (sur la page Statut du
Système.)
• Timeout d’inactivité et d’authentification
• Langue de l’interface d’administration web
• PIN du panneau LCD, si applicable.
• Détection de l’échec d’une passerelle
• Configuration HA
• Configuration SNMP
• Messages de remplacement
• Administrateurs (chaque administrateur appartient à un seul VDOM. Chaque
VDOM ne peut configurer que ses propres administrateurs.)
• Profils d’accès
• Configuration FortiManager
• Sauvegarde et restauration d’une configuration
• Configuration d’une mise à jour FDN
• Rapport sur les bogues
• Pare-Feu
• Services prédéfinis

01-30001-0203-20060424
• Profils de protection
• Certificats VPN
• Configuration antivirus
• Configuration de la Prévention Anti-Intrusion
• Configuration du filtrage Web
• Configuration Antispam
• Configuration IM
• Statistiques
• Listes et règles utilisateurs
Activation du mode Multiple VDOM

A partir du compte administrateur admin par défaut, vous pouvez activer le mode
multiple VDOM sur l’équipement FortiGate.
Activer la configuration d’un domaine virtuel
1 Connectez-vous en tant qu’admin à l’interface d’administration web.

2 Sélectionnez Système > Admin > Paramètres (Settings).
3 Cochez la case Virtual Domain Configuration pour activer la Configuration de
Domaine Virtuel.
4 Cliquez sur Appliquer.
Le boîtier FortiGate vous déconnecte. Vous pouvez maintenant vous reconnecter

en tant qu’admin.
Lorsque la Configuration de Domaine Virtuel est activée, l’interface d’administration

web et l’interface de ligne de commande incorporent les changements suivants :
• Les configurations générales et personnalisées par VDOM sont séparées.

• Seul le compte admin peut visualiser et configurer les options globales.
• Le compte admin peut configurer toutes les configurations VDOM.
• Le compte admin peut se connecter via n’importe quelle interface dans le
VDOM root ou via une interface qui appartient à un VDOM pour lequel un
compte administrateur régulier a été assigné.
• Un compte administrateur régulier peut uniquement configurer le VDOM qui lui
a été assigné et peut accéder au boîtier FortiGate à partir de la seule interface
qui appartient à ce VDOM.
Configuration des VDOM et paramètres globaux

Lorsque la Configuration du Domaine Virtuel est activée, seul le compte
administrateur admin par défaut peut :
• configurer les paramètres généraux

• créer ou supprimer des VDOM
• configurer de multiples VDOM

01-30001-0203-20060424
• attribuer des interfaces à un VDOM
• affecter un administrateur à un VDOM
Un VDOM n’est pas utile s’il ne possède pas au moins deux interfaces physiques
ou sous-interfaces VLAN. Seul l’administrateur admin peut attribuer des interfaces
physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur
régulier peut créer une sous-interface VLAN dans son propre VDOM sur une
interface physique de son propre VDOM.
Seul l’administrateur admin peut configurer un VDOM à moins qu’un administrateur

régulier soit créé et assigné à ce VDOM. Seul l’administrateur admin peut assigner
un administrateur à un VDOM. Un compte administrateur régulier dont le profil
d’accès contient les droits en lecture et en écriture des utilisateurs Admin est
autorisé à créer des administrateurs supplémentaires pour son propre VDOM.
Visualisation, création et édition de domaines virtuels et édition de paramètres

globaux
Lorsque vous vous connectez en tant qu’admin et que la Configuration de
Domaine Virtuel est activée, l’interface d’administration web affiche la liste des
domaines virtuels. Utilisez cette liste pour administrer vos VDOM.
Illustration 9 : Liste des domaines virtuels
Configuration Générale Configure les paramètres généraux. L’interface

d’administration web affiche un écran similaire à celui
décrit dans la section sur l’interface d’administration
web (voir « Interface d’administration web » à la page
29.) à la différence que seuls les paramètres
généraux sont repris. Cliquez sur << Main Menu pour
retourner à la liste des domaines virtuels.
Créer un nouveau Crée un nouveau domaine virtuel. Tapez un nom et
sélectionnez OK. Le VDOM ne doit pas porter le
même nom qu’un VLAN ou qu’une zone. Le nom du
VDOM ne doit pas dépasser 11 caractères.
Associer le Management Le Management des Domaines Virtuels est associé
au VDOM sélectionné. Le Management est indiqué à
côté du VDOM choisi. Par défaut il s’agit du root. Si
plusieurs VDOM sont sélectionnés comme
Management, c’est le premier de la liste qui associera
le Management des Domaines Virtuels. Le trafic de
ce VDOM comprend SNMP, la journalisation, l’envoi
d’emails d’alerte, les mises à jour à partir du FDN et
le paramétrage de l’heure à partir d’un serveur NTP.
Supprimer Supprime le VDOM sélectionné. Le VDOM root ne
peut pas être supprimé.

01-30001-0203-20060424
Les cases de sélection Permettent de sélectionner un VDOM soit pour le
supprimer soit pour le configurer comme
Management des Domaines Virtuels.
Name (Nom) Le nom du domaine virtuel. Sélectionnez le nom pour
configurer le domaine virtuel. Cliquez sur << Main
Menu pour retourner à la liste des domaines virtuels.
L’interface d’administration web affiche un écran
similaire à celui décrit dans la section sur l’interface
d’administration web (voir « Interface d’administration
web » à la page 29.) à la différence que seuls les
paramètres spécifiques à un VDOM sont repris. La
barre de statuts au bas de l’écran affiche le VDOM
activé.
Operation Mode (Mode de Le mode de fonctionnement d’un VDOM : NAT
Fonctionnement) (NAT/Route) ou Transparent
Ajout d’interfaces à un domaine virtuel

Un domaine virtuel doit contenir au moins deux interfaces. Il peut s’agir d’interfaces
physiques ou de sous-interfaces VLAN. Toutes les interfaces physiques font par
défaut partie du domaine virtuel root.
Les sous-interfaces VLAN doivent se trouver dans des VDOM différents que leurs
interfaces physiques. Pour ce faire, l’ administrateur admin doit créer la sous-
interface VLAN et l’affecter au VDOM requis. Les interfaces font partie des
paramètres généraux de configuration. Pour plus d’informations sur la création de
sous-interfaces VLAN, voir « Ajout de sous-interfaces VLAN » à la page 87.
Pour réaffecter une interface existante d’un domaine virtuel à un autre, appliquez la
procédure ci-dessous. Vous ne pouvez pas retirer une interface d’un domaine
virtuel si cette interface est comprise dans l’une des configurations suivantes :
• routage
• proxy arp
• serveur DHCP
• zone
• règle pare-feu
• plage IP
Il est nécessaire de supprimer ou modifier ces éléments avant de pouvoir changer

l’interface de domaine virtuel.
Affecter une interface à un domaine virtuel
1 Connectez-vous en tant qu’admin.

2 Sélectionnez Configuration Globale.
4 Cliquez sur le bouton Editer de l’interface à réaffecter.
5 Sélectionnez le Domaine Virtuel auquel l’interface doit être réaffectée.
6 Configurez les autres paramètres comme requis et cliquez sur OK. Voir
« Paramètres de l’interface » à la page 63.

01-30001-0203-20060424
L’interface est affectée au domaine virtuel. Les pare-feu, plages IP et adresses
virtuelles IP ajoutés à cette interface sont supprimés. Il est conseillé de supprimer
manuellement toutes les routes comprenant cette interface.
Affectation d’un administrateur à un domaine virtuel

Si vous créez un VDOM pour servir une organisation qui désire administrer ses
propres ressources, vous devez créer un compte administrateur pour ce VDOM.
Affecter un administrateur à un VDOM
1 Connectez-vous en tant qu’admin. La Configuration de Domaine Virtuel doit être

activée.
2 Sélectionnez Configuration Globale.
3 Sélectionnez Système > Admin > Administrateurs.
4 Configurez le compte administrateur tel que requis. Pour plus de détails sur la
configuration d’un compte administrateur, voir « Configuration d’un compte
administrateur » à la page 170.
5 Sélectionnez dans la liste des Domaines Virtuels le VDOM que cet administrateur
devra gérer.
Un administrateur régulier assigné à un VDOM peut seulement se connecter aux

interfaces qui appartiennent à ce VDOM à partir de l’interface d’administration web
ou de l’interface de ligne de commande. L’administrateur admin peut se connecter
à l’interface d’administration web ou à l’interface de ligne de commande à partir de
n’importe quelle interface qui permettent les accès administratifs. Seul
l’administrateur admin ou un administrateur régulier du domaine virtuel root peut se
connecter à partir de l’interface de la console.

01-30001-0203-20060424
Statuts du Système
Cette section décrit la page Statut du Système, le tableau de bord de votre
FortiGate. On y retrouve les statuts en cours du boîtier FortiGate, y compris le
numéro de série, l’usage des ressources du système, les informations sur la
licence FortiGuard, les messages d’alerte et les informations sur la session.

• Page des statuts
• Modification des informations du système
• Visualisation de l’historique opérationnel
• Mise à jour manuelle des définitions FortiGuard
• Visualisation des Statistiques
Page des statuts

La page Statut du Système, également appelée « tableau de bord » reprend les
statuts opérationnels en cours du système. Tous les administrateurs FortiGate dont
les profils d’accès prévoient les droits en lecture de la configuration du système
peuvent visualiser les informations sur les statuts du système.
Dans le cas d’un cluster HA, la page des statuts affiche les statuts du membre
primaire. Pour visualiser les statuts de tous les membres du cluster, sélectionnez
Système > Configuration > HA. Pour plus d’informations sur ce sujet, voir
« Haute Disponibilité » à la page 104. La fonction HA n’est pas disponible sur les
modèles FortiGate 50A et 50AM.
Les administrateurs FortiGate dont les profils d’accès prévoient les droits en
écriture de la configuration du système peuvent modifier ou mettre à jour les
informations du boîtier FortiGate. Pour plus d’informations sur les profils d’accès,
voir « Profils d’administration » à la page 174.
Visualisation des statuts du système

La page Statut du Système s’affiche par défaut lors du démarrage d’une session
de l’interface d’administration web. Il existe cependant une exception : dans le cas
où la Configuration de Domaine Virtuel est activée, l’administrateur admin
visualisera la page Statut du Système seulement après avoir sélectionné
Configuration Globale ou un VDOM à administrer.
A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la
page Statut du Système.
Pour visualiser cette page, votre profil d’accès doit prévoir les droits en lecture de
la configuration du système. Si vous avez également les droits en écriture de la
configuration du système, vous pouvez modifier les informations du système et
mettre à jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus
d’informations sur les profils d’accès, voir « Profils d’administration » à la page 174.

01-30001-0203-20060424
Illustration 10 : Statuts du Système
Informations du système
Numéro de Série Le numéro de série de l’équipement FortiGate. Ce numéro
est unique pour chaque équipement et ne change pas
avec les mises à jour logicielles.
Actif depuis Le temps en jours, heures et minutes depuis le dernier
redémarrage de l’équipement FortiGate.
Heure Système La date et l’heure en cours selon l’horloge
préprogrammée. Cliquez sur Changer pour modifier
l’heure ou configurez le boîtier FortiGate pour qu’il se
synchronise avec un serveur NTP. Voir « Paramétrage
des date et heure » à la page 51.
Nom d’hôte Le nom d’hôte actuel de l’équipement FortiGate. Cliquez
sur Changer pour le modifier. Voir « Modification du nom
d’hôte du boîtier FortiGate » à la page 52.
Version de Code La version du microcode installé sur votre FortiGate.
Cliquez sur Update (Mettre à jour) pour changer le logiciel.
Voir « Mise à jour logicielle » à la page 53.
Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit
NAT, soit Transparent. Cliquez sur Changer pour passer
du mode NAT au mode Transparent et vice-versa. Voir
« Modification du mode de fonctionnement » à la page
166.
Information sur la licence

Les indicateurs du statut de la licence sont verts quand tout est en ordre, gris s’il
n’y a pas de licence ou jaune/rouge clignotant si le boîtier FortiGate ne peut pas se
connecter au service.
Contrat de Support Le numéro du contrat de support et sa date d’expiration.

S’il n’y a pas de date affichée, sélectionnez Enregistrer
(Register) pour enregistrer votre équipement. Si la
mention Renouveler (Renew) s’affiche, vous devez
renouveler votre contrat de support. Contactez alors
votre revendeur local.

01-30001-0203-20060424
Souscriptions FortiGuard
AntiVirus La version du contrat, la date d’émission et les statuts
du service.
Définitions AV La version installée des Définitions AntiVirus FortiGate.
Pour mettre à jour ces définitions manuellement, cliquez
sur Update (Mettre à jour). Pour plus d’informations, voir
« Mise à jour manuelle des Définitions AV FortiGuard »
à la page 56.
Protection anti-intrusion La version du contrat, la date d’émission et les statuts
du service.
Définitions IPS La version installée des Définitions des attaques IPS.
Pour mettre à jour ces définitions manuellement, cliquez
sur Update (Mettre à jour). Pour plus d’informations, voir
« Mise à jour manuelle des Définitions IPS FortiGuard »
à la page 56.
Filtrage Web Type de la licence, date d’expiration et statuts du
service.
AntiSpam Type de la licence, date d’expiration et statuts du
service.
Domaine Virtuel Le nombre de domaines virtuels supportés par le boîtier
FortiGate. Il est possible d’acheter une clé de licence
chez Fortinet pour augmenter le nombre maximum de
VDOM pour les FortiGate 3000 et plus. Voir « Licence »
à la page 193. Seul l’administrateur admin peut accéder
à cette information si la Configuration de Domaine
Virtuel est activée.
Ressources
Les ressources du système n’apparaissant pas sur la page Statut sont accessibles
sous forme de graphiques à partir de l’icône Historique.
Icône Historique Affiche des représentations graphiques du taux CPU, du

taux mémoire, des sessions et du taux d’utilisation réseau
les plus récents. Cette page reprend également les
détections des virus et attaques de ces 20 dernières heures.
Pour plus d’informations, voir « Visualisation de l’historique
opérationnel » à la page 55.
Taux CPU Le statut du taux CPU en cours s’affiche sous la forme d’un
compteur de vitesse et en pourcentage. L’interface
d’administration web reprend les taux CPU pour les
processus majeurs uniquement. Les taux CPU pour les
processus administratifs (par exemple pour les connexions
HTTPS vers l’interface graphique) sont exclus.
Taux Mémoire Le statut du taux de la mémoire en cours s’affiche sous la
forme d’un compteur de vitesse et en pourcentage.
L’interface d’administration web reprend les taux mémoire
pour les processus majeurs uniquement. Les taux mémoire
pour les processus administratifs (par exemple pour les
connexions HTTPS vers l’interface graphique) sont exclus.
Quota du disque Le statut en cours du quota du disque du
FortiAnalyzer FortiAnalyzer s’affiche sous la forme d’un diagramme
circulaire et en pourcentage. Ceci est uniquement disponible
si vous avez configuré la journalisation sur un boîtier
FortiAnalyzer.

01-30001-0203-20060424
Réactualiser l’affichage toutes les
Cette fonction détermine l’intervalle de temps entre les mises à jour automatiques
de la page Statut. Sélectionnez Réactualiser pour mettre la page à jour
instantanément.
Statuts des Interfaces

Une représentation du panneau avant du boîtier reprend les statuts des interfaces
du boîtier. Un port réseau d’une interface apparaissant en vert signifie que
l’interface est connectée. Placez le curseur de la souris sur le port pour visualiser
l’adresse IP, le masque de réseau et le statut actuel de l’interface.
A droite de la représentation du panneau avant du boîtier, relié par une ligne de

connexion, est illustré un autre panneau, celui représentant le FortiAnalyzer. Si le
boîtier FortiGate a été configuré pour envoyer des journaux au FortiAnalyzer, celui-
ci apparaît foncé. Dans le cas contraire, il apparaît en gris. Une marque en V verte
sur la ligne de connexion indique que la connexion entre le boîtier et le
FortiAnalyzer est activée. Dans le cas contraire, une croix rouge apparaît sur la
ligne de connexion.
Console de message d’alerte

Les messages de types suivants peuvent apparaître dans la rubrique « Console de
message d’alerte».
Redémarrage système Le système a redémarré. Ceci peut être dû à une

action de l’opérateur ou un cycle de courant off/on.
Firmware updated by L’administrateur nommé a procédé à une mise à jour
<nom_admin > logicielle sur la partition active ou non active.
Firmware downgraded by L’administrateur nommé a procédé à un retour logiciel

<nom_admin > sur la partition active ou non active.
FortiGate has reached connection Le moteur Antivirus disposait de peu de mémoire

limit for <n> seconds pendant la durée du temps indiqué. Dans ces
conditions et selon les modèles et configurations, le
contenu peut avoir été bloqué ou être passé sans
avoir été analysé.
Pour chaque message, la date et l’heure de sa parution sont indiquées. S’il n’y a
pas assez d’espace pour visualiser tous les messages, cliquez sur Tout Voir afin
que s’ouvre une nouvelle fenêtre avec la liste complète des messages.
Pour effacer les messages d’alerte, cliquez sur Tout Voir, ensuite sur l’icône
Supprimer les messages d’alerte, en haut de la nouvelle fenêtre.
Statistiques
Depuis La date et l’heure de la relance des compteurs. Les
compteurs sont relancés lors d’une réinitialisation du
système FortiGate.
Icône Remise à zéro Remet à zéro les compteurs du Journal des Archives
et des Attaques.
Sessions Le nombre de sessions de communication FortiGate
en cours. Sélectionnez Détails pour visualiser des

01-30001-0203-20060424
informations plus complètes. Voir « Visualisation de la
liste de session » à la page 57.
Archive de contenu Un résume du trafic archivé par le boîtier FortiGate.
Les pages Détails répertorient les 64 derniers
éléments et fournissent un lien vers le FortiAnalyzer
où le trafic archivé est mémorisé. Si vous n’avez pas
configuré de connexion au FortiAnalyzer, les pages
Détails prévoient un lien vers Journaux / Alertes >
Configuration > Configuration du Journal.
Journal des attaques Un résumé des virus, attaques, messages emails
spams et URL que le boîtier FortiGate a intercepté.
Les pages Détails répertorient les 10 derniers
éléments, fournissant l’heure, la source, la destination
et autres informations.
Opération Système
Les opérations suivantes peuvent être accomplies par les administrateurs dont le
profil d’accès comprend les droits en écriture de configuration du système.
Reboot Redémarre le boîtier FortiGate.

Shutdown Eteint le boîtier FortiGate, stoppant le flux du trafic.
Pour redémarrer le boîtier FortiGate, couper et re-
brancher ensuite le courant.
Réinitialiser aux paramètres Redémarre le boîtier FortiGate avec sa configuration
par défaut initiale. Cette procédure supprime tous les
changements apportés à la configuration. Seules la
version logicielle et les définitions d’antivirus et
d’attaques sont maintenues.
Sélectionnez dans la liste Opération Système l’opération désirée et cliquez ensuite

sur Go.
Modification des informations du système

Les administrateurs dont le profil d’accès comprend les droits en écriture de
configuration du système peuvent procéder aux modifications suivantes : date et
heure du système, nom d’hôte et mode de fonctionnement d’un VDOM.
Paramétrage des date et heure

2 Dans la section Information, cliquez sur Changer à côté du champ Heure Système.
3 Sélectionnez votre fuseau horaire. Vous avez ensuite le choix entre paramétrer
manuellement la date et l’heure ou configurer votre FortiGate pour qu’il se
synchronise avec un serveur NTP.

01-30001-0203-20060424
Illustration 11 : Paramétrage des date et heure
Date et heure du système La date et l’heure actuelle du système FortiGate

Actualiser Mise à jour instantanée de la date et l’heure du
système.
Fuseau horaire Sélectionnez le fuseau horaire applicable.
Ajuster automatiquement Ajuste automatiquement l’horloge du
lors du passage à l’heure FortiGate lors du passage à l’heure d’été.
d’été/l’heure d’hiver
Réglage Remplissez les champs heure, minute, seconde, jour,

mois, année.
Synchronisation avec Sélectionnez cette option si vous désirez utiliser

le serveur NTP un serveur NTP pour paramétrer les date et heure
automatiquement. Spécifiez le serveur et l’intervalle de
synchronisation désirés.
Serveur Entrez l’adresse IP ou un nom de domaine d’un serveur
NTP. Pour trouver le bon serveur NTP, voir
http://www.ntp.org
Intervalle de Sync Spécifiez le nombre de fois que le boîtier FortiGate
synchronise ses paramètres date et heure avec le
serveur NTP. Par exemple, définir un intervalle de 1440
minutes entraîne un synchronisation quotidienne.
Modification du nom d’hôte du boîtier FortiGate

Le nom d’hôte du boîtier FortiGate apparaît sur la page Statut et sur l’écran lors
d’une connexion en CLI. Le nom d’hôte est également utilisé comme nom de
système SNMP. Pour plus d’informations sur le SNMP, voir « SNMP » à la page
152.
Le nom d’hôte par défaut est le nom du modèle, par exemple boîtier FortiGate-300.
Les administrateurs dont le profil d’accès prévoit les droits en écriture peuvent
modifier le nom d’hôte du FortiGate.
Remarque : Si votre FortiGate fait partie d’un cluster HA, il est conseillé de lui attribuer un
nom unique pour le distinguer des autres équipements du cluster.

01-30001-0203-20060424
1 Sélectionnez Système > Statut > Statut.
2 Dans le champ Nom d’Hôte de la section Informations sur le Système,
sélectionnez Changer.
3 Dans le champ Nouveau Nom, entrez un nouveau nom d’hôte.
4 Cliquez sur OK.
5 Le nouveau nom d’hôte s’affiche dans le champ Nom d’Hôte et sur l’écran lors
d’une connexion en CLI. Il est également ajouté au Nom de Système SNMP.
Modification du logiciel FortiGate

Les administrateurs FortiGate dont le profil d’accès prévoit les droits en écriture et
lecture peuvent modifier le logiciel FortiGate.
Les modifications du logiciel portent soit sur une mise à jour logicielle vers une
version plus récente ou soit sur une révision vers une version précédente. Les
procédures de modifications sont décrites ci-dessous.
• Mise à jour logicielle

• Retour à une version logicielle antérieure
Mise à jour logicielle

La procédure suivante vous guide dans une mise à jour vers une nouvelle version
logicielle.
Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la
nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure « Mettre à
jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assurer que ces
bases de connaissance sont à jour.
Mettre le logiciel à jour à partir de l’interface d’administration web
1 Copiez le fichier de l’image logicielle sur votre poste d’administration.

2 Connectez-vous à l’interface d’administration web en tant qu’administrateur admin
ou sous un compte administrateur qui possède les droits en lecture et en écriture
de configuration système.
4 Dans la section Informations sur le Système (ou Statut), sélectionnez Update
(Mettre à jour) dans la ligne Version du Code.
5 Tapez le chemin et le nom de fichier de l’image logicielle ou sélectionnez
« Browse » (Parcourir) pour localiser ce fichier.
6 Cliquez sur OK.
Le boîtier FortiGate télécharge le fichier de l’image logicielle, installe la nouvelle
version logicielle, ferme toutes les sessions, redémarre et affiche la page
d’ouverture d’une session FortiGate. Cette procédure prend quelques minutes.
7 Connectez-vous à l’interface d’administration web.

01-30001-0203-20060424
8 Sélectionnez Système > Statut et vérifiez la version du code pour vous assurer du
succès de l’installation de la mise à jour.
9 Mettez les bases de connaissance antivirus et IPS à jour. Pour plus d’informations
sur ce sujet, voir « Centre FortiGuard » à la page 183.
Retour à une version logicielle antérieure

Les procédures suivantes permettent d’équiper le boîtier FortiGate d’une version
antérieure du logiciel. Notez que cela entraîne la restauration de la configuration
par défaut du boîtier FortiGate et la suppression des signatures personnalisées
IPS, de la base de données de filtrage web et antispam et des changements
apportés aux messages de remplacement. Pour préserver ces informations,
sauvegardez la configuration de votre FortiGate. Pour plus d’informations à ce
sujet, voir « Sauvegarde et Restauration » à la page 181.
Si vous retournez à une version antérieure FortiOS (par exemple, passer de

FortiOS v3.0 à FortiOS v2.80), il y a un risque que la configuration antérieure ne
puisse être restaurée à partir de la sauvegarde du fichier de configuration.
Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la
nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure « Mettre à
jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assurer que ces
bases de connaissance sont à jour.
Retourner à une version logicielle antérieure à partir de l’interface

d’administration web
1 Copiez le fichier de l’image logicielle sur votre poste d’administration.

2 Connectez-vous à l’interface d’administration web du FortiGate.
Remarque : La procédure suivante nécessite que vous vous connectiez à partir du compte
administrateur admin ou d’un compte administrateur qui possède tous les droits d’accès en
lecture et écriture de la configuration du système.

2 Dans la section Informations sur le Système (ou Statut), sélectionnez Update
(Mettre à jour) dans la ligne Version du Code.
3 Tapez le chemin et le nom du fichier de l’image logicielle, ou sélectionnez
« Browse » (Parcourir) pour localiser ce fichier.
4 Cliquez sur OK.
Le boîtier FortiGate télécharge le fichier de l’image logicielle, retourne à la version
antérieure du logiciel, redémarre et affiche la page d’ouverture d’une session
FortiGate. Cette procédure prend quelques minutes.
6 Sélectionnez Système > Statut et vérifiez la version du code pour vous assurer du
succès de l’installation du logiciel.
7 Restaurez votre configuration.

01-30001-0203-20060424
Pour plus d’informations sur la restauration de votre configuration, voir
« Sauvegarde et Restauration » à la page 181.
8 Mettez à jour les bases de connaissance antivirus et IPS.
Pour plus d’informations sur les définitions des antivirus et attaques, voir « Mettre à
jour les bases de connaissances antivirus et IPS » à la page 189.
Visualisation de l’historique opérationnel

La page de l’Historique des Ressources du Système affiche six graphiques
représentant les ressources du système et son activité protection du réseau.

2 Cliquez sur l’icône Historique dans le coin en haut à droite de la section
Ressources.
Illustration 12 : Exemple de l’historique des ressources du système
Time Interval Sélectionnez l’intervalle de temps que vous voulez

voir illustrer dans les graphiques.
Historique du taux CPU Usage CPU pendant l’intervalle précédent.
Historique du taux mémoire Usage Mémoire pendant l’intervalle précédent.
Historique des sessions Nombre de sessions pendant l’intervalle précédent.
Historique du taux d’utilisation Utilisation du réseau pendant l’intervalle précédent.
réseau
Historique des virus Nombre de virus détecté(s) pendant l’intervalle
précédent.
Historique des attaques Nombre de tentatives d’intrusions détectée(s)
pendant l’intervalle précédent.
Mise à jour manuelle des définitions FortiGuard

Vous pouvez mettre à jour les bases de connaissance FortiGuard – Antivirus et
FortiGuard – IPS à tout moment à partir de la section d’Informations sur la Licence
de la page Statut du Système.
Pour configurer une mise à jour automatique des fichiers de définitions par le
boîtier FortiGate, voir « Centre FortiGuard » à la page 183.

01-30001-0203-20060424
Mise à jour manuelle des définitions AV FortiGuard
Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à
jour des définitions antivirus, voir « Centre FortiGuard » à la page 183.
1 Téléchargez le fichier de mise à jour des définitions des derniers antivirus sur le
site de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administration
web.
2 Démarrez l’interface d’administration web et sélectionnez Système > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Définitions AV des
souscriptions FortiGuard, sélectionnez Update (Mettre à jour).
La boîte de dialogue Mettre à jour les définitions antivirus s’ouvre.
4 Dans le champ Fichier de mise à jour, tapez le chemin et le nom du fichier de mise
à jour des définitions antivirus. Vous pouvez également sélectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise à jour des définitions antivirus sur le
boîtier FortiGate.
Le boîtier FortiGate met à jour les définitions AV. Cela prend environ 1 minute.
6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour
de la version du FortiGuard – Antivirus.
Mise à jour manuelle des définitions IPS FortiGuard
Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à
jour des définitions IPS (attaque), voir « Centre FortiGuard » à la page 183.
1 Téléchargez le fichier de mise à jour des définitions des dernières attaques sur le
site de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administration
web.
2 Démarrez l’interface d’administration web et sélectionnez Système > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Définitions IPS des
souscriptions FortiGuard, sélectionnez Update (Mettre à jour).
La boîte de dialogue Mettre à jour les définitions d’attaque s’ouvre.
4 Dans le champ Fichier de mise à jour, tapez le chemin et le nom du fichier de mise
à jour des définitions des attaques. Vous pouvez également sélectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise à jour des définitions des attaques
sur le boîtier FortiGate.
Le boîtier FortiGate met à jour les définitions IPS. Cela prend environ 1 minute.
6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour
de la version du FortiGuard – IPS.

01-30001-0203-20060424
Visualisation des Statistiques
Les Statistiques de la page Statut du Système fournissent des informations sur les
sessions, les archives de contenu et l’activité protection réseau.
Visualisation de la liste des sessions

La liste des sessions affiche des informations sur les sessions de communication
en cours sur le boîtier FortiGate.
Visualiser la liste des sessions

2 Dans la section Statistiques, cliquez sur Détails dans la ligne Sessions.
Illustration 13 : Liste des Sessions
Virtual Domain Sélectionnez un domaine virtuel pour en répertorier les

sessions en cours. Sélectionnez Tous pour visualiser les
sessions utilisées par tous les domaines virtuels. Ceci n’est
possible que si de multiples domaines virtuels sont activés.
Icône Rafraîchir Met à jour la liste des sessions.
Page précédente Affiche la page précédente de la liste des sessions.
Page suivante Affiche la page suivante de la liste des sessions.
Ligne Entrez le numéro de la ligne de la session marquant le début
de la liste des sessions affichées. Par exemple, dans le cas
où il y a 5 sessions et vous entrez le numéro 3, seules les
sessions 3, 4 et 5 seront affichées. Le nombre suivant le
« / » est le nombre de sessions actives sur le boîtier
FortiGate.
Supprimer tous les filtres Annule tous les filtres d’affichage installés.
Icône Filtre Toutes les icônes en haut des colonnes à l’exception de # et
Expiration. Sélectionnez une de ces icônes pour ouvrir la
boîte de dialogue d’Edition de Filtres vous permettant
d’installer des filtres d’affichage par colonne.
Protocole Le protocole de service sur la connexion, par exemple, udp,
tcp ou icmp.
Adresse Source L’adresse IP source de la connexion.
Port Source Le port source de la connexion.
Adresse Destination L’adresse IP de destination de la connexion.
Port Destination Le port de destination de la connexion.
Identifiant de règle Le nombre de règles pare-feu permettant cette session. Le
champ reste vide si la session implique une seule interface
FortiGate (session admin par exemple).
Expire (sec) Le temps, en secondes, avant que la connexion expire.

01-30001-0203-20060424
Icône de suppression Met fin à une session de communication active. Votre profil
d’accès doit comprendre les droits en lecture et en écriture
de la configuration du système.
Visualisation des Archives de Contenu

Les statistiques portant sur les trafics HTTP, email, FTP et IM à travers le boîtier
FortiGate sont visibles dans la section Statistiques de la page Statut du Système.
Pour en savoir plus sur chaque type de trafic, cliquez sur Détails à côté du trafic
concerné.
L’icône Remise à zéro en haut de la section Statistiques permet d’effacer les

archives de contenu et les informations sur les journaux des attaques et de
remettre les compteurs à zéro.
Visualisation des archives de contenu HTTP

2 Dans la section Archive de Contenu, cliquez sur Détails à côté de HTTP.
Date La date et l’heure de l’accès à l’URL.

Source L’adresse IP à partir de laquelle l’URL a été accédée.
URL L’URL accédée.
Visualisation des archives de contenu email

2 Dans la section Archive de Contenu, cliquez sur Détails à côté d’Email.
Date La date et l’heure du passage de l’email à travers le boîtier

FortiGate.
Source L’adresse email de l’émetteur.
Destination L’adresse email du destinataire.
Sujet Le sujet de l’email.

01-30001-0203-20060424
Visualisation des archives de contenu FTP
2 Dans la section Archive de Contenu, cliquez sur Détails à côté de FTP.
Date La date et l’heure de l’accès.

Destination L’adresse IP du serveur FTP accédé.
Utilisateur L’ID de l’utilisateur s’étant connecté au serveur FTP.
Téléchargement Les noms des fichiers téléchargés.
Envoie vers un serveur Les noms des fichiers envoyés vers un serveur.
Visualisation des archives de contenu IM

2 Dans la section Archive de Contenu, cliquez sur Détails à côté d’IM.
Date / Time La date et l’heure de l’accès.

Protocol Le protocole utilisé lors de la session IM.
Kind Le type de trafic IM constituant la transaction.
Local L’adresse locale de la transaction.
Remote L’adresse distante de la transaction.
Direction Indique si le fichier a été envoyé ou reçu.
Visualisation du Journal des Attaques

Les statistiques portant sur les attaques réseaux bloquées par le boîtier FortiGate
sont visibles dans la section Statistiques de la page Statut du Système. Pour en
savoir plus sur chaque type d’attaques, cliquez sur le lien Détails de l’attaque
concernée.
L’icône Remise à zéro en haut de la section Statistiques permet d’effacer les

archives sur le contenu et les journaux des attaques, et de remettre les compteurs
à zéro.

01-30001-0203-20060424
Visualisation des virus attrapés
2 Dans la section Journal des attaques, cliquez sur Détails à côté d’AV.
Date & heure La date et l’heure de la détection du virus.

De L’adresse email ou l’adresse IP de l’émetteur.
A L’adresse email ou l’adresse IP du destinataire visé.
Service Le type de service, tel que POP ou HTTP.
Virus Le nom du virus détecté.
Visualisation des attaques bloquées

2 Dans la section Journal des attaques, cliquez sur Détails à côté d’IPS.
Date & heure La date et l’heure de la détection de l’attaque.

De La source de l’attaque.
A L’hôte cible de l’attaque.
Service Le type de service.
Attaque Le type d’attaque détectée et bloquée.
Visualisation des spams bloqués

2 Dans la section Journal des attaques, cliquez sur Détails à côté de Spam.
Date & heure La date et l’heure de la détection du spam.

De -> À IP Les adresses IP de l’émetteur et du destinataire visé.
De -> A comptes email Les adresses email de l’émetteur et du destinataire visé.
Service Le type de service, tel que SMTP, POP ou IMAP.
Type de SPAM Le type de spam détecté.
Visualisation des URL bloquées

2 Dans la section Journal des attaques, cliquez sur Détails à côté de Web.
Date et heure La date et l’heure de la détection de la tentative d’accès de

l’URL.
De L’hôte qui a tenté d’accéder à l’URL.
URL Bloquées L’URL bloquée.

01-30001-0203-20060424
Système > Réseau
Cette section vous guide dans la configuration de votre FortiGate pour opérer sur
votre réseau. Les paramètres réseaux de base comprennent la configuration des
interfaces FortiGate et des paramètres DNS. La configuration plus avancée
comprend l’ajout de sous-interfaces VLAN et de zones à la configuration réseau du
FortiGate.
Cette section couvre les sujets suivants :

• Interface
• Zone
• Options
• Table de routage (en mode Transparent)
• Configuration de l’interface modem
• Aperçu sur les VLAN
• VLAN en mode NAT/Route
• VLAN en mode Transparent
• Support FortiGate IPv6
Remarque : Certains champs permettent d’entrer l’adresse IP et le masque de réseau en

une fois. Dans ce cas, vous pouvez utiliser la forme courte du masque de réseau. Par
exemple, 192.168.1.100/255.255.255.0 peut également être entré sous 192.168.1.100/24.
Interface
En mode NAT/Route, sélectionnez Système > Réseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
• agréger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modèles 800 et plus).
• combiner des interfaces physiques en une interface redondante
• ajouter et configurer des sous-interfaces VLAN
• modifier la configuration d’une interface physique
• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM
uniquement).
Remarque : A moins d’une directive contraire, dans cette section, le mot « interface » réfère
aussi bien à une interface FortiGate physique qu’à une sous-interface FortiGate VLAN.
• Pour toute information sur les VLAN en mode NAT/Route, voir « VLAN en
mode NAT/Route » à la page 85.
• Pour toute information sur les VLAN en mode Transparent, voir « VLAN en
mode Transparent » à la page 88.

01-30001-0203-20060424
Illustration 14 : Liste des interfaces – pour un administrateur régulier
Illustration 15 : Liste des interfaces – pour un administrateur admin avec la

Configuration de Domaine Virtuel activée
Créer Nouveau Crée une sous-interface VLAN.

Possibilité de créer une interface agrégée IEEE 802.3ad pour
les modèles 800 et plus.
Icône Description L’aide en ligne de cette icône affiche le champ de Description
pour cette interface.
Nom Les noms des interfaces physiques de votre boîtier FortiGate.
Les nombre et noms de ces interfaces dépendent du modèle.
Certains noms indiquent la fonction par défaut de l’interface :
Internal, External, DMZ par exemple. D’autres noms sont
génériques : port1 par exemple.
Les modèles FortiGate 50 et 60 fournissent une interface
modem. Voir « Configuration de l’interface modem » à la page
79.
L’interface oob/ha est l’interface de gestion hors bande du
modèle FortiGate 4000. Vous pouvez vous connecter à cette
interface pour gérer votre équipement FortiGate. Cette
interface est également disponible comme interface de
heartbeat HA.
Sur les modèles 800 et plus, si plusieurs interfaces sont
combinées en une interface agrégée, seule celle-ci sera
répertoriée (et non pas les interfaces composantes). La même
chose s’applique pour les interfaces redondantes. Voir
« Création d’une interface agrégée 802.3ad » à la page 66 ou
« Création d’une interface redondante » à la page 67.
Si vous avez ajouté des sous-interfaces VLAN, celles-ci
apparaissent aussi dans la liste des noms, juste en dessous
de l’interface physique ou agrégée à laquelle elles ont été
ajoutées. Voir « Aperçu sur les VLAN » à la page 84.
A moins d’être l’administrateur admin, et si la Configuration de
Domaine Virtuel est activée, les informations disponibles
concernent uniquement les interfaces de votre domaine virtuel.
IP / masque L’adresse IP et le masque de réseau actuels de cette interface.
Accès La configuration de l’accès administratif de l’interface.

01-30001-0203-20060424
Pour toute information sur les options de l’accès administratif,
voir « Contrôler l’accès administratif d’une interface » à la page
74.
Domaine Virtuel Le domaine virtuel auquel l’interface appartient. Cette colonne
n’est visible que par l’administrateur admin et ce, uniquement
lorsque la Configuration de Domaine Virtuel est activée.
Etat L’état administratif de l’interface. Une flèche verte indique que
l’interface est active et peut accepter le trafic réseau. Une
flèche rouge indique que l’interface est inactive et ne peut pas
accepter le trafic réseau. Pour modifier l’état administratif,
sélectionnez Activer ou Désactiver.
Icônes Supprimer, Supprime, édite ou visualise une entrée.
Editer et Visualiser
Paramètres de l’interface
Pour configurer une interface, sélectionnez Système > Réseau > Interface.
Cliquez sur Créer Nouveau pour créer une nouvelle interface. Pour éditer une
interface existante, sélectionnez l’icône Editer de cette interface.
Il est impossible de créer une interface virtuelle IPSec ici. Mais vous pouvez en
spécifier les adresses de terminaison, activer l’accès administratif et fournir une
description. Voir « Configuration d’une interface IPSec virtuelle» à la page 72.
Illustration 16 : Paramètres d’une interface
Nom de l’interface Entrez un nom pour l’interface. Il n’est pas possible de

modifier le nom d’une interface existante.
Type Sur les modèles 800 et plus, vous pouvez créer des
interfaces VLAN, agrégées 802.3ad et redondantes.
Sur les modèles WiFi-60A et WiFi-60AM, vous pouvez
créer des interfaces sans fil.
Certains modèles ne supportent que la création
d’interface VLAN et n’affichent alors pas le champ Type.

01-30001-0203-20060424
Si vous désirez créer une interface agrégée, voir
« Création d’une interface agrégée 802.3ad » à la page
66.
Si vous désirez créer une interface redondante, voir
« Création d’une interface redondante» à la page 67.
Si vous désirez créer une interface sans fil, voir
« Création d’une interface sans fil» à la page 68.
Il est impossible de modifier le type d’une interface
existante.
Interface Sélectionnez le nom de l’interface physique à laquelle
vous voulez adjoindre une sous-interface VLAN. Une
fois créé, le VLAN est repris dans la liste des interfaces,
en dessous de son interface physique. Il est impossible
de modifier l’interface d’une sous-interface VLAN
existante.
ID VLAN Entrez l’ID du VLAN qui correspond à l’ID du VLAN des
paquets destinés à cette sous-interface VLAN. Il est
impossible de modifier l’ID d’une sous-interface VLAN
existante.
L’ID VLAN, se situant entre 1 et 4096, doit correspondre
à l’ID VLAN ajoutée par le routeur IEEE 802.1Q-
compliant ou connecté à la sous-interface VLAN.
Pour plus d’informations sur les VLAN, voir « Aperçu sur
les VLAN » à la page 84.
Domaine Virtuel Sélectionnez le domaine virtuel auquel la sous-interface
VLAN appartient. Seul l’administrateur admin peut
effectuer cette commande lorsque la Configuration de
Domaine Virtuel est activée. Pour plus d’informations sur
les domaines virtuels, voir « Utilisation des domaines
virtuels » à la page 40.
Mode d’adressage Pour configurer une adresse IP statique d’une interface,
sélectionnez Manuel et entrez adresse IP/masque de
réseau dans le champ prévu à cet effet. L’adresse IP
doit être sous le même sous-réseau que le réseau
auquel l’interface se connecte. Deux interfaces ne
peuvent pas avoir leurs adresses IP sur le même sous-
réseau.
Pour plus d’informations sur la configuration d’un
adressage dynamique, voir « Configuration DHCP d’une
interface » à la page 69 ou « Configuration PPPoE
d’une interface » à la page 70.
DDNS Cochez la case Activer à côté de DDNS pour configurer
un service DNS Dynamique pour cette interface. Des
champs additionnels sont affichés. Pour plus
d’informations sur la configuration DDNS, voir «
Configuration d’un service DNS Dynamique d’une
interface » à la page 72.
Ping Serveur Pour activer la détection de l’échec d’une passerelle,
entrez l’adresse IP du routeur du prochain saut sur le
réseau connecté à l’interface et cochez la case Activer.
Pour plus d’informations sur la détection de l’échec

01-30001-0203-20060424
d’une passerelle, voir « Détection de l’échec d’une
passerelle » à la page 76.
Administration Sélectionnez les types d’accès administratifs permis sur
cette interface.
HTTPS Permet des connexions HTTPS sécurisées vers
l’interface d’administration web à travers cette interface.
PING L’interface répond aux requêtes Ping. Cette
fonctionnalité vous permet de vérifier votre installation et
de la tester.
HTTP Permet des connexions HTTP vers l’interface
d’administration web à travers cette interface. Les
connexions HTTP ne sont pas sécurisées et peuvent
être interceptées par des tiers.
SSH Permet des connexions SSH vers l’interface de
commande en ligne à travers cette interface.
SNMP Permet à un superviseur SNMP distant de solliciter des
informations SNMP en se connectant à cette interface.
Voir « Configuration SNMP » à la page 153.
TELNET Permet des connexions Telnet vers le CLI à travers cette
interface. Les connexions Telnet ne sont pas sécurisées
et peuvent être interceptées par des tiers.
MTU Ce champ n’est disponible que sur les interfaces
physiques. Pour améliorer la performance réseau, vous
pouvez modifier l’unité maximum de transmission (MTU)
des paquets que le boîtier FortiGate transmet.
Idéalement le MTU devrait être identique au plus petit
MTU de tous les réseaux entre le boîtier FortiGate et les
destinations des paquets. Les plus grands paquets
envoyés seront fragmentés, ce qui ralentit la
transmission. Procédez à des tests en diminuant le MTU
jusqu’à trouver la taille du MTU qui fournit la meilleure
performance réseau.
Pour modifier le MTU, sélectionnez Remplacer la valeur
MTU par défaut (1500) et entrez une nouvelle taille du
MTU. La taille du MTU varie entre 68 et 1500 octets en
mode manuel, entre 576 et 1500 octets en mode DHCP
et entre 576 et 1492 octets en mode PPPoE. En mode
Transparent, si vous modifiez le MTU d’une interface,
vous devez modifier le MTU de toutes les interfaces
pour correspondre à la nouvelle.
Journaliser Sélectionnez Journaliser pour enregistrer les journaux
pour tout trafic à partir ou vers l’interface. Pour
enregistrer des journaux, vous devez activer la
journalisation du trafic vers une destination et fixer le
niveau de sévérité de la journalisation à Notification ou
plus bas. Sélectionnez Journaux/Alertes > Journal
pour configurer les types et destinations de
journalisation. Pour plus d’informations sur les
journalisations, voir « Journaux et Alertes» à la page
409.
Description Facultativement, entrez une description de 63 caractères
maximum.

01-30001-0203-20060424
Création d’une interface agrégée 802.3ad
Vous pouvez agréger (combiner) deux ou plusieurs interfaces pour augmenter la
bande passante et fournir quelques redondances de lien. Cela offre l’avantage
d’une plus grande bande passante mais augmente le risque de points de panne
potentiels par rapport aux interfaces redondantes. Les interfaces doivent se
connecter à la même destination du prochain saut. Le logiciel FortiGate des
modèles 800 et plus implémentent le standard 802.3ad pour une agrégation de
liens.
Une interface est disponible pour agrégation uniquement si :
• il s’agit d’une interface physique et non pas d’une interface VLAN

• elle ne fait pas déjà partie d’une interface agrégée ou redondante
• elle est dans le même VDOM que l’interface agrégée
• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou
PPPoE
• elle n’a pas de serveur DHCP ou de relais configuré
• elle n’a pas de sous-interfaces VLAN
• elle n’est pas reprise dans une règle pare-feu, VIP, IP Pool ou multicast
• il ne s’agit pas d’une interface de heartbeat HA
Lorsqu’une interface fait partie d’une agrégation, elle n’est plus reprise dans la liste
de la page Système > Réseau > Interface. Elle n’est plus configurable
individuellement et ne peut plus être incluse dans les règles pare-feu, VIP, IP pools
ou de routage.
Illustration 17 : Paramètres pour une interface agrégée 802.3ad
Créer une interface agrégée 802.3ad

2 Cliquez sur Créer Nouveau.
3 Dans le champ Nom, entrez un nom pour l’interface agrégée. Le nom de l’interface
doit différer des noms des autres interfaces, zones ou VDOM.
4 Sélectionnez dans la liste Type déroulante 802.3ad Aggregate.
5 Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface
que vous voulez inclure dans l’interface agrégée et cliquez sur la flèche droite pour
la déplacer vers la liste des Interfaces Sélectionnées.

01-30001-0203-20060424
6 Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer un
adressage. Pour plus d’informations sur l’adressage dynamique, voir :
• « Configuration DHCP d’une interface » à la page 69.
• « Configuration PPPoE d’une interface» à la page 70.
7 Configurez les autres options tel que requis.
8 Cliquez sur OK.
Création d’une interface redondante

Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance
de liens. Cette fonctionnalité vous permet de vous connecter à deux ou plusieurs
commutateurs afin d’assurer une connectivité continue même dans le cas où une
interface ou un des équipements devait tomber en panne.
La différence entre un lien redondant et un lien d’agrégation réside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface à la fois (peu
importe le nombre de liens redondants). Cependant les interfaces redondantes
permettent des configurations plus robustes avec un risque de points de pannes
plus faible. Ceci est important dans une configuration en maillage intégral HA.
Le logiciel FortiGate des modèles 800 et plus implémente des interfaces

redondantes.
Une interface peut être une interface redondante seulement si :

• il s’agit d’une interface physique et non pas d’une interface VLAN
• elle ne fait pas déjà partie d’une interface agrégée ou redondante
• elle est dans le même VDOM que l’interface redondante
• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou
PPPoE
• elle n’a pas de serveur DHCP ou relais configuré
• elle n’a pas de sous-interface VLAN
• elle n’est pas présente dans une règle pare-feu, VIP, IP Pool ou multicast
• elle n’est pas contrôlée par un HA.
Lorsqu’une interface fait partir d’une interface redondante, elle n’est plus reprise
dans la liste de la page Système > Réseau > Interface. Elle n’est plus
configurable individuellement et ne peut plus être incluse dans les règles pare-feu,
VIP, IP pools ou de routage.

01-30001-0203-20060424
Illustration 18 : Paramètres d’une interface redondante
Créer une interface redondante

3 Dans le champ Nom, entrez un nom pour l’interface redondante. Le nom de
l’interface doit différer des noms des autres interfaces, zones ou VDOM.
4 Sélectionnez dans la liste Type déroulante Interface Redondante.
5 Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface
physique que vous voulez inclure dans l’interface redondante et cliquez sur la
flèche droite pour la déplacer vers la liste des Interfaces Sélectionnées.
6 Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer un
adressage. Pour plus d’informations sur l’adressage dynamique, voir :
• « Configuration DHCP d’une interface » à la page 69.
• « Configuration PPPoE d’une interface » à la page70.
7 Configurez les autres options tel que requis.
8 Cliquez sur OK.
Création d’une interface sans fil

Vous pouvez créer des interfaces sans fil WLAN sur les modèles FortiWiFi-60A et
FortiWiFi-60AM, voir à ce propos « Paramètres sans fil du système (FortiWiFi-60) »
à la page 94.

3 Dans le champ Nom, entrez un nom pour l’interface sans fil. Ce nom doit différer
des noms des autres interfaces, zones ou VDOM.
4 Sélectionnez dans la liste Type déroulante Wireless.
5 Dans la section Paramètres Sans Fil (Wireless Settings), entrez les informations
suivantes :

01-30001-0203-20060424
Illustration 19 : Paramètres de l’interface sans fil
SSID Entrez le nom du réseau sans fil que le FortiWiFi-60 doit

émettre. Les utilisateurs désireux d’utiliser le réseau sans fil
doivent configurer leurs ordinateurs pour se connecter au
réseau qui émet ce nom de réseau.
SSID Broadcast A sélectionner si vous voulez que le boîtier émette son SSID.
(En mode Point d’Accès uniquement).
Security Mode Pour une utilisation du WEP, sélectionnez WEP64 ou
WEP128. Pour une utilisation WPA (disponible en mode Point
d’Accès uniquement), sélectionnez WPA Pre-shared Key ou
WPA_Radius. Les utilisateurs du réseau sans fil FortiWiFi-60
doivent configurer leurs ordinateurs avec les mêmes
paramètres.
Clé Pour une clé WEP de 64 bits, entrez 10 symboles
hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez
26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du
réseau sans fil doivent configurer leurs ordinateurs avec les
mêmes clés.
Pre-shared Key Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé
partagée. Les utilisateurs d’un réseau sans fil doivent
configurer leurs ordinateurs avec la même clé.
RADIUS Server Name Pour le mode sécurisé WPA Radius, sélectionnez dans la liste
le nom du serveur Radius. Le serveur Radius doit être
configuré dans Utilisateur > Radius. Pour plus d’informations,
voir « Serveurs RADIUS » à la page 326.
Data Encryption En mode WPA uniquement. Choisissez entre les protocoles de
cryptage TKIP ou AES (WPA2).
RTS Threshold Le seuil RTS (Request to Send) détermine le temps d’attente
du boîtier pour la reconnaissance CTS (Clear to Send) d’un
autre équipement sans fil.
Fragmentation Threshold Le seuil de fragmentation détermine la taille maximum d’un
paquet de données avant que celui-ci ne soit fragmenté en
deux ou plusieurs paquets. La réduction de ce seuil peut
améliorer la performance dans des environnements soumis à
de hautes interférences.
6 Configurez les options des autres interfaces tel que requis.
7 Cliquez sur OK.
Configuration DHCP d’une interface

Lorsque vous configurez une interface pour une utilisation DHCP, le boîtier
FortiGate émet automatiquement une requête DHCP. L’interface est configurée
avec l’adresse IP et éventuellement les adresses du serveur DNS, ainsi que les
adresses des passerelles par défaut fournies par le serveur DHCP.

01-30001-0203-20060424
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou
sélectionnez l’icône Editer d’une interface existante. Dans la section de Mode
d’Adressage, sélectionnez DHCP.
Illustration 20 : Paramètres DHCP de l’interface
Distance Entrez la distance administrative de la passerelle par défaut

retrouvée par le serveur DHCP. La distance administrative,
entre 1 et 255, indique la priorité relative d’une route lorsqu’il
en existe plusieurs vers une même destination. Au plus la
distance administrative est basse, au plus est elle
considérée comme prioritaire. La distance par défaut de la
passerelle par défaut est de 1.
Obtenir dynamiquement Activez cette option pour retrouver l’adresse IP d’une
la route par défaut passerelle par défaut à partir d’un serveur DHCP. La
passerelle par défaut est ajoutée à la table de routage
statique.
Remplacer le serveur DNS Permet de remplacer les adresses IP du
pré-configuré serveur DNS de la page DNS par des adresses DNS
retrouvées par le serveur DHCP.
Sur les modèles 100 et moins, l’activation de Obtenir
dynamiquement les adresses des serveurs DNS dans
Système > Réseau > Options est conseillée. Voir
« Configuration des Options du Réseau » à la page 77.
Connecter Permet à l’interface de tenter automatiquement de se
connecter à un serveur DHCP. Désactiver cette option si
vous configurez l’interface hors ligne.
Statut Affiche les messages sur les statuts DHCP lorsque le boîtier
FortiGate se connecte au serveur DHCP et reçoit des
informations sur l’adressage. Sélectionnez cette option pour
rafraîchir le message de statut du mode d’adressage.
initialisation Aucune activité.
se connecte L’interface tente de se connecter au serveur DHCP.
connecté L’interface retrouve une adresse IP, un masque de réseau et
d’autres paramètres du serveur DHCP.
échec L’interface a échoué dans sa tentative de retrouver une
adresse IP et d’autres informations à partir du serveur
DHCP.
Configuration PPPoE d’une interface

Lorsque vous configurez une interface pour une utilisation PPPoE, le boîtier
FortiGate émet automatiquement une requête PPPoE. Vous pouvez désactiver
Connecter si vous configurez le boîtier FortiGate hors ligne et ne désirez pas
l’envoi de la requête PPPoE.

01-30001-0203-20060424
Le boîtier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y
compris les IP non numérotées, les timeouts de découverte initiale et les PPPoE
Active Discovery Terminate (PADT).
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sur
l’icône Editer d’une interface existante. Sélectionnez PPPoE dans la section Mode
d’Adressage.
Illustration 21 : Paramètres PPPoE de l’interface
Compte utilisateur Le nom d’utilisateur du compte PPPoE.

Mot de Passe Le mot de passe du compte PPPoE.
Unnumbered IP Spécifiez l’adresse IP de l’interface. Dans le cas où votre
FAI (Fournisseur d’Accès Internet) vous en a affectées
plusieurs, choisissez-en une parmi celles-ci. Par ailleurs,
cette adresse IP peut être identique à celle d’une autre
interface ou peut également être n’importe quelle adresse
IP.
Initial Disc Initial Discovery Timeout. Il s’agit du temps d’attente
Timeout avant qu’une nouvelle tentative de découverte PPPoE soit
lancée. Pour désactiver cette option, affectez-lui 0.
Initial PADT Initial PPPoE Active Discovery Terminate

Timeout (PADT) timeout. Se définit en secondes. Sert à fermer la
session PPPoE après un laps de secondes d’inactivité
défini dans cette option. PADT doit être supporté par votre
FAI. Pour désactiver cette option, affectez-lui 0.
Distance Entrez la distance administrative de la passerelle par
défaut retrouvée par le serveur PPPoE. La distance
administrative, entre 1 et 255, indique la priorité relative
d’une route lorsqu’il en existe plusieurs vers une même
destination. Au plus la distance administrative est basse,
au plus elle est considérée comme prioritaire. La distance
par défaut de la passerelle par défaut est de 1.
Obtenir dynamiquement Permet de retrouver une adresse IP d’une passerelle
la route par défaut par défaut à partir d’un serveur PPPoE. La passerelle par
défaut est ajoutée à la table de routage statique.
Remplacer le serveur DNS Permet de remplacer les adresses IP du serveur

pré-configuré DNS de la page DNS par les adresses DNS retrouvées
par le serveur PPPoE ou PPPoA.
Connecter Permet à l’interface de tenter automatiquement de se
connecter à un serveur PPPoE ou PPPoA. Désactiver
cette option si vous configurez l’interface hors ligne.
Etat Affiche les messages sur les statuts PPPoE lorsque le
boîtier FortiGate se connecte au serveur PPPoE et reçoit

01-30001-0203-20060424
des informations sur l’adressage. Sélectionnez cette
option pour rafraîchir le message de statut du mode
d’adressage.
initialisation Aucune activité.
se connecte L’interface tente de se connecter au serveur PPPoE.
connecté L’interface retrouve une adresse IP, un masque de réseau
et d’autres paramètres du serveur PPPoE.
échec L’interface a échoué dans sa tentative de retrouver une
adresse IP et d’autres informations à partir du serveur
PPPoE.
Configuration d’un service DNS dynamique d’une interface

Lorsque le boîtier FortiGate possède un nom de domaine statique et une adresse
IP publique dynamique, vous pouvez utiliser un service DDNS pour mettre à jour
les serveurs DNS Internet quand l’adresse IP du domaine change.
Le service DDNS est uniquement disponible en mode NAT/Route.
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sur
l’icône Editer d’une interface existante. Activez DDNS, juste en dessous de la
section Mode d’Adressage et configurez le service DDNS en fonction des
informations fournies.
Illustration 22 : Configuration d’un service DDNS
Serveur Sélectionnez un serveur DDNS. Les logiciels clients pour

ces services sont inclus dans le microcode FortiGate. Le
boîtier FortiGate ne peut se connecter qu’à un de ces
services.
Domaine Le nom de domaine pour le service DDNS.
Compte utilisateur Le nom d’utilisateur nécessaire à une connexion à un
serveur DDNS.
Mot de passe Le mot de passe nécessaire à une connexion à un serveur
DDNS.
Configuration d’une interface IPSec virtuelle

La création d’une interface IPSec virtuelle se fait en sélectionnant le Mode
Interface IPSec dans VPN > IPSec > Auto Key (IKE) ou VPN > IPSec > Clef
Manuelle lors de la création d’un VPN. Il faut également sélectionner une interface
physique ou VLAN de la liste Interface Local. L’interface IPSec virtuelle est reprise
dans la liste comme sous-interface de l’interface dans Système > Réseau >
Interface. Pour plus d’informations, voir
• « Aperçu du mode interface IPSec » à la page 294.
• « Auto Key » à la page 295 ou « Clé Manuelle » à la page 305.

01-30001-0203-20060424
Sélectionnez Système > Réseau > Interface et cliquez sur l’icône Editer d’une
interface IPSec pour :
• configurer des adresses IP de terminaison locales et distantes de l’interface

IPSec de manière à activer un routage dynamique sur l’interface ou lancer une
requête ping pour tester le tunnel.
• permettre l’accès administratif à travers l’interface IPSec
• permettre la journalisation sur l’interface
• entrer une description de l’interface
Illustration 23 : Paramètres de l’interface IPSec virtuelle
Nom Le nom de l’interface IPSec

Domaine Virtuel Sélectionnez le VDOM de l’interface IPSec
IP Si vous voulez utiliser un routage dynamique avec le
Remote IP tunnel ou pouvoir pinger l’interface du tunnel, entrez les
adresses IP des points finaux locaux et distants du tunnel. Ces
deux adresses ne peuvent pas apparaître ailleurs sur le
réseau.
Administration Sélectionnez les types d’accès administratifs permis sur cette
interface.
HTTPS Permet des connexions HTTPS sécurisées vers l’interface
d’administration web à travers cette interface.
PING L’interface répond aux requêtes Ping. Cette fonctionnalité vous
permet de tester votre installation.
HTTP Permet des connexions HTTP vers l’interface d’administration
web à travers cette interface. Les connexions HTTP ne sont
pas sécurisées et sont susceptibles d’être interceptées par des
tiers.
SSH Permet des connexions SSH vers l’interface de ligne de
commande à travers cette interface.
SNMP Permet à un superviseur SNMP distant de solliciter des
informations SNMP en se connectant à cette interface. Voir
« Configuration SNMP » à la page 153.
TELNET Permet des connexions Telnet vers le CLI à travers cette
interface. Les connexions Telnet ne sont pas sécurisées et
sont susceptibles d’être interceptées par des tiers.

01-30001-0203-20060424
Journaliser Sélectionnez Journaliser pour enregistrer les journaux de tout
trafic à partir ou vers l’interface. Pour enregistrer des journaux,
vous devez activer la journalisation du trafic vers une
destination et fixer le niveau de sévérité de la journalisation à
Notification ou plus bas. Sélectionnez Journaux/Alertes >
Journal pour configurer des types et destinations de
journalisation. Pour plus d’informations sur la journalisation,
voir « Journaux et Alertes» à la page 409.
Description Facultativement, entrez une description de 63 caractères
maximum.
Configuration additionnelle des interfaces

Ajouter une adresse IP secondaire
La commande CLI config system interface permet d’ajouter une adresse IP

secondaire à toute interface FortiGate. Cette adresse secondaire ne peut pas se
trouver sur le même sous-réseau que l’interface primaire ou que toute autre
interface ou adresse IP secondaire. Pour plus d’informations, voir config
secondaryip sous system interface dans le FortiGate CLI Reference.
Contrôler un accès administratif vers une interface

Un contrôle d’accès administratif vers les interfaces d’un VDOM est possible si ce
VDOM fonctionne en mode NAT/Route.
Vous pouvez permettre une administration à distance du boîtier FortiGate.

Cependant, une administration à distance via Internet pourrait compromettre la
sécurité de votre FortiGate. Cette manoeuvre est donc à éviter à moins que cela
soit nécessaire pour votre configuration.
Les consignes suivantes améliorent la sécurité du boîtier FortiGate lors d’une

administration à distance via Internet :
• Utilisation de mots de passe d’utilisateurs administratifs sécurisés.

• Modification régulière de ces mots de passe.
• Permettre un accès administratif sécurisé vers cette interface via une utilisation
HTTPS ou SSH.
• Maintenir la valeur du Timeout d’inactivité par défaut à 5 minutes (voir
« Paramètres » à la page 178.)
Pour configurer un accès administratif en mode Transparent, voir « Mode de
fonctionnement des VDOM et accès administratif» à la page 166.

2 Cliquez sur l’icône Editer de l’interface choisie.
3 Sélectionnez les protocoles d’Administration pour cette interface.
4 Cliquez sur OK pour enregistrer les changements.
Modifier la taille MTU des paquets qui quittent une interface

01-30001-0203-20060424
3 Sélectionnez la valeur de Remplacer la valeur MTU par défaut (1500).
4 Définissez une nouvelle valeur MTU.
Remarque : Un redémarrage du FortiGate est nécessaire pour mettre à jour la nouvelle

valeur du MTU des sous-interfaces VLAN sur cette interface.
Configurer la journalisation du trafic pour les connexions vers une interface

3 Activez la case Journaliser pour enregistrer les messages journalisés lorsqu’une
règle pare-feu accepte une connexion à cette interface.
Zone
Les zones permettent de grouper des interfaces et des sous-interfaces VLAN. Ces
zones simplifient la création de règles. Dans le cas de regroupement d’interfaces et
de sous-interfaces VLAN en zones, vous pouvez configurer des règles pour des
connexions de et à partir d’une zone. Cependant il n’est pas possible de configurer
des règles de et à partir de chaque interface de cette zone.
A partir de la liste Zone, il est possible d’ajouter des zones, de les renommer, les
éditer ou encore les supprimer. Pour ajouter une zone, vous devez sélectionner les
noms des interfaces et sous-interfaces VLAN à ajouter à cette zone.
Les zones sont ajoutées aux domaines virtuels. Si de multiples domaines virtuels
ont été ajoutés à la configuration FortiGate, veillez à configurer le domaine virtuel
correct avant d’ajouter ou d’éditer des zones.
Illustration 24 : Liste des zones
Créer Nouveau Permet de créer une zone.

Nom Les noms des zones ajoutées.
Bloquer le trafic intra-zone Le mot Yes s’affiche si le trafic entre les interfaces d’une
même zone est bloqué. Le mot No s’affiche si le trafic entre
les interfaces d’une même zone n’est pas bloqué.
Interfaces membres Les noms des interfaces ajoutées à cette zone. Les noms
des interfaces varient d’un modèle FortiGate à un autre.
Icônes Editer/Visualiser Permet d’éditer ou de visualiser une zone.
Icône Supprimer Permet de supprimer une zone.

01-30001-0203-20060424
Paramètres d’une zone
Sélectionnez Système > Réseau > Zone pour configurer des zones. Cliquez sur
Créer Nouveau ou sur l’icône Editer d’une zone pour la modifier.
Illustration 25 : Options d’une zone
Nom Entrez un nom pour identifier la zone.

Bloquer le trafic intra-zone Sélectionnez cette option pour bloquer le trafic entre les
interfaces ou sous-interfaces VLAN au sein de cette zone.
Interfaces membres Sélectionnez les interfaces faisant partie de cette zone.
Cette liste comprend les VLAN configurés.
Options
Les options du réseau comprennent les paramètres du serveur DNS et de la
détection d’échec d’une passerelle.
Plusieurs fonctions du FortiGate, notamment les emails d’alertes et le blocage

d’URL, utilisent le DNS. Pour cela, spécifiez les adresses IP des serveurs DNS
auxquels le boîtier FortiGate doit se connecter. Ces adresses IP sont
généralement fournies par votre FAI (Fournisseur d’Accès Internet).
Les modèles FortiGate 100 et moins peuvent être configurés pour obtenir des
adresses de serveur DNS automatiquement. Pour ce faire, au moins une des
interfaces doit utiliser le mode d’adressage DHCP ou PPPoE. Voir « Configuration
DHCP d’une interface » à la page 69. Voir « Configuration PPPoE d’une interface»
à la page 70.
Les modèles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs
interfaces. Les hôtes du réseau attaché utilisent l’adresse IP de l’interface comme
leur serveur DNS. Les requêtes DNS envoyées à l’interface sont transmises aux
adresses du serveur DNS configurées ou fournies automatiquement au boîtier
FortiGate.
Détection de l’échec d’une passerelle

L’activation de l’option de détection de l’échec d’une passerelle entraîne un
lancement régulier d’une commande ping pour confirmer la connectivité. En
général, le serveur ping est le routeur du prochain saut avant le réseau externe ou
l’Internet. La période de ping (Detection Interval) et le nombre de tentatives de ping
échoués, indicateur de la perte d’une connexion, sont définis dans Système >
Réseau > Options. Pour appliquer la détection de l’échec d’une passerelle à une
interface, vous devez lui configurer un serveur ping.

01-30001-0203-20060424
Ajouter un serveur ping à une interface

2 Choisissez une interface et cliquez sur Editer.
3 Affectez au Serveur Ping l’adresse IP du routeur du prochain saut sur le réseau
connecté à l’interface.
4 Cochez la case Activer.
Configuration des Options du Réseau

Dans Système > Réseau > Options, vous pouvez configurer les paramètres des
serveurs DNS et de la détection de l’échec d’une passerelle.
Illustration 26 : Options de la mise en réseau – pour les modèles 200 et plus.
Illustration 27 : Options de la mise en réseau – pour les modèles 100 et moins
Obtenir dynamiquement Cette option est uniquement disponible sur les modèles 100
les adresses et moins.
des serveurs DNS
Lorsque le service DHCP est utilisé par une interface, il
permet également d’obtenir l’adresse IP d’un serveur DNS.
Ceci est uniquement valable en mode NAT/Route. Il est
conseillé d’activer « Remplacer le serveur DNS pré-
configuré » dans les paramètres DHCP de l’interface. Voir
« Configuration DHCP d’une interface » à la page 69.

01-30001-0203-20060424
Utiliser les adresses du Cette option est uniquement disponible sur les modèles 100
et
serveur DNS suivantes moins.
Utilisez les adresses des serveurs DNS primaire et
secondaire spécifiées.
Serveur DNS primaire Entrez l’adresse IP du serveur DNS primaire.
Serveur DNS secondaire Entrez l’adresse IP du serveur DNS secondaire.
Local Domain Name Entrez le nom de domaine à ajouter aux adresses sans
portion de domaine lors des recherches DNS.
Activer le DNS forwarding Cette option est uniquement disponible sur les modèles 100
sur les interfaces : et moins en mode NAT/Route.
Sélectionnez les interfaces qui transfèrent les requêtes DNS
reçues vers les serveurs DNS configurés.
Détection de l’échec Cette option permet la confirmation de la connectivité
d’une passerelle grâce à l’utilisation d’un serveur ping ajouté à la
configuration d’une interface. Pour toute information à
propos de l’ajout d’un serveur ping à une interface, voir
« Ajouter un serveur ping à une interface » à la page 77.
Detection Interval Entrez l’intervalle de temps souhaité (en secondes) entre
chaque lancement d’un ping vers sa cible.
Fail Over Detection Entrez le nombre d’échec de tentatives de ping à partir
duquel le boîtier FortiGate considéra que la passerelle n’est
plus en fonction.
Table de Routage (en mode Transparent)

En mode Transparent, sélectionnez Système > Réseau >Table de Routage pour
ajouter des routes statiques du boîtier FortiGate aux routeurs locaux.
Illustration 28 : Table de Routage
Créer Nouveau Permet de créer une nouvelle route.

# Le numéro de la route.
IP L’adresse IP de destination de cette route.
Masque Le masque de réseau de cette route.
Passerelle L’adresse IP du routeur du prochain saut vers lequel cette
route dirige le trafic.
Distance La préférence relative de cette route. La route préférée porte
le n°1.
Icône Supprimer Supprime une route.
Icônes Visualiser/Editer Edite ou visualise une route.
Icône Déplacer Modifie la position de la route dans la liste.
Paramètres d’une route en mode Transparent

Dans Système > Réseau > Table de Routage, sélectionnez Créer Nouveau pour
ajouter une route. L’icône Editer d’une route permet de lui apporter des
modifications.

01-30001-0203-20060424
Illustration 29 : Options de la route en mode Transparent
Adresse IP destination Entrez l’adresse IP de destination et le masque de

/Masque réseau de cette route. Pour créer une route par défaut,
configurez l’IP de destination et le Masque sur 0.0.0.0.
Passerelle Entrez l’adresse IP du routeur du prochain saut vers lequel
cette route dirige le trafic. Pour une connexion Internet, la
passerelle de routage du prochain saut dirige le trafic vers
Internet.
Distance La préférence relative de cette route. La route préférée
porte le n°1.
Configuration de l’interface modem

Sur les modèles FortiGate fournis avec un support modem, celui-ci peut servir soit
d’interface redondante (back up), soit d’interface autonome (stand alone) en mode
NAT/Route.
• En mode redondant (back up), l’interface modem prend automatiquement le

relais d’une interface Ethernet lorsque celle-ci est indisponible.
• En mode autonome (stand alone), l’interface modem sert de connexion entre le
boîtier FortiGate et Internet.
Dans les deux modes, lorsque le modem se connecte à un FAI, il peut

automatiquement composer trois comptes téléphoniques jusqu’à ce que la
connexion soit établie.
Les modèles FortiGate 50AM et 60M sont conçus avec un modem intégré. Il est
dès lors possible de configurer des opérations modem à partir de l’interface
d’administration web. Voir « Configuration des paramètres du modem ».
Les modèles FortiGate 50A et 60 peuvent se connecter à un modem extérieur via

un convertisseur USB vers série. Ces modèles demandent une configuration des
opérations modem à partir de l’interface de ligne de commande. Voir la commande
system modem dans le FortiGate CLI Reference.
Remarque : Ne pas confondre l’interface modem avec le port AUX, utilisé pour des
connexions à distance vers la console – il n’a pas d’interface associée. Le port AUX est
uniquement disponible sur les modèles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus
d’informations, voir la commande config system aux dans le FortiGate CLI
Reference.
Configuration des paramètres du modem

La configuration des paramètres du modem permet au boîtier FortiGate d’utiliser le
modem pour se connecter aux comptes téléphoniques du FAI. Vous pouvez
configurer jusqu’à trois comptes téléphoniques, sélectionner le mode stand alone
ou redondant et déterminer les modalités de connexion et déconnexion du modem.

01-30001-0203-20060424
Vous ne pouvez configurer et utiliser le modem qu’en mode NAT/Route.
Illustration 30 : Paramètres du modem ( mode Stand alone)
Illustration 31 : Paramètres du modem (mode Redondant)
Activer le modem USB Cochez cette case pour activer le modem FortiGate.
Etat du modem Les différents statuts du modem sont : « inactif », « en cours
de connexion », « connecté », « en cours de déconnexion» ou
« déconnecté» (pour le mode Stand alone uniquement).
Appeler/Raccrocher (Pour le mode Stand alone uniquement.) Sélectionnez Appeler
pour vous connecter manuellement à un compte téléphonique.
Lorsque le modem est connecté, sélectionnez Raccrocher
pour déconnecter le modem manuellement.
Mode Sélectionnez le mode désiré : Standalone ou Redondant. En
mode stand alone, le modem est une interface autonome. En
mode Redondant, le modem est un outil de sauvegarde, un
actif en secours d’une interface Ethernet sélectionnée.

01-30001-0203-20060424
Connexion automatique (Pour le mode Stand alone uniquement). Appelle le modem
automatiquement si la connexion est perdue ou si le boîtier
FortiGate redémarre. Cette option n’est pas compatible avec
l’option « Connexion à la demande ».
Actif en secours de (Pour le mode Redondant uniquement). Sélectionnez
l’interface Ethernet pour laquelle le modem assure le service
de secours.
Connexion à la (Pour le mode Stand alone uniquement). Appelle
demande le modem lorsque les paquets sont dirigés vers l’interface
modem. Le modem se déconnecte après une période
d’inactivité définie dans Timeout d’inactivité. Cette option n’est
pas compatible avec l’option « Connexion automatique».
Timeout d’inactivité (Pour le mode Stand alone uniquement). Définissez le laps de
temps passé (1-60 minutes) avant qu’une connexion modem
inactive soit déconnectée.
Temps d’attente (Pour le mode Redondant uniquement). Etablissez le laps de
temps passé (1-60 secondes) avant que le boîtier FortiGate
repasse de l’interface modem à l’interface initiale, une fois la
connexion de celle-ci restaurée. Par défaut ce laps de temps
est de 1 seconde. Déterminez un temps plus long dans le cas
où le boîtier FortiGate passe trop fréquemment d’une interface
à l’autre.
Nombre d’essais Sélectionnez le nombre de fois (1 – 10) que le modem du
boîtier FortiGate doit tenter de se reconnecter au FAI en cas
d’échec de connexion. Par défaut, le nombre d’essais est de 1.
Sélectionnez None pour ne pas limiter le nombre de tentatives
d’appel.
Compte téléphonique Configurez jusqu’à trois comptes téléphoniques. Le boîtier
FortiGate tente de se connecter à chaque compte
alternativement jusqu’à ce que la connexion soit établie.
Numéro de Téléphone Entrez le numéro de téléphone requis pour la connexion au
compte téléphonique. Ne pas inclure d’espace dans les
numéros de téléphone. Assurez-vous cependant d’inclure les
caractères standard pour les pauses, préfixes de pays et
autres fonctions requises par votre modem pour vous
connecter au compte téléphonique.
Compte utilisateur Le compte utilisateur (maximum 63 caractères) envoyé au FAI.
Mot de passe Le mot de passe envoyé au FAI.
Pour configurer le modem en mode Redondant, voir « Configuration du mode

Redondant » à la page 81.
Pour configurer le modem en mode Standalone, voir « Configuration du mode

Stand alone » à la page 82.
Configuration du mode Redondant

L’interface modem en mode redondant sert d’actif en secours d’une interface
Ethernet sélectionnée. Si cette dernière se déconnecte de son réseau, le modem
se connecte automatiquement au(x) compte(s) téléphonique(s) pré-configuré(s). Le
boîtier FortiGate chemine alors les paquets IP normalement destinés à l’interface
Ethernet vers l’interface modem.
Lorsque le boîtier FortiGate détecte que l’interface Ethernet s’est reconnectée au

réseau, il déconnecte l’interface modem et repasse sur l’interface Ethernet.

01-30001-0203-20060424
Afin de permettre au boîtier FortiGate de passer de l’interface Ethernet au modem,
il est nécessaire, lors de la configuration du modem, de sélectionner cette interface
et de lui configurer un serveur ping. De plus, il est important de configurer des
règles pare-feu pour les connexions entre l’interface modem et les autres
interfaces du boîtier FortiGate.
Remarque : Ne pas ajouter de règles pour les connexions entre l’interface modem et
l’interface secourue par le modem.
Configurer un mode redondant

1 Sélectionnez Système > Réseau > Modem.
2 Sélectionnez Mode Redondant.
3 Entrez les informations suivantes :
Mode Redondant
Actif en secours de Sélectionnez dans la liste l’interface à secourir.
Temps d’attente Entrez le laps de temps passé (1-60 secondes) avant
que le boîtier FortiGate repasse de l’interface modem à
l’interface initiale, une fois la connexion de celle-ci
restaurée.
Nombre d’essais Entrez le nombre maximum de tentatives de connexion
dans le cas où le FAI ne répond pas.
Compte téléphonique 1 Entrez le numéro de téléphone de votre FAI ainsi
Compte téléphonique 2 que vos comptes utilisateurs et mots de passe
Compte téléphonique 3 pour les comptes téléphoniques désirés (entre 1 et 3).
5 Configurez un serveur ping pour l’interface Ethernet que le modem doit secourir.
Voir « Ajouter un serveur ping à une interface » à la page 77.
6 Configurez des règles pare-feu pour les connexions de l’interface modem. Voir
« Ajout de règles pare-feu pour les connexions modem » à la page 83.
Configuration du mode stand alone

En mode stand alone, le modem se connecte au compte téléphonique pour fournir
une connexion Internet. Vous pouvez configurer le modem pour qu’il se connecte à
chaque démarrage du FortiGate ou lors de la présence de paquets non cheminés.
Il est également possible d’appeler ou de raccrocher le modem manuellement.
Si la connexion aux comptes téléphoniques échoue, le boîtier FortiGate rappelle le

modem. Le modem recompose alors automatiquement le numéro du FAI, et ce,
autant de fois que spécifié dans la configuration ou jusqu’à ce que la connexion
soit établie.
Il est primordial de configurer des règles pare-feu pour les connexions entre
l’interface modem et les autres interfaces du boîtier FortiGate.
Opérer en mode stand alone

Mode Standalone

01-30001-0203-20060424
Connexion automatique Sélectionnez cette option pour que le modem se
connecte au FAI à chaque démarrage du FortiGate.
Connexion à la demande Sélectionnez cette option pour que le modem se
connecte au FAI lors de la présence de paquets non
cheminés.
Timeout d’inactivité Entrez la durée d’inactivité en minutes après laquelle le
modem se déconnecte.
Nombre d’essais Entrez le nombre maximum de tentatives de connexion
dans le cas où le FAI ne répond pas.
Compte téléphonique 1 Entrez le numéro de téléphone de votre FAI ainsi
Compte téléphonique 2 que vos comptes utilisateurs et mots de passe
Compte téléphonique 3 pour les comptes téléphoniques désirés (entre 1 et 3).
4 Configurez des règles pare-feu pour les connexions de l’interface modem. Voir
« Ajout de règles pare-feu pour les connexions modem » à la page 83.
Ajout de règles pare-feu pour les connexions modem

L’interface modem nécessite des adresses et des règles pare-feu. Vous pouvez
ajouter une ou plusieurs adresses pare-feu à l’interface modem. Pour plus
d’informations sur l’ajout d’adresses, voir « Ajouter une adresse IP, une plage IP
ou un FQDN » à la page 247. Lorsque de nouvelles adresses sont ajoutées,
l’interface modem apparaît sur la matrice des règles.
Vous pouvez configurer des règles pare-feu pour contrôler le flot de paquets
circulant entre l’interface modem et les autres interfaces FortiGate. Pour plus
d’informations à propos de l’ajout de règles pare-feu, voir « Ajout d’une règle pare-
feu » à la page 231.
Connexion et déconnexion du modem

Le modem doit être en mode stand alone.
Se connecter à un compte téléphonique

2 Sélectionnez Activer le modem USB.
3 Assurez-vous de l’exactitude des comptes téléphoniques.
4 Sélectionnez Appliquer si vous avez apporté des modifications à la configuration.
5 Sélectionnez Appeler.
Le boîtier FortiGate compose alors le numéro de chaque compte téléphonique

alternativement jusqu’à ce que le modem se connecte à un FAI.
Déconnecter le modem
La procédure suivante permet de déconnecter le modem d’un compte

téléphonique.

2 Sélectionnez Raccrocher pour vous déconnecter du compte téléphonique.

01-30001-0203-20060424
Vérification du statut du modem
Le statut de la connexion du modem ainsi que le compte téléphonique activé sont
visible dans Système > Réseau > Modem. Lors de la connexion entre le modem
et le FAI, l’adresse IP et le masque de réseau sont visibles également.
Le modem peut avoir un des statuts suivants :
Inactif Le modem n’est pas connecté au FAI.

En cours de connexion Le modem tente de se connecter au FAI.
Connecté Le modem est connecté au FAI.
En cours de déconnexion Le modem se déconnecte du FAI.
Déconnecté Le modem s’est déconnecté du FAI. (En mode
stand alone uniquement). Le modem ne se
reconnectera que lorsque vous cliquerez sur
Appeler.
Un indicateur vert désigne le compte téléphonique activé.
L’adresse IP et le masque de réseau affectés à l’interface modem apparaissent sur

la page Système > Réseau > Interface de l’interface d’administration web.
Aperçu sur les VLAN

Un VLAN est un groupe de PC, serveurs et autres équipements d’un réseau qui
communiquent comme s’ils faisaient partie d’un même segment LAN, alors que ce
n’est pas forcément le cas. Par exemple, les stations de travail et serveurs d’un
département de comptabilité peuvent être dispersés dans un bâtiment, connectés
à plusieurs segments du réseau et quand bien même faire partie d’un même
VLAN.
Dans un VLAN les équipements sont segmentés logiquement et non pas

physiquement. Chaque VLAN est traité comme un domaine de diffusion. Les
équipements du VLAN 1 peuvent se connecter avec d’autres équipements du
VLAN 1, mais ne peuvent pas se connecter avec des équipements d’autres VLAN.
La communication entre les équipements d’un VLAN ne dépend pas du réseau
physique.
Un VLAN distingue les équipements en ajoutant des balises VLAN 802.1Q à tous
les paquets reçus et envoyés par ces équipements. Ces balises sont des
extensions de 4 octets comprenant un identificateur VLAN ainsi que d’autres
informations.
Les VLAN offrent une grande flexibilité, une segmentation efficace du réseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir
compte de la localisation physique.

01-30001-0203-20060424
Illustration 32 : Topologie VLAN de base
Equipements FortiGate et VLAN

Dans une configuration VLAN classique, des balises VLAN sont ajoutées aux
paquets par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore
des pare-feu. Les commutateurs niveau 2 gèrent les paquets cheminant entre des
machines d’un même VLAN, tandis que les paquets cheminant entre des machines
de VLAN différents sont pris en charge par des équipements niveau 3 tels que
routeur, pare-feu ou commutateur niveau 3.
Grâce à l’utilisation d’un VLAN, un seul boîtier FortiGate fournit des services de
sécurité et des connexions sous contrôle entre de multiples domaines sécurisés.
Le trafic provenant de chaque domaine sécurisé reçoit un identificateur VLAN
différent. Le boîtier FortiGate reconnaît les identificateurs VLAN et applique les
règles de sécurité pour protéger les réseaux et le trafic VPN IPSec entre les
domaines sécurisés. Le boîtier FortiGate appliquent également les fonctionnalités
d’authentification, de profils de protection et autres règles pare-feu sur le trafic du
réseau et le trafic VPN autorisé à circuler entre les domaines sécurisés.
VLAN en mode NAT/Route

En mode routé, le boîtier FortiGate opère comme un équipement niveau 3 pour
contrôler le flot de paquets entre les VLAN. Le boîtier FortiGate peut également
retirer les balises VLAN des paquets VLAN entrants et transférer les paquets non
balisés vers d’autres réseaux, comme Internet.
En mode routé, le boîtier FortiGate supporte les VLAN pour la construction de

tronçons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le
boîtier FortiGate. Normalement l’interface interne du boîtier FortiGate se connecte

01-30001-0203-20060424
à un tronçon VLAN sur un commutateur interne, tandis que l’interface externe se
connecte en amont vers un routeur Internet non balisé. Le boîtier FortiGate peut
alors appliquer différentes règles pour les trafics sur chaque VLAN connecté à
l’interface interne.
A partir de cette configuration, vous pouvez ajouter à l’interface interne du boîtier

FortiGate des sous-interfaces VLAN qui possèdent les identificateurs VLAN
correspondants aux identificateurs des paquets du tronçon VLAN. Le boîtier
FortiGate dirige alors les paquets avec les identificateurs VLAN vers les sous-
interfaces avec les identificateurs correspondants.
Vous pouvez également définir des sous-interfaces VLAN sur toutes les interfaces
du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant une
sous-interface VLAN ou peut retirer des balises des paquets entrants et ajouter
une balise différente aux paquets sortants.
Consignes sur les identificateurs VLAN

En mode NAT/Route, deux sous-interfaces VLAN ajoutées à la même interface
physique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou
plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent être
ajoutées à différentes interfaces physiques. Il n’y a pas de connexion interne ou de
lien entre deux sous-interfaces VLAN avec le même identificateur. Leur relation est
la même que la relation entre n’importe quelles deux autres interfaces réseaux
FortiGate.
Consignes sur les adresses IP VLAN

Les adresses IP de toutes les interfaces doivent se trouver sur différents sous-
réseaux, elles ne peuvent pas se chevaucher. Cette règle s’applique aussi bien
aux interfaces physiques qu’aux sous-interfaces VLAN.
Remarque : S’il vous est impossible de modifier vos configurations existantes et

d’empêcher un chevauchement d’adresses IP, entrez les commandes CLI config
system global et set allow-interface-subnet-overlap enable pour
permettre un chevauchement d’adresses IP. En entrant cette commande, vous permettez à
plusieurs interfaces VLAN d’avoir une adresse IP qui fait déjà partie d’un sous-réseau utilisé
par une autre interface. Cette commande n’est recommandée qu’aux utilisateurs avancés.
L’illustration 33 représente une configuration VLAN simplifiée en mode NAT/Route.

Dans cet exemple, l’interface interne du FortiGate se connecte à un commutateur
VLAN via un tronçon 802.1Q et est configurée avec deux sous-interfaces VLAN
(VLAN 100 et VLAN 200). L’interface externe se connecte à Internet et n’est pas
configurée avec des sous-interfaces VLAN.
Lorsque le commutateur VLAN reçoit des paquets de VLAN 100 et VLAN 200, il
leurs applique des balises VLAN et les transfère vers les ports locaux et à travers
le tronçon vers le boîtier FortiGate. Des règles sont configurées dans le boîtier
FortiGate pour permettre aux trafics de circuler entre les VLAN et à partir des
VLAN vers le réseau externe.

01-30001-0203-20060424
Illustration 33 : FortiGate en mode NAT/Route
Ajout de sous-interfaces VLAN

L’identificateur VLAN de chaque sous-interface VLAN doit correspondre à
l’identificateur VLAN ajouté par le routeur IEEE 802.1Q-compliant. L’identificateur
VLAN peut être n’importe quel nombre entre 1 et 4096. Chaque sous-interface
VLAN doit également être configurée avec ses propres adresse IP et masque de
réseau.
Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.
Il est nécessaire d’ajouter des sous-interfaces VLAN à l’interface physique qui

reçoit les paquets balisés VLAN.
Ajouter une sous-interface VLAN en mode NAT/Route

2 Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN.
3 Entrez un nom pour identifier cette nouvelle sous-interface.
4 Sélectionnez l’interface physique qui doit recevoir les paquets VLAN à l’attention
de cette sous-interface VLAN.
5 Entrez l’identificateur (ID) qui correspond à l’identificateur des paquets à recevoir
par cette sous-interface VLAN.
6 L’administrateur admin devra sélectionner le domaine virtuel auquel cette sous-
interface VLAN devra être ajoutée. Les autres administrateurs ne peuvent créer
des sous-interfaces VLAN que dans leur VDOM. Voir « Utilisation de domaines
virtuels » à la page 40 pour plus d’informations sur les domaines virtuels.

01-30001-0203-20060424
7 Configurez les paramètres de la sous-interface VLAN tel que pour les autres
interfaces FortiGate. Voir « Paramètres de l’interface » à la page 63.
Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l’interface

choisie au point 4.
Ajouter des règles pare-feu aux sous-interfaces VLAN
Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de
leur appliquer des règles pare-feu pour les connexions entre les sous-interfaces
VLAN ou d’une sous-interface vers une interface physique.
1 Sélectionnez Pare-Feu > Adresse.
2 Cliquez sur Créer Nouveau pour créer des adresses pare-feu qui correspondent
aux adresses IP source et de destination des paquets VLAN. Voir « A propos des
adresses pare-feu » à la page 245.
3 Sélectionnez Pare-Feu > Règle.
4 Créer ou ajouter des règles pare-feu tel que requis.
VLAN en mode Transparent

En mode Transparent, le boîtier FortiGate peut appliquer des règles pare-feu et
des services tels que l’authentification, les profils de protection et autres fonctions
pare-feu au trafic d’un tronçon VLAN IEEE 802.1. Le boîtier FortiGate peut être
inséré en mode Transparent dans le tronçon sans qu’il soit nécessaire d’apporter
des modifications au réseau. Dans une configuration classique, l’interface interne
du FortiGate accepte les paquets VLAN sur un tronçon VLAN provenant d’un
commutateur VLAN ou d’un routeur connecté à des VLAN internes. L’interface
externe du FortiGate transfère les paquets balisés par le tronçon jusqu’à un
commutateur VLAN externe ou un routeur connecté éventuellement à Internet. Le
boîtier FortiGate peut être configuré pour appliquer différentes règles au trafic pour
chaque VLAN du tronçon.
Il faut ajouter une sous-interface VLAN à l’interface interne et une autre à

l’interface externe pour permettre au trafic VLAN de circuler entre les interfaces
interne et externe du FortiGate. Dans le cas où ces sous-interfaces VLAN ont les
mêmes identificateurs, le boîtier FortiGate applique des règles pare-feu au trafic de
ce VLAN. Dans le cas où par contre les sous-interfaces VLAN ont des
identificateurs différents, ou si plus de deux sous-interfaces sont ajoutées, vous
pouvez également créer des règles pare-feu qui contrôlent les connexions entre
les VLAN.
Un boîtier FortiGate opérant en mode Transparent peut sécuriser le trafic du

réseau passant entre les différents VLAN si ce réseau utilise des balises VLAN
IEEE 802.1 pour segmenter son trafic. Il est nécessaire d’ajouter des domaines
virtuels à la configuration du FortiGate pour lui permettre de supporter le trafic
VLAN en mode Transparent. Un domaine virtuel se compose d’au moins deux
sous-interfaces ou zones. Au sein d’un domaine virtuel, une zone peut contenir
une ou plusieurs sous-interfaces VLAN.
Lorsqu’un boîtier FortiGate reçoit un paquet balisé VLAN sur l’une de ses
interfaces, ce paquet est dirigé vers la sous-interface VLAN possédant
l’identificateur VLAN correspondant. La sous-interface VLAN retire la balise et
affecte une interface de destination au paquet en fonction de son adresse MAC de
destination. Les règles pare-feu des sous-interfaces VLAN source et de destination

01-30001-0203-20060424
s’appliquent au paquet. Si celui-ci est accepté par le pare-feu, le boîtier FortiGate
le transfère vers la sous-interface VLAN de destination. L’identificateur du VLAN de
destination est ajouté au paquet par le boîtier FortiGate et il est envoyé au tronçon
VLAN.
Illustration 34 : Equipement FortiGate avec deux domaines virtuels en mode

Transparent
L’illustration 35 représente un équipement FortiGate opérant en mode Transparent

et configuré avec trois sous-interfaces VLAN. Dans cette configuration un
équipement FortiGate peut être ajouté à ce réseau pour fournir à chaque VLAN
une analyse antivirus, un filtrage de contenu web ainsi que des services
supplémentaires.
Illustration 35 : Equipement FortiGate en mode Transparent

01-30001-0203-20060424
Consignes sur les identificateurs VLAN
En mode Transparent, deux sous-interfaces VLAN ajoutées à la même interface
physique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou
plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent être
ajoutées à différentes interfaces physiques. Il n’y a pas de connexion interne ou de
lien entre deux sous-interfaces VLAN avec le même identificateur. Leur relation est
identique à une relation entre deux autres interfaces réseaux FortiGate.
Domaines virtuels et VLAN en mode Transparent

Les sous-interfaces VLAN sont ajoutées et associées à des domaines virtuels. La
configuration par défaut du boîtier FortiGate prévoit un domaine virtuel, appelé
root, auquel peuvent être ajoutées autant de sous-interfaces VLAN nécessaires.
Des domaines virtuels supplémentaires peuvent être créés si vous désirez séparer
des groupes de sous-interfaces VLAN en domaines virtuels. Pour plus
d’informations sur l’ajout et la configuration de domaines virtuels, voir « Utilisation
de domaines virtuels » à la page 40.
Ajouter une sous-interface VLAN en mode Transparent
L’identificateur VLAN de chaque sous-interface VLAN doit correspondre à

l’identificateur ajouté par le commutateur ou routeur IEEE 802.1Q-compliant.
L’identificateur VLAN peut être n’importe quel nombre entre 1 et 4096. Il est
nécessaire d’ajouter des sous-interfaces VLAN à l’interface physique recevant les
paquets balisés VLAN.
Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.

2 Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN.
3 Entrez un nom pour identifier cette nouvelle sous-interface.
4 Sélectionnez l’interface physique qui doit recevoir les paquets VLAN à l’attention
de cette sous-interface VLAN.
5 Entrez l’identificateur correspondant à l’identificateur des paquets à recevoir par
cette sous-interface VLAN.
6 Sélectionnez les domaines virtuels à ajouter à cette sous-interface VLAN. Voir
« Utilisation de domaines virtuels » à la page 40 pour plus d’informations sur les
domaines virtuels.
7 Configurez l’accès administratif et les paramètres log tels que pour les autres
interfaces FortiGate. Voir « Paramètres de l’interface » à la page 63 pour une
description de ces paramètres.
Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l’interface
sélectionnée.
9 Sélectionnez Activer pour démarrer la sous-interface VLAN.

01-30001-0203-20060424
Ajouter des règles pare-feu aux sous-interfaces VLAN
Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de
leurs appliquer des règles pare-feu pour les connexions entre les sous-interfaces
VLAN ou d’une sous-interface vers une interface physique.
1 Sélectionnez Pare-Feu > Adresse.

2 Cliquez sur Créer Nouveau pour créer des adresses pare-feu correspondantes aux
adresses IP source et de destination des paquets VLAN. Voir « A propos des
adresses pare-feu » à la page 245.
3 Sélectionnez Pare-Feu > Règle.
4 Créer ou ajouter des règles pare-feu tel que requis.
Support FortiGate IPv6

Vous pouvez affecter à la fois une adresse IPv4 et une adresse IPv6 à chaque
interface FortiGate. L’interface fonctionne comme deux interfaces, une pour les
paquets adressés IPv4, l’autre pour les paquets adressés IPv6.
Les équipements FortiGate supportent le routage statique, les annonces de

routage périodiques et l’encapsulation du trafic IPv6 sur un réseau IPv4. Toutes
ces fonctionnalités doivent être configurées à partir de l’interface de ligne de
commande. Voir le FortiGate CLI Reference pour plus d’informations sur les
commandes suivantes :
Tableau 2 : Commande CLI IPv6

Fonction Commande CLI
Configuration des interfaces, y config system interface
compris les annonces de routage Voir les mots-clés commençant par “ip6”.
périodiques config ip6-prefix-list
Routage statique config router static6
Encapsulation du trafic IPv6 config system ipv6_tunnel

01-30001-0203-20060424
Système Sans Fil
Cette section parcourt la configuration des interfaces LAN sans fil des boîtiers
FortiWiFi.

• Interface LAN sans fil FortiWiFi
• Domaines régulatoires
• Paramètres sans fil du système (FortiWiFi-60)
• Paramètres sans fil du système (FortiWiFi-60A et 60AM)
• Filtre MAC
• Surveillance du module sans fil
Interface LAN sans fil FortiWiFi

Vous pouvez configurer l’interface sans fil FortiWiFi dans le but de :
• fournir un point d’accès auquel les utilisateurs munis de cartes réseau sans fil
peuvent se connecter (Mode Point d’Accès).
ou
• connecter le boîtier FortiWiFi à un autre réseau sans fil (Mode Client).
Le mode Point d’Accès est activé par défaut. Les boîtiers FortiWiFi-60A et 60AM
peuvent fournir de multiples WLAN.
Les boîtiers FortiWiFi supportent les standard réseau sans fil suivants :
• IEEE 802.11a (Bande des 5-GHz)

• IEEE 802.11b (Bande des 2.4-GHz)
• IEEE 802.11g (Bande des 2.4-GHz)
• WEP (Wired Equivalent Privacy)
• WPA (Wi-Fi Protected Access) utilisant des clés partagées ou un serveur
RADIUS (en mode Point d’Accès uniquement).
Domaines régulatoires
Les tableaux suivants reprennent les canaux et domaines régulatoires pour les
LAN sans fil.
Tableau 3 : Numéros des canaux IEEE 802.11a (Bande des 5-GHz)

Numéro Fréquence Domaines régulatoires
de (MHz) Amérique Europe Taiwan Singapour Japon
canal
34 5170 - X - - X
36 5180 X X - X -
38 5190 - X - - X
40 5200 X X - X -

01-30001-0203-20060424
42 5210 - X - - X
44 5220 X X - X -
46 5230 - X - - X
48 5240 X X - X -
52 5260 X X X - -
56 5280 X X X - -
60 5300 X X X - -
64 5320 X X X - -
149 5745 - - - - -
153 5765 - - - - -
157 5785 - - - - -
161 5805 - - - - -
Tous les canaux sont limités à un usage intérieur excepté pour les continents
américains, qui permettent un usage interne et externe des canaux 52 à 64 aux
Etats-Unis.
Tableau 4 : Numéros des canaux IEEE 802.11b (Bande des 2.4-GHz)

de canal (MHz) Amérique EMEA Israël Japon
1 2412 X X - X
2 2417 X X - X
3 2422 X X - X
4 2427 X X X X
5 2432 X X X X
6 2437 X X X X
7 2442 X X X X
8 2447 X X X X
9 2452 X X X X
10 2457 X X X X
11 2462 X X - X
12 2467 - X - X
13 2472 - X - X
14 2484 - - - X
Le Mexique est compris dans le domaine régulatoire américain. Les canaux 1 à 8
sont à usage intérieur uniquement. Les canaux 9 à 11 sont à usage intérieur et
extérieur. Il est de la responsabilité de l’utilisateur de s’assurer que la configuration
du canal sans fil est compatible avec la règlementation en vigueur au Mexique.
Tableau 5 : Numéros des canaux IEEE 802.11g (Bande des 2.4-GHz)
de (MHz) Amérique EMEA Israël Japon
canal CC OFDM CCK OFDM CCK OFDM CCK OFDM
K
1 2412 X X X X - - X X
2 2417 X X X X - - X X
3 2422 X X X X - - X X
4 2427 X X X X - - X X
5 2432 X X X X X X X X
6 2437 X X X X X X X X
7 2442 X X X X X X X X
8 2447 X X X X X X X X
9 2452 X X X X - - X X
10 2457 X X X X - - X X
11 2462 X X X X - - X X
12 2467 - - X X - - X X
13 2472 - - X X - - X X
14 2484 - - - - - - X -

01-30001-0203-20060424
Paramètres sans fil du système (FortiWiFi-60)
Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres
d’un LAN sans fil.
Illustration 36 : Configuration des paramètres Sans Fil
Adresse MAC L’adresse MAC de l’interface Wireless.

Mode d’Opération Le mode d’opération en cours. Cliquez sur Changer pour le
modifier. En mode Point d’Accès, le FortiWiFi-60 agit comme
un point d’accès sans fil auquel peuvent se connecter
plusieurs utilisateurs. En mode Client le boîtier est configuré
pour se connecter à un autre réseau sans fil en tant que client.
Géographie Sélectionnez votre région pour déterminer les canaux
disponibles. Vous devez choisir entre Americas (les deux
continents américains), EMEA (Europe, Moyen Orient,
Afrique), Israël ou Japon. Pour toute autre région du monde,
choisissez World.
Canal Sélectionnez un canal pour votre réseau sans fil FortiWiFi-60.
Les utilisateurs de ce réseau doivent configurer leurs
ordinateurs pour utiliser le même canal. Le choix des canaux
dépend de la région sélectionnée dans Géographie. Voir
« Domaines régulatoires » à la page 92 pour toute information
sur l’affectation des canaux.
SSID Entrez le nom du réseau sans fil émis par le FortiWiFi-60. Les
utilisateurs de ce réseau doivent configurer leurs ordinateurs
pour se connecter au réseau qui émet ce nom de réseau.
SSID Broadcast Sélectionnez Activer pour que le FortiWiFi-60 émette son
SSID. (En mode Point d’Accès uniquement).
Security Mode Sélectionnez WEP64 ou WEP128 pour une utilisation WEP.
Sélectionnez WPA Pre-shared Key ou WPA Radius pour une
utilisation WPA (en mode Point d’Accès uniquement). Les
utilisateurs du réseau sans fil du FortiWiFi-60 doivent
configurer leurs ordinateurs avec les mêmes paramètres.

01-30001-0203-20060424
Clé Pour une clé WEP de 64 bits, entrez 10 symboles
hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez
26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du
réseau sans fil doivent configurer leurs ordinateurs avec la
même clé.
Pre-Shared Key Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé
partagée. Les utilisateurs de ce réseau sans fil doivent
configurer leurs ordinateurs avec la même clé.
Radius Server Name Pour le mode sécurisé WPA Radius, sélectionnez dans la liste
le nom du serveur Radius. Le serveur Radius doit être
configuré dans Utilisateur > RADIUS. Pour plus
d’informations, voir « Serveurs RADIUS » à la page 326.
Avancés Cliquez sur Avancés pour ouvrir et fermer la section des
paramètres avancés du Wireless. Les valeurs par défaut
fonctionnent très bien dans la plupart des situations. Si
nécessaire, modifiez les paramètres pour résoudre des
problèmes de performance. Les paramètres avancés sont
décrits ci-dessous. (En mode Point d’Accès uniquement).
Puissance Tx Définit le niveau de puissance de l’émetteur. La valeur par
défaut est positionnée sur la puissance maximum, 31 dBm.
Beacon Interval Définit l’intervalle entre les paquets beacon. Les Points
d’Accès émettent les beacons ou Traffic Indication Messages
(TIM) pour synchroniser les réseaux sans fil. Si de grandes
interférences sont présentes, il est utile de diminuer le Beacon
Interval pour améliorer la performance du réseau. Dans le cas
contraire, vous pouvez augmenter cette valeur.
RTS Threshold Le seuil RTS (Request to Send) détermine le temps d’attente
du boîtier pour la reconnaissance CTS (Clear to Send) d’un
autre équipement sans fil.
Fragmentation Threshold Détermine la taille maximum d’un paquet de données avant
que celui-ci ne soit fragmenté en deux ou plusieurs paquets.
La réduction de ce seuil améliore la performance dans des
environnements soumis à de hautes interférences.
Paramètres sans fil du système (FortiWiFi-60A et 60AM)

Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres
d’un LAN sans fil.
Illustration 37 : Paramètres Sans Fil – FortiWiFi-60A et FortiWiFi-60AM
Mode d’Opération Le mode d’opération en cours. Cliquez sur Changer pour le

modifier. En mode Point d’Accès, le FortiWiFi agit comme un

01-30001-0203-20060424
point d’accès sans fil auquel peuvent se connecter plusieurs
utilisateurs. En mode Client le boîtier est configuré pour se
connecter à un autre réseau sans fil en tant que client.
Géographie Sélectionnez votre région pour déterminer les canaux
disponibles. Vous devez choisir entre Americas (les deux
continents américains), EMEA (Europe, Moyen Orient,
Afrique), Israël ou Japon. Pour toute autre région du monde,
choisissez World.
Canal Sélectionnez un canal pour votre réseau sans fil FortiWiFi. Les
pour utiliser le même canal. Le choix des canaux dépend de la
région sélectionnée dans Géographie. Voir « Domaines
régulatoires » à la page 92 pour toute information sur
l’affectation des canaux.
Puissance Tx Définit le niveau de puissance de l’émetteur. La valeur par
défaut est positionnée sur la puissance maximum, 31 dBm.
Beacon Interval Définit l’intervalle entre les paquets beacon. Les Points
d’Accès émettent les beacons ou Traffic Indication Messages
(TIM) pour synchroniser les réseaux sans fil. Si de grandes
interférences sont présentes, il est utile de diminuer le Beacon
Interval pour améliorer la performance du réseau. Dans le cas
contraire, vous pouvez augmenter cette valeur.
Liste des Interfaces Wireless
Interface Le nom de l’interface WLAN. Sélectionnez le nom pour éditer
l’interface.
Adresse MAC L’adresse MAC de l’interface Wireless.
SSID Entrez le nom du réseau sans fil émis par le FortiWiFi. Les
pour se connecter au réseau qui émet ce nom de réseau.
SSID Broadcast Un signal vert indique que le FortiWiFi émet son SSID. (En
mode Point d’Accès uniquement).
Security Mode WEP64, WEP128, WPA Pre-shared Key, WPA Radius ou
none. L’utilisation WPA est disponible en mode Point d’Accès
uniquement. Les utilisateurs du réseau sans fil doivent
configurer leurs ordinateurs avec les mêmes paramètres.
Filtrage des MAC

Sélectionnez Système > Wireless > Filtre MAC pour autoriser ou rejeter l’accès
sans fil aux utilisateurs en fonction de leur adresse MAC.

01-30001-0203-20060424
Illustration 38 : Filtre MAC
Filtrage des MAC Pour activer le filtrage, cochez la case Activer.

Accès des PCs non listés Permet d’autoriser ou de rejeter l’accès aux adresses
ci-dessous MAC non répertoriées.
Adresses MAC Entrez l’adresse MAC à filtrer.
Autoriser ou Rejeter Permet d’autoriser ou de rejeter l’accès à cette adresse
MAC.
Ajouter Ajoute l’adresse MAC dans la Liste d’Autorisation ou dans
la Liste de Rejet en fonction du choix émis.
Liste d’Autorisation Liste des adresses MAC autorisées à accéder au réseau
sans fil.
Liste de Rejet Liste des adresses MAC rejetées de l’accès au réseau
sans fil.
Les boutons Flèches Déplace une adresse MAC d’une liste à l’autre.
Supprimer (sous la Liste Supprime les adresses MAC sélectionnées de la
d’Autorisation) Liste d’Autorisation.
Supprimer (sous la Liste Supprime les adresses MAC sélectionnées de la
de Rejet) Liste de Rejet.
Surveillance du module sans fil

Sélectionnez Système > Wireless > Monitor pour voir qui est connecté à votre
LAN sans fil. Cette fonctionnalité est seulement disponible en mode de sécurité
WPA.
Illustration 39 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60)

01-30001-0203-20060424
Illustration 40 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60A et
60AM)
Statistiques Informations statistiques sur les performances sans

fil pour chaque WLAN. Uniquement disponible sur
les FortiWiFi-60A et FortiWiFi-60AM.
AP Name Le SSID de l’interface WLAN.
Signal Strength (dBm) L’intensité du signal du client.
Noise (dBm) Le niveau de bruit reçu.
S/N (dB) Le ratio signal/bruit, exprimé en décibels, est calculé
à partir de l’intensité du signal et du niveau de bruit.
Rx (KBytes) Le montant de données en KiloOctets reçus pendant
la session.
Tx (KBytes) Le montant de données en KiloOctets envoyés
pendant la session.
Clients Le nombre de clients connectés au WLAN et des
informations à leur propos.
Adresse MAC L’adresse MAC du client sans fil connecté.
Adresse IP L’adresse IP affectée au client sans fil connecté.
AP Name Le nom du WLAN auquel le client est connecté.
Disponible uniquement sur les FortiWiFi-60A et
FortiWiFi-60AM.
ID L’ID du client connecté utilisant le mode sécurisé
WPA RADIUS. Ce champ reste blanc si le client
utilise les modes sécurisés WPA Pre-Shared Key ou
WEP.
Disponible uniquement sur le FortiWiFi-60.

01-30001-0203-20060424
Système DHCP
Cette section décrit l’utilisation du protocole DHCP fournissant une configuration
réseau automatique pratique pour vos clients.

• Serveurs et relais FortiGate DHCP
• Configuration des services DHCP
• Visualisation des baux d’adresses
Serveurs et relais DHCP FortiGate

Le protocole DHCP permet aux hôtes d’obtenir automatiquement leur adresse IP.
Eventuellement, ils peuvent aussi obtenir les paramètres de la passerelle par
défaut et du serveur DNS. Une interface FortiGate ou une sous-interface VLAN
peut pourvoir les services DHCP suivants :
• Serveurs DHCP réguliers pour des connexions Ethernet régulières
• Serveurs DHCP IPSec pour des connexions IPSec (VPN)
• Relais DHCP pour des connexions Ethernet régulières ou IPSec (VPN)
Une interface ne peut pas fournir en même temps un serveur et un relais pour des
connexions du même type (régulier ou IPSec).
Remarque : Vous pouvez configurer un serveur DHCP régulier sur une interface seulement
si celle-ci possède une adresse IP statique. Vous pouvez configurer un serveur DHCP
IPSec sur une interface qui possède une adresse IP statique ou dynamique.
Vous pouvez configurer un ou plusieurs serveurs DHCP sur n’importe quelle

interface FortiGate. Un serveur DHCP affecte dynamiquement des adresses IP aux
hôtes du réseau connectés à cette interface. Les ordinateurs hôtes doivent être
configurés de manière à obtenir leurs adresses IP via DHCP.
Dans le cas où une interface est connectée à de multiples réseaux via des
routeurs, vous pouvez ajouter un serveur DHCP pour chaque réseau. La plage
d’adresses IP pour chaque serveur DHCP doit correspondre à la plage d’adresses
du réseau. Les routeurs doivent être configurés pour les relais DHCP.
Pour configurer un serveur DHCP, voir « Configuration d’un serveur DHCP » à la

page 101.
Vous pouvez configurer une interface FortiGate comme relais DHCP. L’interface
transfère alors les requêtes DHCP des clients DHCP vers un serveur externe
DHCP, et renvoient ensuite les réponses aux clients. Le serveur DHCP doit avoir
un routage approprié de manière à ce que ses paquets-réponses aux clients
DHCP arrivent au boîtier FortiGate.
Pour en savoir plus sur la configuration d’un relais DHCP, voir « Configuration
d’une interface comme relais DHCP » à la page 101.

01-30001-0203-20060424
Configuration des services DHCP
Sélectionnez Système > DHCP > Service pour configurer les services DHCP.
Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou
d’ajouter autant de serveurs DHCP que nécessaire.
Sur les modèles FortiGate 50 et 60, un serveur DHCP est configuré par défaut sur
l’interface Interne, avec les paramètres suivants :
Plage d’adresses IP 192.168.1.110 à 192.168.1.210

Masque de réseau 255.255.255.0
Passerelle par défaut 192.168.1.99
Durée du bail 7 jours
Serveur DNS 1 192.168.1.99
Vous pouvez désactiver ou modifier cette configuration du serveur DHCP par

défaut.
Ces paramètres sont appropriés pour l’adresse IP par défaut 192.168.1.99 de

l’interface Interne. Si vous changez cette adresse vers un réseau différent, il faut
également modifier les paramètres du serveur DHCP pour que ceux-ci
correspondent à la nouvelle adresse.
Illustration 41 : Liste des services DHCP – Exemple d’un FortiGate-200A
Interface Liste des interfaces FortiGate. Cliquez sur la flèche

bleue à côté de chacune des interfaces pour
visualiser les relais et serveurs.
Nom du serveur/IP du relais Nom d’un serveur FortiGate DHCP ou adresse IP
d’un serveur DHCP accédé via un relais.
Type Type de relais ou serveur DHCP : Régulier ou IPSec.
Activer Une icône V verte indique que le serveur ou relais est
activé.
Icône d’ajout d’un serveur DHCP Permet de configurer et d’ajouter un serveur DHCP
sur cette interface.
Icône Editer Permet d’éditer la configuration d’un relais ou serveur
DHCP.
Icône de Suppression Permet de supprimer un serveur DHCP.

01-30001-0203-20060424
Configuration d’une interface comme relais DHCP
Sélectionnez Système > DHCP > Service et cliquez sur l’icône Editer pour voir ou
modifier la configuration du relais DHCP d’une interface.
Illustration 42 : Editer les paramètres du relais DHCP
Nom de l’interface Le nom de l’interface sélectionnée.

Activer Active l’agent relais DHCP sur cette interface.
Type Sélectionnez le type de service DHCP requis.
Regular Configurez l’interface comme relais DHCP pour les
ordinateurs du réseau connectés à cette interface.
IPSEC Configurez l’interface comme relais DHCP seulement
pour les clients distants VPN avec une connexion VPN
IPSec à cette interface.
Adresse IP du Serveur DHCP Entrez l’adresse IP du serveur DHCP qui répondra aux
requêtes DHCP des ordinateurs du réseau connectés à
l’interface.
Configuration d’un serveur DHCP

Sélectionnez Système > DHCP > Service pour configurer un serveur DHCP sur
une interface. Sélectionnez l’icône en croix Ajouter un Serveur DHCP à côté de
l’interface ou cliquez sur Editer à côté d’un serveur DHCP existant pour en modifier
les paramètres.

01-30001-0203-20060424
Illustration 43 : Options du Serveur
Nom Entrez un nom pour le serveur DHCP.

Activer Active le serveur DHCP.
Type Sélectionnez Régulier ou IPSEC.
Il n’est pas possible de configurer un serveur DHCP Régulier
sur une interface qui possède une adresse IP dynamique.
Plage IP Entrez le début et la fin de la plage d’adresses
IP que ce serveur DHCP affecte aux clients DHCP.
Masque de réseau Entrez le masque de réseau que le serveur DHCP affecte aux
clients DHCP.
Routeur par défaut Entrez l’adresse IP de la passerelle par défaut que le serveur
DHCP affecte aux clients DHCP.
Domaine Entrez le domaine que le serveur DHCP affecte aux clients
DHCP.
Durée du Bail Sélectionnez Illimitée pour une durée de bail illimitée ou entrez
le temps, en jours, heures, minutes, après lequel un client
DHCP devra demander au serveur DHCP de nouveaux
paramètres. La durée du bail peut varier entre 5 minutes et
100 jours.
Avancés Cliquez sur Avancés pour configurer les options avancées.
Serveur DNS 1 Entrez les adresses IP de 1 à 3 serveurs DNS que le
Serveur DNS 2 serveur DHCP affecte aux clients DHCP.
Serveur DNS 3
Serveur WINS 1 Ajoutez les adresses IP d’un ou deux serveurs WINS que le

01-30001-0203-20060424
Serveur WINS 2 serveur DHCP affecte aux clients DHCP.
Option 1 Entrez jusqu’à trois options personnalisées DHCP qui peuvent

Option 2 être envoyées par le serveur DHCP. Code est le code option
Option 3 DHCP compris entre 1 et 255. L’option est un chiffre pair
hexadécimal et n’est pas requis pour certains codes option.
Pour plus d’informations détaillées à propos des options
DHCP, voir la RFC 2132, Options DHCP et BOOTP Vendor
Extensions.
Exclure les plages IP
Ajouter Permet d’ajouter une plage d’adresses IP à exclure. Vous
pouvez ajouter jusqu’à 16 plages d’adresses IP à exclure, que
le serveur DHCP n’affectera donc pas aux clients DHCP. Les
plages ne peuvent pas dépasser 65536 adresses IP.
Début de l’adresse IP Entrez la première adresse IP de la plage à exclure.
Fin de l’adresse IP Entrez la dernière adresse IP de la plage à exclure.
Icône de Suppression Supprime la plage à exclure.
Visualisation des baux d’adresses

Sélectionnez Système > DHCP > Baux d’adresses (Address Leases) pour
visualiser les adresses IP que les serveurs DHCP ont affectées et les adresses
MAC client correspondantes.
Illustration 44 : Liste des baux d’adresses
Interface Sélectionnez l’interface pour laquelle vous voulez voir la liste

des baux.
Réactualiser Sélectionnez Rafraîchir pour mettre à jour la liste des baux
d’adresses.
Adresse IP L’adresse IP affectée.
Adresse MAC L’adresse MAC de l’équipement auquel l’adresse IP est
affectée.
Expiration du bail Date et heure d’expiration du bail DHCP.
Réservation d’adresses IP pour clients spécifiques

Vous pouvez réserver une adresse IP pour un client spécifique identifié par
l’adresse MAC de l’équipement du client et le type de connexion, Ethernet régulier
ou IPSec. Le serveur DHCP affecte toujours l’adresse réservée à ce client. Vous
pouvez définir jusqu’à 50 adresses réservées.
Utilisez la commande CLI system dhcp reserved-address. Pour plus

d’informations, référez-vous au FortiGate CLI Reference.

01-30001-0203-20060424
Configuration du Système
Cette section décrit la configuration de plusieurs fonctionnalités non liées au
réseau, telles que cluster HA, messages de remplacement personnalisés, timeouts
et langue de l’interface d’administration web.

• Haute Disponibilité
• SNMP
• Messages de remplacement
• Mode de fonctionnement des VDOM et accès administratif
Les HA, SNMP et messages de remplacement font partie de la configuration

globale du FortiGate. La modification du mode de fonctionnement s’applique
indépendamment à chaque VDOM.
Haute Disponibilité
Cette section fournit une description générale de la Haute Disponibilité FortiGate et
du clustering virtuel HA FortiGate. Les options de configuration et quelques
procédures de configuration et de maintenance de base de la Haute Disponibilité
sont également détaillées dans cette section.
Remarque : Pour vous informer sur la manière de configurer et d’opérer un cluster HA

FortiGate, reportez-vous au Guide utilisateur des fonctions de haute disponibilité FortiGate
et à la Base de Connaissance de Fortinet.

• Aperçu sur la Haute Disponibilité
• Protocole de Clustering FortiGate (FGCP)
• Modes HA (actif-actif et actif-passif)
• Compatibilité de la HA FortiGate avec DHCP et PPPoE
• Aperçu sur le clustering virtuel
• Aperçu sur le maillage intégral HA
• Configuration d’options HA (clustering virtuel inactivé)
• Configuration d’options HA pour clustering virtuel
• Options HA
• Liste des membres d’un cluster
• Visualisation des statistiques HA
• Modification du nom d’hôte et de la priorité du membre subordonné
• Configuration d’un cluster HA
• Configuration d’un clustering virtuel

01-30001-0203-20060424
• Administration d’un cluster
• Déconnexion d’un membre du cluster de son cluster
• Adresses MAC d’un cluster virtuel
• Exemple de configuration d’un clustering virtuel
• Administration de clusters virtuels
• Exemple de configuration en maillage intégral HA
• Maillage intégral HA pour un clustering virtuel
• HA et interfaces redondantes
• HA et interfaces agrégées 802.3ad
Aperçu sur la Haute Disponibilité

La Haute Disponibilité (HA) FortiGate offre une solution aux deux exigences les
plus critiques des réseaux d’entreprises : une fiabilité perfectionnée et une
performance croissante.
La Haute Disponibilité FortiGate s’implémente en configurant deux ou plusieurs

équipements FortiGate afin qu’ils opèrent en un cluster HA. Pour le réseau, ce
cluster HA s’affiche comme un seul équipement FortiGate, traitant le trafic du
réseau et fournissant les services de sécurité tels que pare-feu, VPN, prévention
contre les intrusions, analyse des virus, filtrage web et antispam.
Illustration 45 : Cluster HA composé de deux boîtiers FortiGate-3600
Au sein d’un cluster, les équipements individuels FortiGate sont appelés membres.
Ces membres partagent les informations sur leur état et configuration. Dans le cas
d’une défaillance de l’un des membres, les autres membres du cluster prennent en
charge l’activité du membre en panne. Après la panne, le cluster continue de traiter
le trafic réseau et de fournir les services FortiGate sans interruption du service.

01-30001-0203-20060424
Chaque cluster FortiGate est formé d’un membre primaire (aussi appelé maître) et
d’un ou plusieurs membres subordonnés (aussi appelés esclave ou redondants).
Le membre primaire contrôle le fonctionnement du cluster. Les rôles joués par les
membres primaire et subordonné(s) dans le cluster dépendent du mode dans
lequel le cluster opère. Voir « Modes HA (actif-actif et actif-passif) » à la page 107.
L’avantage qu’offre le cluster de fournir continuellement un service pare-feu, même

dans le cas d’une défaillance, est appelé la redondance. La redondance HA
FortiGate signifie que votre réseau ne doit pas s’appuyer sur un FortiGate pour
continuer de fonctionner. Vous pouvez installer des membres additionnels et
former un cluster HA. Les autres membres du cluster prendront le relais en cas de
défaillance d’un des membres.
Une deuxième fonctionnalité HA, appelée l’équilibrage de charge, sert à augmenter

les performances pare-feu. Un cluster de membres FortiGate peut augmenter la
performance du réseau grâce à un partage de la charge que représentent le
traitement du trafic et la fourniture des services de sécurité. Le cluster s’affiche sur
le réseau comme un seul équipement, ce qui augmente ses performances sans
apporter de modifications à votre configuration réseau.
Un clustering virtuel étend les fonctionnalités HA pour fournir une redondance et un

équilibrage de charge pour chaque domaine virtuel activé dans le cadre d’un
cluster de FortiGate. Un cluster virtuel se compose d’un cluster de deux membres
FortiGate opérant avec des domaines virtuels. Le trafic sur différents domaines
virtuels est réparti entre les membres du cluster.
Protocole de Clustering FortiGate (FGCP)

Fortinet réalise de la haute disponibilité grâce à ses ressources hardware
redondantes et son Protocole de Clustering FortiGate (FGCP). Chaque membre
FortiGate d’un cluster HA applique les mêmes règles globales de sécurité et
partage les mêmes paramètres de configuration. Vous pouvez totaliser jusqu’à 32
membres FortiGate dans un cluster HA. Tous les membres FortiGate d’un cluster
HA doivent être du même modèle et fonctionner avec la même version logicielle
FortiOS.
Les membres FortiGate d’un cluster utilisent les interfaces Ethernet pour
communiquer des informations sur la session du cluster, synchroniser la
configuration et la table de routage du cluster et créer des rapports sur les statuts
des membres individuels du cluster. On appelle ces interfaces Ethernet du cluster
les interfaces de heartbeat, et les communications entre les membres du cluster le
heartbeat HA. Grâce à ce dernier, les membres du cluster sont constamment en
train de communiquer sur les statuts du HA pour assurer un bon fonctionnement
du cluster.
La Haute Disponibilité FortiGate et le FGCP supportent la réplication de lien, la

réplication matérielle et la réplication du heartbeat HA.
Réplication de lien Si un des liens vers un membre FortiGate d’un cluster

HA échoue, toutes les fonctions, connexions pare-feu
1
établies et sessions VPN IPSec sont maintenues par
les autres membres FortiGate du cluster HA. Pour plus
d’informations sur l’échec de lien, voir « Surveillance
des ports » à la page 116.
1
La Haute Disponibilité ne fournit pas de réplication de sessions pour les services PPPoE, DHCP, PPTP et
P2TP.

01-30001-0203-20060424
Réplication matérielle Si un des membres FortiGate d’un cluster HA est
défaillant, toutes les fonctions, connexions pare-feu
établies et sessions VPN IPSec sont maintenues par les
autres membres FortiGate du cluster HA.
Réplication du heartbeat HA Vous pouvez configurer de multiples interfaces comme

interfaces heartbeat HA. Si une interface heartbeat HA
échoue, le heartbeat HA est transféré vers une autre
interface.
Modes HA (actif-actif et actif-passif)

Les membres FortiGate peuvent être configurés pour opérer en mode HA actif-actif
(A-A) ou actif-passif (A-P). Les clusters actif-actif et actif-passif fonctionnent aussi
bien en mode NAT/Route que Transparent.
Un cluster HA actif-passif (A-P), aussi appelé réplication HA, se compose d’un

membre primaire qui analyse le trafic et d’un ou plusieurs membre(s)
subordonné(s). Ces derniers sont connectés au réseau et au membre primaire
mais ne traitent pas le trafic.
Lorsqu’un cluster opère en mode actif-passif , la mention (a-p) apparaît sur les
écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary s’affiche sur l’écran LCD du membre primaire. Les membres
subordonnés affichent sur leur écran LCD la mention slave <priority_id> où
<priority_id> est la place prioritaire du membre subordonné dans le cluster.
Dans l’exemple d’un cluster composé de trois membres, les écrans afficheront :
• primary (a-p)
• slave 1 (a-p)
• slave 2 (a-p)
Le mode HA actif-actif (A-A) équilibre la charge du traitement du trafic vers tous les
membres du cluster. Un cluster HA actif-actif se compose d’un membre primaire et
d’un ou plusieurs membre(s) subordonné(s) qui traitent ensemble tout le trafic. Le
membre primaire utilise un algorithme d’équilibrage de charge pour distribuer le
traitement à tous les membres du cluster.
Par défaut un cluster actif-actif HA FortiGate équilibre la charge des sessions

d’analyse des virus entre tous les membres du cluster. Tous les autres trafics sont
traités par le membre primaire. Vous pouvez configurer un cluster pour qu’il
équilibre la charge du trafic TCP et l’analyse de virus parmi tous les membres et
ce, à l’aide de l’interface de ligne de commande.
Lorsqu’un cluster opère en mode actif-actif, la mention (a-a) apparaît sur les
écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary s’affiche sur l’écran LCD du membre primaire. Les membres
subordonnés affichent sur leur écran LCD la mention slave <priority_id> où
<priority_id> est la place prioritaire du membre subordonné dans le cluster.
Dans l’exemple d’un cluster composé de trois membres, les écrans afficheront :
• primary (a-a)
• slave 1 (a-a)

01-30001-0203-20060424
• slave 2 (a-a)
Pour plus d’informations sur le FGCP reportez-vous au Guide utilisateur des

fonctions de haute disponibilité FortiGate et à la Base de Connaissance de
Fortinet.
Compatibilité de la HA FortiGate avec DHCP et PPPoE

La Haute Disponibilité FortiGate n’est pas compatible avec les protocoles PPP tels
que DHCP ou PPPoE. Si une ou plusieurs interfaces de l’équipement FortiGate
sont configurées dynamiquement avec DHCP ou PPPoE, vous ne pouvez pas
passer en mode HA. Par ailleurs, si vous opérez votre cluster HA FortiGate, vous
ne pouvez pas modifier une interface du cluster pour la configurer dynamiquement
avec DHCP ou PPPoE.
La configuration d’une interface comme serveur DHCP ou relais DHCP n’est pas
affectée par une opération HA. Pour toute information sur les serveurs et relais
DHCP, voir « Système DHCP » à la page 99.
PPTP et L2TP sont supportés en mode HA. Vous pouvez configurer les
paramètres PPTP et L2TP et ajouter des règles pare-feu pour permettre le
passage de PPTP et L2TP. Cependant, lors d’une réplication HA, toutes les
sessions actives PPTP et L2TP sont perdues et doivent être redémarrées après la
réplication.
Aperçu sur le clustering virtuel

Si des domaines virtuels sont activés dans le cadre d’un cluster, la HA FortiGate
opère via un clustering virtuel. Le clustering virtuel est une extension du FGCP
pour les membres FortiGate opérant avec des domaines virtuels. Un clustering
virtuel fonctionne en mode actif-passif pour fournir une protection sous la forme
d’une redondance entre deux instances d’un domaine virtuel opérant sur deux
membres différents du cluster. Distribuer le traitement de domaines virtuels entre
deux membres du cluster permet également de configurer le clustering virtuel pour
fournir un équilibrage de charge entre les membres du cluster.
Clustering virtuel et relais

Le clustering virtuel opère sur deux (et seulement deux) FortiGate avec des
domaines virtuels activés. Chaque domaine virtuel crée son propre cluster. Tout le
trafic envoyé et reçu par le domaine virtuel reste dans le domaine virtuel et est
traité par lui. Un membre du cluster est le membre primaire de chaque domaine
virtuel et l’autre membre du cluster est le membre subordonné de chaque domaine
virtuel. Le membre primaire traite tout le trafic du domaine virtuel. Le membre
subordonné ne traite pas le trafic sauf dans le cas où le membre primaire tombe en
panne. Le membre subordonné prend alors le relais, traitant le trafic passant
précédemment par le membre primaire.
Le heartbeat HA fournit les mêmes services HA dans une configuration de

clustering virtuel que dans une configuration HA standard. Un groupement
d’interfaces heartbeat de HA fournit ses services heartbeat HA pour tous les
domaines virtuels du cluster.

01-30001-0203-20060424
Clustering virtuel et équilibrage de charge
Bien que le clustering virtuel opère en mode actif-passif, vous pouvez configurer
une forme d’équilibrage de charge en configurant le clustering virtuel pour qu’il
distribue le trafic entre les deux membres du cluster. Pour configurer cet
équilibrage de charge un membre du cluster doit être défini comme membre
primaire pour quelques domaines virtuels et l’autre membre du cluster doit être
défini comme membre primaire des domaines virtuels restants. Une distribution
égale des domaines virtuels entre les deux membres du cluster permet à la charge
que représente le traitement du réseau d’être partagé, de manière équilibrée, entre
les deux membres du cluster
Dans cette configuration, la réplication reste la même. Si l’un des membres du

cluster tombe en panne, tout le traitement est pris en charge par le membre
restant. Il n’y a pas d’interruption du trafic pour les domaines virtuels pour lesquels
le membre restant était le membre primaire. Le trafic risque d’être interrompu
temporairement pour les domaines virtuels pour lesquels le membre en panne était
le membre primaire lorsque le traitement passe vers le membre restant.
Aperçu sur le maillage intégral HA

Les modèles FortiGate 800 et plus peuvent utiliser des interfaces redondantes
pour créer une configuration de cluster appelée maillage intégral HA. Le maillage
intégral HA est une méthode de réduction du nombre de points uniques de panne
sur un réseau comprenant un cluster HA.
Lorsque deux ou plusieurs boîtiers FortiGate sont connectés à un réseau dans un

cluster HA, la fiabilité de ce réseau est améliorée grâce au fait que le cluster HA
substitue un équipement FortiGate à un point unique de panne. Dans un cluster,
un boîtier FortiGate est remplacé par un cluster de deux ou plusieurs équipements
FortiGate.
Cependant, même dans le cas d’un cluster, des points uniques de panne potentiels
restent. Les interfaces de chaque membre du cluster se connectent à un seul
commutateur offrant une seule connexion au réseau. Si le commutateur tombe en
panne ou si la connexion entre le commutateur et le réseau échoue, le service vers
le réseau est interrompu.

01-30001-0203-20060424
Illustration 46 : Points uniques de panne dans une configuration stand alone et une
configuration de réseau HA
Le cluster HA améliore la fiabilité du réseau car un commutateur n’étant pas un

composant aussi complexe qu’un boîtier FortiGate, il est moins enclin à tomber en
panne. Cependant, une meilleure fiabilité est possible, si la configuration inclut des
connexions redondantes entre le cluster et les réseaux auxquels il est connecté.
Cette configuration redondante est réalisable grâce à des interfaces redondantes

et une configuration en maillage intégral HA. Dans ce type de configuration un
cluster HA composé de deux ou plusieurs membres FortiGate est connecté au
réseau à l’aide d’interfaces et de commutateurs redondants. Chaque interface
redondante est connectée à deux commutateurs, tout deux connectés au réseau.
La configuration en maillage intégral qui en résulte assure des connexions

redondantes entre tous les composants du réseau. Un exemple est donné dans
l’illustration 47. Si un seul composant ou une seule connexion tombe en panne, le
trafic est aiguillé vers le composant et la connexion redondants.

01-30001-0203-20060424
Illustration 47 : Configuration en Maillage intégral HA
Maillage intégral HA et équipements hearbeat redondants

Une configuration en maillage intégral HA comprend également des interfaces de
heartbeat HA redondantes. Au moins deux interfaces heartbeat devraient être
sélectionnées dans la configuration HA et deux groupes d’interfaces de heartbeat
HA devraient être connectées. Les équipements de heartbeat HA n’ont pas à être
configurés comme interfaces redondantes parce que le FGCP traite la réplication
entre interfaces de heartbeat.
Maillage intégral HA, interfaces redondantes et interfaces

agrégées 802.3ad
Le maillage intégral HA est supporté aussi bien par les interfaces redondantes que
par les interfaces agrégées 802.3ad. Dans la plupart des cas, on utilise des
interfaces redondantes. Cependant, si votre commutateur supporte les interfaces
agrégées 802.3ad et séparent les tronçons multiples, vous pouvez utiliser des
interfaces agrégées à la place d’interfaces redondantes pour un maillage intégral
HA. Un des avantages des interfaces agrégées consiste dans le fait que toutes les
interfaces physiques de l’interface agrégée peuvent recevoir et envoyer des
paquets. Il en résulte une plus grande capacité de la bande passante du cluster.
En général les interfaces redondantes et agrégées se composent de deux

interfaces physiques. Toutefois, vous pouvez ajouter plus de deux interfaces
physiques à une interface redondante ou agrégée. L’ajout de plusieurs interfaces

01-30001-0203-20060424
peut augmenter la protection et la capacité de la bande passante dans le cas d’une
utilisation d’interfaces agrégées 802.3ad.
Configuration d’options HA (clustering virtuel inactivé)

Pour configurer les options HA, et joindre un boîtier FortiGate à un cluster HA,
sélectionnez Système > Configuration > HA.
Pour modifier les paramètres de configuration du membre primaire d’un cluster en

fonction, sélectionnez Système > Configuration > HA pour afficher la liste des
membres du cluster. Cliquez sur l’icône Editer pour le membre maître (primaire)
dans la liste des membres du cluster. Voir « Liste des membres d’un cluster » à la
page 120 pour plus d’informations sur cette liste.
Illustration 48 : Configuration HA d’un FortiGate-5002FB2
Pour modifier le nom d’hôte et la priorité des membres subordonnés dans un

cluster en fonction, sélectionnez Système > Configuration > HA pour afficher la
liste des membres du cluster. Cliquez sur l’icône Editer d’un membre subordonné
pour le configurer. Voir « Modification du nom d’hôte et de la priorité d’un membre
subordonné » à la page 123 pour plus d’informations sur la configuration de
membres subordonnés.
Configuration d’options HA pour clustering virtuel
Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des
clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mêmes que les
options classiques HA. Toutefois, les clusters virtuels comprennent les options de
partitionnement de domaines virtuels. Les différences entre les options de configuration pour
un HA régulier et pour un clustering virtuel HA sont parcourues ci-dessous.

01-30001-0203-20060424
Pour configurer les options HA d’un équipement FortiGate avec des domaines
virtuels activés, connectez-vous en tant qu’administrateur admin, sélectionnez
Configuration Globale et allez dans Système > Configuration > HA.
Pour modifier les paramètres de configuration du membre primaire dans un cluster

en fonction avec des domaines virtuels activés, connectez-vous en tant
qu’administrateur admin, sélectionnez Configuration Globale et allez dans
Système > Configuration > HA pour visualiser la liste des membres du cluster.
Cliquez sur l’icône Editer du membre maître (ou primaire). Voir « Liste des
membres d’un cluster » à la page 120.
Illustration 49 : Configuration d’un cluster virtuel HA d’un FortiGate 5001
Pour modifier le nom d’hôte et la priorité des membres subordonnés d’un cluster
en fonction avec des domaines virtuels activés, connectez-vous en tant
qu’administrateur admin, sélectionnez Configuration Globale et allez dans
Système > Configuration > HA pour visualiser la liste des membres du cluster.
Cliquez sur l’icône Editer d’un membre subordonné (ou redondant) pour le
configurer. Voir « Modification du nom d’hôte et de la priorité d’un membre
subordonné » à la page 123.

01-30001-0203-20060424
Illustration 50 : Modification du nom d’hôte et de la priorité d’un membre subordonné
Options HA
La configuration d’options HA permet d’adjoindre un boîtier FortiGate à un cluster
ou de modifier la configuration d’un cluster opérationnel et d’un de ses membres.
Les options HA suivantes peuvent être configurées :

• Mode
• Priorité du membre
• Nom du Groupe
• Mot de Passe
• Activer le maintien de la session
• Surveillance des ports
• Interface de Heartbeat
• Partitionnement de domaines virtuels
Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilité FortiGate reprend des procédures de configuration globales HA et
donne des exemples détaillés de configuration.
Mode
Sélectionnez un mode HA pour le cluster ou repasser les équipements FortiGate
du cluster au mode stand alone. Lors de la configuration d’un cluster, il est
nécessaire de définir le même mode HA pour tous les membres du cluster HA.
Mode Stand alone Le mode de fonctionnement par défaut. Dans ce mode, le

boîtier FortiGate n’opère pas en mode HA. Sélectionnez le
mode Standalone si vous désirez que ce membre du cluster
ne fonctionne plus en mode HA.
Actif-actif Sélectionnez ce mode pour configurer l’équilibrage de charge
ou la réplication HA sur un cluster. En mode actif-actif chaque
cluster traite le trafic activement et contrôle le statut des autres
membres du cluster. Le membre primaire contrôle l’équilibrage
de charge parmi tous les membres du cluster. Vous ne pouvez
pas sélectionner actif-actif si vous configurez un cluster virtuel.
Actif-passif Sélectionnez ce mode pour configurer une réplication HA sur
un cluster. En mode actif-passif le membre primaire traite
toutes les connexions. Les autres membres du cluster
contrôlent passivement le statut du cluster et reste
synchronisés avec le membre primaire. Les clusters virtuels
doivent opérer en mode actif-passif.

01-30001-0203-20060424
La modification du mode HA d’un cluster en fonction entraîne la renégociation de
l’opération dans un nouveau mode et la probabilité de devoir sélectionner un
nouveau membre primaire.
Priorité de l’équipement
Facultativement, il est possible de donner à chaque membre du cluster un ordre de
priorité. De cette manière chaque membre peut être doté d’une priorité différente.
Pendant la négociation HA, le membre avec la plus haute priorité devient le
membre primaire.
La priorité n’est pas synchronisée parmi les membres du cluster. Dans un cluster
en fonction vous modifiez la priorité de l’équipement pour modifier la priorité de
chaque membre du cluster. A chaque modification de la priorité d’un membre du
cluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le
membre primaire.
La plage de priorité s’étend de 0 à 255. La priorité par défaut est de 128.
Lors de la configuration d’un cluster virtuel et dans le cas où vous avez ajouté des
domaines virtuels aux deux clusters virtuels, vous pouvez définir la priorité d’un
membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet à un
membre d’être par exemple le membre primaire du cluster virtuel 1 et le membre
subordonné du cluster virtuel 2. Pour plus d’informations, voir « Exemple de
configuration d’un clustering virtuel » à la page 139 et « Administration de clusters
virtuels » à la page 141.
Nom du groupe
Donnez un nom au cluster. Tous les membres du cluster doivent avoir le même
nom de groupe.
Mot de passe
Entrez un mot de passe pour le cluster. Le mot de passe doit être le même pour
tous les membres du cluster. La longueur maximum du mot de passe est de 15
caractères.
Dans le cas d’un réseau avec plusieurs clusters HA FortiGate, chaque cluster doit
avoir un mot de passe différent.
Activer le maintien de session

L’activation du maintien de session permet, en cas de défaillance du membre
primaire, que toutes les sessions soient reprises par le nouveau membre primaire.
Dans le cas où cette option est activée, les membres subordonnés maintiennent
des tables de session identiques à celle du membre primaire. Cela permet au
nouveau membre primaire de maintenir toutes les sessions de communication
actives en cas de panne du membre primaire original.
En cas d’inactivation du maintien de session, les membres subordonnés ne

maintiennent pas les tableaux de session. Dès lors, en cas de panne du membre
primaire, toutes les sessions sont interrompues et doivent être redémarrées par le
nouveau membre primaire.

01-30001-0203-20060424
Pour assurer une réplication, et donc une protection, performante, il est conseillé
d’activer le maintien de session. Si une telle protection n’est pas nécessaire,
l’inactivation de cette option peut réduire d’une part l’usage CPU HA et d’autre part
réduire l’usage de la bande passante du réseau heartbeat HA.
Surveillance des ports

L’activation de la surveillance des interfaces FortiGate permet de vérifier que les
interfaces sous contrôle fonctionnent correctement et sont bien connectées à leurs
réseaux. Si l’une de ces interfaces tombe en panne ou se déconnecte de son
réseau, l’interface quitte le cluster et une réplication de lien s’enclenche. Cette
réplication entraîne une re-direction du trafic traité par l’interface en panne vers la
même interface d’un autre membre du cluster qui possède toujours une connexion
au réseau. Ce membre devient le nouveau membre primaire.
Si vous arrivez à rétablir le flot du trafic à travers l’interface (par exemple si vous
reconnectez un câble déconnecté du réseau) l’interface rejoint alors le cluster.
Il est conseillé de mettre sous surveillance les seules interfaces connectées aux
réseaux. Une réplication pourrait avoir lieu si une interface non connectée est sous
surveillance.
Les interfaces qui sont susceptibles d’être mises sous surveillance apparaissent
dans la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent
être mises sous surveillance, y compris les interfaces redondantes et les interfaces
agrégées 802.3ad.
Pour toute information sur les interfaces redondantes, voir « Création d’une
interface redondante » à la page 67 et « HA et interfaces redondantes » à la page
149.
Pour toute information sur les interfaces agrégées 802.3ad, voir « Création d’une
interface agrégée 802.3ad » à la page 66 et « HA et interfaces redondantes » à la
page 149.
Les interfaces suivantes ne peuvent pas être mises sous surveillance (elles
n’apparaissent d’ailleurs pas dans la liste Port Monitor) :
• Les interfaces FortiGate qui comprennent un commutateur interne. Cela

concerne les interfaces internes de tous les modèles FortiGate-60 et FortiWiFi-
60, ainsi que les interfaces internes des FortiGate-100A et 200A. Cela
concerne également l’interface LAN du FortiGate-500A.
• Les sous-interfaces VLAN (voir « Aperçu sur les VLAN » à la page 84).
• Les interfaces VPN IPSec (voir « Aperçu du mode interface IPSec » à la page
294).
• Les interfaces physiques individuelles qui ont été ajoutées à une interface
redondante ou agrégée.
Si vous configurez un cluster virtuel, il est nécessaire de créer une configuration

différente de la surveillance des interfaces pour chaque cluster virtuel.
Généralement pour chaque cluster virtuel, seules sont placées sous surveillance
les interfaces ajoutées aux domaines virtuels de chaque cluster virtuel.

01-30001-0203-20060424
Interface de Heartbeat
Il est possible d’activer ou de désactiver la communication heartbeat HA pour
chaque interface du cluster. Vous devez sélectionner au moins une interface de
heartbeat. Si la communication heartbeat est interrompue, le cluster arrête le
traitement du trafic.
La communication heartbeat est définie par défaut sur deux interfaces (voir tableau
6). Vous pouvez désactiver le heartbeat HA pour chacune de ces interfaces ou
activer le heartbeat HA pour d’autres interfaces. Dans la plupart des cas, vous
pouvez maintenir la configuration de l’interface de heartbeat par défaut tant que
vous pouvez connecter les interfaces de heartbeat ensemble.
L’interface d’administration web FortiGate répertorie les interfaces de heartbeat par

ordre alphabétique. La première interface heartbeat sélectionnée dans la liste traite
tout le trafic heartbeat HA. Si cette interface tombe en panne ou se déconnecte,
l’interface suivante dans la liste prend le relais.
Le heartbeat HA communique des informations sur les sessions du cluster,

synchronise la configuration et la table de routage du cluster et engendre des
rapports individuels sur les statuts des membres du cluster. Le heartbeat HA
communique constamment des informations sur le statut HA pour assurer un bon
fonctionnement du cluster.
Vous pouvez activer des communications heartbeat pour des interfaces physiques,
mais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des
interfaces redondantes ou des interfaces agrégées 802.3ad. Ces types d’interfaces
n’apparaissent pas dans la liste des interfaces de heartbeat.
Activer le heartbeat HA pour plusieurs interfaces augmente la fiabilité. Si une

interface tombe en panne, le heartbeat HA est repris par une autre interface.
Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans
la mesure du possible, il est conseillé d’activer le trafic heartbeat HA sur les
interfaces utilisées uniquement pour le trafic heartbeat HA ou sur des interfaces
connectées à des réseaux moins occupés.
Les interfaces FortiGate qui comprennent un commutateur interne supportent la

configuration heartbeat HA. Cependant cette configuration est déconseillée pour
deux raisons :
• Pour des raisons de sécurité et pour économiser de la bande passante du

réseau, il est conseillé de maintenir le trafic heartbeat HA en dehors de votre
réseau interne.
• Des paquets heartbeat risquent d’être perdus si l’interface commutateur traite
de gros volumes de trafic. La perte de paquets heartbeat risquent d’entraîner
des réplications répétées inutiles.
Les modèles FortiGate avec des interfaces commutateur comprennent :
• L’interface interne de tous les modèles FortiGate-60 et FortiWiFi-60

• L’interface interne des FortiGate-100A et 200A
• L’interface LAN du FortiGate-500A

01-30001-0203-20060424
Tableau 6 : Configuration par défaut des interfaces de heartbeat pour tous les
modèles FortiGate
Modèle FortiGate Interfaces de heartbeat par défaut
Modèles FortiGate-60 et DMZ
FortiWiFi-60 WAN1
FortiGate-100 DMZ
External
FortiGate-100A DMZ 2
External
FortiGate-200 DMZ
External
FortiGate-200A DMZ 2
External
FortiGate-300 DMZ/HA
External
FortiGate-300A Port 3
Port 4
FortiGate-400 Port 3
Port 4/HA
Port 4
FortiGate-500 HA
Port 1
Port 4
FortiGate-800 et HA
FortiGate-800F Port 1
FortiGate-1000A et Port 3
FortiGate-1000AFA2 Port 4
Port 4/HA
Port 5/HA
FortiGate-4000 External
oobm
FortiGate-5001 et Port 9
FortiGate-5001FA2 Port 10
FortiGate-5002FB2 Port 5
Port 6
Les ports 9 et 10 connectent les équipements FortiGate-5001 et FortiGate-

5001FA2 via le fond de panier du châssis FortiGate série 5000. Ces interfaces sont
uniquement utilisées pour le trafic heartbeat HA.

01-30001-0203-20060424
Adresses IP des interfaces de heartbeat
Il n’est pas nécessaire d’affecter des adresses IP aux interfaces de heartbeat pour
que celles-ci soient en mesure de traiter les paquets heartbeat. Le cluster affecte
des adresses IP virtuelles aux interfaces de heartbeat traitant le trafic. L’adresse IP
affectée à l’interface de heartbeat du membre primaire est 10.0.0.1 et l’adresse IP
affectée à l’interface de heartbeat du membre subordonné est 10.0.0.2. Un
troisième membre du cluster aura comme adresse IP 10.0.0.3 etc.
Pour garantir de meilleurs résultats, il est conseillé d’isoler chaque interface de

heartbeat sur son propre réseau. Les paquets heartbeat contiennent des
informations importantes sur la configuration du cluster. Par ailleurs, ils peuvent
utiliser un montant considérable de la bande passante et il est dès lors préférable
d’isoler ce trafic des réseaux destinés à vos utilisateurs. L’utilisation de la bande
passante par les paquets heartbeat pourrait également réduire la capacité de
l’interface à traiter le trafic du réseau.
Dans la plupart des modèles FortiGate, si vous ne modifiez pas la configuration de

l’interface de heartbeat, vous isoleriez les interfaces heartbeat de tous les
membres du cluster en les connectant au même commutateur. Si le cluster est
composé de deux membres, vous pouvez connecter les interfaces de heartbeat
directement à l’aide d’un câble croisé.
Le heartbeat HA et le trafic de données sont supportés par la même interface du

cluster. Si vous décidez d’utiliser les interfaces de heartbeat pour traiter le trafic du
réseau ou pour une connexion administrative, vous pouvez, en mode NAT/Route,
affecter n’importe quelle adresse à l’interface. L’adresse IP n’altère en rien le trafic
heartbeat.
En mode Transparent, vous pouvez connecter l’interface à votre réseau et activer

l’accès administratif. Vous pourriez alors établir une connexion administrative à
l’interface via l’adresse IP d’administration du mode Transparent. Cette
configuration n’altère en rien le trafic heartbeat.
Partitionnement de domaines virtuels

Lors de la configuration d’un clustering virtuel, vous pouvez sélectionner les
domaines virtuels qui feront partie du cluster virtuel 1 et ceux qui feront partie du
cluster virtuel 2. Le domaine virtuel root doit toujours se trouver dans le cluster
virtuel 1.
Généralement, les domaines virtuels sont distribués de manière égale entre les
deux clusters virtuels et les priorités configurées de manière à distribuer le trafic
identiquement entre les membres du cluster. Pour plus d’informations, voir
« Exemple de configuration d’un clustering virtuel » à la page 139 et
« Administration de clusters virtuels » à la page 141.

01-30001-0203-20060424
Liste des membres d’un cluster
Les statuts des membres FortiGate d’un cluster en opération sont visibles dans la
liste des membres du cluster. Cette liste permet également de :
• visualiser et modifier la configuration HA du cluster
• visualiser et modifier la priorité des membres individuels du cluster ( voir
« Modification du nom d’hôte et de la priorité d’un membre subordonné » à la
page 123)
• déconnecter un membre de son cluster (voir « Déconnecter un membre de
son cluster » à la page 136 et « Administration de clusters virtuels » à la
page 141)
Voir le boîtier FortiGate High Availability Guide - Guide des fonctions de haute
disponibilité FortiGate pour obtenir des exemples de procédures HA et de
configurations détaillées.
Pour afficher la liste des membres du cluster, sélectionnez Système >

Configuration > HA.
Illustration 51 : Exemple d’une liste des membres d’un cluster pour un FortiGate-5001
Liste des membres d’un cluster virtuel

Dans le cas où les domaines virtuels sont activés, le statut des clusters virtuels en
opération est visible dans la liste des membres du cluster. La liste des membres du
cluster virtuel reprend le statut des deux clusters virtuels y compris les domaines
virtuels ajoutés à chaque cluster virtuel.
Pour afficher la liste des membres du cluster virtuel d’un cluster opérationnel,
connectez-vous en tant qu’administrateur admin et sélectionnez Configuration
Globale, ensuite Système > Configuration > HA.

01-30001-0203-20060424
Illustration 52 : Exemple d’une liste de membres d’un cluster virtuel pour un
FortiGate-5001
Les flèches haut et bas Permettent de modifier l’ordre dans lequel apparaissent les
membres du cluster. Cela n’affecte pas le fonctionnement du
cluster et de ses membres. Seul l’ordre d’apparition est
modifié.
Membre du cluster Illustrations des panneaux avant des membres du cluster. Si le
port réseau d’une interface apparaît en vert, cela signifie que
l’interface est connectée. Maintenez le curseur de la souris sur
chaque illustration pour visualiser le nom d’hôte, le numéro de
série et le temps depuis lequel le membre est en fonction (up
time). La liste des interfaces sous surveillance est également
affichée.
Nom d’hôte Le nom d’hôte du FortiGate.
• Pour modifier le nom d’hôte du membre primaire,
sélectionnez Système > Statut et cliquez sur Changer à côte
du nom d’hôte actuel.
• Pour modifier le nom d’hôte d’un membre
subordonné, cliquez sur l’icône Editer du membre subordonné.
Rôle Le statut ou le rôle du membre dans le cluster.
• Le rôle est MASTER pour le membre primaire (ou
maître)
• Le rôle est SLAVE pour tous les membres
subordonnés (ou redondants) du cluster
Priorité de l’équipement La priorité du membre du cluster. Chaque membre peut avoir
une priorité différente. Durant la négociation HA, le membre
avec la priorité la plus haute devient le membre primaire.
L’intervalle de la priorité est de 0 à 255. La priorité par défaut
est 128.
Déconnexion du cluster Déconnecte le membre du cluster. Voir « Déconnexion d’un
membre du cluster » à la page 136.

01-30001-0203-20060424
Editer Sélectionnez Editer pour modifier la configuration d’un membre
du cluster HA.
• Pour le membre primaire, cliquez sur l’icône Editer
pour modifier la configuration du membre primaire et du cluster
HA. Voir « Options HA » à la page 114.
• Pour un membre primaire d’un cluster virtuel, cliquez
sur l’icône Editer pour modifier la configuration du cluster
virtuel HA et pour modifier la priorité du membre dans les
cluster virtuel 1 et cluster virtuel 2.
• Pour un membre subordonné, cliquez sur l’icône
Editer pour modifier le nom d’hôte et la priorité. Voir
« Modification du nom d’hôte et de la priorité d’un membre
subordonné » à la page 123.
• Pour un membre subordonné d’un cluster virtuel,
cliquez sur l’icône Editer pour modifier son nom d’hôte. Vous
pouvez également modifier la priorité du membre subordonné
dans le cluster virtuel sélectionné. Définir une priorité plus
haute peut avoir pour effet de faire passer le rôle du membre
de subordonné à primaire dans le cluster virtuel.
Télécharger un journal Télécharger un journal de déboguage crypté dans un fichier.
de déboguage Vous pouvez ensuite l’envoyer au Service Technique de
Fortinet qui vous aidera à diagnostiquer les problèmes
éventuels rencontrés sur votre FortiGate.
Visualisation des statistiques HA

Sélectionnez Visualiser les statistiques HA dans la liste des membres du cluster
pour afficher le numéro de série, le statut et les informations sur la surveillance
pour chaque membre du cluster.
Pour visualiser les statistiques HA, sélectionnez Système > Configuration > HA
et cliquez sur Visualiser les Statistiques HA.
Illustration 53 : Exemple de statistiques HA (pour un cluster actif-passif)
Rafraîchir toutes les Entrez l’intervalle de temps souhaité entre deux mises à jour
des statistiques par l’interface graphique du FortiGate.
Back to HA monitor Ferme la liste des statistiques HA et retourne à la liste des
membres du cluster.

01-30001-0203-20060424
N° de série Le numéro de série vous permet d’identifier chaque FortiGate
dans le cluster. L’ID du cluster correspond au numéro de série
du FortiGate.
Statut Indique le statut de chaque membre du cluster. Une marque
en V verte indique un fonctionnement normal du cluster. Une
croix rouge signifie que le membre du cluster n’arrive pas à
communiquer avec le membre primaire.
Actif depuis Le temps en jours, heures, minutes et secondes depuis le
dernier redémarrage du système.
Monitor Affiche les informations sur les statuts du système pour
chaque membre du cluster.
Taux CPU Le statut CPU en cours de chaque membre du cluster.
L’interface d’administration web affiche le taux CPU des
processus majeurs uniquement. Le taux CPU des processus
d’administration (tels que les connexions HTTPS à l’interface
d’administration web) est exclu.
Taux Mémoire Le statut du taux mémoire en cours de chaque membre du
cluster. L’interface d’administration web affiche le taux
mémoire des processus majeurs uniquement. Le taux
mémoire des processus d’administration (tels que les
connexions HTTPS à l’interface d’administration web) est
exclu.
Sessions actives Le nombre de sessions de communication en cours de
traitement par le membre du cluster.
Paquets totaux Le nombre de paquets traités par le membre du cluster depuis
son dernier redémarrage.
Virus détectés Le nombre de virus détectés par le membre du cluster.
Utilisation réseau Le total de la bande passante du réseau utilisée par toutes les
interfaces du membre du cluster.
Total d’octets Le nombre d’octets traités par le membre du cluster depuis
son dernier redémarrage.
Intrusion détectées Le nombre d’intrusions ou d’attaques détectées par l’IPS en
fonction sur le membre du cluster.
Modification du nom d’hôte et de la priorité d’un membre subordonné

Vous pouvez modifier le nom d’hôte et la priorité de n’importe quel membre
subordonné d’un cluster en fonction à partir de la liste des membres du cluster. La
modification de la priorité d’un des membres du cluster entraîne une renégociation
au sein du cluster.
Pour modifier un nom d’hôte ou une priorité d’un membre subordonné,

sélectionnez Système > Configuration > HA et cliquez sur l’icône Editer d’un
membre subordonné dans la liste des membres du cluster.

01-30001-0203-20060424
Illustration 54 : Modification du nom d’hôte ou de la priorité d’un membre subordonné
Paire Affiche et permet de modifier le nom d’hôte du membre

subordonné.
Priorité Affiche et permet de modifier la priorité du membre subordonné.
La priorité n’est pas synchronisée parmi les membres du cluster.
Dans un cluster en fonction vous modifiez la priorité d’un
équipement pour modifier la priorité de chaque membre du
cluster. A chaque modification de la priorité d’un membre du
cluster, le cluster renégocie et le membre avec la priorité la plus
élevée devient le membre primaire.
La plage de priorité s’étend de 0 à 255. La priorité par défaut est
de 128.
Configuration d’un cluster HA

Les procédures suivantes portent sur la configuration d’un cluster haute
disponibilité de deux ou plusieurs boîtiers FortiGate. La configuration d’opérations
HA y est détaillée pour chacun des équipements FortiGate. On y explique
également comment connecter les FortiGate entre eux pour former un cluster. Une
fois le cluster connecté, il se configure de la même façon qu’un équipement
FortiGate autonome.
Pour la configuration de clusters virtuels, voir « Configuration d’un clustering

virtuel » à la page 127. Pour la configuration en maillage intégral HA, voir « Aperçu
sur le maillage intégral HA » à la page 109.
Les procédures reprises dans cette section représentent une séquence de

démarches possible parmi plusieurs pour configurer un clustering HA. Une fois que
vous serez plus expérimenté avec FortiOS HA, rien ne vous empêche d’utiliser une
séquence de démarches différente.
Par commodité, les procédures suivantes partent du principe que le boîtier

FortiGate est configuré avec les paramètres par défaut. Cependant, ceci n’est pas
une nécessité pour un déploiement HA réussi. La HA FortiGate est suffisamment
flexible pour supporter une configuration à partir de paramètres de départ variés.
Le mode par défaut étant le mode NAT/Route, les procédures décrivent la

configuration d’un cluster opérant en mode routé. Toutefois, les procédures sont
identiques pour un cluster opérant en mode Transparent. Vous pouvez passer en
mode Transparent, soit avant de commencer les procédures, soit après la
configuration HA et la connexion du cluster (le cluster étant alors opérationnel).
• Configurer un boîtier FortiGate pour opérer en HA
• Connecter un cluster HA FortiGate
• Ajouter un nouveau membre à un cluster opérationnel

01-30001-0203-20060424
Configurer un boîtier FortiGate pour opérer en haute
disponibilité
Chaque membre FortiGate du cluster doit fonctionner avec la même configuration
HA. La procédure suivante parcourt la configuration de chaque membre FortiGate
pour opérer en HA. Voir « Options HA » à la page 114 pour plus d’informations sur
les options HA reprises dans cette procédure.
1 Mettre le boîtier FortiGate sous tension pour le configurer.

3 Eventuellement vous pouvez donner au boîtier FortiGate un nom d’hôte. Voir
« Modification du nom d’hôte d’un boîtier FortiGate » à la page 52. L’utilisation d’un
nom d’hôte permet d’identifier les FortiGate individuellement.
4 Sélectionnez Système > Configuration > HA.
5 Définissez le mode actif-passif ou actif-actif.
6 Entrez un mot de passe pour le cluster. Ce mot de passe doit être le même pour
tous les membres FortiGate du cluster HA.
7 Cliquez sur OK.
Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par
défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.
Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK,
la connexion du FortiGate risque d’être perdue pendant un moment car le cluster
HA négocie et le FGCP modifie l’adresse MAC des interfaces FortiGate (voir
« Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC
d’administration en effaçant l’entrée du tableau ARP pour votre FortiGate (ou
simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire à arp –d.
8 Mettre le boîtier FortiGate hors tension.
9 Répétez cette procédure pour tous les membres FortiGate du cluster.
Une fois tous les membres configurés, rendez-vous à la section « Connecter un

cluster HA FortiGate ».
Connecter un cluster HA FortiGate

Les procédures suivantes parcourent la connexion d’un cluster, qu’il opère en
mode routé ou Transparent. Il est nécessaire de connecter les membres du cluster
entre eux et à votre réseau. Les interfaces correspondantes du cluster doivent être
connectées au même concentrateur ou commutateur. Il est ensuite nécessaire de
connecter ces interfaces à leurs réseaux en utilisant le même concentrateur ou le
même commutateur.
Pour une meilleure performance, Fortinet recommande l’utilisation de

commutateurs pour toutes les connexions du cluster.

01-30001-0203-20060424
L’insertion d’un cluster HA dans votre réseau entraîne une interruption temporaire
des communications réseau puisque de nouvelles connexions physiques sont
créées pour diriger le trafic à travers le cluster. Le démarrage du cluster
occasionne également une interruption du trafic réseau jusqu’à ce que tous les
membres du cluster fonctionnent et que le cluster termine la négociation. La
négociation du cluster est automatique et ne dure normalement que quelques
secondes. Pendant le démarrage et la négociation du système, tout le trafic réseau
est arrêté.
1 Connectez les interfaces internes de chaque membre du cluster à un commutateur

ou concentrateur connecté à votre réseau interne.
2 Connectez les interfaces externes de chaque membre du cluster à un
commutateur ou concentrateur connecté à votre réseau externe.
3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un
autre concentrateur ou commutateur.
4 Facultativement, connectez les autres interfaces de heartbeat des membres du
cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond
de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire
n’est requise.
Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait être connectée pour que le
cluster puisse opérer. Vous pouvez également connecter les interfaces de
heartbeat à un réseau. Si le cluster ne comporte que deux membres FortiGate,
vous pouvez connecter les interfaces de heartbeat directement à l’aide du câble
croisé. Pour davantage d’informations sur les interfaces de heartbeat, voir
« Interface de Heartbeat » à la page 117, ainsi que le FortiGate High Availability
User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate
5 Facultativement, connectez les autres interfaces de chaque membre du cluster à
un concentrateur ou commutateur connecté aux réseaux.
L’illustration 55 reprend l’exemple d’une configuration réseau pour un cluster HA
comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et
externes sont connectées aux réseaux. Les interfaces HA sont connectées pour
une communication heartbeat HA.
Illustration 55 : Configuration réseau HA

01-30001-0203-20060424
6 Mettez sous tension tous les membres du cluster.
Lors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner
parmi eux un membre primaire et les membres subordonnés. Cette négociation a
lieu sans intervention de l’utilisateur et ne dure que quelques secondes.
Vous pouvez maintenant configurer le cluster comme s’il s’agissait d’un seul
équipement FortiGate.
Ajouter un nouveau membre à un cluster opérationnel

1 Configurez le nouveau membre du cluster pour opérer en HA avec les mêmes
paramètres de configuration que les autres membres du cluster.
2 Si le cluster fonctionne en mode Transparent, faites passer le mode de
fonctionnement du nouveau membre vers le mode Transparent.
3 Connectez le nouveau membre au cluster.
4 Mettez le nouveau membre sous tension.
Lors du démarrage du membre, celui-ci négocie son intégration dans le cluster.
Après avoir rejoint le cluster, celui-ci synchronise la configuration du nouveau
membre avec la configuration du membre primaire.
Configuration d’un clustering virtuel

Les procédures suivantes portent sur la configuration d’un clustering virtuel de
deux membres FortiGate. Ces procédures expliquent comment configurer deux
nouveaux membres FortiGate pour un clustering virtuel, y compris la configuration
pour opérer en HA, la connexion des membres, l’activation de la configuration de
domaines virtuels et l’ajout de domaines virtuels à un cluster. Les procédures
décrivent également comment configurer un clustering virtuel. Une fois le cluster
virtuel opérationnel, vous pouvez configurer le cluster de la même façon qu’un
FortiGate autonome avec des multiples domaines virtuels.
Pour la configuration d’un clustering normal sans domaines virtuels, voir

« Configuration d’un cluster HA» à la page 124. Pour la configuration en maillage
intégral HA, voir « Aperçu sur le maillage intégral HA » à la page 109.
Les procédures reprises dans cette section représentent une séquence de

démarches possible parmi plusieurs pour configurer un clustering virtuel. Une fois
que vous serez plus expérimenté avec FortiOS HA, rien ne vous empêche d’utiliser
une séquence de démarches différente.

• Configurer deux nouveaux membres FortiGate pour un clustering virtuel

• Connecter un cluster virtuel HA FortiGate
• Activer la configuration de domaines virtuels pour un cluster HA
• Ajouter des domaines virtuels à un cluster HA
• Activer le clustering virtuel

01-30001-0203-20060424
Configurer deux nouveaux membres FortiGate pour un
clustering virtuel
Cette procédure décrit comment configurer un clustering virtuel commençant avec
deux membres FortiGate dont le paramétrage est celui par défaut et qui ne sont
pas connectés à un réseau.
Les deux membres du cluster doivent avoir une configuration HA identique. La

procédure suivante permet de configurer chaque membre FortiGate pour opérer en
HA. Voir « Options HA » à la page 114 pour plus d’informations sur les options HA
reprises dans cette procédure.
1 Mettez le boîtier FortiGate sous tension pour le configurer.

3 Facultativement vous pouvez donner au FortiGate un nom d’hôte. Voir
« Modification du nom d’hôte d’un boîtier FortiGate » à la page 52. L’utilisation d’un
nom d’hôte permet d’identifier les FortiGate individuellement.
5 Définissez le mode actif-passif. Le mode HA actif-actif n’est pas supporté par un
clustering virtuel.
6 Entrez un mot de passe pour le cluster virtuel . Ce mot de passe doit être le même
pour tous les membres FortiGate du cluster virtuel HA.
7 Cliquez sur OK.
Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par
défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.
« Adresses MAC d’un cluster virtuel » à la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre à jour la table ARP de votre PC
d’administration en effaçant l’entrée ARP de votre FortiGate (ou simplement en
effaçant toutes les entrées de la table ARP). Pour ce faire, utilisez la commande
CLI similaire à arp –d.
8 Répétez cette procédure pour tous les membres FortiGate du cluster virtuel.
Une fois les deux membres configurés, procédez avec la section « Connecter un
cluster virtuel HA FortiGate ».
Connecter un cluster virtuel HA FortiGate

Les procédures suivantes parcourent la connexion de deux membres FortiGate
pour opérer via un clustering virtuel. Il est nécessaire de connecter les membres du
cluster entre eux et à votre réseau. Les interfaces correspondantes du cluster
doivent être connectées au même concentrateur ou commutateur. Il est ensuite
nécessaire de connecter ces interfaces à leurs réseaux en utilisant le même
concentrateur ou le même commutateur.

01-30001-0203-20060424
Pour une meilleure performance, Fortinet recommande l’utilisation de
commutateurs pour toutes les connexions du cluster.
L’insertion d’un cluster HA dans votre réseau entraîne une interruption temporaire
des communications réseau puisque de nouvelles connexions physiques sont
créées pour diriger le trafic à travers le cluster. Le démarrage du cluster
occasionne également une interruption du trafic réseau jusqu’à ce que tous les
membres du cluster fonctionnent et que le cluster termine la négociation. La
négociation du cluster est automatique et ne dure normalement que quelques
secondes. Pendant le démarrage et la négociation du système, tout le trafic réseau
est arrêté.
1 Connectez les interfaces internes de chaque membre du cluster à un commutateur

ou concentrateur connecté à votre réseau interne.
2 Connectez les interfaces externes de chaque membre du cluster à un
commutateur ou concentrateur connecté à votre réseau externe.
3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un
autre concentrateur ou commutateur.
4 Facultativement, connectez les autres interfaces de heartbeat des membres du
cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond
de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire
n’est requise.
Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait être connectée pour que le
cluster puisse opérer. Vous pouvez également connecter les interfaces de
heartbeat à un réseau. Vous pouvez connecter les interfaces de heartbeat
directement à l’aide du câble croisé. Pour davantage d’informations sur les
interfaces de heartbeat, voir « Interface de Heartbeat » à la page 117, ainsi que le
FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilité FortiGate.
5 Facultativement, connectez les autres interfaces de chaque membre du cluster à
un concentrateur ou commutateur connecté aux réseaux.
L’illustration 56 reprend l’exemple d’une configuration réseau pour un cluster virtuel
comprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtuel
possède deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans le
domaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuel
appelé vdom_1. Le Site 1 est connecté au domaine virtuel root et Site 2 est
connecté au domaine virtuel vdom_2. L’exemple comprend les connexions
réseaux suivantes :
• Les interfaces du port 5 sont connectées ensemble et au réseau Site 1.
• Les interfaces du port 6 sont connectées ensemble et au routeur externe.
• Les interfaces du port 7 sont connectées ensemble et au réseau Site 2.
• Les interfaces du port 8 sont connectées ensemble et au routeur externe.
Les communications heartbeat HA à travers le fond de panier du châssis

FortiGate-5000 ne sont pas illustrées.

01-30001-0203-20060424
Illustration 56 : Configuration réseau HA
6 Mettez sous tension tous les membres du cluster.

Lors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner
parmi eux un membre primaire et les membres subordonnés. Cette négociation a
lieu sans intervention de l’utilisateur et ne dure que quelques secondes.
Vous pouvez maintenant configurer le cluster virtuel comme s’il s’agissait d’un seul
équipement FortiGate.
Activer la configuration de domaines virtuels pour un cluster HA

Les procédures suivantes décrivent comment activer la configuration de domaines
virtuels pour un cluster virtuel HA. La procédure d’activation de la configuration de
domaines virtuels est la même que celle d’un équipement FortiGate autonome.
1 Connectez-vous à l’interface d’administration web en tant qu’administrateur admin.

2 Cliquez sur Configuration Globale.
3 Sélectionnez Système > Admin > Settings (Paramètres).
4 Activer Virtual Domain Configuration.
Le cluster vous déconnecte. Vous pouvez maintenant vous reconnectez en tant

qu’administrateur admin, ajouter des domaines virtuels et configurer le clustering
virtuel.
Voir « Activation du mode multiple VDOM » à la page 43 pour plus d’informations

sur l’activation de domaines virtuels et les changements de l’interface
d’administration web après l’activation des domaines virtuels.

01-30001-0203-20060424
Ajouter des domaines virtuels à un cluster HA
Ajouter des domaines virtuels à un cluster HA se fait de la même façon que l’ajout
de domaines virtuels à un équipement FortiGate autonome.
1 Connectez-vous en tant qu’administrateur admin à l’interface d’administration web

du cluster.
Si la configuration de domaines virtuels est activée, la page Virtual Domain
Configuration s’ouvre.
2 Cliquez sur Créer Nouveau pour ajouter un domaine virtuel.
3 Entrez un nom pour ce nouveau domaine virtuel et cliquez sur OK.
Vous pouvez ajouter autant de domaines virtuels que nécessaire.
Activer le clustering virtuel

Pour activer un clustering virtuel, il faut précédemment avoir configuré le cluster,
activé la configuration de domaines virtuels et ajouté des domaines virtuels. Avant
d’avoir activé un clustering virtuel, un cluster de membres FortiGate avec des
domaines virtuels activés fonctionne de la même façon qu’un cluster HA standard.
Un membre FortiGate du cluster opère comme membre primaire pour tous les
domaines virtuels activés. Le cluster opère en mode actif-passif. Dès lors, seul le
membre primaire traite le trafic.
L’activation du clustering se fait en modifiant la configuration HA de manière à

distribuer les domaines virtuels entre les deux clusters virtuels. Ensuite, il faut
ajuster les priorités de chaque membre de chaque cluster virtuel. Un des membres
peut opérer en tant que membre primaire pour une partie des domaines virtuels,
tandis que l’autre membre opère en tant que membre primaire pour l’autre partie. Il
en résulte un traitement du trafic distribué entre deux membres du cluster,
semblable à une solution en mode actif-actif.
Remarque : Les étapes suivantes ne sont pas requises si vous utilisez le clustering virtuel
uniquement comme système de réplication. De cette procédure résulte une distribution du
trafic entre les deux membres du cluster dans le cluster virtuel.
1 Connectez-vous en tant qu’administrateur admin à l’interface d’administration web

du cluster. La page de Configuration des Domaines Virtuels s’affiche.
2 Cliquez sur Configuration Globale.
La liste des membres du cluster s’affiche reprenant uniquement le Cluster Virtuel 1.
Tous les domaines virtuels ainsi que les deux membres du cluster sont repris dans
le Cluster Virtuel 1.

01-30001-0203-20060424
Illustration 57 : Exemple d’une liste des membres d’un cluster avec deux domaines
virtuels dans le Cluster Virtuel 1
4 Cliquez sur l’icône Editer du membre primaire (maître) du Cluster Virtuel 1.

5 Sous le partitionnement VDOM, distribuez les domaines virtuels entre les cluster
virtuel 1 et cluster virtuel 2.
Au départ, tous les domaines virtuels sont ajoutés au cluster virtuel 1. En général,
la distribution des domaines virtuels entre les deux membres du cluster virtuel se
fait de manière à ce que chacun des membres traite la même quantité de trafic
réseau. Cela permet d’assurer que le trafic est distribué de manière équivalente
entre les membres du cluster. Cependant, vous pouvez distribuez les domaines
virtuels comme vous le désirez. La distribution peut par ailleurs être modifiée à tout
moment.
6 Cliquez sur OK.
Le cluster renégocie. Après quelques secondes, la liste des membres du cluster
reprend les deux clusters virtuels. Si vous n’avez modifié aucun paramètre de
priorité, c’est le même membre qui devient membre primaire (maître) pour les deux
domaines virtuels.
Illustration 58 : Exemple d’une liste des membres d’un cluster avec domaines virtuels
distribués entre les deux clusters virtuels.
7 Cliquez sur l’icône Editer du membre primaire du cluster virtuel 1 et cluster virtuel
2.

01-30001-0203-20060424
Les options HA du clustering virtuel sont affichées. Vous pouvez modifier la priorité
du membre primaire dans les deux clusters virtuels.
8 Affectez la priorité 200 pour ce membre du cluster dans le cluster virtuel 1 et la
priorité 50 dans le cluster virtuel 2. Cliquez ensuite sur OK.
Vous pouvez sélectionner différentes valeurs de priorité. Si aucune autre valeur de
priorité n’a été modifiée, le membre du cluster sélectionné devient le membre
primaire dans le cluster virtuel 1 et le membre subordonné dans le cluster virtuel 2.
Illustration 59 : Exemple d’une liste des membres d’un cluster avec domaines virtuels
distribués entre les deux clusters virtuels et les priorités modifiées.
D’autres paramètres HA des clusters virtuels peuvent être configurés. Voir

« Exemple de configuration d’un clustering virtuel » à la page 139 et
« Administration de clusters virtuels » à la page 141 pour plus d’informations sur la
configuration et l’administration de clusters virtuels.
Administration d’un cluster

Les configurations de tous les membres FortiGate du cluster sont synchronisées
afin de permettre aux membres de fonctionner comme un cluster. Grâce à la
synchronisation vous administrez le cluster HA au lieu d’administrer les membres
individuellement. L’administration se fait en se connectant à l’interface
d’administration web en utilisant n’importe quelle adresse d’interface du cluster
configurée pour un accès administratif HTTPS. Une autre façon d’administrer le
cluster est de se connecter en CLI en utilisant n’importe quelle adresse d’interface
du cluster configurée pour un accès administratif SSH.
Vous pouvez également administrer le cluster en configurant une des ses

interfaces pour un accès administratif SNMP. L’utilisation d’un superviseur SNMP
vous permet d’obtenir des informations sur la configuration du cluster, ainsi que de
recevoir des traps. Pour toute information sur les listes des champs MIB HA, voir
« MIB FortiGate » à la page 156 et « Traps FortiGate » à la page 156.
Pour apporter une modification à la configuration du cluster, connectez-vous au

cluster et apportez les changements souhaités à la configuration du membre
primaire. Le cluster synchronise automatiquement tous les changements de
configuration et les intègrent aux membres subordonnés.

01-30001-0203-20060424
Les seuls changements qui ne sont pas synchronisés sont le nom d’hôte et la
priorité du HA. Chaque membre du cluster peut avoir un nom d’hôte qui lui est
propre de manière à pouvoir distinguer les membres dans le cluster. Il est aussi
possible de les distinguer à partir de leur numéro de série. La priorité peut être
modifiée individuellement pour contrôler quel membre du cluster devient le
membre primaire.
Le rôle du membre dans le cluster s’affiche sur l’écran LCD (pour les FortiGate qui
en possèdent). La mention primary s’affiche sur l’écran LCD du membre
primaire. Les membres subordonnés affichent sur leur écran LCD la mention
slave <priority_id> où <priority_id> est la place prioritaire du membre
subordonné dans le cluster. Dans l’exemple d’un cluster composé de trois
membres et en mode actif-actif, les écrans afficheront :
• primary (a-a)
• slave 1 (a-a)
• slave 2 (a-a)
L’interface d’administration web permet de contrôler les statuts et les journaux de

chaque membre du cluster individuellement. Voir « Liste des membres d’un
cluster » à la page 120 et « Visualiser et administrer les journaux pour les
membres individuels d’un cluster » à la page 134
Les membres du cluster peuvent être administrés individuellement à l’aide d’une

connexion SSH en CLI au cluster. La commande CLI execute ha manage
permet de vous connecter en CLI à chaque membre du cluster. L’administration
individuelle des membres peut aussi se faire via un câble null-modem connecté au
membre primaire. A partir de là, la commande CLI execute ha manage vous
permet de vous connecter en CLI à chaque membre du cluster. Voir « Administrer
individuellement les membres d’un cluster » à la page 135 pour plus
d’informations. En cas d’utilisation d’un câble null-modem pour vous connecter à
un membre subordonné, seule une connexion en CLI à ce membre subordonné est
possible.
• Visualiser et administrer les journaux pour les membres individuels d’un

cluster
• Contrôler les membres pour la réplication
• Administrer individuellement les membres d’un cluster
Visualiser et administrer les journaux pour les membres

individuels d’un cluster
1 Connectez-vous au cluster et à l’interface d’administration web.
2 Sélectionnez Journaux/Alertes > Journal.
La liste du Cluster HA reprend le numéro de série du FortiGate dont les journaux
sont affichés.
3 Sélectionnez le numéro de série d’un des membres du cluster dont vous voulez
voir les journaux.
Vous pouvez voir, chercher et administrer les journaux sauvegardés sur la
mémoire, dépendant de la configuration du membre du cluster.

01-30001-0203-20060424
Contrôler les membres pour la réplication
Dans le cas d’une défaillance du membre primaire, les membres du cluster
renégocient pour sélectionner un nouveau membre primaire. Une panne du
membre primaire enclenche les étapes suivantes :
• Si SNMP est activé, le nouveau membre primaire envoie un message trap

« HA switch ». Ce message signifie que le membre primaire du cluster HA est
en panne et a été remplacé par le nouveau membre primaire.
• Le cluster fonctionne avec un nombre réduit de membres. Le membre primaire
défaillant n’apparaît plus sur la Liste des Membres du Cluster.
• Le nom d’hôte et la priorité du membre primaire changent.
• Le nouveau membre primaire enregistre les messages des journaux
d’événements suivants :
HA slave became master
Detected HA member dead
Dans le cas où l’un des membres subordonnés tombe en panne, le cluster

continue de fonctionner normalement. Une panne d’un membre subordonné
enclenche les étapes suivantes :
• Le cluster fonctionne avec un nombre réduit de membres. Le membre

défaillant n’apparaît plus sur la Liste des Membres du Cluster.
• Le membre primaire enregistre le message du journal d’événement suivant :
Detected HA member dead
Administrer individuellement les membres d’un cluster

Cette procédure décrit comment se connecter en CLI au membre primaire et de là,
se connecter en CLI aux membres subordonnés. La connexion à un membre
subordonné se fait à partir du compte administrateur ha_admin. Ce compte intégré
vous accorde les droits en lecture et en écriture sur les membres subordonnés.
1 Via SSH, connectez-vous au cluster et à l’interface de ligne de commande.

Connectez-vous à n’importe quelle interface du cluster configurée pour un accès
administratif SSH.
Vous pouvez également utiliser un câble null-modem connecté au port console du
membre primaire. Pour ce faire, vous devez déjà avoir sélectionné un membre
primaire.
2 Entrez la commande suivante suivie d’un espace et d’un point d’interrogation ( ?) :
execute ha manage
Le CLI affiche alors une liste de tous les membres subordonnés du cluster. Tous
les membres sont numérotés en commençant par 1. Les informations reprises pour
chaque membre comprennent le numéro de série et le nom d’hôte du membre.
3 Ajoutez à la fin de la commande CLI le numéro du membre subordonné pour vous
y connecter. Par exemple, pour vous connecter au membre subordonné 1, entrez
la commande suivante : execute ha manage 1

01-30001-0203-20060424
Appuyez sur la touche Enter pour vous connecter en CLI au membre subordonné
choisi. L’écran du CLI affiche le nom d’hôte du membre. Les commandes CLI vous
permettent d’administrer ce membre subordonné.
4 Pour retourner au CLI du membre primaire, entrez : exit
Vous pouvez utiliser la commande execute ha manage pour vous connecter en
CLI à n’importe quel membre subordonné du cluster.
Déconnexion d’un membre du cluster

Les procédures suivantes décrivent comment déconnecter un membre d’un cluster
opérationnel sans interruption des opérations. Vous pouvez déconnecter un
équipement FortiGate dans le cas où vous en auriez besoin pour un autre usage,
tel que par exemple un pare-feu autonome.
Les procédures suivantes s’appliquent aussi bien pour les clusters standard que
pour les clusters virtuels. Pour ces derniers, vous devez néanmoins être connecté
en tant qu’administrateur admin et avoir sélectionné Configuration Globale.
Lors de la déconnexion d’un membre, vous devez affecter à une des interfaces de
ce membre une adresse IP et un masque de réseau. Le membre primaire peut lui
aussi être déconnecté. Dans ce cas, le cluster réagit de la même manière que si le
membre primaire était tombé en panne. Il renégocie et sélectionne un nouveau
membre primaire.
Une fois le membre déconnecté, celui-ci passe du mode HA à stand alone

(autonome). De plus, toutes les adresses IP des interfaces sont remises à 0.0.0.0
à l’exception de l’interface que vous avez configurée.
Les autres paramètres de la configuration restent inchangés, y compris la

configuration HA.
Déconnecter un membre de son cluster

1 Sélectionnez Système > Configuration > HA pour visualiser la liste des membres
du cluster.
2 Cliquez sur l’icône Déconnecter du cluster à côté du membre du cluster à
déconnecter.
Illustration 60 : Déconnecter un membre de son cluster
Numéro de Série Le numéro de série du membre du cluster à déconnecter.

Interface Sélectionnez l’interface que vous voulez configurer. Vous
devez en spécifier l’adresse IP et le masque de réseau. Une

01-30001-0203-20060424
fois le membre déconnecté, toutes les options d’accès
administratifs sont activées sur cette interface.
IP/Masque de réseau Spécifiez l’adresse IP et le masque de réseau de l’interface.
Vous pouvez utiliser cette adresse IP pour vous connecter à
cette interface et configurer le membre déconnecté.
3 Cliquez sur OK.
Le membre FortiGate est déconnecté du cluster et celui-ci peut renégocier et
sélectionner un nouveau membre primaire. L’interface sélectionnée est configurée
avec l’adresse IP et le masque de réseau spécifiés.
Ré-adjoindre un membre FortiGate déconnecté à un cluster

Il est possible de reconnecter un membre FortiGate précédemment déconnecté au
cluster en définissant le mode HA de ce membre pour qu’il corresponde au mode
HA du cluster. En général le membre déconnecté est ré-adjoint en tant que
membre subordonné et le cluster synchronise automatiquement sa configuration.
Remarque : Il n’est pas nécessaire de modifier le mot de passe HA du membre déconnecté

à moins que la HA ait été modifié après la déconnexion. Déconnecter un membre d’un
cluster n’affecte pas le mot de passe HA.
Attention : Assurez-vous que la priorité du membre déconnecté est bien inférieure à la

priorité du membre primaire. Si tel n’est pas le cas, lors de la reconnexion du membre au
cluster, celui-ci va renégocier et le membre ré-adjoint deviendra le membre primaire. Ceci
entraîne une synchronisation de la configuration de ce membre à tous les autres membres
du cluster et pourrait causer une perturbation au sein du cluster.
La procédure suivante part des principes suivants :

• Le boîtier FortiGate déconnecté du cluster est physiquement et correctement
connecté à votre réseau et au hardware du cluster.
• Il n’est pas en train d’opérer en mode HA.
• Il ne fait pas partie du cluster.
Avant de commencer cette procédure, il est conseillé de prendre connaissance de

la priorité du membre primaire.
1 Connectez-vous au membre FortiGate déconnecté. Si les domaines virtuels sont

activés, connectez-vous en tant qu’administrateur admin et cliquez sur
Configuration Globale.
3 Modifiez le mode pour qu’il corresponde à celui du cluster.
4 Si nécessaire, modifiez le mot de passe HA pour qu’il corresponde à celui du
cluster.
5 Affectez une priorité plus basse que la priorité du membre primaire.
6 Cliquez sur OK.
Le membre FortiGate déconnecté ré-adjoint le cluster.

01-30001-0203-20060424
Adresses MAC virtuelles d’un cluster
Le FGCP affecte une adresse MAC virtuelle différente à toutes les interfaces des
membres primaires. Les sous-interfaces VLAN se voient affectées de la même
adresse MAC virtuelle que l’interface à laquelle elles ont été ajoutées.
Le membre primaire envoie des paquets ARP libres pour mettre à jour les
commutateurs connectés aux interfaces du cluster avec l’adresse MAC virtuelle.
Les commutateurs mettent à jour leurs tables de relayage MAC avec cette adresse
MAC. Les commutateurs dirigent alors tout le trafic réseau vers le membre
primaire. En fonction de la configuration du cluster, le membre primaire soit traite le
trafic réseau lui-même, soit équilibre la charge du trafic réseau entre tous les
membres du cluster.
Modification de l’ID de groupe HA

Dans la plupart des cas, le cluster opère avec l’ID de groupe zéro. Cependant,
dans le cas où il y aurait plus d’un cluster FortiGate sur le même réseau, chaque
cluster devrait avoir un ID de groupe différent. Si deux clusters d’un même réseau
ont un ID de groupe identique, des adresses MAC en double pourraient causer des
conflits d’adressage sur le réseau. Vous pouvez modifier l’ID groupe à partir du CLI
FortiGate. Pour plus d’informations à ce sujet, voir FortiGate High Availability User
Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate.
Méthode de calcul d’une adresse MAC virtuelle

Une adresse MAC virtuelle est déterminée à partir de la formule suivante :
00-09-0f-06-<group-id>-<idx>
où
<group-id> est l’ID groupe HA du cluster
<idx> est une combinaison de l’ID du cluster virtuel auquel a été ajoutée
l’interface et l’index de cette interface.
L’avant-dernière partie d’une adresse MAC virtuelle dépend de l’ID groupe HA et

est identique pour chaque interface du cluster. La dernière partie d’une adresse
MAC virtuelle est différente pour chaque interface du cluster et est déterminée par
l’index de l’interface et par le cluster virtuel auquel a été ajouté le domaine virtuel
contenant l’interface. Chaque interface des membres FortiGate a un index
d’interface différent.
Exemple d’adresses MAC virtuelles

Un FortiGate-500, opérant en mode HA, dont l’ID groupe HA n’a pas été modifié
(par défaut = 0) et dont les domaines virtuels n’ont pas été activés, aurait les
adresses MAC virtuelles suivantes :
• MAC virtuelle de l’interface dmz : 00-09-0f-06-00-00

• MAC virtuelle de l’interface externe: 00-09-0f-06-00-01
• MAC virtuelle de l’interface ha: 00-09-0f-06-00-02
• MAC virtuelle de l’interface interne: 00-09-0f-06-00-03
• MAC virtuelle de l’interface port1: 00-09-0f-06-00-04

01-30001-0203-20060424
• MAC virtuelle de l’interface port7: 00-09-0f-06-00-0a
• MAC virtuelle de l’interface port8: 00-09-0f-06-00-0b
Un FortiGate-5001, opérant en mode HA, avec domaines virtuels activés, dont l’ID
groupe HA a été défini sur 23, les ports 5 et 6 étant dans le vdom root (qui se
trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se
trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes :

Exemple de configuration d’un clustering virtuel

Il n’est pas nécessaire de configurer la haute disponibilité séparément pour chaque
domaine virtuel pour simplifier la configuration d’un clustering virtuel. Au lieu de
cela, il suffit de créer une configuration globale HA similaire à la configuration
standard HA sans domaines virtuels.
La configuration HA d’un clustering virtuel comprend la configuration de

partitionnement des domaines virtuels entre les deux clusters virtuels (appelés
Cluster Virtuel 1 et Cluster Virtuel 2). La configuration de partitionnement de
domaines virtuels se fait en distribuant les domaines virtuels entre les deux
clusters virtuels. La priorité de chaque membre du cluster doit être définie pour
chaque cluster virtuel. Par défaut les deux membres ont la même priorité dans
chacun des clusters virtuels et c’est le FGCP qui sélectionne automatiquement le
membre primaire pour chaque cluster virtuel.
Une fois le cluster opérationnel, vous pouvez diviser les domaines virtuels entre les
cluster virtuel 1 et 2 pour qu’ils distribuent le trafic entre eux. Affectez ensuite la
priorité de manière à ce qu’un membre du cluster devienne le membre primaire du
cluster virtuel 1 et que l’autre membre devienne le membre primaire du cluster
virtuel 2. Etant donné que c’est le membre primaire qui traite tout le trafic pour un
domaine virtuel, il en résulte que les deux membres FortiGate du cluster traitent en
définitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour
les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2
traite tout le trafic pour les domaines virtuels du cluster virtuel 2.
A tout moment il est possible de déplacer les domaines virtuels du cluster virtuel 1
au cluster virtuel 2, et ce, pour ajuster l’équilibrage de charge entre les membres
du cluster.
Cette section décrit une configuration simple de domaine virtuel et son

implémentation dans un cluster virtuel, de manière à ce que le trafic reçu soit traité

01-30001-0203-20060424
par les deux membres du cluster. La configuration du domaine virtuel est décrite
dans le tableau 7.
Tableau 7 : Exemple d’une configuration d’un domaine virtuel

Domaine Virtuel Description
root Comprend les interfaces port5 et port6. port5 est connecté à

un réseau interne appelé Site 1. port6 est connecté à un
routeur externe et à Internet. Tout le trafic du Site 1 est reçu
par le port5 et tout le trafic autorisé est envoyé vers Internet
à travers le port6.
vdom_1 Comprend les interfaces port 7 et port8. port7 est connecté

à un réseau interne appelé Site 2. port8 est connecté à un
routeur externe et à Internet. Tout le trafic du Site 2 est reçu
par le port7 et tout le trafic autorisé est envoyé vers Internet
à travers le port8.
Ce cluster virtuel comprend deux FortiGate-5001 avec les noms d’hôte

FortiGate_A et FortiGate_B. Le clustering virtuel est configuré de manière à ce que
tout le trafic reçu par le domaine virtuel root est traité par le boîtier FortiGate_A et
tout le trafic reçu par le domaine virtuel vdom_1 est traité par le boîtier
FortiGate_B. La configuration du clustering est illustrée dans les tableaux 8 et 9. Le
cluster virtuel et la circulation du trafic à travers le cluster est représenté dans
l’illustration 61.
Tableau 8 : Configuration du Cluster Virtuel 1

Domaines Virtuels Nom d’hôte
FortiGate_A FortiGate_B
root Priorité Priorité
200 100
Rôle Rôle
Primaire Subordonné
Tableau 9 : Configuration du Cluster Virtuel 2

Domaines Virtuels Nom d’hôte
FortiGate_A FortiGate_B
vdom_1 Priorité Priorité
100 200
Rôle Rôle
Subordonné Primaire

01-30001-0203-20060424
Illustration 61 : Partie d’une configuration d’un clustering virtuel avec deux membres
FortiGate-5001
Pour connecter le domaine virtuel root, les interfaces des port5 des deux membres
du cluster sont connectées à un commutateur qui est aussi connecté au réseau du
Site 1. Les interfaces port6 des deux membres du cluster sont connectées à un
commutateur qui est aussi connecté au routeur externe et à Internet.
Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux membres
du cluster sont connectées à un commutateur qui est aussi connecté au réseau du
Site 2. Les interfaces port8 des deux membres du cluster sont connectées à un
commutateur qui est aussi connecté au routeur externe et à Internet.
Les clusters virtuels ont été configurés de manière à ce que FortiGate_A soit le
membre primaire du domaine virtuel root. Dès lors, tout le trafic destiné au
domaine virtuel root est reçu et traité par le boîtier FortiGate_A.
FortiGate_B est le membre primaire de vdom_1. Dès lors, tout le trafic destiné à
vdom_1 est reçu et traité par le boîtier FortiGate_B.
Un des avantages d’une telle configuration est l’équilibrage de charge entre les
membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de
vdom_1. De cette manière la charge de tout le trafic est partagée entre les
membres du cluster.
Dans le cas où FortiGate_A tombe en panne, FortiGate_B devient le membre

primaire des deux clusters virtuels.
Administration de clusters virtuels

Les options de configuration et de maintenance disponibles lors d’une connexion à
l’interface graphique ou CLI d’un cluster virtuel dépendent du domaine virtuel
auquel vous vous connectez et du compte administrateur utilisé.
Si vous vous connectez à un cluster en tant qu’administrateur d’un domaine virtuel,

vous vous connectez directement à ce domaine virtuel. Le clustering virtuel HA
étant une configuration globale, les administrateurs des domaines virtuels n’ont
pas accès aux options de configuration HA. Cependant, ils peuvent voir le nom
d’hôte du membre du cluster auquel ils se connectent. Il s’agit du nom d’hôte du
membre primaire du domaine virtuel. Ces administrateurs peuvent également
sélectionner de visualiser les messages journalisés pour chaque membre du
cluster dans Journaux/Alertes > Journal.

01-30001-0203-20060424
Illustration 62 : Visualisation de messages journalisés d’un domaine virtuel dans un
cluster virtuel
Si vous vous connectez à un cluster en tant qu’administrateur admin, vous vous

connectez à la page de l’interface graphique Configuration des Domaines Virtuels
ou au CLI général. Vous vous connectez également à une interface et au domaine
virtuel auquel cette interface a été ajoutée. Le domaine virtuel auquel vous vous
connectez ne diffère pas beaucoup quant à ses opérations de configuration et de
maintenance. Il existe cependant certaines exceptions. Vous vous connectez au
FortiGate qui opère en tant que membre primaire pour le domaine virtuel. Dès lors
le nom d’hôte affiché est le nom d’hôte du membre primaire.
La liste des membres du cluster diffère selon le membre du cluster. Dans l’exemple
décrit à la page 139 « Exemple de configuration d’un clustering virtuel », si vous
connectez le port5, vous vous connectez au FortiGate_A (FortiGate_A s’affiche
dans la barre de titres de l’interface graphique). Sélectionnez Configuration
Globale et ensuite Système > Configuration > HA. A partir de chaque liste de
membres, vous pouvez sélectionner Editer pour le boîtier FortiGate_A pour
modifier la configuration HA du cluster virtuel et définir les priorités du FortiGate_A
dans le cluster virtuel 1 et dans le cluster virtuel 2. En sélectionnant Editer pour le
boîtier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom d’hôte du
FortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 1. En
sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 2, vous
pouvez modifier le nom d’hôte du FortiGate_B, ainsi que la priorité de FortiGate_B
dans le cluster virtuel 2.
Illustration 63 : Exemple d’un cluster virtuel affichant la liste des membres du cluster
FortiGate_A
Connectez-vous au port7 pour vous connecter au FortiGate_B (FortiGate_B

s’affiche dans la barre de titre de l’interface graphique).
Sélectionnez Configuration Globale et ensuite Système > Configuration > HA. A
partir de chaque liste de membres, vous pouvez sélectionner Editer pour le boîtier
FortiGate_B pour modifier la configuration HA du cluster virtuel et définir les

01-30001-0203-20060424
priorités du FortiGate_B dans le cluster virtuel 1 et dans le cluster virtuel 2. En
sélectionnant Editer pour le boîtier FortiGate_A dans le cluster virtuel 1, vous
pouvez modifier le nom d’hôte du FortiGate_A, ainsi que la priorité de FortiGate_A
dans le cluster virtuel 1. En sélectionnant Editer pour le boîtier FortiGate_A dans le
cluster virtuel 2, vous pouvez modifier le nom d’hôte du FortiGate_A, ainsi que la
priorité de FortiGate_A dans le cluster virtuel 2.
Illustration 64 : Exemple d’un cluster virtuel affichant la liste des membres du cluster
FortiGate_B
Exemple de configuration en maillage intégral HA

L’illustration 65 représente une configuration en maillage intégral HA avec un
cluster de deux membres FortiGate-5001. Cette section décrit les paramètres de
configuration FortiGate et les composants requis pour ce type de configuration.
Cette section parcourt également des exemples de démarches pour l’installation

d’une configuration en maillage intégral HA. Les procédures reprises dans cette
section représentent une séquences de démarches possible parmi plusieurs pour
configurer une configuration en maillage intégral HA. Une fois que vous serez plus
expérimenté avec FortiOS, HA et le maillage intégral HA, rien ne vous empêche
d’utiliser une séquence de démarches différente.

Les procédures décrivent comment configurer un cluster opérant en mode

NAT/Route, puisqu’il s’agit du mode de fonctionnement par défaut. Cependant les
démarches sont les mêmes pour un cluster opérant en mode Transparent. Vous
pouvez passer en mode Transparent, soit avec le commencement des procédures,
soit après la configuration HA, alors que le cluster déjà connecté est opérationnel.
• Configuration en maillage intégral HA FortiGate-5001

• Configuration de commutateurs en maillage intégral
• Connexions réseau en maillage intégral

01-30001-0203-20060424
• Circulation des paquets du réseau interne à travers le cluster en maillage
intégral et vers l’Internet
• Configurer les FortiGate-5001 pour opérer en HA
• Ajouter des interfaces redondantes au cluster
• Connecter le cluster à votre réseau
Illustration 65 : Exemple de configuration en maillage intégral HA
Configuration en maillage intégral HA FortiGate-5001

Les deux membres FortiGate-5001 (1 et 2) peuvent opérer en mode NAT/Route ou
Transparent. En plus des paramètres HA standard, la configuration des FortiGate-
5001 comprend les paramètres suivants :
• Les interfaces port9 et port10 sont configurées comme interfaces de heartbeat

HA (dans la configuration par défaut).
• Les interfaces port1 et port2 sont ajoutées à une interface redondante. Port1
est l’interface physique active de cette interface redondante.
• Les interfaces port3 et port4 sont ajoutées à une interface redondante. Port3
est l’interface physique active de cette interface redondante.
Une configuration en maillage intégral HA comprend également des interfaces de

heartbeat HA. Lorsque les FortiGate-5001 sont installés dans un châssis

01-30001-0203-20060424
FortiGate-5020, les interfaces redondantes port9 et port10 de heartbeat HA sont
connectées via le fond de panier du châssis. Par contre, dans le cas où les
FortiGate-5001 sont installés dans un châssis FortiGate-5050 ou FortiGate-5140, il
est nécessaire d’installer des cartes de commutation FortiSwitch redondantes (par
exemple deux FortiGate-5003).
Configuration de commutateurs en maillage intégral

Repris dans l’exemple, deux commutateurs (ou concentrateurs optiques
équivalents), appelés commutateur 1 et commutateur 2, et connectés au réseau
interne. Un lien ISL (interswitch-link) relie les commutateurs 1 et 2.
Egalement, deux autres commutateurs (ou concentrateurs optiques équivalents),

appelés commutateur 3 et commutateur 4, et connectés au réseau externe. Un lien
ISL (interswitch-link) relie les commutateurs 3 et 4.
Connexions réseau en maillage intégral

Créez les connexions réseau physiques suivantes pour le boîtier FortiGate 1 :
• Port1 au commutateur 1 (actif)
• Port2 au commutateur 2 (inactif)
Créez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 :

Circulation des paquets du réseau interne à travers le cluster en

maillage intégral et vers l’Internet
Dans le cas où le cluster opère en mode actif-passif et que le boîtier FortiGate 2
est le membre primaire, tous les paquets prennent le chemin suivant, du réseau
interne vers Internet :
1 Du réseau interne au commutateur 2. (Le commutateur 2 est la connexion active

au FortiGate 2, le membre primaire dans notre exemple. C’est donc le membre
primaire qui reçoit tous les paquets).
2 Du commutateur 2 à l’interface port1 du FortiGate 2. (Connexion active entre le
commutateur 2 et le boîtier FortiGate 2. Port1 est le membre actif de l’interface
redondante).
3 Du port1 du FortiGate 2 au port3 du FortiGate 2 (Connexion active entre le
commutateur 4 et le boîtier FortiGate 2. Port1 est le membre actif de l’interface
redondante).
4 Du commutateur 4 au routeur externe et vers Internet.

01-30001-0203-20060424
Configurer les FortiGate-5001 pour opérer en HA
Tous les membres FortiGate-5001 du cluster doivent être configurés identiquement
quant à leurs paramètres HA. La procédure suivante parcourt la configuration des
membres FortiGate-5001 pour opérer en HA. Voir « Options HA » à la page 114
pour plus d’informations sur les options HA reprises dans cette procédure.
1 Installez les FortiGate-5001, ainsi que les cartes de commutations FortiSwitch

dans le châssis et mettez ensuite le châssis sous tension.
2 Connectez-vous à l’interface d’administration web d’un des FortiGate-5001.
3 Facultativement, vous pouvez donner un nom d’hôte au FortiGate. Voir
« Modification du nom d’hôte du FortiGate » à la page 52 . Les noms d’hôte
servent à identifier les membres du cluster individuellement.
5 Définissez le mode Actif-Passif ou Actif-Actif.
6 Entrez un mot de passe pour le cluster. Celui-ci doit être identique pour tous les
membres FortiGate du cluster.
7 Cliquez sur OK.
Remarque : Vous pouvez maintenir la configuration par défaut des options HA restantes et
les modifier plus tard, une fois le cluster opérationnel.
« Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC
d’administration en effaçant l’entrée du tableau ARP pour votre FortiGate (ou
simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire à arp –d.
8 Répétez cette procédure pour l’autre membre FortiGate-5001 du cluster.
Les membres FortiGate-5001 négocient pour former un cluster.
Ajouter des interfaces redondantes au cluster

Une fois le cluster opérationnel, vous pouvez lui ajouter des interfaces redondantes
avant d’intégrer d’additionnelles modifications de configuration. Vous ne pouvez
pas ajouter des interfaces physiques à une interface redondante si les interfaces
physiques ont été configurées avec une adresse IP (ou d’autres options de
configuration d’interface) ou encore si celles-ci sont comprises dans d’autres
paramètres de configuration.
Les procédures suivantes décrivent comment ajouter port1 et port2 à une interface
redondante et port3 et port4 à une autre. A partir de la configuration par défaut, il
est nécessaire de supprimer les adresses IP de port1 et port2, ainsi que port2 de la
route par défaut. La procédure suivante ne rentre pas dans les détails et n’explique
pas comment maintenir une connexion à l’interface graphique pendant la
démarche ci-dessous. Il y a plusieurs façons d’accomplir les étapes de la
procédure et cela dépend de votre configuration. Par exemple, vous pouvez utiliser
une connexion console à l’interface de ligne de commande pour configurer une

01-30001-0203-20060424
interface différente (par exemple port5) avec une adresse IP et un accès
administratif.
1 Connectez-vous à l’interface d’administration web du cluster.

3 Editer le port1 et affectez lui l’IP/Masque de réseau 0.0.0.0/0.0.0.0
4 Editer le port2 et affectez lui l’IP/Masque de réseau 0.0.0.0/0.0.0.0
5 Sélectionnez Routeur > Static > Route Statique.
6 Supprimez la route par défaut, ainsi que toutes les routes éventuellement ajoutées
aux port1, port2, port3 et port4. Vous pouvez également éditer des routes statiques
pour configurer le dispositif sur un nom d’interface différent.
8 Cliquez sur Créer Nouveau et ajoutez la première interface redondante.
Nom R_Int_1_2
Type Interface Redondante
Membres de l’interface physique Ajouter port1 et port2 à la liste des Interfaces
Sélectionnées.
Mode d’Adressage Sélectionnez le mode d’adressage requis pour
votre réseau et ajoutez un IP/Masque de réseau
si nécessaire.
9 Cliquez sur Créer Nouveau et ajoutez la deuxième interface redondante.
Nom R_Int_3_4
Type Interface Redondante
Membres de l’interface physique Ajouter port3 et port4 à la liste des Interfaces
Sélectionnées.
Mode d’Adressage Sélectionnez le mode d’adressage requis pour
votre réseau et ajoutez un IP/Masque de réseau
si nécessaire.
Connecter le cluster à votre réseau

La procédure suivante permet de connecter le cluster de deux membres FortiGate-
5001 à une configuration en maillage intégral HA. Elle décrit les connexions des
interfaces des FortiGate 1 et 2 tels que représentées dans l’illustration 65 à la page
144.
1 Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 1 :

• Connectez le port1 du FortiGate-5001 au commutateur 1.
2 Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 :

01-30001-0203-20060424
3 Connectez les commutateurs 1 et 2 au réseau interne.
4 Connectez les commutateurs 3 et 4 au routeur externe.
5 Activez la communication ESL entre les commutateurs 1 et 2 et entre les
commutateurs 3 et 4.
La configuration en maillage intégral HA de base est à présent terminée. Vous
pouvez configurer le cluster de la même manière qu’un équipement FortiGate
autonome. Vous pouvez mettre le cluster en service et modifier les paramètres HA
de la même manière qu’un cluster HA standard.
Maillage intégral HA pour clustering virtuel

Les FortiGate-800 et plus supportent la configuration en maillage intégral HA pour
les clusters FortiGate opérant en tant que cluster virtuel. La configuration en
maillage intégral HA d’un clustering virtuel consiste en une expansion du maillage
intégral HA à chaque domaine virtuel du cluster.
Par exemple, un cluster de deux FortiGate-5001 peut opérer comme un cluster HA

dont les domaines virtuels et le clustering virtuel sont activés. Le cluster peut être
configuré avec deux domaines virtuels : le domaine virtuel root et vous pouvez
ajouter un domaine virtuel appelé vdom_1.
Le domaine virtuel root peut comprendre les interfaces suivantes :

• Interface redondante R_Int_1_2 comprenant les interfaces physiques port1 et
port2. R_Int_1_2 peut être connectée à des commutateurs redondants eux-
mêmes connectés à un réseau interne.
mêmes connectés à Internet.
Le domaine virtuel vdom_1 peut comprendre les interfaces suivantes :

mêmes connectés à un réseau interne.
mêmes connectés à Internet.
Les domaines virtuels supportent des configurations mixtes maillage intégral et HA
classique. Par exemple, vous pouvez configurer en maillage intégral HA le
domaine virtuel root et procéder à une configuration HA classique pour le domaine
virtuel vdom_1.
Remarque : Les interfaces physiques ajoutées à une interface redondante doivent être
ajoutées au même domaine virtuel que l’interface redondante avant même d’être ajoutées à
l’interface redondante.

01-30001-0203-20060424
HA et interfaces redondantes
Sur les modèles FortiGate-800 et plus, vous pouvez utiliser des interfaces
redondantes pour combiner deux ou plusieurs interfaces en une seule interface
redondante. Pour plus d’informations sur l’ajout d’interfaces redondantes, voir
« Création d’une interface redondante » à la page 67.
L’adresse MAC de l’interface redondante est celle de la première interface

répertoriée dans la liste des interfaces ajoutées à la configuration de l’interface
redondante. La liste de ces interfaces apparaît dans l’ordre alphabétique. Dès lors,
dans l’exemple où l’interface redondante comprend les port1 et port2, l’interface
redondante apparaît seule sur le réseau avec l’adresse MAC du port1.
Un cluster HA avec une interface redondante peut par exemple comprendre deux
boîtiers FortiGate-800 opérant en mode HA et installés entre un serveur réseau et
Internet.
La connexion entre le cluster et le serveur réseau consiste en une connexion de

l’interface redondante vers port1 et port2 des boîtiers FortiGate-800 dans le
cluster. L’interface redondante est configurée comme une interface HA contrôlée.
Le commutateur est également connecté au serveur réseau.
Le cluster est connecté à Internet via une connexion gigabyte à un commutateur.

Le commutateur se connecte aux ports4 des deux membres FortiGate-800 dans le
cluster.
Illustration 66 : Exemple d’un cluster avec une interface redondante
Surveillance de l’interface HA, réplication de lien et interfaces

redondantes
La surveillance de l’interface HA contrôle l’interface redondante comme une
interface unique et ne contrôle donc pas les interfaces physiques individuelles
dans l’interface redondante. Cette surveillance enregistre une défaillance de
l’interface redondante uniquement si toutes les interfaces physiques de cette
interface redondante sont en panne. Si seules certaines de ces interfaces
physiques sont en panne ou déconnectées, la haute disponibilité considère
l’interface redondante comme opérant normalement.

01-30001-0203-20060424
Adresses MAC HA et interfaces redondantes
Dans le cas d’un boîtier FortiGate autonome, une interface redondante possède
l’adresse MAC de la première interface physique dans la configuration de
l’interface redondante. Une interface redondante comprenant port1 et port2 aurait
l’adresse MAC de port1.
Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface redondante dans un cluster
obtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface physique
qui apparaît dans la configuration de l’interface redondante.
Connexion de multiples interfaces redondantes à un

commutateur en mode HA actif-passif
L’HA affecte les mêmes adresses MAC virtuelles aux interfaces du membre
subordonné qu’aux interfaces correspondantes du membre primaire. Prenons
l’exemple d’un cluster composé de deux FortiGate opérant en mode actif-passif
avec une interface redondante comprenant des port1 et port2. Vous pouvez
connecter de multiples interfaces redondantes au même commutateur si vous le
configurez de manière à ce qu’il définisse de multiples interfaces redondantes
séparées et mettent les interfaces redondantes de chaque membre du cluster dans
des interfaces redondantes séparées. Avec une telle configuration, chaque
membre du cluster forme une interface redondante séparée avec le commutateur.
Cependant, si le commutateur est configuré avec une configuration d’interface

redondante unique 4-ports (parce que les mêmes adresses MAC sont utilisées par
les deux membres du cluster), le commutateur ajoute les quatre interfaces (port1 et
port2 du membre primaire et port1 et port2 du membre subordonné) à la même
interface redondante.
Pour éviter des résultats imprévisibles, lors de la connexion du commutateur à des

interfaces redondantes dans un cluster actif-passif, il est conseillé de configurer
des interfaces redondantes séparées sur le commutateur, une pour chaque
membre du cluster.
Connexion de multiples interfaces redondantes à un

commutateur en mode HA actif-actif
Dans un cluster actif-actif, tous les membres du cluster reçoivent et envoient des
paquets. Pour créer un cluster avec interfaces redondantes en mode actif-actif,
avec de multiples interfaces redondantes connectées au même commutateur, vous
devez séparer les interfaces redondantes de chaque membre du cluster en
interfaces redondantes différentes sur le commutateur connecté.
HA et interfaces agrégées 802.3ad

Sur les modèles FortiGate-800 et plus, vous pouvez utiliser une agrégation
802.3ad pour combiner deux ou plusieurs interfaces en une interface agrégée
unique. A propos des agrégations 802.3ad, voir « Création d’une interface agrégée
802.3ad » à la page 66.
Une interface agrégée acquiert son adresse MAC de la première interface de la

liste des interfaces ajoutées à l’agrégation. Les interfaces sont répertoriées dans la
configuration agrégée par ordre alphabétique. Ainsi, par exemple, si une

01-30001-0203-20060424
agrégation comprend les port1 et port2, l’interface agrégée apparaît sur le réseau
comme une interface unique avec l’adresse MAC du port1.
Un cluster HA avec une interface agrégée peut comprendre deux FortiGate-800

opérant en mode HA. Ces deux membres FortiGate-800 sont connectés à Internet
via une connexion gigabyte à un commutateur. Le commutateur se connecte au
port4 des deux membres FortiGate-800 du cluster. Les domaines virtuels ne sont
pas configurés.
Un serveur réseau est connecté à un commutateur via deux connexions 100

Mbit/s. Le commutateur utilise des connexions d’agrégation de liens (2 x
100Mbit/s) pour se connecter aux port1 et port2 des membres FortiGate-800 du
cluster. L’interface agrégée est configurée comme une interface HA sous contrôle.
Illustration 67 : Exemple d’un cluster avec interfaces agrégées
Surveillance d’interface HA, réplication de lien et agrégation

802.3ad
La surveillance de l’interface HA contrôle l’interface agrégée comme une interface
unique et ne contrôle pas les interfaces physiques individuelles dans l’agrégation.
Cette surveillance enregistre une défaillance de l’interface agrégée uniquement si
toutes les interfaces physiques de cette interface agrégée sont en panne. Si seules
certaines de ces interfaces physiques sont en panne ou déconnectées, la haute
disponibilité considère l’interface agrégée comme opérant normalement.
Adresses MAC HA et agrégation 802.3ad

Si une configuration agrégée lien utilise le Link Aggregate Control Protocol (LACP),
soit passif ou actif, ce protocole est négocié par delà toutes les interfaces de toute
agrégation. Dans le cas d’un boîtier FortiGate autonome, l’implémentation du
LACP FortiGate utilise l’adresse MAC de la première interface physique dans la
configuration de l’agrégation pour identifier uniquement cette agrégation. Une
interface agrégée comprenant port1 et port2 aurait l’adresse MAC de port1.
Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface agrégée dans un cluster
obtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface de
l’agrégation.

01-30001-0203-20060424
Mode HA actif-passif et LACP
La haute disponibilité affecte les mêmes adresses MAC virtuelles aux interfaces du
membre subordonné que celles affectées aux interfaces correspondantes du
membre primaire. Prenons l’exemple d’un cluster de deux FortiGate opérant en
mode actif-passif avec une interface agrégée comportant les port1 et port2. Vous
pouvez connecter de multiples interfaces agrégées au même commutateur si vous
le configurez de manière à ce qu’il définisse des agrégations séparées. Le
commutateur place ensuite les interfaces de chaque membre du cluster dans des
agrégations séparées. Avec une telle configuration, chaque membre du cluster
forme une agrégation séparée avec le commutateur. Cependant si le commutateur
est configuré avec un agrégation unique de quatre ports et puisque les mêmes
adresses MAC sont utilisées par les deux membres du cluster, le commutateur
ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du
membre subordonné) à la même agrégation.
Cela engendre des problèmes puisque le commutateur distribue le trafic à travers

les quatre interfaces de l’agrégation. Ainsi, le trafic pourrait être reçu par une
interface du membre primaire et renvoyé par une interface connectée au membre
subordonné.
Pour empêcher ce problème, lors de la connexion du commutateur aux interfaces

agrégées d’un cluster en mode actif-passif, vous devriez configurer des
agrégations séparées sur le commutateur ; un pour chaque membre du cluster.
Si vous devez malgré tout ajouter les deux membres FortiGate à la même
agrégation, vous pouvez empêcher le membre subordonné d’envoyer ou
d’accepter des paquets LACP en définissant le mot-clé CLI config system
interface lacp-ha-slave sur disable. De cette manière, le membre
subordonné ne participe pas à l’agrégation. En cas de réplication, lorsque le
membre subordonné devient le nouveau membre primaire, ce dernier commence à
envoyer et recevoir des paquets LACP et rejoint l’agrégation. La commande lacp-
ha-slave est activée par défaut. Voir le FortiGate CLI Reference pour plus
d’informations sur le mot-clé lacp-ha-slave.
SNMP
Vous pouvez configurer l’agent SNMP FortiGate pour transmettre des rapports sur
les informations du système et envoyer des traps (alarmes et messages sur les
événements) aux superviseurs SNMP. A l’aide de l’un de ces superviseurs, vous
pouvez accéder aux traps et données SNMP à partir de n’importe quelle interface
FortiGate ou sous-interface VLAN configurée pour un accès administratif SNMP.
L’implémentation FortiGate SNMP est autorisée en lecture uniquement. Les

superviseurs compatibles SNMP v1 et v2c ne possèdent que les droits en lecture
des informations sur le système FortiGate et reçoivent des traps FortiGate. Pour
contrôler les informations sur le système FortiGate et recevoir les traps FortiGate,
vous devez compiler les MIB privées Fortinet ainsi que les MIB standard
supportées par votre superviseur SNMP.
Le support des RFC intègre le support de la majorité des informations de la RFC

2665 (MIB type Ethernet) ainsi que de celle de la RFC 1213 (MIB II) (Pour plus
d’informations, voir « MIB FortiGate » à la page 156).

01-30001-0203-20060424
Configuration SNMP
Pour configurer l’agent SNMP, sélectionnez Système > Configuration > SNMP
v1/v2c.
Illustration 68 : Configuration SNMP
Activer SNMP Active l’agent SNMP FortiGate.

Description Entrez une information descriptive à propos du
FortiGate. Cette information ne doit pas dépasser 35
caractères.
Localisation Entrez la localisation physique du boîtier FortiGate.
Cette information ne doit pas dépasser 35 caractères.
Contact Entrez les informations de contact de la personne
responsable de ce boîtier FortiGate. Cette information
ne doit pas dépasser 35 caractères.
Appliquer Enregistre les modifications apportées à la description,
la localisation et au contact.
Créer Nouveau Cliquez sur Créer Nouveau pour ajouter une nouvelle
communauté SNMP. Voir « Configuration d’une
communauté SNMP » à la page 154.
Communautés La liste des communautés SNMP ajoutées à la
configuration FortiGate. Vous pouvez ajouter jusqu’à
trois communautés.
Nom Le nom de la communauté.
Requêtes Le statut des requêtes SNMP de chaque communauté
SNMP. Ce statut peut être activé ou désactivé.
Traps Le statut des traps SNMP de chaque communauté
SNMP. Ce statut peut être activé ou désactivé.
Activer Active une communauté.
Icône Supprimer Supprime une communauté SNMP.
Icône Editer/Visualiser Permet de modifier ou visualiser une communauté
SNMP.

01-30001-0203-20060424
Configuration d’une communauté SNMP
Une communauté SNMP est un regroupement d’équipements dans un objectif
d’administration de réseaux. La création de communautés permet aux
superviseurs SNMP de se connecter à l’équipement FortiGate pour prendre
connaissance des informations sur le système et pour recevoir des traps SNMP.
Vous pouvez créer jusqu’à trois communautés. Chacune d’entre elles peut être
configurée différemment pour les requêtes et traps SNMP. Chaque communauté
peut être configurée pour contrôler différents types d’événements du boîtier
FortiGate. Vous pouvez également ajouter jusqu’à 8 adresses IP de superviseurs
SNMP à chaque communauté.
Illustration 69 : Options pour les communautés SNMP (partie 1)
Illustration 70 : Options pour les communautés SNMP (partie 2)
Communauté Entrez un nom d’identification de la communauté.

Serveur SNMP Entrez l’adresse IP et identifiez les superviseurs
SNMP qui peuvent utiliser les paramètres de cette
communauté SNMP pour surveiller l’équipement
FortiGate.

01-30001-0203-20060424
Adresse IP Entrez l’adresse IP d’un superviseur SNMP qui peut
utiliser les paramètres de la communauté pour
surveiller l’équipement FortiGate. Vous pouvez
également définir l’adresse IP sur 0.0.0.0 pour que
tout superviseur SNMP puisse utiliser cette
communauté.
Interface Facultativement, sélectionnez le nom de l’interface
que ce superviseur SNMP utilise pour se connecter à
l’équipement FortiGate. Cette démarche est
nécessaire que si le superviseur SNMP n’est pas sur
le même sous-réseau que l’équipement FortiGate.
C’est le cas par exemple d’un superviseur passant
par Internet ou placé derrière un routeur.
Supprimer Cliquez sur l’icône supprimer du superviseur que
vous désirez supprimer.
Ajouter Créer une nouvelle ligne dans la liste Serveur SNMP.
Il est possible d’ajouter jusqu’à 8 superviseurs SNMP
à une communauté.
Requêtes Entrez le numéro du port (161 par défaut) utilisé par
les superviseurs de cette communauté pour les
requêtes SNMP v1 et SNMP v2c pour recevoir des
informations sur la configuration de la part du boîtier
FortiGate. Cochez les cases Activer pour activer les
requêtes de chaque version SNMP.
Traps Entrez les numéros de ports local et distant (port 162
par défaut pour chacun) que le boîtier FortiGate utilise
pour envoyer des traps SNMP v1 et SNMP v2c vers
les superviseurs SNMP de cette communauté.
Cochez les cases Activer pour activer les traps pour
chaque version SNMP.
Evénements SNMP Cochez les cases Activer des événements SNMP
dont les traps doivent être envoyés aux superviseurs
SNMP de cette communauté par le boîtier
FortiGate.
Configurer une interface pour un accès SNMP

Afin de permettre les connexions d’un superviseur SNMP à distance à un agent
FortiGate, il est nécessaire de configurer une ou plusieurs interfaces SNMP pour
accepter les connexions SNMP.

2 Cliquez sur l’icône Editer d’une interface à laquelle se connecte un superviseur
SNMP.
3 Dans la section Administration, cochez la case SNMP.
4 Cliquez sur OK.
Configurer un accès SNMP en mode Transparent

1 Sélectionnez Système > Configuration > Operation Mode.
2 Entrez l’adresse IP utilisée pour l’accès administratif et le masque de réseau dans
le champ IP/Masque de réseau de gestion.

01-30001-0203-20060424
Vous devez configurer une ou plusieurs interfaces dans votre VDOM pour accepter
l’accès SNMP.
MIB FortiGate
L’agent SNMP FortiGate supporte les MIB privées FortiGate, ainsi que les MIB
standard des RFC 1213 et RFC 2665. Le support RFC comprend un support pour
les parties de la RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB
II) qui s’appliquent à la configuration du FortiGate.
Les MIB FortiGate, ainsi que les deux MIB RFC sont répertoriées dans le tableau
10. Ces fichiers MIB sont disponibles au Support Technique Fortinet. Pour pouvoir
communiquer avec l’agent SNMP, vous devez compiler toutes ces MIB dans votre
superviseur SNMP.
Il est probable que votre superviseur SNMP contiennent déjà des MIB standard et
privées dans une base de données prête à l’emploi. Il est cependant nécessaire
d’ajouter les MIB privées Fortinet à cette base de données. Dans le cas où les MIB
standard utilisées par l’agent SNMP Fortinet sont déjà compilées dans votre
superviseur SNMP, il n’est pas nécessaire de les recompiler.
Tableau 10 : MIB FortiGate

Nom de ficher MIB ou RFC Description
fortinet.3.00.mib La MIB privée Fortinet comprend des informations détaillées
sur la configuration du système et sur les traps. Votre
superviseur SNMP requiert ces informations pour surveiller
les paramètres de configuration FortiGate et recevoir les
traps de l’agent SNMP FortiGate. Voir « Traps FortiGate »
ci-dessous et « Champs MIB Fortinet » à la page 158.
RFC-1213 (MIB II) L’agent SNMP FortiGate supporte les groupes MIB II avec
les exceptions suivantes :
• Pas de support pour le groupe EGP de MIB II (RFC
1213, section 3.11 et .10).
• Les statistiques sur le protocole renvoyées pour les
groupes MIB II (IP/ICMP/TCP/UDP/etc.) ne capturent
pas précisément toute l’activité du trafic FortiGate. Des
informations plus précises peuvent être obtenue par
les informations reportées par la MIB Fortinet.
RFC-2665 (MIB type L’agent SNMP FortiGate supporte les informations MIB type
Ethernet) Ethernet à l’exception de :
• Pas de support pour les groupes dot3Tests et
dot3Errors.
Traps FortiGate
L’agent FortiGate peut envoyer des traps aux superviseurs SNMP des
communautés SNMP. La réception des traps ne peut se faire qu’après avoir
chargé et compilé la MIB Fortinet 3.0 sur le superviseur SNMP.
Tous les traps comprennent le message trap ainsi que le numéro de série du
boîtier FortiGate.

01-30001-0203-20060424
Tableau 11 : Traps FortiGate génériques
Message trap Description
ColdStart Traps standard tels que décrits dans la RFC 1215.
WarmStart
LinkUp
LinkDown
Tableau 12 : Traps Système FortiGate

CPU usage high Le taux CPU dépasse 90%.
(fnTrapCpuHigh)
Memory low Le taux mémoire dépasse 90%
(fnTrapMemLow)
Interface IP change Modification d’une adresse IP sur une interface FortiGate.
(fnTrapIfChange) Le message trap comprend le nom de l’interface, la
nouvelle adresse IP et le numéro de série du boîtier
FortiGate. Vous pouvez utiliser ce trap pour trouver les
modifications d’adresse IP des interfaces dont les adresses
IP dynamiques sont définies via DHCP ou PPPoE.
(fnFMTrapIfChange) Pas de message. L’interface change d’IP. Envoyé
uniquement pour contrôler le FortiManager.
(fnFMTrapConfChange) Tout changement apporté au FortiGate, à l’exception des
changements apportés par un FortiManager connecté.
Tableau 13 : Traps VPN FortiGate

VPN tunnel is up Un tunnel VPN IPSec commence.
(fnTrapVpnTunUp)
VPN tunnel down Un tunnel VPN IPSec se ferme.
(fnTrapVpnTunDown)
Tableau 14 : Traps IPS FortiGate

IPS Anomaly Anomalie IPS détectée.
(fnTrapIpsAnomaly)
IPS Signature Signature IPS détectée.
(fnTrapIpsSignature)
Tableau 15 : Traps antivirus FortiGate

Virus detected Le boîtier FortiGate détecte un virus et le supprime du
(fnTrapAvEvent) fichier infecté du téléchargement HTTP ou FTP ou du
message email.
Tableau 16 : Traps logging FortiGate

Log full Sur un équipement FortiGate muni d’un disque dur,
(fnTrapLogFull) l’utilisation du disque dépasse 90%. Sur un équipement
FortiGate non muni d’un disque dur, l’utilisation de la
journalisation en mémoire dépasse 90%.

01-30001-0203-20060424
Tableau 17 : Traps HA FortiGate
HA switch Le membre primaire d’un cluster tombe en panne et est
(fnTrapHaSwitch) remplacé par un nouveau membre primaire.
Tableau 18 : Traps FortiBridge

FortiBridge detects fail Un équipement FortiBridge détecte une panne d’un
(fnTrapBridge) équipement FortiGate.
Champs MIB Fortinet

Les MIB Fortinet comprennent des champs concernant les statuts courants du
système FortiGate. Les tableaux ci-dessous répertorient les noms des champs MIB
et leur description. Des informations plus détaillées sur les champs MIB Fortinet
sont disponibles en compilant le fichier fortinet.3.00.mib sur votre superviseur
SNMP et en parcourant les champs MIB Fortinet.
Tableau 19 : Champs MIB du système

Champ MIB Description
fnSysModel Le numéro du modèle boîtier FortiGate, par exemple 400 pour un
FortiGate-400.
fnSysSerial Le numéro de série de l’équipement FortiGate.
fnSysVersion La version du microcode installé sur l’équipement FortiGate.
fnSysVersionAv La version de la base de connaissance antivirus installée sur
l’équipement FortiGate.
fnSysVersionNids La version de la base de connaissance des attaques installée sur
fnSysHaMode Le mode HA en cours (stand alone, A-A, A-P).
fnSysOpMode Le mode de fonctionnement en cours (NAT ou Transparent).
fnSysCpuUsage Le taux CPU (en pourcentage).
fnSysMemUsage Le taux d’utilisation de la mémoire (en Mbit).
fnSysSesCount Le compteur de sessions IP en cours.
fnSysDiskCapacity La capacité du disque dur (Mbit).
fnSysDiskUsage L’usage en cours du disque dur (Mbit).
Tableau 20 : Champs MIB HA

fnHaSchedule Horaire pour l’équilibrage de charge en mode A-A.
fnHaStatsTable Statistiques pour les membres individuels FortiGate d’un cluster
HA.
fnHaStatsIndex Le numéro de l’index du membre dans le
cluster.
fnHaStatsSerial Le numéro de série du membre FortiGate.
fnHaStatsCpuUsage Le taux CPU du membre FortiGate (%).
fnHaStatsMemUsage Le taux usage de la mémoire du membre
FortiGate.
fnHaStatsNetUsage L’utilisation réseau en cours (Kbit/s).
fnHaStatsSesCount Le nombre de sessions actives.
fnHaStatsPktCount Le nombre de paquets traités.

01-30001-0203-20060424
fnHaStatsByteCount Le nombre d’octets traités par le membre
FortiGate.
fnHaStatsIdsCount Le nombre d’attaques détectées par l’IPS
les dernières 20 heures.
fnHaStatsAvCount Le nombre de virus détectés par l’antivirus
les dernières 20 heures.
Tableau 21 : Comptes Administrateurs

fnAdminNumber Le nombre d’administrateurs sur l’équipement FortiGate.
fnAdminTable Le tableau des administrateurs.
fnAdminIndex Le numéro de l’index du compte
administrateur.
fnAdminName Le nom du compte administrateur.
fnAdminAddr Une adresse d’un hôte ou sous-réseau de
confiance à partir duquel ce compte
administrateur peut être utilisé.
fnAdminMask Le masque de réseau de fnAdminAddr.
Tableau 22 : Utilisateurs locaux

fnUserNumber Le nombre de comptes utilisateurs locaux sur l’équipement
FortiGate.
fnUserTable Le tableau des utilisateurs locaux.
fnUserIndex Le numéro de l’index du compte de
l’utilisateur local.
fnUserName Le nom du compte de l’utilisateur local.
fnUserAuth Le type d’authentification pour l’utilisateur
local :
local – un mot de passe sauvegardé sur
radius-single – un mot de passe
sauvegardé sur un serveur RADIUS.
radius-multiple – tous les utilisateurs qui
peuvent s’authentifier sur un serveur
RADIUS peuvent se connecter.
ldap – un mot de passe sauvegardé sur un
serveur LDAP.
fnUserState Etat de l’utilisateur local : activé ou
désactivé.
Tableau 23 : Options
fnOptIdleTimeout La période d’inactivité en minutes après laquelle un
administrateur doit se réauthentifier.
fnOptAuthTimeout La période d’inactivité en minutes après laquelle un utilisateur
doit se réauthentifier avec un pare-feu.
fnOptLanguage La langue de l’interface d’administration web.
fnOptLcdProtection Dans le cas où un PIN LCD a été envoyé.

01-30001-0203-20060424
Tableau 24 : Journalisation
fnLogOption Les préférences en matière de journalisation.
Tableau 25 : Messages personnalisés

fnMessages Le nombre de messages personnalisés sur l’équipement
FortiGate.
Tableau 26 : Domaines virtuels

fnVdNumber Le nombre de domaines virtuels sur l’équipement FortiGate.
fnVdTable Tableau des domaines virtuels
fnVdIndex Le numéro de l’index du domaine virtuel
interne sur l’équipement FortiGate.
fnVdName Le nom du domaine virtuel.
Tableau 27 : Sessions IP actives

fnIpSessIndex Le numéro de l’index de la session IP active.
fnIpSessProto Le protocole IP (TCP, UDP, ICMP, etc.) de la session.
fnIpSessFromAddr L’adresse IP source de la session IP active.
fnIpSessFromPort Le port source de la session IP active.
fnIpSessToPort L’adresse IP de destination de la session IP active.
fnIpSessToAddr Le port de destination de la session IP active.
fnIpSessExp Le temps d’expiration en secondes pour la session.
Tableau 28 : VPN dialup

fnVpnDialupIndex L’index du dialup VPN paire.
fnVpnDialupGateway L’adresse IP distante de la passerelle.
fnVpnDialupLifetime La durée de fonctionnement en secondes du tunnel VPN.
fnVpnDialupTimeout Le temps restant jusqu’au prochain échange de clé (en
secondes).
fnVpnDialupSrcBegin L’adresse du sous-réseau distant.
fnVpnDialupSrcEnd Le masque du sous-réseau distant.
fnVpnDialupDstAddr L’adresse du sous-réseau local.

01-30001-0203-20060424
Messages de remplacement
Sélectionnez Système > Configuration > Messages de Remplacement pour
modifier les messages de remplacement et personnaliser les emails et
informations sur les alertes que le boîtier FortiGate ajoute aux flux de contenu tels
que messages emails, pages Internet et sessions FTP.
L’équipement FortiGate adjoint des messages de remplacement à plusieurs types

de flux de contenu. Par exemple, si un virus est trouvé dans un email, le fichier
contaminé est supprimé de l’email et remplacé par un message de remplacement.
Cette procédure s’applique également aux pages Internet bloquées par un filtrage
web et aux emails bloqués par un filtrage antispam.
Liste des messages de remplacement

Illustration 71 : Liste des messages de remplacement
Nom Le type de message de remplacement. Cliquez sur le triangle

bleu pour afficher la catégorie. Vous pouvez modifier les
messages adjoints aux
• emails dont les pièces jointes sont infectées par un virus
• pages web (http)
• sessions ftp
• messages de mails d’alertes
• email smtp bloqués comme spam
• pages web bloquées par une des catégories du filtrage
web
• sessions de messagerie instantanée et peer-to-peer
Vous pouvez également modifier

• la page d’ouverture de la session pour une authentification
de l’utilisateur
• les messages d’informations d’authentification de
l’utilisateur (certains modèles)
• la page d’ignorance du filtrage web FortiGuard
• la page d’ouverture de session pour VPN SSL

01-30001-0203-20060424
Description Description du type de message de remplacement. L’interface
d’administration web décrit l’endroit où chaque message de
remplacement est utilisé par le boîtier FortiGate.
Icône Visualiser/Editer Sélectionnez pour éditer ou visualiser un message de
remplacement.
Modification des messages de remplacement

Illustration 72 : Exemple d’un message de remplacement d’un virus HTTP
Les messages de remplacement s’écrivent sous forme de texte ou de messages

HTML. Vous pouvez ajouter un code HTML à des messages HTML. De plus, les
messages de remplacement peuvent comprendre des balises de message de
remplacement. Ainsi, lorsque les utilisateurs reçoivent le message de
remplacement, la balise est remplacée par un contenu en rapport avec le
message.
Le tableau 29 répertorie les balises des messages de remplacement qui peuvent

être adjointes.
Tableau 29 : Balises de messages de remplacement

Balise Description
%%CATEGORY%% Le nom de la catégorie de contenu du site web.
%%CRITICAL_EVENT%% Ajouté aux messages email d’événement critique d’alerte.
%%CRITICAL_EVENT%% est remplacée par le message
d’événement critique qui a enclenché l’email d’alerte.
%%DEST_IP%% L’adresse IP de la destination à partir de laquelle un virus a
été reçu. Dans le cas d’email, il s’agit de l’adresse IP du
serveur email qui a envoyé l’email contaminé. Dans le cas
de HTTP, il s’agit de l’adresse IP de la page web qui a
envoyé le virus.
%%EMAIL_FROM%% L’adresse email de l’expéditeur du message duquel le
fichier a été supprimé.
%%EMAIL_TO% L’adresse email du destinataire à l’attention duquel le
message du fichier a été supprimé.
%%FILE%% Le nom du fichier ayant été supprimé d’un flux de contenu.
Il peut s’agir d’un fichier qui contenait un virus ou qui a été
bloqué par un antivirus. %%FILE%% peut être utilisé dans les
messages de blocage de virus et fichiers.

01-30001-0203-20060424
%%FORTIGUARD_WF%% Le logo FortiGuard – Filtrage Web.
%%FORTINET%% Le logo Fortinet.
%%HTTP_ERR_CODE%% Le code erreur HTTP. Par exemple « 404 ».
%%HTTP_ERR_DESC%% La description de l’erreur HTTP.
%%NIDSVEVENT%% Le message de l’attaque IPS. %%NIDSEVENT%% est ajouté
%%NIDS_EVENT%% aux messages email d’intrusions d’alerte.
%%OVERRIDE%% Le lien vers le formulaire d’ignorance du filtrage web
FortiGuard. Visible uniquement par les utilisateurs qui
appartiennent à un groupe qui a la permission de créer des
ignorances de filtrage web FortiGuard.
%%OVRD_FORM%% Le formulaire d’ignorance du filtrage web FortiGuard. Cette
balise doit être présente dans le formulaire d’ignorance du
filtrage web FortiGuard et ne doit pas être utilisée dans les
autres messages de remplacement.
%%PROTOCOL%% Le protocole (http, ftp, pop3, imap ou smtp) dans lequel le
virus a été détecté. %%PROTOCOL%% est ajouté aux
messages des virus des emails d’alertes.
%%QUARFILENAME%% Le nom d’un fichier qui a été supprimé d’un flux de contenu
et placé en quarantaine. Il peut s’agir d’un fichier qui
contient un virus ou a été bloqué par un antivirus.
%%QUARFILENAME%% peut être utilisé dans les messages
de blocage de virus et fichier. La mise en quarantaine n’est
possible que sur les équipements FortiGate équipé d’un
disque local.
%%SERVICE%% Le nom du service de filtrage web.
%%SOURCE_IP%% L’adresse IP du destinataire qui aurait dû recevoir le fichier
bloqué. Dans le cas d’email, il s’agit de l’adresse IP de
l’ordinateur de l’utilisateur qui a tenté de télécharger le
message à partir duquel le fichier a été retiré.
%%URL%% L’URL d’une page web. Il peut s’agir d’une page web
bloquée par un filtre de contenu web ou un blocage d’URL.
%%URL%% peut aussi être utilisé dans les messages des
virus http et de blocage de fichier pour être l’URL de la
page à partir de laquelle un utilisateur a tenté de
télécharger un fichier qui a été bloqué.
%%VIRUS%% Le nom du virus trouvé dans un fichier par le système
antivirus. %%VIRUS%% peut être utilisé dans les messages
virus.
Modification de la page de connexion et d’authentification

Les utilisateurs voient s’afficher une page d’authentification lorsqu’ils utilisent un
VPN ou une règle pare-feu qui nécessitent une authentification. Vous pouvez
personnaliser cette page de la même manière que vous avez modifié d’autres
messages de remplacement. Cependant il existe quelques exigences
particulières :
• La page de connexion doit être une page HTLM contenant un formulaire

avec ACTION= « / » et METHOD= « POST »
• Le formulaire doit contenir les contrôles cachés suivants :
• <INPUT TYPE="hidden" NAME="%%MAGICID%%"
VALUE="%%MAGICVAL%%">

01-30001-0203-20060424
• <INPUT TYPE="hidden" NAME="%%STATEID%%"
VALUE="%%STATEVAL%%">
• <INPUT TYPE="hidden" NAME="%%REDIRID%%"
VALUE="%%PROTURI%%">
• Le formulaire doit contenir les contrôles visibles suivants :
• <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25>
• <INPUT TYPE="password" NAME="%%PASSWORDID%%"
size=25>
Exemple
Ci-dessous un exemple d’une page d’authentification simple qui répond aux
exigences énoncées ci-dessus.
<HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD>
<BODY><H4>You must authenticate to use this service.</H4>
<FORM ACTION="/" method="post">

<INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%"
TYPE="hidden">
<TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0"

CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY>
<TR><TH>Username:</TH>
<TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text">
</TD></TR>
<TR><TH>Password:</TH>
<TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password">
</TD></TR>
<TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc">

<INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%"
TYPE="hidden">
<INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden">
<INPUT VALUE="Continue" TYPE="submit"> </TD></TR>
</TBODY></TABLE></FORM></BODY></HTML>
Modification de la page d’ignorance du filtrage web FortiGuard

La balise %%OVRD_FORM%% fournit le formulaire utilisé pour initier une ignorance
dans le cas où le filtrage web FortiGuard bloque l’accès à une page web. Ne pas
retirer cette balise du message de remplacement.

01-30001-0203-20060424
Modification du message de connexion VPN SSL
Le message de connexion VPN SSL présente une page web à partir de laquelle
les utilisateurs se connectent au portail web VPN SSL. La page est reliée au boîtier
FortiGate et vous devez l’éditer en respectant les exigences suivantes.
• La page de connexion doit être une page HTML contenant un formulaire

avec
ACTION="%%SSL_ACT%%" et METHOD="%%SSL_METHOD%%"
• Le formulaire doit contenir la balise %%SSL_LOGIN%% pour fournir le
formulaire de connexion.
• Le formulaire doit contenir la balise %%SSL_HIDDEN%%.
Modification de la page d’information d’authentification

La page d’information d’authentification, disponible sur certains modèles, s’ouvre
par un texte sur l’usage de règles que l’utilisateur doit accepter avant que l’accès
au FortiGate ne lui soit permis. L’autorisation s’active dans une règle pare-feu. Voir
« Autorisation de l’authentification de l’utilisateur » dans « Options des règles pare-
feu » à la page 234. Il est conseillé de ne modifier que le texte de l’autorisation et
non pas le code HTML du formulaire.

01-30001-0203-20060424
Mode de fonctionnement des VDOM et accès administratif
Vous pouvez configurer un accès administratif pour chaque interface de votre
VDOM. Voir « Contrôler l’accès administratif d’une interface » à la page 74 . En
mode NAT/Route, l’adresse IP de l’interface est utilisée pour l’accès administratif.
En mode Transparent, vous devez configurer une seule adresse IP
d’administration qui s’applique à toutes les interfaces du VDOM qui permettent un
accès administratif. L’équipement FortiGate utilise également cette adresse IP pour
se connecter au FDN pour la mise à jour de virus et d’attaques (voir « Centre
FortiGuard» à la page 183.)
Un administrateur régulier peut uniquement accéder au VDOM auquel il appartient.

L’ordinateur d’administration doit être connecté à une des interfaces de ce VDOM.
L’administrateur admin peut accéder à tous les VDOM, peu importe le VDOM
auquel appartient l’interface. Dans les deux cas, l’ordinateur d’administration doit
se connecter à une interface qui permette l’accès administratif et dont l’adresse IP
doit se trouver sur le même réseau.
Vous pouvez autoriser l’administration à distance de l’équipement FortiGate.

Cependant, permettre une administration à distance via l’Internet pourrait
compromettre la sécurité de l’équipement FortiGate. Ceci est donc à éviter à moins
que la configuration l’exige. Pour améliorer la sécurité de l’équipement FortiGate
lors d’une administration à distance, il est fortement conseillé de :
• utiliser des mots de passe utilisateurs administratifs sécurisés.
• modifier régulièrement ces mots de passe.
• activer un accès administratif sécurisé à cette interface via HTTPS ou SSH.
• maintenir la valeur par défaut (5 minutes) du timeout d’inactivité du système
(voir « Paramètres » à la page 178 ).
Modification du mode de fonctionnement

Vous pouvez définir un mode de fonctionnement (aussi appelé mode d’opération)
pour votre domaine virtuel et accomplir des configurations réseau suffisantes pour
assurer une connexion à l’interface d’administration web dans ce nouveau mode.
Passer du mode NAT/ Route au mode Transparent

1 Sélectionnez Système > Configuration > Operation Mode ou cliquez sur
Changer à côté de Mode de Fonctionnement sur la page des Statuts du Système
pour le domaine virtuel.
2 Sélectionnez Transparent dans la liste Mode d’Opération.
3 Entrez les informations suivantes et cliquez ensuite sur Appliquer.

01-30001-0203-20060424
IP/Netmask de gestion Entrez l’adresse IP et le masque de réseau d’administration. Il
doit s’agir d’une adresse IP valide pour le réseau à partir
duquel vous voulez administrer l’équipement FortiGate.
Passerelle par défaut Entrez la passerelle par défaut requise pour atteindre d’autres
réseaux à partir du boîtier FortiGate.
Passer du mode Transparent au mode NAT/Route

1 Sélectionnez Système > Configuration > Operation Mode ou cliquez sur
Changer à côté de Mode de Fonctionnement sur la page des Statuts du Système
pour le domaine virtuel.
2 Sélectionnez NAT dans la liste Mode d’Opération.
3 Entrez les informations suivantes et cliquez ensuite sur Appliquer.
IP/Netmask de l’interface Entrez une adresse IP et un masque de réseau valides pour le

réseau à partir duquel vous voulez administrer l’équipement
FortiGate.
Interface (ou Device) Sélectionnez dans la liste l’interface pour laquelle les
paramètres IP/masque de réseau s’appliquent.
Passerelle par défaut Entrez la passerelle par défaut requise pour atteindre d’autres
réseaux à partir du boîtier FortiGate.
Interface de la passerelle Sélectionnez dans la liste l’interface à laquelle la passerelle
(ou Gateway Device) par défaut est connectée.

01-30001-0203-20060424
Administration du Système
Cette section décrit comment configurer des comptes administrateurs sur votre
équipement FortiGate. Les administrateurs accèdent au boîtier FortiGate pour
configurer son fonctionnement. L’équipement possède, par défaut, un
administrateur : admin. A partir de l’interface d’administration web ou de l’interface
de ligne de commande, vous pouvez configurer des administrateurs
supplémentaires avec des niveaux variés d’accès aux différentes parties de la
configuration de l’équipement FortiGate.

• Administrateurs
• Profils d’administration
• FortiManager
• Paramètres
• Contrôle des administrateurs
Administrateurs
Il existe deux types de comptes administrateurs :
• Un administrateur régulier
• Un compte par défaut, admin
Un compte administrateur régulier a accès aux options de configuration

déterminées par son profil d’administration. Dans le cas où des domaines virtuels
sont activés, l’administrateur régulier est affecté à l’un de ces VDOM et ne peut
pas accéder aux options de la configuration globale ni à la configuration d’un autre
VDOM. Pour plus d’informations à propos des options globales et spécifiques aux
VDOM, voir « Paramètres de configuration d’un domaine virtuel » à la page 41 et
« Paramètres de la configuration globale» à la page 42.
Le compte administrateur par défaut, l’admin, a accès à la totalité de la

configuration du boîtier FortiGate. De plus, il peut:
• activer la configuration VDOM
• créer des VDOM
• configurer des VDOM
• affecter des administrateurs réguliers aux VDOM
• configurer des options globales
Le compte admin n’ayant pas de profil d’administration, on ne sait pas en limiter

ses droits. Il est par ailleurs impossible de supprimer le compte admin, mais il est
possible de le renommer, de lui définir des hôtes de confiance et d’en modifier le
mot de passe. Par défaut, l’admin n’a pas de mot de passe.
Vous pouvez authentifier un administrateur par un mot de passe sauvegardé sur

un boîtier FortiGate ou sur un serveur RADIUS. Facultativement, vous pouvez
sauvegarder tous les comptes administrateurs sur un serveur RADIUS, à

01-30001-0203-20060424
l’exception du compte admin par défaut. Les comptes RADIUS étant sur le même
serveur RADIUS partagent le même profil d’administration.
Configuration de l’authentification RADIUS des administrateurs

Si vous prévoyez d’utiliser un serveur RADIUS pour authentifier les administrateurs
dans votre VDOM, vous devez configurer l’authentification avant de créer des
comptes administrateurs. Pour ce faire, vous avez besoin de :
• configurer l’accès au serveur RADIUS sur le boîtier FortiGate
• créer un groupe d’utilisateurs dont le serveur RADIUS est le seul membre
Les procédures suivantes prévoient que vous ayez déjà configuré un serveur
RADIUS sur votre réseau avec les noms et mots de passe de vos administrateurs.
Pour plus d’informations sur la configuration d’un serveur RADIUS, reportez-vous à
la documentation de votre serveur RADIUS.
Configurer un boîtier FortiGate pour accéder au serveur RADIUS

1 Sélectionnez Utilisateur > RADIUS.
Nom Entrez un nom pour le serveur RADIUS. Vous utilisez ce nom
lorsque vous créez le groupe utilisateur.
Nom / adresse IP Le nom de domaine ou l’adresse IP du serveur RADIUS.
Secret Le secret du serveur RADIUS. L’administrateur du serveur
RADIUS peut vous fournir cette information.
4 Cliquez sur OK.
Créer le groupe d’utilisateurs d’administration

1 Sélectionnez Utilisateur > Groupe utilisateur.
3 Dans le champ Nom, tapez un nom pour le groupe d’administrateurs.
4 Dans la liste Utilisateurs Disponibles, sélectionnez le nom du serveur RADIUS.
5 Cliquez sur la flèche verte droite pour déplacer le nom vers la liste Membres.
6 Sélectionnez un profil de protection dans la liste.
7 Cliquez sur OK.
Visualisation de la liste des administrateurs

A partir du compte admin ou d’un compte qui possède les droits en lecture et en
écriture des utilisateurs admin, vous pouvez créer de nouveaux comptes
administrateurs et contrôler leurs niveaux de permission. Sélectionnez Système >
Admin > Administrateurs.
A moins que vous soyez l’administrateur admin, la liste des administrateurs

n’affiche que les administrateurs pour le domaine virtuel en cours.

01-30001-0203-20060424
Illustration 73 : Liste des Administrateurs
Créer Nouveau Permet d’ajouter un compte administrateur.

Nom Le nom du compte administrateur.
Poste IP L’adresse IP et le masque de réseau d’hôtes de
confiance à partir desquels l’administrateur peut se
connecter. Pour plus d’informations, voir « Utilisation
d’hôtes de confiance » à la page 173.
Profil Le profil d’administration pour l’administrateur.
L’administrateur admin par défaut n’a pas de profil.
Type Le type d’authentification pour cet administrateur.
Cela peut être :
Local – un mot de passe local
RADIUS – authentification d’un compte spécifique via
un serveur RADIUS
RADIUS+Wildcard – authentification de n’importe
quel compte via un serveur RADIUS.
Icône Suppression Permet de supprimer le compte administrateur. Le
compte administrateur admin ne peut pas être
supprimé.
Icône Editer ou Visualiser Permet d’éditer ou de visualiser le compte
administrateur.
Icône Changer le mot de passe Permet de modifier le mot de passe du compte
administrateur.
Modifier le mot de passe d’un administrateur

2 Cliquez sur l’icône Changer le mot de passe à côté du compte administrateur dont
vous voulez modifier le mot de passe.
3 Entrez et confirmez le nouveau mot de passe.
4 Cliquez sur OK.
Configuration d’un compte administrateur

La création d’un nouvel administrateur nécessite une connexion à partir du compte
admin ou à partir d’un compte administrateur possédant les droits en lecture et
écriture d’utilisateur Admin. Sélectionnez Système > Admin > Administrateurs et
cliquez sur Créer Nouveau.

01-30001-0203-20060424
Illustration 74 : Configuration d’un compte administrateur – authentification locale.
Illustration 75 : Configuration d’un compte administrateur – authentification RADIUS
Nom de compte Entrez le nom du compte administrateur.

RADIUS Cochez cette case pour authentifier l’administrateur via un
serveur RADIUS. L’authentification RADIUS pour
administrateurs doit être configurée d’abord. Voir
« Configuration RADIUS pour une authentification des
administrateurs » à la page 169.
Wildcard Cochez cette case pour faire de tous les comptes du serveur
RADIUS des administrateurs. Cette fonction est uniquement
disponible si RADIUS a été sélectionné.
Groupe utilisateur Dans le cas d’une utilisation d’une authentification RADIUS,
sélectionnez dans la liste le groupe d’utilisateurs
d’administrateurs qui compte comme membre le serveur
RADIUS approprié.
Mot de Passe Entrez un mot de passe pour le compte administrateur. Pour
plus de sécurité, le mot de passe doit être composé d’au
moins 6 caractères. Si RADIUS est activé, l’équipement
FortiGate tente une première authentification RADIUS. En cas
d’échec, il tente une authentification via mot de passe. Ceci
n’est pas disponible si la fonction Wildcard a été activée.

01-30001-0203-20060424
Confirmer le Mot de Passe Entrez le mot de passe une seconde fois pour confirmer la
première entrée. Ceci n’est pas disponible si la fonction
Wildcard a été activée.
Poste IP # 1 Facultativement, entrez l’adresse IP et le masque de réseau
Poste IP # 2 d’un hôte de confiance auquel l’administrateur est restreint sur
Poste IP # 3 le boîtier FortiGate. Vous pouvez spécifier jusqu’à trois hôtes
de confiance. Les adresses par défaut sont respectivement
0.0.0.0/0, 0.0.0.0/0 et 127.0.0/32.
La mise en place d’hôtes de confiance pour vos
administrateurs permet d’augmenter la sécurité du système.
Pour plus d’informations, voir « Utilisation d’hôtes de
confiance » à la page 173.
Profil d’administration Sélectionnez le profil d’administration de l’administrateur. Le
profil préconfiguré prof_admin fournit un accès total au boîtier
FortiGate. Vous pouvez également cliquer sur Créer Nouveau
pour créer un nouveau profil d’administration. Pour plus
d’informations sur les profils d’administration, voir
« Configuration d’un profil d’administration » à la page 176 .
Domaine Virtuel Sélectionnez le domaine virtuel que cet administrateur peut
configurer. Ce champ est uniquement disponible si vous êtes
l’administrateur admin et que la configuration des domaines
virtuels est activée.
Configurer un compte administrateur

2 Cliquez sur Créer Nouveau pour ajouter un compte administrateur ou cliquez sur
l’icône Editer pour apporter des modifications à un compte administrateur existant.
3 Dans le champ Nom de compte, entrez un nom pour le compte administrateur.
Si vous utilisez une authentification RADIUS pour cet administrateur mais n’utilisez
pas la fonction wildcard, le nom de l’administrateur doit correspondre à un des
comptes du serveur RADIUS.
4 Si vous utilisez une authentification RADIUS pour cet administrateur :
• Sélectionnez RADIUS.
• Sélectionnez Wildcard si vous désirez que tous les comptes du serveur
RADIUS soient des administrateurs de l’équipement FortiGate.
• Sélectionnez le groupe d’utilisateurs des administrateurs dans la liste Groupe
Utilisateur.
5 Entrez et confirmez votre mot de passe pour ce compte administrateur. Cette
étape n’est pas nécessaire dans le cas d’une authentification RADIUS Wildcard.
6 Facultativement, entrez l’adresse IP et le masque de réseau d’un hôte de
confiance à partir duquel l’administrateur puisse se connecter à l’interface
7 Sélectionnez le profil d’administration pour cet administrateur.
8 Cliquez sur OK.

01-30001-0203-20060424
Utilisation d’hôtes de confiance
La mise en place d’hôtes de confiance pour tous les administrateurs augmente la
sécurité de votre réseau car en restreint l’accès administratif. En plus de devoir
connaître le mot de passe, l’administrateur doit se connecter uniquement à partir
du ou des sous-réseau(x) spécifié(s). Vous pouvez aller jusqu’à restreindre un
administrateur à une seule adresse IP si vous ne définissez qu’une adresse IP
d’hôte de confiance avec un masque de réseau 255.255.255.255.
Si vous définissez des hôtes de confiance pour tous les administrateurs,

l’équipement FortiGate ne répond pas aux tentatives d’accès administratif de tout
autre hôte. Cela fournit la meilleure sécurité. Si vous laissez, ne fût-ce qu’un seul
administrateur sans restriction, l’équipement accepte les tentatives d’accès
administratif de n’importe quelle interface dont l’accès administratif est activé,
exposant ainsi le boîtier à des tentatives d’accès non autorisées.
Par défaut les adresses d’hôtes de confiance sont respectivement 0.0.0.0/0,

0.0.0.0/0 et 127.0.0.1/32. Si une des adresses 0.0.0.0/0 est modifiée par une
adresse non nulle, l’autre adresse 0.0.0.0/0 sera ignorée. La seule façon d’utiliser
une entrée métacaractère (wildcard) est de maintenir les deux adresses d’hôtes de
confiance sur 0.0.0.0/0. Toutefois, ceci ne constitue pas une configuration sans
risque.

01-30001-0203-20060424
Profils d’administration
Chaque compte administrateur appartient à un profil d’administration. Le profil
d’administration sépare les caractéristiques FortiGate en catégories de droits
d’accès pour lesquels vous pouvez activer des droits en lecture et/ou écriture. Le
tableau suivant répertorie les pages de l’interface d’administration web auxquelles
chaque catégorie fournit un accès :
Tableau 30 : Droits d’accès des profils d’administration aux pages de l’interface

d’administration web
Contrôle d’accès Pages de l’interface d’administration web affectées
Utilisateurs d’administration Système > Admin
Configuration Antivirus Antivirus
Utilisateurs authentifiés Utilisateur
Configuration firewall Pare-feu
Mise à jour FortiGuard Système > Maintenance > FortiGuard Center
Configuration IPS Intrusion Protection
Journaux et rapports Journaux/Alertes
Maintenance Système > Maintenance
Configuration réseau Système > Réseau > Interface
Système > Réseau > Zone
Système > DHCP
Configuration routeur Routeur
Configuration Spamfilter Anti-Spam
Configuration système Système > Statut, y compris les informations sur la session
Système > Configuration
Système > Maintenance > Sauvegarde et Restauration
Système > Maintenance > Support
Configuration VPN VPN
Configuration Webfilter Filtrage Web
Les droits en lecture autorisent l’administrateur à visualiser la page de l’interface

d’administration web. L’administrateur nécessite les droits en écriture pour apporter
des modifications aux paramètres de la page.
Remarque : Lorsque la configuration de domaines virtuels est activée (voir « Paramètres »

à la page 178), seul l’administrateur admin a accès aux paramètres généraux. Même si les
paramètres généraux sont activés dans le profil d’administration, un administrateur régulier
ne peut accéder qu’aux paramètres spécifiques VDOM. Pour plus d’informations à propos
des paramètres généraux, voir « Paramètres de configuration d’un domaine virtuel » à la
page 41.
Le profil d’administration affecte similairement l’accès des administrateurs aux

commandes CLI. Le tableau suivant décrit les types de commande disponibles
pour chaque catégorie de droits d’accès. Les droits en lecture donnent accès aux
commandes « get » et « show », tandis que les droits en écriture permettent
d’accéder à la commande « config ».

01-30001-0203-20060424
Tableau 31 : Droits d’accès des profils d’administration aux commandes CLI
Contrôle d’accès Commandes CLI disponibles
Utilisateurs d’administration system admin
(admingrp) system accprofile
Configuration Antivirus (avgrp) antivirus
Utilisateurs authentifiés (authgrp) user
Configuration Pare-feu (fwgrp) firewall
Mise à jour FortiGuard (updategrp) system autoupdate
execute backup
execute update_now
Configuration IPS (ipsgrp) ips
Journaux et rapports (loggrp) alertemail
log
Maintenance (mntgrp) execute factoryreset
execute formatlogdisk
execute reboot
execute restore
execute shutdown
Configuration réseau (netgrp) system arp
system dhcp reserved-address
system dhcp server
system interface
system status
system zone
execute dhcp lease-clear
execute dhcp lease-list
Configuration routeur (routegrp) router
execute router
Configuration Filtrage Antispam spamfilter
(spamgrp)
Configuration système (sysgrp) system à l’exception de accprofile,
admin et autoupdate
execute date
execute dhcpclear
execute enter
execute ha
execute ping
execute ping-options
execute ping6
execute restore
execute time
execute traceroute
Configuration VPN (vpngrp) vpn
execute vpn
Configuration Filtrage web (webgrp) webfilter
Sélectionnez Système > Admin > Droits d’Accès pour ajouter des profils
d’administration aux administrateurs FortiGate. Chaque compte administrateur
appartient à un profil d’administration. Vous pouvez créer des profils
d’administration qui empêchent ou permettent les droits en lecture uniquement,
droits en écriture uniquement ou les deux : droits en lecture et écriture des
fonctionnalités FortiGate.

01-30001-0203-20060424
Un administrateur qui possède les droits en lecture d’une fonction peut accéder à
la page d’administration web de cette fonction mais ne peut pas apporter de
modifications à la configuration. Les boutons Créer ou Appliquer n’apparaissent
pas sur la page. Les listes affichent l’icône Visualiser ( ) à la place des icônes
Editer, Supprimer ou toute autre commande de modification.
Visualisation de la liste des profils d’administration
Pour créer ou éditer des profils d’administration, utilisez un compte admin ou un

compte qui possèdent les droits en lecture et en écriture des utilisateurs admin.
Sélectionnez Système > Admin > Droits d’Accès.
Illustration 76 : Liste des profils d’administration
Créer Nouveau Ajoute un nouveau profil d’administration.

Nom du profil Le nom du profil d’administration.
Icône Suppression Sélectionnez cette icône pour supprimer un profil
d’administration. Il est impossible de supprimer un profil
d’administration tant qu’un ou plusieurs administrateur(s) y est
(sont) encore affecté(s).
Icône Editer Sélectionnez cette icône pour modifier le profil
d’administration.
Configuration d’un profil d’administration
Pour éditer des profils d’administration, utilisez un compte admin ou un compte qui
possèdent les droits en lecture et en écriture des utilisateurs admin. Sélectionnez
Système > Admin > Droits d’Accès et cliquez sur Créer Nouveau.

01-30001-0203-20060424
Illustration 77 : Options des profils d’administration
Nom de profil Entrez le nom du profil d’administration.

Droits d’accès Les droits d’accès répertorient les catégories dont le
profil d’administration contrôle l’accès.
Lecture Cochez la case Lecture pour cocher les droits en
lecture de toutes les catégories.
Ecriture Cochez la case Ecriture pour cocher les droits en
écriture de toutes les catégories.
Les catégories des droits d’accès Sélectionnez les cases none/lecture et/ou écriture
pour les différentes catégories en fonction de vos
besoins. Pour plus de détails à propos des catégories
des droits d’accès, voir « Profils d’administration » à
la page 174.

01-30001-0203-20060424
FortiManager
Pour permettre à votre FortiGate d’être administré par un serveur FortiManager,
sélectionnez Système > Admin > FortiManager pour configurer votre équipement
FortiGate. La communication entre votre équipement FortiGate et le serveur
FortiManager se fait via un VPN IPSec pré-configuré et invisible sur votre
FortiGate.
Illustration 78 : Configuration FortiManager
Paramètres FortiManager
Activer Cochez la case Activer pour permettre une communication
sécurisée entre le boîtier FortiGate et le Serveur FortiManager.
Sans quoi, la communication n’est pas sécurisée.
ID Entrez le numéro de série du Serveur FortiManager.
Adresse IP Entrez l’adresse IP du Serveur FortiManager.
Paramètres
Sélectionnez Système > Admin > Settings (Paramètres) pour définir les options
suivantes :
• Les ports pour les accès administratifs HTTP et HTTPS
• Les paramètres des timeouts, y compris le timeout de l’administrateur et le
timeout de l’utilisateur
• La langue de l’interface d’administration web
• Une protection à l’aide d’un PIN pour l’écran LCD et les boutons de
commandes (pour les modèles équipés de ces fonctions uniquement)

01-30001-0203-20060424
Illustration 79 : Paramètres des administrateurs
Web Administration Ports

HTTP Entrez le port TCP utilisé pour l’accès administratif HTTP.
La valeur par défaut est 80.
HTTPS Entrez le port TCP utilisé pour l’accès administratif
HTTPS. La valeur par défaut est 443.
Paramètres de timeout
Administrateurs Entrez le nombre de minute pendant lesquelles la
connexion peut rester inactive avant que l’administrateur
ne doive se reconnecter. Le temps maximum est de 480
minutes (8 heures). Pour une meilleure sécurité, il est
conseillé de maintenir la valeur par défaut de 5 minutes.
Utilisateur (authentification Entrez le nombre de minute pendant lesquelles une
pare-feu) connexion authentifiée peut rester inactive avant que
l’utilisateur ne doive se réauthentifier. Le temps maximum
est de 480 minutes (8 heures). La valeur par défaut est 15
minutes. Pour plus d’informations, voir « Paramétrage du
timeout d’authentification » à la page 324.
Langage
Interface d’administration Sélectionnez la langue désirée de l’interface
d’administration web. Vous avez le choix entre l’anglais, le
chinois simplifié ou traditionnel, le japonais, le coréen ou
le français. Remarque : Il est conseillé de choisir la langue
dans laquelle opère le système d’exploitation de
l’ordinateur d’administration.
Panneau LCD (pour les équipements équipés de cette fonction)
Protection PIN Cochez la case Protection PIN et tapez un pin de 6
caractères dans le champ prévu à cet effet.
Les administrateurs doivent alors entrer le PIN pour
accéder aux commandes de l’écran LCD et des boutons.
Virtual Domain Configuration Cochez cette case si vous désirez opérer de multiples
VDOM. Cela active les droits de création et de
configuration des VDOM du compte administrateur admin

01-30001-0203-20060424
par défaut. Pour plus d’informations sur la création et
l’administration de VDOM, voir « Domaines Virtuels » à la
page 40.
Contrôle des administrateurs

Le nombre d’administrateurs connectés apparaît dans la barre des statuts des
pages de l’interface d’administration web.
Illustration 80 : Les administrateurs connectés dans la barre des statuts
Cliquez sur l’icône Administrateurs Connectés pour visualiser les informations sur
les administrateurs connectés à l’interface d’administration web en cours. Une
nouvelle fenêtre s’ouvre affichant la liste des administrateurs connectés à ce
moment-là.
Illustration 81 : Fenêtre de contrôle des administrateurs connectés
Déconnecter Déconnecte les administrateurs sélectionnés. Cette fonction

n’est disponible qu’aux administrateurs qui possèdent les
droits en écriture de la Configuration du Système.
Rafraîchir Met la liste à jour.
Fermer Ferme la fenêtre.
Les cases à cocher Cochez les cases des administrateurs à déconnecter et cliquez
ensuite sur Déconnecter. Cette fonction n’est disponible qu’aux
administrateurs qui possèdent les droits en écriture de la
Configuration du Système.
Nom d’utilisateur Le nom du compte administrateur.
Type Le type d’accès : WEB ou CLI.
De Dans le cas d’un Type WEB, apparaît dans ce champ
l’adresse IP de l’administrateur. Dans le cas d’un Type CLI,
apparaît dans ce champ, soit « ssh » ou « telnet », soit
l’adresse IP de l’administrateur ou « console ».
Heure La date et l’heure auxquelles s’est connecté l’administrateur.

01-30001-0203-20060424
Maintenance du Système
Cette section décrit comment sauvegarder et restaurer la configuration de votre
système et comment configurer des mises à jour automatiques à partir du FDN
(FortiGuard Distribution Network).

• Sauvegarde et Restauration
• FortiGuard Center
• Licence
Sauvegarde et Restauration
Pour sauvegarder et restaurer la configuration de votre système, et pour gérer le
microcode, sélectionnez Système > Maintenance > Sauvegarde et
Restauration.
Vous pouvez sauvegarder la configuration du système, y compris les fichiers de

contenu web et les fichiers de filtrage antispam sur l’ordinateur d’administration ou
sur un disque USB (pour les modèles qui le supportent). Vous pouvez également
restaurer la configuration du système à partir de fichiers de sauvegarde déjà
téléchargés.
Pour inclure les certificats VPN dans le fichier de sauvegarde, vous devez
permettre le cryptage du fichier de sauvegarde.
Lorsque la configuration des domaines virtuels est activée, le contenu du fichier de

sauvegarde dépend du compte administrateur qui l’a créé. Une sauvegarde de la
configuration du système faite à partir d’un compte administrateur admin comprend
les paramètres généraux et les paramètres de chaque VDOM. Seul
l’administrateur admin peut restaurer la configuration de ce fichier. Une
sauvegarde faite à partir d’un compte administrateur régulier comprend les
paramètres généraux et les paramètres du VDOM géré par cet administrateur.
Seul un compte administrateur régulier peut restaurer la configuration sauvée sur
ce fichier.

01-30001-0203-20060424
Illustration 82 : Options de sauvegarde et de restauration
Dernière Sauvegarde Le jour et l’heure de la dernière sauvegarde vers le PC local.

Sauvegarde Sauvegarde la configuration actuelle.
Sauvegarde de la Sélectionnez le support sur lequel vous désirez sauvegarder
configuration vers : le fichier de configuration : local PC ou clé USB. La sélection
de Clé USB n’est possible que si la clé est connectée à
Nom du fichier : Si vous sélectionnez Clé USB, nommez le fichier de
sauvegarde.
Chiffrer le fichier de Cochez cette case pour crypter le fichier de sauvegarde.
configuration Entrez ensuite un mot de passe dans le champ Mot de Passe
et entrez le une seconde fois dans le champ Confirmer. Ce
mot de passe est exigé pour la restitution du fichier.
Pour sauvegarder des certificats VPN, le cryptage doit être
permis sur le fichier de sauvegarde.
Sauvegarde Cliquez sur ce bouton pour sauvegarder la configuration.
Restaurer Restaure la configuration à partir d’un fichier.
Restaurer la Sélectionnez le support sur lequel vous avez sauvegardé la
configuration depuis : configuration : local PC ou Clé USB. La sélection de Clé USB
n’est possible que si la clé est connectée à l’équipement
FortiGate.
Nom du fichier : Dans le cas où vous restaurez la configuration à partir de la clé
USB, sélectionnez le nom du fichier de configuration dans la
liste. Dans le cas où vous restaurez la configuration à partir du
PC d’administration, entrez le nom du fichier de configuration
ou utilisez le bouton Parcourir (Browse).
Mot de Passe Dans le cas où le fichier de sauvegarde est crypté, entrez le
mot de passe.

01-30001-0203-20060424
Restaurer Cliquez sur le bouton Restaurer pour restaurer la configuration
à partir du fichier sélectionné.
Firmware
Partition Une partition peut contenir une version du logiciel et de la
configuration du système. Les modèles FortiGate 100 et plus
possèdent deux partitions. Une des partitions est active, tandis
que l’autre est une sauvegarde.
Active Une marque V verte indique la partition comprenant le logiciel
et la configuration en cours.
Dernière Mise à jour Le jour et l’heure de la dernière mise à jour de cette partition.
Version du Firmware La version du microcode FortiGate. La partition de sauvegarde
permet de :
• Sélectionner Charger pour remplacer le microcode par
celui qui se trouve sur le PC d’administration ou sur la clé
USB.
• Sélectionnez Charger et Redémarrer pour remplacer le
microcode et en faire la partition active.
Démarrer sur firmware Cliquez sur ce bouton pour redémarrer le boîtier FortiGate
alternatif en utilisant le microcode sauvegardé. Cette fonction n’est
disponible que sur les FortiGate 100 et plus.
Avancés (USB Auto-Install, Import CLI Commands, Download Debug Log)
Cette section n’est disponible que dans le cas où une clé USB
est connectée à l’équipement FortiGate. Sélectionnez les
options requises et redémarrez le boîtier FortiGate.
Si vous sélectionnez les mises à jour de configuration et de
microcode, les deux s’enclenchent lors du redémarrage. Un
microcode ou un fichier de configuration déjà téléchargé ne
seront pas re-téléchargés.
• Quand le système redémarre, mettre à jour la configuration de la FortiGate
par celle de la clé USB si le Fichier de Configuration par défaut est présent
sur celle-ci.
Met la configuration à jour automatiquement lors du
redémarrage. Assurez-vous que le nom du fichier de
configuration par défaut corresponde au nom de ce fichier sur
la clé USB.
• Quand le système redémarre, mettre à jour le FirmWare de la FortiGate par

celle de la clé USB si l’Image par défaut est présente sur celle-ci.
Met le microcode à jour automatiquement lors du redémarrage.
Assurez-vous que le nom de l’Image par défaut corresponde
au nom du fichier de l’image sur la clé USB.
Import Bilk CLI Commands Importe sur l’équipement FortiGate des définitions de filtres
URL et de filtres antispam à partir d’un fichier texte présent sur
l’ordinateur d’administration. Entrez le chemin d’accès et le
nom de fichier ou cliquez sur Parcourir (Browse) pour localiser
le fichier.
Vous pouvez créer le fichier texte en extrayant la section
appropriée d’un fichier de sauvegarde de configuration
FortiGate ou en tapant les commandes CLI appropriées.
Download Debug Log Télécharger un journal de déboguage crypté dans un fichier.
Vous pouvez ensuite l’envoyer au Service Technique de
Fortinet qui vous aidera à diagnostiquer les problèmes
éventuels rencontrés sur votre FortiGate.

01-30001-0203-20060424
Centre FortiGuard
Le Centre FortiGuard configure votre FortiGate pour le FortiGuard Distribution
Network (FDN - Réseau de Distribution FortiGuard) et les Services FortiGuard. Le
FDN fournit des mises à jour des bases de connaissance antivirus et IPS. Les
Services FortiGuard procurent quant à eux des listes noires d’adresses IP, d’URL
et autres outils de filtrage antispam.
Réseau de Distribution FortiGuard

Ce réseau, appelé FDN, est un réseau mondial de FortiGuard Distribution Servers
(FDS). Le FDN fournit des mises à jour des bases de données antivirus (y compris
grayware) et IPS (contre les attaques). Lorsque le boîtier FortiGate se connecte au
FDN, il se connecte au FDS le plus proche, considérant le fuseau horaire défini.
L’équipement FortiGate supporte les mises à jour des fonctionnalités suivantes :

• Mises à jour initiées par l’utilisateur à partir du FDN,
• Mises à jour mensuelles, hebdomadaires voire toutes les heures, des bases de
données antivirus et IPS, à partir du FDN,
• Mises à jour forcées à partir du FDN,
• Statuts des mises à jour, y compris les numéros des versions, les dates
d’expiration, ainsi que les dates et heures des mises à jour,
• Mises à jour forcées à partir d’un serveur NAT.
Vous devez d’abord enregistrer votre FortiGate sur la page web du support de
Fortinet. Voir « Enregistrement d’un équipement FortiGate » à la page 37.
Pour recevoir des mises à jour programmées, l’équipement FortiGate doit pouvoir
se connecter au FDN via HTTPS sur le port 443. Pour plus d’informations sur la
configuration de programmation de mises à jour, voir « Activer la programmation
de mise à jour» à la page 190.
Vous pouvez également configurer votre FortiGate pour qu’il accepte des mises à
jour forcées. Pour ce faire, le FDN doit être capable d’acheminer des paquets vers
le boîtier FortiGate via UDP port 9443. Pour plus d’informations à ce sujet, voir
« Activer les mises à jour forcées » à la page 191.
Services FortiGuard
Les Points de Service FortiGuard (FortiGuard Service Points) offrent une
couverture mondiale. Fortinet crée des nouveaux Points de Service à chaque fois
que nécessaire.
Le boîtier FortiGate communique par défaut avec le Point de Service le plus

proche. Si celui-ci devient, pour quelque raison que ce soit, injoignable,
l’équipement FortiGate contacte un autre Point de Service dont les informations
s’affichent après quelques secondes. Par défaut le boîtier FortiGate communique
avec le Point de Service via UDP sur le port 53. Comme alternative, vous pouvez
utiliser UDP port 8888 en sélectionnant Système > Maintenance > FortiGuard
Center.
Pour modifier, si nécessaire, le nom d’hôte du Point de Service FortiGuard par

défaut, entrez le mot-clé hostname dans la commande CLI system

01-30001-0203-20060424
fortiguard. Il n’est pas possible de modifier ce nom d’hôte à partir de l’interface
Pour plus d’informations sur les services FortiGuard, rendez-vous sur la page web
FortiGuard Center.
Service Antispam FortiGuard

FortiGuard-Antispam est un système antispam de Fortinet qui comprend des listes
noires d’adresses IP, d’URL et des outils de filtrage antispam. La liste noire
d’adresses IP contient des adresses IP de serveurs mails connus pour générer des
spams. La liste noire d’URL contient des URL de sites web trouvés dans ces
spams.
Les procédés FortiGuard-Antispam sont complètement automatisés et configurés

par Fortinet. Grâce à un contrôle constant et des mises à jour dynamiques,
FortiGuard-Antispam est toujours actualisé. Vous pouvez activer ou désactiver
FortiGuard-Antispam dans les profils de protection pare-feu. Pour plus
d’informations, voir « Options du filtrage antispam » à la page 286.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard Antispam est
offerte à l’achat d’un équipement FortiGate. La gestion de ces licences est suivie
par les serveurs Fortinet. Il n’est pas nécessaire d’entrer un numéro de licence.
Lors de l’activation de FortiGuard-Antispam, le boîtier FortiGate contacte
automatiquement un Point de Service FortiGuard-Antispam. Pour renouveler la
licence après la période d’essai de 30 jours, contactez le Support Technique de
Fortinet.
Pour activer FortiGuard-Antispam, sélectionnez Système > Maintenance >

FortiGuard Center et configurez ensuite les options du Filtrage Antispam pour
chaque profil de protection pare-feu. Voir « Options du filtrage antispam » à la
page 286.
Service FortiGuard-Web
Le FortiGuard-Web est une solution de filtrage de contenu web de Fortinet. Ce
service trie des centaines de millions de pages web en diverses catégories que les
utilisateurs peuvent accepter, bloquer ou contrôler. Le boîtier FortiGate accède au
Point de Service FortiGuard-Web le plus proche pour déterminer la catégorie de la
page web souhaitée et applique ensuite la règle pare-feu configurée pour cet
utilisateur ou cette interface.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard-Web est offerte
à l’achat d’un équipement FortiGate. La gestion de ces licences est suivie par les
serveurs Fortinet. Il n’est pas nécessaire d’entrer un numéro de licence. Lors de
l’activation du service de blocage des catégories FortiGuard, l’équipement
FortiGate contacte automatiquement un Point de Service FortiGuard. Pour
renouveler la licence FortiGuard après la période d’essai de 30 jours, contactez le
Support Technique de Fortinet.
Pour activer FortiGuard-Web, sélectionnez Système > Maintenance > FortiGuard

Center et configurez ensuite les options du filtrage FortiGuard-Web pour chaque
profil de protection pare-feu. Voir « Options du filtrage FortiGuard-Web » à la page
285.

01-30001-0203-20060424
Configuration du boîtier FortiGate pour les services FDN et FortiGuard
Pour configurer l’accès aux mises à jour FDN et aux services FortiGuard,
sélectionnez Système > Maintenance > FortiGuard Center.
Illustration 83 : Centre de Mise à jour
Réseau de distribution FortiGuard

Etat FDN L’état de la connexion au FortiGuard Distribution Network
(FDN) :
• vert – Le boîtier FortiGate arrive à se connecter au FDN.
Vous pouvez le configurer pour des mises à jour
programmées. Voir « Activer la programmation de mises à
jour» à la page 190.
• rouge-jaune clignotant – Le boîtier FortiGate n’arrive pas à
se connecter au FDN. Voir « Résolution de problèmes de
connexion FDN » à la page 188.
Mise à jour forcée Le statut de réception des mises à jour forcées provenant du
FDN :
• vert – Le FDN arrive à se connecter à l’équipement
FortiGate pour envoyer des mises à jour forcées. Vous pouvez
configurer l’équipement FortiGate pour des mises à jour
forcées. Voir « Activer les mises à jour forcées » à la page
191.

01-30001-0203-20060424
• rouge-jaune clignotant – Le boîtier FortiGate n’arrive pas à
se connecter au FDN pour envoyer des mises à jour forcées.
Voir « Résolution de problèmes de connexion FDN » à la page
188.
Réactualiser Cliquez sur Réactualiser pour que le boîtier FortiGate teste sa

connexion au FDN. Les résultats s’affichent en haut de la page
FortiGuard Center.
Utiliser l’adresse de Configurez un serveur override si vous n’arrivez pas à vous
remplacement connecter au FDN ou si votre entreprise fournit des mises à
jour via son propre serveur FortiGuard.
• Cochez cette case et entrez une adresse IP ou un nom de
domaine d’un serveur FortiGuard. Cliquez ensuite sur
Appliquer. Si l’état FDN indique toujours un problème de
connexion, voir « Résolution de problèmes de connexion
FDN » à la page 188.
Mise à jour Ce tableau reprend les statuts des mises à jour des bases de
données antivirus et IPS FortiGuard.
Version Le numéro de la version du fichier de la base de données
courante sur le boîtier FortiGate.
Date d’expiration La date d’expiration de votre licence pour ce service
FortiGuard.
Dernière tentative de Le jour et l’heure de la dernière tentative par le boîtier
mise à jour FortiGate de télécharger les mises à jour des bases de
données.
Statut de la dernière Le résultat de la dernière tentative de mise à jour :

mise à jour
• Pas de mise à jour ; No Updates – la dernière tentative a
été installée avec succès, pas de nouvelle mise à jour
disponible.
• Mises à jour installées ; Installed Updates - la dernière
tentative a été installée avec succès, de nouvelles mises à
jour ont été installées.
D’autres messages peuvent indiquer que l’équipement
FortiGate n’a pas réussi à se connecter au FDN ou autre
message d’erreur.
Permettre les mises Cochez cette case pour permettre des mises à jour
à jour forcées automatiques de votre FortiGate.
Utiliser l’adresse IP Spécifiez une adresse IP et un port de remplacement lors de la

de remplacement présence d’un serveur NAT entre le boîtier FortiGate et le
FDN.
Cochez la case, entrez l’adresse IP et le numéro du port

auxquels le FDN doit envoyer les mises à jour. Cliquez ensuite
sur Appliquer.
Pour plus d’informations, voir « Activation des mises à jour

forcées via un serveur NAT » à la page 192.
Programmation des Cochez cette case pour activer les mises à

mises à jour régulières jour programmées.
Chaque Tente une mise à jour toutes les 1 à 23 heures. Sélectionnez

le nombre d’heure désiré entre chaque requête de mise à jour.

01-30001-0203-20060424
Journalière Tente une mise à jour une fois par jour. Vous pouvez en
spécifier l’heure. La tentative de mise à jour s’enclenche à un
moment déterminé arbitrairement pendant l’heure
sélectionnée.
Hebdomadaire Tente une mise à jour une fois par semaine. Vous pouvez en
spécifier le jour et l’heure. La tentative de mise à jour
s’enclenche à un moment déterminé arbitrairement pendant
l’heure sélectionnée.
Mettre à jour Sélectionnez cette fonction pour initier manuellement une mise
à jour FDN.
FortiGuard Service
Activer Active le service.
Service Un des services FortiGuard : Anti Spam, Filtrage Web ou AV
Query (future).
Licence Etat de votre licence pour ce service.
Expire Date d’expiration de votre licence pour ce service.
Utiliser le cache Permet le cache des informations des Services FortiGuard.
Cela améliore les performances grâce à la réduction des
requêtes de l’équipement FortiGate au serveur FortiGuard. Le
cache est configuré pour utiliser 6% de la mémoire du
FortiGate. Lorsque le cache est plein, l’adresse IP ou l’URL
utilisée le moins récemment est supprimée.
Cache TTL « Time to live ». Le nombre de secondes pour stocker les
adresses IP et URL bloquées dans le cache avant de
recontacter le serveur.
Etat Etat de la connexion vers le serveur FortiGuard-Antispam :
• Rouge/jaune clignotant – échec de la connexion avec le
serveur
• Vert permanent – succès de la connexion avec le serveur
Use Default Port (53) Sélectionnez cette fonction pour utiliser le port 53 pour
communiquer avec les serveurs FortiGuard-Antispam.
Use Alternate Port (8888) Sélectionnez cette fonction pour utiliser le port 8888 pour
communiquer avec les serveurs FortiGuard-Antispam.
Test Availability Sélectionnez cette fonction pour tester la connexion au serveur
FortiGate-Antispam. Les résultats s’affichent en dessous du
bouton et sur les indicateurs des Statuts.
Résolution de problèmes de connexion FDN

Dans le cas où votre équipement FortiGate n’arrive pas à se connecter au FDN, il
est nécessaire de vérifier votre configuration. Par exemple, vous devrez
probablement ajouter des routes à la table de routage FortiGate ou encore
configurer votre réseau afin de permettre à l’équipement FortiGate l’utilisation
HTTPS sur le port 443 pour se connecter à Internet.
Vous devrez également peut-être vous connecter à un serveur override FortiGuard

pour recevoir des mises à jour. Voir « Ajouter un serveur override » à la page 190.
Si cela ne fonctionne toujours pas, vérifiez votre configuration pour vous assurer
de la connexion entre le serveur override FortiGuard et l’équipement FortiGate.

01-30001-0203-20060424
Les mises à jour forcées risquent de ne pas être disponibles si :
• Vous n’avez pas enregistré votre équipement FortiGate (voir « Enregistrement
d’un équipement FortiGate » à la page 37.)
• Un serveur NAT est installé entre votre FortiGate et le FDN (voir « Activation
de mises à jour forcées via un serveur NAT » à la page 192.)
• Votre FortiGate se connecte à Internet via un serveur proxy (voir « Activer la
programmation de mises à jour via un serveur proxy » à la page 190.)
Mise à jour des signatures antivirus et IPS

Les procédures suivantes vous guident dans la configuration de votre FortiGate
pour une connexion au Réseau de Distribution FortiGuard (FDN) afin de mettre à
jour les bases de connaissance antivirus et IPS (contre les attaques).
S’assurer que l’équipement FortiGate se connecte au FDN
1 Sélectionnez Système > Statut et cliquez sur Changer à côté de Heure Système
dans la section des Informations sur le système.
2 Assurez-vous que le bon fuseau horaire est sélectionné, dépendant de la
localisation de votre FortiGate.
3 Sélectionnez Système > Maintenance > FortiGuard Center.
4 Cliquez sur Réactualiser. Le boîtier FortiGate tente alors une connexion avec le
FDN. Les résultat du test s’affichent en haut de la page des Mises à jour du
système.
Mettre à jour les signatures antivirus et IPS

2 Cliquez sur Mettre à jour pour mettre à jour les bases de connaissance antivirus et
IPS.
En cas de succès de la connexion au FDN ou au serveur override, l’interface
d’administration web affiche un message du type :
“Your update request has been sent. Your database will
be updated in a few minutes. Please check your update
page for the status of the update.”
A savoir:
Votre demande de mise à jour a été envoyée. Votre base de

données sera mise à jour dans quelques minutes. Merci de
vérifier l’état de la mise à jour sur votre page de mise à
jour.
Lorsqu’une mise à jour est disponible, la page du Centre FortiGuard affichera,

après quelques minutes, les nouvelles versions d’antivirus, en fonction de leurs
dates de création et numéros de version. Le journal Evénement enregistre les
messages témoignant du succès ou de l’échec des mises à jour.
Remarque : La mise à jour des définitions d’antivirus, par l’ajout de nouvelles signatures par
FortiGate dans la base de données, peut entraîner une brève rupture du trafic analysé. Il est

01-30001-0203-20060424
dès lors préférable de programmer les mises à jour lorsque le trafic est faible, par exemple
pendant la nuit.
Activer la programmation de mise à jour

2 Cochez la case Programmation des mises à jour régulières.
3 Sélectionnez une des fréquences suivantes pour la vérification et le
téléchargement des mises à jour :
Chaque Toutes les 1 à 23 heures. Sélectionnez le temps
souhaité (en heures et minutes) entre chaque demande
de mise à jour.
Journalière La mise à jour a lieu quotidiennement. Vous pouvez en
spécifier l’heure précise dans la journée.
Hebdomadaire La mise à jour a lieu une fois par semaine. Vous pouvez
en spécifier le jour et l’heure.
La nouvelle programmation de fréquence entre en vigueur immédiatement.
A chaque fois que le boîtier FortiGate procède à une mise à jour, l’action est
enregistrée dans le journal Evénement.
Ajouter un serveur override

Dans le cas où vous ne parvenez pas à vous connecter au FDN, ou encore si votre
entreprise vous fournit les mises à jour de leur propre serveur FortiGuard, les
procédures suivantes vous permettront d’ajouter une adresse IP d’un serveur
override FortiGuard.

2 Cochez la case Utiliser l’adresse de remplacement.
3 Entrez le nom de domaine entier ou l’adresse IP d’un serveur FortiGuard.
Le boîtier FortiGate teste la connexion vers le serveur override.

En cas de succès, le paramètre du FDN affiche un statut disponible.
Dans le cas contraire où le FDN affiche un statut de service indisponible, le boîtier
FortiGate n’arrivant pas à se connecter au serveur override, vérifiez les
configurations du FortiGate et du réseau et tentez de déceler les paramètres
empêchant la connexion au serveur override FortiGuard.
Activer la programmation de mise à jour via un serveur proxy

Si votre FortiGate doit se connecter à Internet via un serveur proxy, vous pouvez
utiliser la commande config system autoupdate tunneling pour permettre
au FortiGate de se connecter (via un tunnel) au FDN via le serveur proxy. Pour
plus d’informations, voir le FortiGate CLI Reference.

01-30001-0203-20060424
Activation des mises à jour forcées
Le FDN peut forcer les mises à jour sur le boîtier FortiGate en vue de fournir une
réponse la plus rapide possible aux situations critiques. Votre équipement
FortiGate doit d’abord avoir été enregistré pour recevoir ces mises à jour forcées.
Voir « Enregistrement d’un équipement FortiGate » à la page 37.
Les équipements FortiGate configurés pour recevoir les mises à jour forcées
envoient un message SETUP au FDN. De cette manière, lorsque les nouvelles
bases de connaissance antivirus et IPS sont créées, le FDN informe tous les
FortiGate configurés pour la mise à jour forcée d’une nouvelle mise à jour
disponible. Dans les 60 secondes après la réception de ce message, les
FortiGates demandent la mise à jour au FDN.
Remarque : Les mises à jour forcées ne sont pas supportées dans le cas de l’utilisation
d’un serveur proxy pour se connecter au FDN. Pour plus d’informations, voir « Activer la
programmation de mises à jour via un serveur proxy » à la page 190.
Lorsque la configuration du réseau le permet, il est recommandé d’activer les

mises à jour forcées en plus de la configuration des mises à jour programmées.
Cela permet au FortiGate de recevoir plus rapidement les mises à jour. Cependant,
la programmation de mises à jour assurent au FortiGate une meilleure garantie de
réception des dernières mises à jour.
L’activation des mises à jour forcées comme seul moyen d’obtention des mises à
jour n’est pas recommandée. Il existe toujours un risque que le boîtier FortiGate ne
reçoive pas l’information de la disponibilité de nouvelles mises à jour. De plus une
telle information n’active qu’une seule tentative de connexion au FDN et de
téléchargement des mises à jour.
Activer les mises à jour forcées

2 Sélectionnez Permettre les mises à jour forcées.
Mises à jour forcées en cas de modification des adresses IP

FortiGate
Le message SETUP envoyé par le boîtier FortiGate lors de l’activation de mises à
jour forcées comprend l’adresse IP de l‘interface à laquelle vient se connecter le
FDN. En mode Transparent, le message SETUP comprend l’adresse IP
d’administration FortiGate. En mode NAT/Route, ce message comprend l’adresse
IP d’une interface, dépendant du modèle boîtier FortiGate.
Tableau 32 : Interface pour les mises à jour forcées FDN

Modèle Interface pour les mises à jour forcées FDN
50A, 50AM, 100, 200, 300, 500, 800, Externe
2000, 3000, 3600, 4000
60, 60M, 60Wi-Fi WAN1
100A, 200A, 300A, 400, 400A, 500A Port 2

01-30001-0203-20060424
Dans le cas d’un changement manuel d’une adresse IP de l’interface ou de
changement dynamique via DHCP ou PPPoE, l’équipement FortiGate envoie un
message SETUP.
Le FDN doit pouvoir se connecter à cette adresse IP pour permettre à votre

FortiGate de recevoir les messages de mises à jour forcées. Si votre FortiGate se
trouve derrière un serveur NAT, voir « Activation de mises à jour forcées via un
serveur NAT » à la page 192.
Dans le cas de connexions Internet redondantes, le boîtier FortiGate envoie

également un message SETUP lorsque l’une des connexions échoue et qu’une
autre prend le relais.
Si un changement d’adresse IP d’administration a lieu, en mode Transparent,

l’équipement FortiGate envoie également un message SETUP pour en informer le
FDN.
Activation de mises à jour forcées via un serveur NAT

Dans le cas où le FDN ne se connecte au FortiGate qu’à travers un serveur NAT, il
est nécessaire de configurer le relayage de port sur le serveur NAT et d’ajouter ces
informations dans la configuration des mises à jour forcées. Lors de l’utilisation
d’un relayage de port, le FDN se connecte au FortiGate via UDP soit sur le port
9443 soit sur un port de remplacement spécifié.
Remarque : Vous ne pouvez pas recevoir de mise à jour forcée via un serveur NAT si son
adresse IP externe est dynamique (par exemple, via l’utilisation de PPPoE ou DHCP).
Procédure générale
Les procédures suivantes vous guident dans la configuration du serveur NAT
FortiGate et du boîtier FortiGate sur le réseau interne pour la réception des mises
à jour forcées.
1 Ajoutez une IP virtuelle de relayage de port sur le serveur NAT FortiGate.

2 Ajoutez une règle pare-feu sur le serveur NAT FortiGate qui comprenne l’IP
virtuelle du relayage de port.
3 Configurez l’équipement FortiGate sur le réseau interne avec une IP et un port de
remplacement.
Remarque : Avant de clôturer cette procédure, assurez-vous d’avoir enregistré votre réseau
interne du FortiGate de manière à ce qu’il puisse recevoir les mises à jour forcées.

01-30001-0203-20060424
Licence
Pour les modèles FortiGate-3000 et plus, des clés de licence sont en vente auprès
de Fortinet pour augmenter le nombre maximum de VDOM jusqu’à 25, 50, 100 ou
250. Le boîtier FortiGate supporte par défaut un maximum de 10 VDOM.
La clé de licence est un code de 32 caractères fournit par Fortinet. Votre numéro
de série est exigé pour générer cette clé de licence.
Sélectionnez Système > Maintenance > Licence pour entrer la clé de licence.
Illustration 84 : Clé de licence pour ajout de VDOM supplémentaires
Current License Le nombre actuel maximum de domaines virtuels.

Input License Key Entrez la clé de licence fournie par Fortinet et cliquez ensuite
sur Appliquer.

01-30001-0203-20060424
Routeur Statique
Vous trouverez dans cette section la façon de définir des routes statiques et de
créer des règles de route. Une route fournit au FortiGate l’information nécessaire
pour transférer un paquet vers une destination particulière. Une route statique
entraîne le transfert de paquets vers une destination autre que celle de la
passerelle par défaut configurée à l’origine.
La route statique par défaut configurée à l’origine vous fournit un point de départ
pour configurer la passerelle par défaut. Vous pouvez éditer cette route statique
par défaut et spécifier une passerelle par défaut différente pour le boîtier FortiGate,
ou vous pouvez la supprimer et spécifier votre propre route statique par défaut qui
dirige vers la passerelle par défaut (voir « Route par défaut et passerelle par
défaut » à la page 198).
Les routes statiques sont définies manuellement. Elles contrôlent le trafic sortant
du FortiGate – vous pouvez spécifier l’interface à travers laquelle les paquets
sortent et l’interface vers laquelle ces paquets sont dirigés.
Facultativement, il est possible de définir des règles de route (route policies).

Celles-ci ajoutent des critères supplémentaires pour l’examin des propriétés des
paquets entrants. Ces règles permettent également de configurer le boîtier
FortiGate pour diriger les paquets en fonction de leurs adresses IP source et/ou de
destination et autres critères tels que l’interface qui a reçu le paquet ou le protocole
(service) et/ou port utilisé pour le transport du paquet.

• Route Statique
• Règle de Routage
Route Statique
Les routes statiques se configurent en définissant l’adresse IP et le masque de
réseau de destination des paquets que le boîtier FortiGate s’apprête à intercepter
et en spécifiant une adresse IP (de passerelle) pour ces paquets. L’adresse de la
passerelle indique le routeur du prochain saut vers lequel le trafic va être dirigé.
Remarque : La commande CLI config router static6 permet d’ajouter, éditer ou

supprimer les routes statiques du trafic IPv6. Pour plus d’informations, voir le chapitre sur
les routeurs dans le FortiGate CLI Reference.
Concepts de routage
Le routage étant un sujet complexe, certains le considèrent comme trop difficile à
maîtriser. Cependant, le boîtier FortiGate étant un appareil dédié à la sécurité sur
le réseau, ce guide développe un certain nombre de concepts de base sur le
routage de manière à ce que la configuration du FortiGate puisse être réalisée
avec efficacité.
Que le réseau à administrer soit grand ou petit, ce module vous aide à comprendre
les fonctions de routage exécutées par un équipement FortiGate.

01-30001-0203-20060424
Comment se construit une table de routage ?
La table de routage FortiGate comprend, par défaut, une seule route statique par
défaut. Vous pouvez ajouter des informations à la table de routage en définissant
des routes statiques supplémentaires. La table peut comprendre plusieurs routes
différentes vers une même destination. Les adresses IP du routeur du prochain
saut spécifié dans ces routes peuvent varier, de même que les interfaces FortiGate
associées à ces routes.
L’équipement FortiGate sélectionne la « meilleure » route pour un paquet en

évaluant les informations de la table de routage. La meilleure route est
typiquement associée à la distance la plus courte entre l’équipement FortiGate et
le routeur le plus proche du prochain saut. Dans le cas où la meilleure route est
indisponible, c’est la meilleure route suivante qui est sélectionnée. Les meilleures
routes sont reprises dans la table de relayage FortiGate, qui représente un sous-
ensemble de la table de routage FortiGate. Les paquets sont donc transférés en
fonction des informations contenues dans la table de relayage.
Comment les décisions de routage sont-elles prises ?

A chaque fois qu’un paquet arrive sur l’une des interfaces du FortiGate, ce dernier
détermine si le paquet a été reçu par une interface légitime en lançant une
recherche inversée utilisant l’adresse IP source de l’en-tête du paquet. Dans le cas
où le boîtier FortiGate n’arrive pas à communiquer avec l’ordinateur de cette
adresse IP source, le boîtier FortiGate annule le paquet.
Dans le cas où l’adresse de destination correspond à une adresse locale (et que la
configuration locale permet la livraison), l’équipement FortiGate livre le paquet au
réseau local. Si le paquet est destiné à un autre réseau, l’équipement FortiGate
transfère le paquet vers le routeur du prochain saut d’après la règle de route
correspondante (voir « Règle de routage » à la page 201) et/ou d’après les
informations disponibles dans la table de relayage FortiGate.
Comment la distance administrative affecte-t-elle la préférence

des routes ?
Lorsque plusieurs entrées vers une même destination sont présentes dans le table
de routage, il est possible de forcer l’équipement FortiGate à sélectionner une
route primaire (préférée) parmi les différentes routes, en diminuant sa distance
administrative. La distance administrative se situe entre 1 et 255.
Toutes les entrées de la table de routage sont associées à une distance

administrative. Si la table de routage contient plusieurs entrées vers une même
destination (les entrées pouvant avoir des associations de passerelles ou
d’interfaces différentes), l’équipement FortiGate compare et sélectionne les entrées
ayant les distances les plus basses et les installe comme routes dans la table de
relayage. De cette manière la table de relayage FortiGate ne contient que des
routes ayant les distances les plus basses vers toutes les destinations possibles.
Pour toutes informations sur la modification de ces distances administratives, voir
« Ajout d’une route statique à la table de routage » à la page 200.
Comment le numéro de séquence d’une route affecte-t-elle la

priorité de cette route ?
Une fois la sélection des routes statiques dans la table de relayage définie, la
priorité de routage s’appuie sur le numéro de la route dans la liste. Lorsqu’il existe

01-30001-0203-20060424
deux routes pour une même destination dans la table de relayage, c’est la route
qui possède le numéro le plus bas dans la succession qui est considérée comme
la route avec la plus grande priorité.
Dans la version 3.0 de FortiOS, il est possible de définir un champ de priorités pour
les routes à partir des commandes CLI. Ce champ ne tient pas compte du numéro
de séquence dans le cas où deux routes ont la même distance administrative – la
route ayant la priorité la plus élevée est le route primaire. Si deux routes ont la
même priorité, il est possible de définir le champ de priorités via la commande CLI
set priority <integer> dans la commande config route static. Pour
plus d’informations, voir le FortiGate CLI Reference. DH – New 3.0, partial fix for
bug.
Lorsqu’une route statique est créée dans la liste de Routes Statiques à partir de
l’interface d’administration web, l’équipement FortiGate lui affecte
automatiquement le prochain numéro de séquence. Par exemple, dans l’illustration
85, deux routes statiques vers une même destination (1.1.1.0/24) ont été créées
pour montrer comment les numéros d’entrée et les numéros de séquence sont
affectés par l’interface graphique. Les deux routes spécifient la même passerelle,
mais dans un cas, le paquet quitte l’équipement FortiGate via l’interface « port1 »
et dans le deuxième cas, via l’interface « port2 ».
Illustration 85 : Routes statiques créées à partir de l’interface d’administration web
Le numéro de séquence dans la table de routage dépend de l’ordre de création

des entrées. Ainsi l’entrée 2 a été créée avant l’entrée 3. Lorsque l’équipement
FortiGate évalue ces deux routes pour une même destination, celles-ci seront
toutes les deux ajoutées dans la table de relayage car leur distance administrative
est basse. Une fois dans la table de relayage, le numéro de séquence détermine la
priorité de la route, à moins que celle-ci ait été définie à partir de la commande CLI
set priority. L’entrée 2 ayant le numéro de séquence le plus bas, elle devient
la route préférée.
Remarque : Il est possible d’afficher les numéros des routes statiques dans la table de
routage à partir de la commande CLI config router static, et tapez ensuite get. Le
numéro d’une route est équivalente à la valeur edit <ID_integer> entrée
précédemment par une commande CLI. Pour plus d’informations, voir config router
static dans le FortiGate CLI Reference.
Lorsque toutes les routes statiques sont configurées à partir de l’interface

graphique, l’ordre des entrées dans la liste de Routes Statiques équivaut à la
séquence des routes statiques dans la table de routage. Cependant, le numéro de
séquence d’une route ne correspond pas toujours à son numéro d’entrée dans la
liste de Routes Statiques. C’est le cas lorsque les numéros de séquence ont été
définis lors de leur création à partir de l’interface de commande en ligne. Les
numéros de séquence peuvent être spécifiés à partir de commandes CLI
uniquement.
En résumé, si une route de la table de routage possède un numéro de séquence

plus bas qu’une autre route pour la même destination, l’équipement FortiGate

01-30001-0203-20060424
choisit la route avec le numéro de séquence le plus bas. Etant donné que vous
pouvez, lors de la configuration de routes statiques, à partir de l’interface de ligne
de commande, spécifier les numéros de séquence ou la priorité à affecter, les
routes vers une même destination peuvent être définies comme prioritaires ou non
en fonction de leurs numéro de séquence et priorité. Pour mettre la priorité sur une
route statique, vous devez créer cette route à partir de la commande CLI config
router static et spécifier un numéro de séquence bas ou une priorité haute
pour cette route.
Visualisation, création et édition de routes statiques

La liste des Routes Statiques affiche les informations que l’équipement FortiGate
compare aux en-têtes des paquets dans le but de les diriger. Au départ, la liste
comprend les routes statiques configurées par défaut (voir « Route par défaut et
passerelle par défaut » à la page 198). Des entrées supplémentaires peuvent être
créées manuellement.
Lorsque vous ajoutez une route à la liste des Routes Statiques, l’équipement
FortiGate évalue les nouvelles informations pour déterminer si celles représentent
une route différente comparée à toutes les autres routes présentes dans la table
de routage. Si aucune de ces routes ne possèdent la même destination,
l’équipement FortiGate ajoute cette nouvelle route à la table de routage.
Pour visualiser la liste des routes statiques, sélectionnez Routeur > Static >
Route Statique. Pour éditer une entrée de route statique existante, cliquez sur son
icône Editer.
L’illustration 86 présente un exemple de liste de routes statiques appartenant à un

équipement FortiGate. Les noms des interfaces varient d’un modèle FortiGate à un
autre.
Illustration 86 : Liste des Routes Statiques
Créer Nouveau Permet d’ajouter une route statique à la liste des Routes
Statiques. Voir « Ajout d’une route statique à la table de
routage » à la page 200.
IP Les adresses IP de destination des paquets interceptés par
Masque Le masque de réseau associé aux adresses IP.
Passerelle Les adresses IP des routeurs du prochain saut vers lequel les
paquets interceptés sont envoyés.
Interface Le nom de l’interface FortiGate à travers laquelle les paquets
interceptés sont reçus et envoyés.
Distance Les distances administratives associées à chaque route. La
valeur représente la distance vers les routeurs du prochain
saut.
Icônes Supprimer et Editer Permet de supprimer ou d’éditer l’entrée dans la liste.

01-30001-0203-20060424
Route par défaut et passerelle par défaut
Dans la configuration d’origine, l’entrée numéro 1 dans la liste des Routes
Statiques est associée à l’adresse de destination 0.0.0.0/0.0.0.0, ce qui signifie
toutes destinations. Cette route est appelée « la route statique par défaut ». Si
aucune autre route n’est présente dans la table de routage et qu’un paquet doit
être envoyé au-delà de l’équipement FortiGate, la route par défaut d’origine permet
à l’équipement FortiGate d’envoyer le paquet vers la passerelle par défaut.
Pour empêcher cela vous pouvez soit éditer la route statique par défaut et spécifier
une passerelle par défaut différente, soit supprimer cette route statique par défaut
et en spécifier une nouvelle qui dirige vers la passerelle par défaut.
L’illustration 87 offre l’exemple d’un équipement FortiGate connecté à un routeur.

Pour s’assurer que tous les paquets destinés à tout réseau au-delà du routeur sont
commutés vers la bonne destination, il vous faut éditer la configuration par défaut
et faire du routeur la passerelle par défaut de l’équipement FortiGate.
Illustration 87 : Faire d’un routeur une passerelle par défaut
Dans cet exemple, pour diriger les paquets sortants du réseau interne vers des
destinations qui ne sont pas sur le réseau 192.168.20.0/24, vous pouvez éditer la
route par défaut et inclure les paramètres suivants :
• IP/Masque de destination : 0.0.0.0/0.0.0.0
• Passerelle : 192.168.10.1
• Interface : Nom de l’interface connectée au réseau 192.168.10.0/24 (par
exemple, external).
• Distance : 10

01-30001-0203-20060424
Le paramètre Passerelle spécifie, pour l’interface external du FortiGate,
l’adresse IP de l’interface du routeur du prochain saut. L’interface derrière le
routeur (192.168.10.1) est la passerelle par défaut pour FortiGate_1.
Dans certains cas, il peut y avoir des routeurs derrière l’équipement FortiGate. Si la
destination d’une adresse IP d’un paquet n’est pas sur le réseau local mais sur un
réseau derrière l’un de ces routeurs, la table de routage de l’équipement FortiGate
doit comprendre une route statique vers ce réseau. Dans l’exemple de l’illustration
88, l’équipement FortiGate doit être configuré avec des route statiques vers les
interfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets
respectivement vers Network_1 et Network_2.
Illustration 88 : Destinations vers des réseaux derrière les routeurs internes
Pour diriger les paquets du Network_1 vers le Network_2, Router_1 doit être
configuré pour utiliser l’interface internal de l’équipement FortiGate comme sa
passerelle par défaut. Vous pourriez, pour cet exemple, créer sur l’équipement
FortiGate une nouvelle route statique avec les paramètres suivants :
• IP/Masque de destination : 192.168.30.0/24
• Passerelle : 192.168.11.1
• Interface : dmz
• Distance : 10
Pour diriger les paquets du Network_2 vers le Network_1, Router_2 doit être
configuré pour utiliser l’interface dmz de l’équipement FortiGate comme sa
passerelle par défaut. Vous pourriez, pour cet exemple, créer sur l’équipement
FortiGate une nouvelle route statique avec les paramètres suivants :
• IP/Masque de destination : 192.168.20.0/24
• Passerelle : 192.168.10.1
• Interface : internal
• Distance : 10

01-30001-0203-20060424
Spécifier une passerelle différente pour la route par défaut
La passerelle par défaut détermine vers quelle destination les paquets
correspondants à la route par défaut seront envoyés.
Spécifier une passerelle différente pour la route par défaut

1 Sélectionnez Routeur > Static > Route statique.
2 Cliquez sur l’icône Editer de la ligne 1.
3 Dans le champ Passerelle, tapez l’adresse IP du routeur du prochain saut vers
lequel le trafic sortant doit être dirigé.
4 Si l’équipement FortiGate atteint le routeur du prochain saut via une interface
différente (comparé à l’interface en cours sélectionnée dans le champ Interface),
sélectionnez le nom de l’interface dans le champ Interface.
5 Dans le champ Distance, ajoutez, facultativement, la valeur de la distance
administrative.
6 Cliquez sur OK.
Ajout d’une route statique à la table de routage

Une route fournit au FortiGate les informations nécessaires pour envoyer un
paquet vers une destination particulière. Une route statique permet aux paquets
d’être envoyés vers une destination autre que la passerelle par défaut.
Les routes statiques se définissent manuellement. Les routes statiques contrôlent

le trafic sortant de l’équipement FortiGate – vous pouvez spécifier à partir de quelle
interface le paquet sort et vers quelle interface le paquet doit être dirigé.
Pour ajouter une entrée de route statique, sélectionnez Routeur > Static > Route
statique et cliquez sur Créer Nouveau.
Lorsque vous ajoutez une route statique à partir de l’interface d’administration web,
l’équipement FortiGate affecte automatiquement le prochain numéro de séquence
à la route et ajoute l’entrée à la liste de Routes Statiques.
L’illustration 89 représente la boîte de dialogue d’édition d’une route statique

appartenant à un équipement FortiGate ayant une interface appelée « internal ».
Les noms des interfaces varient en fonction des modèles FortiGate.
Illustration 89 : Nouvelle route statique
Adresse IP destination / Masque Entrez l’adresse IP de destination et le masque de

réseau des paquets devant être interceptés par
l’équipement FortiGate. La valeur 0.0.0.0/0.0.0.0 est
réservée à la route par défaut.

01-30001-0203-20060424
Passerelle Entrez l’adresse IP du routeur du prochain saut vers
lequel l’équipement FortiGate enverra les paquets
interceptés.
Interface Sélectionnez le nom de l’interface FortiGate à travers
laquelle les paquets interceptés passeront pour se
diriger vers le routeur du prochain saut.
Distance Entrez une distance administrative pour la route. La
valeur de la distance est arbitraire et devrait refléter la
distance vers le routeur du prochain saut. Une valeur
plus basse indique une route préférée. La valeur se
situe entre 1 et 255.
Règle de Routage
A chaque fois qu’un paquet arrive sur l’une des interfaces du FortiGate, ce dernier
détermine si le paquet a été reçu par une interface légitime en lançant une
recherche inversée utilisant l’adresse IP source de l’en-tête du paquet. Dans le cas
où le boîtier FortiGate n’arrive pas à communiquer avec l’ordinateur de cette
adresse IP source, le boîtier FortiGate annule le paquet.
Dans le cas où l’adresse de destination correspond à une adresse locale (et que la
configuration locale permet la livraison), l’équipement FortiGate livre le paquet au
réseau local. Si le paquet est destiné à un autre réseau, l’équipement FortiGate
transfère le paquet vers le routeur du prochain saut d’après la règle de route
correspondante et/ou d’après les informations disponibles dans la table de
relayage FortiGate (voir « Concepts de routage » à la page 194).
Lorsque des règles de route existent et qu’un paquet arrive sur l’équipement
FortiGate, ce dernier se réfère à la liste des Règles de Routage et tente de faire
correspondre le paquet avec l’une d’entre elles. Si une correspondance est trouvée
et que la règle contient assez d’informations pour diriger le paquet (l’adresse IP du
routeur du prochain saut doit être spécifiée, ainsi que l’interface FortiGate pour
l’envoi de paquets vers le routeur du prochain saut), l’équipement FortiGate dirige
le paquet en fonction des informations contenues dans la règle de routage. Si
aucune règle de routage correspond au paquet, l’équipement FortiGate dirige le
paquet utilisant la table de routage.
Remarque : Etant donné que la plupart des paramètres des règles sont optionnels, une
règle seule risque de ne pas fournir toute l’information nécessaire au FortiGate pour envoyer
le paquet. L’équipement FortiGate peut se référer à la table de routage dans une tentative
de faire correspondre les informations contenues dans l’en-tête du paquet avec une route
dans la table de routage.
Par exemple, si l’interface sortante est le seul élément repris dans la règle, l’équipement
FortiGate vérifie l’adresse IP du routeur du prochain saut dans la table de routage. Cette
situation pourrait se présenter lorsque les interfaces FortiGate sont dynamiques (l’interface
reçoit son adresse IP via DHCP ou PPPoE) et vous ne désirez pas ou n’arrivez pas à
spécifier une adresse IP du routeur du prochain saut car l’adresse IP change
dynamiquement.
Pour voir la liste des règles de routage, sélectionnez Routeur > Static > Policy
Route. Pour éditer une règle de routage existante, cliquez sur l’icône Editer à côté
de la règle que vous voulez éditer.
L’illustration 90 représente une liste de règles de routage appartenant à un

équipement FortiGate qui possèdent des interfaces appelées « external » et
« internal ». Les noms des interfaces varient selon les modèles FortiGate.

01-30001-0203-20060424
Illustration 90 : Liste de Règle de Routage
Créer Nouveau Permet d’ajouter une règle de routage. Voir « Ajout d’une règle
de routage » à la page 202.
# Les numéros ID des règles de routage configurées. Ces
numéros sont séquentiels, à moins que des règles aient été
modifiées dans la table.
Interface source Les interfaces sur lesquelles les paquets sujets à des règles
de routage ont été reçus.
Interface destination Les interfaces à travers lesquelles les paquets routés par
règles sont dirigés.
Source Les adresses IP source et masques de réseau responsables
de l’application de règles de routage.
Destination Les adresses IP de destination et les masques de réseau
responsables de l’application de règles de routage.
Icône Supprimer Permet de supprimer une règle de routage.
Icône Editer Permet d’éditer une règle de routage.
Icône Déplacer Permet de déplacer une règle de routage vers le haut ou le
bas dans la table de routage. En sélectionnant cette icône, une
nouvelle fenêtre s’affiche dans laquelle vous pouvez spécifier
la nouvelle localisation dans la table de Règles de Routage.
Voir « Déplacer une règles de routage » à la page 203.
Ajout d’une règle de routage

Les options des règles de routage définissent les propriétés d’un paquet entrant
responsable de l’application d’une règle de routage. Si les propriétés d’un paquet
correspondent à toutes les conditions spécifiées, l’équipement FortiGate commute
le paquet à travers l’interface spécifiée vers la passerelle désignée.
Pour ajouter une règle de routage, sélectionnez Routeur > Static > Règle de
routage et cliquez sur Créer Nouveau.
L’illustration 91 représente la boîte de dialogue d’une nouvelle règle de routage

appartenant à un équipement FortiGate qui possèdent des interfaces appelées
« external » et « internal ». Les noms des interfaces varient selon les modèles
FortiGate.

01-30001-0203-20060424
Illustration 91 : Nouvelle Règle de Routage
Protocole Pour exécuter des règles de routage en fonction de la

valeur dans le champ protocole du paquet, entrez le
numéro de protocole correspondant. Cette valeur se
situe entre 0 et 255. La valeur 0 désactive la
fonctionnalité.
Interface source Sélectionne le nom de l’interface à travers laquelle les
paquets entrants sujets à la règle sont reçus.
Adresse source et masque Pour exécuter des règles de routage en fonction de
l’adresse IP source du paquet, entrez l’adresse source
et le masque de réseau correspondants. La valeur
0.0.0.0/0.0.0.0 désactive la fonctionnalité.
Adresse destination et masque Pour exécuter des règles de routage en fonction de
l’adresse IP de destination du paquet, entrez l’adresse
de destination et le masque de réseau correspondants.
La valeur 0.0.0.0/0.0.0.0 désactive la
fonctionnalité.
Ports destination Pour exécuter des règles de routage en fonction du port
sur lequel est reçu, entrez le même numéro de port
dans les champs Début et Fin. Si vous voulez que cette
règle s’applique à un intervalle de ports, entrez le
premier port de la plage dans le champ Début et le
dernier dans le champ Fin. Les valeurs 0 désactivent
cette fonctionnalité.
Interface destination Sélectionnez le nom de l’interface à travers laquelle les
paquets concernés pas la règle passeront.
Passerelle Entrez l’adresse IP du routeur du prochain saut que
l’équipement FortiGate peut accéder à travers l’interface
spécifiée. La valeur 0.0.0.0 n’est pas valide.
Déplacement d’une règle de routage

Une nouvelle règle de routage est ajoutée au bas de la table de routage. Si vous
désirez qu’une règle en précède une autre, vous aurez peut-être à la déplacer plus
haut dans la table de routage.
Le choix entre deux routes se présente lorsque celles-ci sont identiques. Prenons
l’exemple suivant de deux routes présentes dans la table de routage :
172.20.0.0/255.255.0.0 et 172.20.120.0/255.255.255.0. Elles peuvent toutes deux
correspondre à 172.20.120.112 mais la deuxième est préférable. Elle devrait donc
être positionnée avant l’autre dans la table de routage.
A partir de l’interface de ligne de commande, vous pouvez affecter des priorités

aux routes. Ainsi dans le cas de deux routes identiques dans la table de routage, la

01-30001-0203-20060424
priorité déterminera la route à utiliser. Cette fonctionnalité n’est disponible qu’à
partir de l’interface de ligne de commande.
Illustration 92 : Déplacement d’une règle de routage
Avant / Après Sélectionnez Avant pour placer la règle de routage

sélectionnée avant la route indiquée. Sélectionnez Après pour
placer la règle de routage sélectionnée après la route
indiquée.
Policy route ID Entrez l’ID de la règle de routage avant ou après laquelle doit
venir se positionner la règle de routage sélectionnée.

01-30001-0203-20060424
Routeur dynamique
Cette section explique comment configurer des protocoles dynamiques pour diriger
le trafic à travers de larges et complexes réseaux. Les protocoles de routage
dynamiques permettent à l’équipement FortiGate de partager automatiquement les
informations sur les routes et réseaux avec les routeurs voisins. Le boîtier
FortiGate supporte les protocoles de routage dynamiques suivants :
• Routing Information Protocol (RIP)

• Open Shortest First (OSPF)
• Border Gateway Protocol (BGP)
Remarque : Les options de base de routage RIP, OSPF et BGP peuvent être configurées à
partir de l’interface d’administration web. De nombreuses options supplémentaires peuvent
être configurées à partir de l’interface de ligne de commande uniquement. Des descriptions
et exemples complets sur l’utilisation de commandes CLI pour configurer les paramètres
RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Le boîtier FortiGate sélectionne des routes et met à jour sa table de routage

dynamiquement en fonction de règles spécifiées. A partir d’un ensemble de règles,
l’équipement FortiGate peut déterminer la meilleure route pour l’envoi de paquets
vers une destination. Des règles peuvent également être définies pour supprimer la
publicité des routes vers les routeurs voisins et/ou modifier les informations de
routage FortiGate avant de les publier.
Remarque : Le boîtier FortiGate peut opérer comme un routeur PIM (Protocol Independant
Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes PIM
clairsemé et dense et peuvent servir de serveurs ou receveurs multicast sur le segment
réseau auquel l’interface FortiGate est connectée. PIM peut utiliser des routes statiques,
RIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.

• RIP
• OSPF
• BGP
• Multicast
RIP
Le RIP est un protocole de routage à vecteur de distance prévu pour de petits
réseaux relativement homogènes. L’implémentation FortiGate du RIP supporte les
versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).
Remarque : Les options de base de routage peuvent être configurées à partir de l’interface
d’administration web. De nombreuses options supplémentaires peuvent être configurées à
partir de l’interface de ligne de commande uniquement. Des descriptions et exemples
complets sur l’utilisation de commandes CLI pour configurer les paramètres RIP sont
disponibles dans la chapitre Routeur du FortiGate CLI Reference.

01-30001-0203-20060424
Fonctionnement RIP
Lorsque le routage RIP est activé, l’équipement FortiGate émet des requêtes pour
des annonces RIP à partir de chacune de ses interfaces pour lesquelles le RIP est
activé. Les routeurs voisins répondent en se basant sur leur table de routage.
L’équipement FortiGate ajoute les routes de ses voisins, absentes de sa table de
routage, à sa propre table de routage. Si une route existe déjà dans sa table de
routage, l’équipement FortiGate compare la route diffusée à la route enregistrée et
en choisit une.
La métrique utilisée par RIP utilise le nombre de sauts (hop count) pour choisir la
meilleure route. Un nombre de sauts de 1 représente un réseau connecté
directement à l’équipement FortiGate. Un nombre de sauts de 16 représente un
réseau que l’équipement FortiGate ne peut pas atteindre. Chaque réseau traversé
par un paquet pour atteindre sa destination compte en général pour un saut.
Lorsque l’équipement FortiGate compare deux routes pour une même destination,
la route ayant le nombre de sauts le plus bas est ajoutée à la table de routage.
Par ailleurs, lorsqu’un routage RIP est activé sur une interface, le boîtier FortiGate
envoie régulièrement des réponses RIP aux routeurs voisins. Les annonces
fournissent des informations à propos des routes présentes dans la table de
routage FortiGate en fonction des règles de diffusion spécifiées. Il est possible de
préciser la fréquence à laquelle l’équipement FortiGate envoie ces annonces, le
temps pendant lequel une route est sauvegardée dans la table de routage sans
subir de mise à jour, et encore, pour les routes non mises à jour régulièrement,
combien de temps l’équipement FortiGate diffuse la route comme inatteignable
avant qu’elle soit supprimée de la table de routage.
Visualisation et édition des paramètres de base RIP

Lors de la configuration de paramètres RIP, vous devez spécifier les réseaux
fonctionnant avec RIP, ainsi que tous les paramètres supplémentaires nécessaires
pour ajuster le fonctionnement RIP sur les interfaces FortiGate connectées au
réseau RIP.
Pour configurer les paramètres de base d’un équipement FortiGate connecté à un

réseau RIP, sélectionnez Routeur > Dynamic > RIP. Pour éditer les paramètres
de fonctionnement d’une interface, cliquez sur l’icône Editer dans la ligne
correspondante à l’interface (sur laquelle le routage RIP est activé).
L’illustration 93 représente les paramètres de base RIP d’un équipement FortiGate

qui possèdent des interfaces appelées « external » et « internal ». Les noms des
interfaces varient d’un modèle FortiGate à un autre.

01-30001-0203-20060424
Illustration 93 : Paramètres de base RIP
Version RIP Sélectionnez le niveau de compatibilité. Vous pouvez activer

les paramètres globaux RIP sur toutes les interfaces FortiGate
connectées aux réseaux RIP :
• Sélectionnez 1 pour envoyer et recevoir les paquets RIP
version 1.
• Sélectionnez 2 pour envoyer et recevoir les paquets RIP
version 2.
• Sélectionnez Les deux pour envoyer et recevoir les
paquets RIP versions 1 et 2.
Vous pouvez ignorer les paramètres globaux pour une
interface FortiGate spécifique si nécessaire (voir « Ignorer les
paramètres de fonctionnement sur une interface » à la page
209).
Options Avancées Sélectionnez Options Avancées RIP. Voir « Sélection d’options
RIP avancées » à la page 208.
Réseaux Les adresses IP et masques de réseau des réseaux principaux
(connectés à l’équipement FortiGate) muni de RIP. Lorsque
vous ajoutez un réseau à la liste des Réseaux, les interfaces
FortiGate faisant partie de ce réseau sont diffusées dans les
annonces RIP. Vous pouvez activer RIP sur toutes les
interfaces FortiGate dont les adresses IP correspondent à
l’espace adressage du réseau RIP.
IP/Masque Entrez l’adresse IP et le masque de réseau qui définissent le
réseau RIP.
Add Permet d’ajouter les informations sur le réseau à la liste des
Réseaux.
Interfaces Tous les paramètres supplémentaires nécessaires pour ajuster
le fonctionnement RIP sur une interface FortiGate.
Créer Nouveau Permet de configurer les paramètres de fonctionnement RIP
d’une interface. Ces paramètres ignoreront les paramètres
globaux RIP pour cette interface. Voir « Ignorer les paramètres
de fonctionnement RIP sur une interface » à la page 209.
Interfaces Sélectionnez l’interface pour laquelle configurer les paramètres
de fonctionnement RIP.
Version - Envoyés Sélectionnez la version RIP utilisée pour l’envoi d’annonces à
partir de chaque interface : 1, 2 ou les deux.

01-30001-0203-20060424
Version - Reçus Sélectionnez la version RIP utilisée pour la réception
d’annonces à partir de chaque interface : 1, 2 ou les deux.
Authentification Sélectionnez le type d’authentification utilisé sur cette
interface : None, Text ou MD5.
Passive Sélectionnez pour bloquer l’émission RIP sur cette interface.
Icônes Supprimer et Editer Permet de supprimer ou d’éditer une entrée réseau RIP ou
une définition d’interface RIP.
Sélection d’options RIP avancées

Les options RIP avancées vous permettent de spécifier les paramètres des
compteurs RIP et de définir les métriques pour la redistribution de routes dont
l’équipement FortiGate a pris connaissance autrement que par les annonces RIP.
C’est le cas par exemple, si le boîtier FortiGate est connecté à un réseau OSPF ou
BGP ou encore si vous ajoutez manuellement une route statique à la table de
routage FortiGate. Dans ces cas-là, vous pouvez configurer la diffusion par
l’équipement FortiGate de ces routes sur les interfaces RIP.
Pour sélectionnez les options RIP avancées, sélectionnez Routeur > Dynamic >
RIP et dérouler les Options Avancées. Après avoir sélectionné les options, cliquez
sur Appliquer.
Remarque : Des options avancées supplémentaires peuvent être configurées à partir de

l’interface de ligne de commande. Par exemple, vous pouvez filtrer les annonces entrantes
et sortantes grâce à l’utilisation d’une carte de route, d’une liste d’accès ou encore d’une
liste de préfixes. L’équipement FortiGate supporte également des listes offset, qui ajoutent
un décalage aux métriques d’une route. Pour plus d’informations, voir le chapitre
« Routeur » dans le FortiGate CLI Reference.
Illustration 94 : Options avancées (RIP)
Métrique par défaut Entrez le nombre de sauts par défaut que l’équipement
FortiGate devrait affecter aux routes ajoutées à la table de
routage. Ce nombre varie entre 1 et 16.
Cette valeur s’applique également à la Redistribution des
routes à moins que spécifié différemment.
Annoncer la route par Sélectionnez pour générer et annoncer sans restriction une
défaut dans RIP route par défaut vers les réseaux RIP FortiGate. La route
générée peut être basée sur des routes annoncées à partir
d’un protocole de routage dynamique, des routes de la table
de routage ou les deux.

01-30001-0203-20060424
Compteurs RIP Ignore les paramètres par défaut du compteur RIP. Ces
paramètres sont en vigueur dans la plupart des configurations
– en cas de modifications de ces paramètres, veillez à ce que
les nouveaux paramètres soient compatibles avec les routeurs
locaux et les serveurs d’accès.
Annonces Entrez le laps de temps (en secondes) entre chaque envoi par
le boîtier FortiGate des annonces RIP.
Route invalidée Entrez le temps maximum (en secondes) pendant lequel une
route reste considérée comme atteignable bien qu’aucune
annonce n’est reçue pour cette route. C’est le temps maximum
pendant lequel l’équipement FortiGate gardera une route
atteignable dans la table de routage alors qu’aucune annonce
n’est reçue pour cette route. Si l’équipement FortiGate reçoit
une annonce pour cette route avant que le laps de temps soit
écoulé, le compteur redémarre.
Cette période devrait être au moins trois fois plus longue que
la période Annonces ci-dessus.
Route supprimée Entrez le temps (en secondes) pendant lequel l’équipement
FortiGate annoncera une route dont le statut est inatteignable
avant de la supprimer de la table de routage. Cette valeur
détermine le temps pendant lequel une route inatteignable
reste dans la table de routage.
Redistribution des routes Activez ou désactivez les annonces RIP concernant les routes
qui n’ont pas été diffusées via annonces RIP. L’équipement
FortiGate peut utiliser le RIP pour redistribuer les routes
diffusées à partir de réseaux connectés directement, de routes
statiques, OSPF et/ou BGP.
Connectées Sélectionnez cette option pour redistribuer les routes diffusées
via des réseaux connectés directement. Si vous désirez
spécifier un nombre de saut pour ces routes, cochez la case
Métrique et entrez dans son champ le nombre de sauts. Ce
nombre varie entre 1 et 16.
Statiques Sélectionnez cette option pour redistribuer les routes diffusées
via des routes statiques. Si vous désirez spécifier un nombre
de saut pour ces routes, cochez la case Métrique et entrez
dans son champ le nombre de sauts. Ce nombre varie entre 1
et 16.
OSPF Sélectionnez cette option pour redistribuer les routes diffusées
via OSPF. Si vous désirez spécifier un nombre de saut pour
ces routes, cochez la case Métrique et entrez dans son champ
le nombre de sauts. Ce nombre varie entre 1 et 16.
BGP Sélectionnez cette option pour redistribuer les routes diffusées
via BGP. Si vous désirez spécifier un nombre de saut pour ces
routes, cochez la case Métrique et entrez dans son champ le
nombre de sauts. Ce nombre varie entre 1 et 16.
Ignorer les paramètres de fonctionnement RIP d’une interface

Les options des interfaces RIP vous permettent d’ignorer les paramètres globaux
RIP qui s’appliquent à toutes les interfaces connectées à des réseaux RIP. Par
exemple, si vous voulez supprimer l’envoi d’annonces RIP sur une interface
connectée à un sous-réseau ou réseau RIP, vous pouvez configurer l’interface
pour qu’elle fonctionne passivement. Les interfaces passives reçoivent les
annonces RIP mais ne répondent pas aux requêtes.
La version 2 du RIP permet de choisir un mot de passe d’authentification afin que

l’équipement FortiGate authentifie un routeur voisin avant d’accepter ses

01-30001-0203-20060424
annonces. L’équipement FortiGate et les routeurs voisins doivent être configurés
avec le même mot de passe. Le procédé d’authentification garantit l’authenticité du
paquet d’annonces mais ne garantit pas la confidentialité des informations sur le
routage contenus dans le paquet.
Pour définir les paramètres RIP des interfaces RIP, sélectionnez Routeur >
Dynamic > RIP et cliquez sur Créer Nouveau.
Remarque : Certaines options supplémentaires telles que « split-horizon » et « key-chain »

peuvent être configurées sur chaque interface à partir de l’interface de ligne de commande.
Pour plus d’informations, voir le chapitre Routeur dans le FortiGate CLI Reference.
L’illustration 95 représente la boîte de dialogue Nouvelle/Editer Interface RIP

appartenant à un FortiGate qui possède une interface appelée « internal ». Les
noms des interfaces varient selon les modèles FortiGate.
Illustration 95 : Nouvelle/Editer Interface RIP
Interface Sélectionnez le nom de l’interface pour laquelle les

paramètres ci-dessous s’appliquent. L’interface doit
être connectée à un réseau RIP. L’interface peut être
une interface virtuelle IPSec ou GRE.
Version des annonces envoyées, Sélectionnez pour ignorer le paramètre par défaut
Version des annonces reçues de compatibilité RIP pour l’envoi ou la réception des
annonces à travers l’interface : RIP version 1, version
2 ou les deux.
Authentification Sélectionnez une méthode d’authentification pour les
échanges RIP sur l’interface spécifiée :
• Sélectionnez None pour désactiver
l’authentification.
• Pour une interface connectée à un réseau muni
de RIP version 2, vous pouvez facultativement
sélectionner Texte et entrez un mot de passe
(jusqu’à 35 caractères). L’équipement FortiGate
et le routeur des annonces RIP doivent être
configurés avec le même mot de passe. Le mot
de passe est envoyé sous forme de texte à
travers le réseau.
• Sélectionnez MD5 pour authentifier un échange
via MD5.
Passive Interface Permet de supprimer l’annonce des informations de
routage FortiGate à travers l’interface spécifiée. Pour
activer les réponses de l’interface aux requêtes RIP,
ne pas sélectionner cette case.

01-30001-0203-20060424
OSPF
OSPF est un protocole de routage IP de type état de lien utilisé généralement sur
de larges réseaux hétérogènes pour partager les informations de routage entre les
routeurs d’un même Système Autonome (AS). L’équipement FortiGate supporte
OSPF version 2 (voir RFC 2328).
Remarque : Les options de base de routage OSPF peuvent être configurée à partir de
l’interface d’administration web. De nombreuses options supplémentaires peuvent être
configurées uniquement à partir de l’interface de ligne de commande. Pour des descriptions
et exemples complets sur la configuration de paramètres OSPF via l’utilisation des
commandes CLI, voir le chapitre Routeur du FortiGate CLI Reference.
Systèmes autonomes OSPF

Un système autonome OSPF est divisé en aires (ou zones) logiques reliées par
des routeurs de bordure de zones. Une aire comprend un groupe de réseaux
environnants. Un routeur de bordure de zones relie une ou plusieurs aires au
backbone du réseau OSPF (Aire ID 0). Pour spécifier les caractéristiques d’un
système autonome OSPF, voir « Définition d’un système autonome OSPF » à la
page 212 .
Lorsqu’un équipement FortiGate possède une de ses interfaces dans une aire
OSPF, il peut alors participer aux échanges de communications OSPF. Le boîtier
FortiGate utilise le protocole OSPF Hello pour acquérir des voisins dans une aire.
Tout routeur qui possède une interface dans la même aire que le boîtier FortiGate
est un voisin. Après un contact initial, l’équipement FortiGate échange
régulièrement des paquets Hello avec ses voisins OSPF pour confirmer que ceux-
ci peuvent être joints.
Les routeurs OSPF génèrent des LSA (link-state advertisements) et les envoient à
leurs voisins à chaque changement de statut d’un voisin ou lorsqu’un nouveau
voisin apparaît dans l’aire. Tant que le réseau OSPF est stable, il n’y a pas de LSA
entre les voisins OSPF. Un LSA identifie des interfaces de tous les routeurs d’une
aire et procure des informations qui permettent aux routeurs de sélectionner le
chemin le plus court vers une destination. Tous les échanges LSA entre routeurs
OSPF sont authentifiés.
L’équipement FortiGate maintient une base de données des informations d’états

de lien basée sur les LSA reçus des autres routeurs OSPF. Pour calculer la
meilleure route (chemin le plus court) vers une destination, l’équipement FortiGate
applique l’algorithme SPF (Shortest Path First) aux informations d’états de lien. Le
protocole OSPF utilise le coût relatif comme métrique de base pour le choix de la
meilleure route. Le coût impose une pénalité en sortie à chaque interface d’un
FortiGate. Le coût d’une route est calculé en additionnant tous les coûts associés
aux interfaces de sorties sur le chemin vers la destination. C’est la route au
moindre coût qui sera considérée comme la meilleure route.
L’équipement FortiGate met à jour sa table de routage dynamiquement, en fonction

des résultats des calculs SPF pour assurer qu’un paquet OSPF sera commuté vers
sa destination via le chemin le plus court. Selon la topologie du réseau, les entrées
dans la table de routage FortiGate peuvent inclure :
• les adresses réseaux de l’aire locale OSPF (vers lesquels les paquets sont
envoyés directement).

01-30001-0203-20060424
• des routes vers les routeurs de bordure d’aires OSPF (vers lesquels les
paquets destinés à d’autres aires sont envoyés).
• si le réseau contient des aires OSPF et des domaines non-OSPF, des routes
vers les routeurs frontières AS, qui résident dans le réseau backbone OSPF et
sont configurés pour l’envoi de paquets vers des destinations en dehors du
système autonome OSPF.
Le nombre de routes portées à la connaissance de l’équipement FortiGate

dépendent de la topologie du réseau. Un seul équipement FortiGate peut supporter
des dizaines de milliers de routes si le réseau OSPF est configuré correctement.
Définition d’un système autonome (AS) OSPF

Définir un AS OSPF comprend :
• la définition de caractéristiques d’une ou plusieurs aires OSPF.
• la création d’associations entre aires OSPF que vous définissez et les réseaux
locaux à inclure dans l’AS OSPF.
• si nécessaire, ajuster les paramètres des interfaces OSPF.
Les procédures suivantes décrivent la configuration de ces tâches à partir de

l’interface d’administration web.
Définir un AS OSPF
1 Sélectionnez Routeur > Dynamic > OSPF.

2 Cliquez sur Créer Nouveau dans la section Aires.
3 Définissez les caractéristiques d’une ou plusieurs aires OSPF. Voir « Définition
d’aires OSPF » à la page 216.
4 Cliquez sur Créer Nouveau dans la section Réseaux.
5 Créez des associations entre les aires OSPF que vous définissez et les réseaux
locaux à inclure dans l’AS OSPF. Voir « Spécification des réseaux OSPF » à la
page 217.
6 S’il est nécessaire d’ajuster les paramètres par défaut d’une interface OSPF,
cliquez sur Créer Nouveau dans la section Interfaces.
7 Sélectionnez les paramètres de fonctionnement pour l’interface. Voir « Sélection
de paramètres de fonctionnement d’une interface OSPF » à la page 218.
8 Répétez les étapes 6 et 7 si nécessaire pour d’autres interfaces OSPF.
9 Facultativement, sélectionnez les options OSPF avancées pour l’AS OSPF. Voir
« Sélection d’options OSPF avancées » à la page 214.
Visualisation et édition de paramètres de base OSPF

Lors de la configuration de paramètres OSPF, il vous faut définir l’AS dans lequel
OSPF est activé et spécifier les interfaces de l’équipement FortiGate qui en font
partie. Pour cela il faut également spécifier les aires AS et les réseaux à inclure
dans ces aires. Vous pouvez facultativement ajuster les paramètres associés aux
opérations OSPF sur les interfaces FortiGate.

01-30001-0203-20060424
Pour visualiser et éditer les paramètres OSPF, sélectionnez Routeur > Dynamic >
OSPF.
L’illustration 96 représente les paramètres de base OSPF d’un équipement

FortiGate qui possède une interface appelée « port1 ». Les noms des interfaces
varient en fonction des modèles FortiGate.
Illustration 96 : Paramètres de base OSPF
Routeur ID Entrez un ID de routeur unique en vue d’identifier l’équipement

FortiGate vis-à-vis des autres routeurs OSPF. Par convention,
l’ID du routeur est l’adresse IP la plus haute (numériquement
parlant) de toutes les interfaces FortiGate dans l’AS OSPF. Ne
pas modifier l’ID du routeur pendant le fonctionnement
d’OSPF.
Options Avancées Voir « Sélection d’options OSPF avancées » à la page 214.
Aires Informations à propos des aires (zones) qui forment l’AS
OSPF. L’en-tête d’un paquet OSPF contient l’ID de l’aire, ce
qui permet d’identifier l’origine d’un paquet au sein d’un AS.
Créer Nouveau Permet de définir une aire OSPF et d’ajouter cette nouvelle
aire à la liste des Aires. Voir « Définition d’aires OSPF » à la
page 216.
Aire Chaque ligne comprend l’identificateur (ID) 32 bits unique,
exprimé sous forme de notation décimale à point, d’une aire
dans l’AS. L’aire portant l’ID 0.0.0.0 est l’aire backbone de l’AS
et ne peut être changé ou supprimé.
Type Les différents types des aires dans l’AS :
• Dans le cas où l’aire est une aire normale OSPF, le type
affiché est « Regular ».
• Si l’aire est une « not-so-stubby area », le type affiché est
« NSSA ».
• Si l’aire est une « stub area », le type affiché est « Stub ».
Pour plus d’informations, voir « Définition d’aires OSPF » à la
page 216.

01-30001-0203-20060424
Authentification Les méthodes d’authentification de paquets OSPF envoyés et
reçus à travers les interfaces FortiGate liées à chaque aire.
• Lorsque l’authentification est désactivée, la mention None
s’affiche.
• Lorsqu’une authentification avec mot de passe en texte
est activée, la mention Texte s’affiche.
• Lorsque l’authentification MD5 est activée, la mention
MD5 s’affiche.
Des paramètres d’authentification différents peuvent

s’appliquer à certaines interfaces d’une aire, tel qu’affiché dans
la section Interfaces. Par exemple, si une aire utilise des mots
de passe simples, vous pouvez configurer un mot de passe
différent pour un ou plusieurs réseaux de cette aire.
Réseaux Les réseaux de l’AS OSPF et leur ID aire. Lorsqu’un réseau
est ajouté dans la liste des Réseaux, toutes les interfaces
FortiGate faisant partie du réseau sont annoncées via les LSA
OSPF. Vous pouvez activer OSPF sur toutes les interfaces
dont les adresses IP correspondent à l’espace adressage
réseau OSPF.
Créer Nouveau Sélectionnez pour ajouter un réseau à l’AS, spécifier son ID
aire et ajouter une définition à la liste Réseaux. Voir
« Spécification des réseaux OSPF » à la page 217.
Réseaux Les adresses IP et masques de réseau des réseaux de l’AS
sur lesquels OSPF est activé. L’équipement FortiGate peut
avoir des interfaces physiques ou VLAN connectées au
réseau.
Aire L’ID de l’aire affectée à l’espace adressage réseau OSPF.
Interfaces Tout paramètre supplémentaire nécessaire à l’ajustement du
fonctionnement OSPF sur une interface FortiGate.
Créer Nouveau Sélectionnez pour ajouter des paramètres de fonctionnement
OSPF supplémentaires ou différents pour une interface
FortiGate et ajouter la configuration à la liste des Interfaces.
Voir « Sélection de paramètres de fonctionnement d’une
interface OSPF » à la page 218.
Nom Les noms des définitions des interfaces OSPF.
Interface Les noms des interfaces physiques ou VLAN ayant des
paramètres différents des valeurs par défaut affectées à toutes
les autres interfaces d’une même aire.
IP Les adresses IP des interfaces OSPF ayant des paramètres
supplémentaires ou différents.
Authentification Les méthodes d’authentification des échanges LSA envoyés
ou reçus sur des interfaces OSPF spécifiées. Ces paramètres
ignorent les paramètres de l’authentification de l’aire.
Icônes Supprimer Sélectionnez pour supprimer ou éditer une aire OSPF, un
et Editer réseau ou une définition d’interface.
Sélection d’options avancées OSPF

Les options OSPF avancées vous permettent de préciser les métriques pour la
redistribution de routes dont le boîtier FortiGate a pris connaissance par d’autres
moyens que les LSA OSPF. C’est le cas par exemple, si l’équipement FortiGate
est connecté à un réseau RIP ou BGP ou encore si vous ajoutez manuellement

01-30001-0203-20060424
une route statique à la table de routage FortiGate. Dans ces cas-là, vous pouvez
configurer la diffusion par le FortiGate de ces routes sur les interfaces OSPF.
Pour sélectionnez les options OSPF avancées, sélectionnez Routeur > Dynamic
OSPF et dérouler les Options Avancées. Après avoir sélectionné les options,
cliquez sur Appliquer.
Illustration 97 : Options OSPF avancées
Information par défaut Génère ou diffuse une route par défaut (external) vers l’AS
OSPF. La route générée peut être basée sur des routes dont
l’équipement FortiGate a eu connaissance via un protocole de
routage dynamique ou des routes dans la table de routage, ou
les deux.
Aucun Désactive la génération d’une route par défaut.
Regular Génère une route par défaut dans l’AS OSPF et diffuse la
route aux systèmes autonomes voisins seulement si la route
est présente dans la table de routage.
Toujours Génère une route par défaut dans l’AS OSPF et diffuse la
route aux systèmes autonomes voisins inconditionnellement
même si la route est absente de la table de routage.
Redistribution Active ou désactive les LSA OSPF à propos des routes non
diffusées via OSPF. L’équipement FortiGate peut utiliser OSPF
pour redistribuer les routes diffusées à partir de réseaux
connectés directement, de routes statiques, RIP et/ou BGP.
Connecté Sélectionnez cette option pour redistribuer les routes diffusées
à partir de réseaux connectés directement. Si vous désirez
préciser un coût pour ces routes, entrez le coût dans le champ
Métrique. Ce coût peut varier entre 1 et 16 777 214.
Statiques Sélectionnez cette option pour redistribuer les routes diffusées
à partir de routes statiques. Si vous désirez spécifier un coût
pour ces routes, entrez le coût dans le champ Métrique. Ce
coût peut varier entre 1 et 16 777 214.
RIP Sélectionnez cette option pour redistribuer les routes diffusées
à partir de RIP. Si vous désirez spécifier un coût pour ces
routes, entrez le coût dans le champ Métrique. Ce coût peut
varier entre 1 et 16 777 214.
BGP Sélectionnez cette option pour redistribuer les routes diffusées
à partir de BGP. Si vous désirez spécifier un coût pour ces
routes, entrez le coût dans le champ Métrique. Ce coût peut
varier entre 1 et 16 777 214.
Remarque : Des options avancées supplémentaires peuvent être configurées à partir de

l’interface de ligne de commande. Pour plus d’informations, voir le chapitre « Routeur » dans
le FortiGate CLI Reference.

01-30001-0203-20060424
Définitions d’aires OSPF
Une aire définit logiquement une partie de l’AS OSPF. Chaque aire est identifiée
par un ID aire de 32 bits exprimé sous forme de notation décimale à point. L’aire
portant l’ID 0.0.0.0 est l’aire backbone du réseau OSPF. Il existe trois
classifications pour les aires d’une AS :
• Regular
• Stub
• NSSA
Une aire « Regular » comprend plus d’un routeur, chacun ayant au moins une
interface OSPF dans cette aire.
Pour atteindre le backbone OSPF, les routeurs d’une aire stub doivent envoyer les
paquets vers un routeur de bordure de zones. Les routes qui mènent vers des
domaines non-OSPF ne sont pas diffusées aux routeurs des aires stub. Le routeur
de bordure de zones diffuse à l’AS OSPF une seule route par défaut (destination
0.0.0.0) dans l’aire stub, qui assure que tous les paquets OSPF ne correspondant
pas à une route spécifique correspondront à la route par défaut. Tous les routeurs
connectés à une aire stub est considérée comme faisant partie de cette aire.
Dans une aire NSSA (Not-So-Stubby Area), les routes qui sortent de l’aire vers un
domaine non-OSPF sont diffusées à l’AS OSPF. Cependant, l’aire elle-même
continue d’être traitée comme une aire stub par le reste de l’AS.
Les aires Regular et stub (y compris NSSA) sont connectées au backbone OSPF
par l’intermédiaire de routeurs de bordure de zones.
Pour définir une aire OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez
sur Créer Nouveau dans la section Aires. Pour éditer les propriétés d’une aire
OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez sur l’icône Editer dans
la ligne correspondante à l’aire concernée.
Remarque : Si nécessaire, vous pouvez définir un lien virtuel vers une aire qui a perdu sa
connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement être
définis entre deux équipements FortiGate qui agissent en tant que routeurs de bordure de
zones. Pour plus d’informations, voir « config virtual-link » sous la sous-commande OSPF
« config area » dans le FortiGate CLI Reference.
Illustration 98 : Nouvelle/Editer Aire OSPF
Aire Entrez un identificateur de 32 bits pour cette aire. La valeur

doit être similaire à une adresse IP sous forme de notation
décimale à point. Une fois l’aire OSPF créée, la valeur IP de
cette aire ne peut plus être modifiée.
Type Sélectionnez un type d’aire pour catégoriser les
caractéristiques du réseau qui seront affectées à l’aire :

01-30001-0203-20060424
• Sélectionnez Regular si l’aire comprend plus d’un routeur,
chacun ayant au moins une interface OSPF dans l’aire.
• Sélectionnez NSSA si vous désirez des routes vers des
domaines non-OSPF diffusés sur l’AS OSPF et désirez
que l’aire soit traitée comme une aire stub par le reste de
l’AS.
• Sélectionnez STUB si les routeurs de l’aire doivent
envoyer des paquets vers un routeur en bordure de zones
pour atteindre le backbone et que vous ne désirez pas
que les routes vers des domaines non-OSPF soit
diffusées vers les routeurs dans l’aire.
Authentification Sélectionnez la méthode d’authentification OSPF des paquets
envoyés et reçus par l’intermédiaire de toutes les interfaces
dans cette aire :
• Sélectionnez None pour désactiver l’authentification.
• Sélectionnez Texte pour activer un mot de passe
d’authentification sous forme de texte pour authentifier les
échanges LSA. Le mot de passe est envoyé sous forme
de texte à travers le réseau.
• Sélectionnez MD5 pour authentifier un échange via MD5.
Si nécessaire, vous pouvez ignorer ce paramètres pour une ou
plusieurs interfaces de l’aire (voir « Sélection des paramètres
de fonctionnement d’une interface OSPF » à la page 218.
Remarque : Pour affecter un réseau à une aire, voir « Spécification des réseaux OSPF » à
la page 217.
Spécification de réseaux OSPF

Les aires OSPF regroupent plusieurs réseaux environnants. Lorsque vous affectez
un ID à un espace adressage du réseau, les propriétés de cette aire sont
associées au réseau.
Pour affecter un ID aire OSPF à un réseau, sélectionnez Routeur > Dynamic >
OSPF et cliquez sur Créer Nouveau dans la section Réseaux. Pour éditer cet ID,
sélectionnez Routeur > Dynamic > OSPF et cliquez sur l’icône Editer dans la
ligne correspondant au réseau concerné.
Illustration 99 : Nouveau/Editer Réseau OSPF
IP/Masque Entrez l’adresse IP et le masque de réseau du réseau local

que vous désirez affecter à une aire OSPF.
Aire Sélectionnez un ID aire pour le réseau. Les propriétés de l’aire
doivent correspondre aux caractéristiques et à la topologie du
réseau spécifié. Vous devez définir l’aire avant de pouvoir
sélectionnez l’ID aire. Voir « Définition d’aires OSPF » à la
page 216.

01-30001-0203-20060424
Sélection de paramètres de fonctionnement d’une interface OSPF
La définition d’une interface OSPF contient des paramètres de fonctionnement
spécifiques à une interface OSPF FortiGate. La définition comprend le nom de
l’interface (par exemple, external ou VLAN_1), l’adresse IP affectée à l’interface, la
méthode d’authentification des échanges LSA et les paramètres de temps pour
l’envoi et la réception des paquets OSPF Hello et dead-interval.
Le protocole OSPF peut être activé sur toutes les interfaces FortiGate dont les
adresses IP correspondent à l’espace réseau OSPF. Par exemple, définissez une
aire 0.0.0.0 et un réseau OSPF défini à 10.0.0.0/16. Définissez ensuite vlan1 à
10.0.1.1.24, vlan2 à 10.0.2.1/24 et vlan3 à 10.0.3.1/24. Ces trois vlans seront
munis d’OSPF dans une aire 0.0.0.0. Pour activer toutes les interfaces, vous
devriez créer un réseau OSPF 0.0.0.0/0 ayant une aire qui corresponde à une
adresse IP spécifique.
Vous pouvez configurer des paramètres OSPF différents pour une même interface
FortiGate lorsque plus d’une adresse IP ont été assignées à l’interface. Par
exemple, une même interface FortiGate pourrait être connectée à deux voisins à
partir de sous-réseaux différents. Vous pourriez alors configurer une définition de
l’interface OSPF comprenant un ensemble de paramètres Hello et dead-interval
pour la compatibilité avec les paramètres d’un voisin, et configurer une deuxième
définition de cette même interface pour assurer la compatibilité avec les
paramètres du deuxième voisin.
Pour sélectionnez les paramètres de fonctionnement d’une interface FortiGate,

sélectionnez Routeur > Dynamic > OSPF et cliquez sur Créer Nouveau dans la
section Interfaces. Pour éditer ces paramètres, cliquez sur l’icône Editer dans la
ligne correspondant à l’interface OSPF à éditer.
L’illustration 100 représente la boîte de dialogue Nouvelle/Editer Interface OSPF

appartenant à un équipement FortiGate qui possède une interface appelée
« port1 ». Les noms des interfaces varient selon les modèles FortiGate.
Illustration 100 : Nouvelle/Editer Interface OSPF
Nom Entrez un nom pour identifier la définition de l’interface OSPF.

Par exemple, le nom pourrait indiquer l’aire OSPF à laquelle
sera reliée l’interface.
Interface Sélectionnez le nom de l’interface à associer à cette définition
d’interface OSPF (par exemple, port1, external ou VLAN_1).
L’équipement FortiGate peut avoir des interfaces physiques,
VLAN, virtuelles IPSec ou GRE connectées au réseau OSPF.

01-30001-0203-20060424
IP Entrez l’adresse IP affectée à l’interface OSPF. L’interface
devient une interface OSPF lorsque son adresse IP
correspond à l’espace adresse réseau OSPF. Par exemple, si
vous définissez un réseau OSPF 172.20.120.0/24 et affectez
l’adresse IP 172.20.120.140 au port1, entrez
172.20.120.140.
Authentification Sélectionnez une méthode d’authentification pour les
échanges LSA pour l’interface spécifiée :
• Sélectionnez None pour désactiver l’authentification.
• Sélectionnez Texte pour une authentification à partir d’un
mot de passe textuel. Ce mot de passe se compose de 35
caractères maximum et est envoyé sous forme de texte à
travers le réseau.
• Sélectionnez MD5 pour l’utilisation d’une ou plusieurs
clé(s) pour générer un hash MD5.
Ces paramètres ignorent les paramètres d’Authentification
pour l’aire.
Mot de passe Entrez le mot de passe textuel. Entrez une valeur
alphanumérique jusqu’à 15 caractères. Les voisins OSPF qui
envoient des LSA aux interfaces FortiGate doivent être
configurés avec le même mot de passe. Ce champ n’est
disponible que si vous avez choisi la méthode
d’authentification Texte.
Clés MD5 Entrez l’identificateur clé pour le (premier) mot de passe dans
le champ ID (dans un intervalle de 1 à 255) et tapez ensuite le
mot de passe associé dans le champ Clé (Key). Le mot de
passe est une suite alphanumérique de maximum 16
caractères. Les voisins OSPF qui envoient des LSA à cette
interface FortiGate doivent être configurés avec une clé MD5
identique. Si le voisin OSPF utilise plus d’un mot de passe
pour générer un hash MD5, cliquez sur l’icône Ajouter pour
ajouter des clés MD5 supplémentaires dans la liste. Ce champ
est disponible seulement si vous avez sélectionné la méthode
d’authentification MD5.
Hello Interval Vous pouvez, facultativement, définir un Hello Interval
compatible avec les paramètres Hello Interval sur tous les
voisins OSPF. Ce paramètre définit la période de temps
d’attente (en secondes) de l’équipement FortiGate entre
chaque envoi de paquets Hello par ses interfaces.
Dead Interval Facultativement, définissez le Dead Interval compatible avec
les paramètres Dead Interval de tous les voisins OSPF. Ce
paramètre définit la période de temps d’attente (en secondes)
de l’équipement FortiGate entre chaque réception de paquets
Hello provenant de ses voisins sur ses interfaces. Si le
FortiGate ne reçoit pas de paquet Hello endéans le temps
spécifié, il déclare le voisin inaccessible.
Par convention, la valeur du Dead Interval est quatre fois plus
grande que la valeur du Hello Interval.
BGP
BGP est un protocole de routage Internet généralement utilisé par les Fournisseurs
d’Accès Internet (FAI) pour échanger des informations de routage entre différents
réseaux FAI. Par exemple, BGP permet le partage de chemins de réseaux entre le
réseau DAI et un système autonome (AS) qui utilise RIP et/ou OSPF pour
acheminer les paquets dans l’AS. L’implémentation FortiGate du BGP supporte
BGP-4 et est conforme à la RFC 1771.

01-30001-0203-20060424
Remarque : Les options de base de routage BGP peuvent être configurées à partir de
l’interface d’administration web. De nombreuses options supplémentaires peuvent être
configurées uniquement à partir de l’interface de ligne de commande. Pour des descriptions
et exemples complets sur l’utilisation de commande CLI pour la configuration de paramètres
BGP, voir le chapitre Routeur du FortiGate CLI Reference.
Fonctionnement de BGP
Lorsque BGP est activé, l’équipement FortiGate envoie des mises à jour de la table
de routage aux systèmes autonomes voisins à chaque modification de la table de
routage. Chaque AS, y compris celui dont l’équipement FortiGate est membre, est
associé à un numéro AS. Ce numéro fait référence à une destination particulière
sur le réseau.
Les mises à jour BGP diffusent le meilleur chemin vers une destination du réseau.
Lors de la réception de mises à jour, le boîtier FortiGate examine les propriétés du
discriminant multi-sorties (MED – Multi-Exit Discriminator) des routes potentielles
pour déterminer le meilleur chemin vers une destination du réseau avant
d’enregistrer ce chemin dans sa table de routage.
Visualisation et édition des paramètres BGP

Lors de la configuration des paramètres BGP, il est nécessaire de spécifier l’AS
dont le boîtier FortiGate est membre et d’entrer un ID routeur permettant aux
autres routeurs BGP d’identifier l’équipement FortiGate. Vous devez également
identifier les voisins BGP du FortiGate et spécifier lequel des réseaux du FortiGate
devrait être diffusé aux voisins BGP.
Pour visualiser et éditer les paramètres BGP, sélectionnez Routeur > Dynamic >
BGP. L’interface d’administration web offre une interface simplifiée pour configurer
les options de base BGP. De nombreuses options avancées BGP peuvent être
configurées à partir de l’interface de ligne de commande. Pour plus d’informations,
voir le chapitre Routeur du FortiGate CLI Reference.
Illustration 101 : Options de base BGP
Local AS Entrez le numéro de l’AS local dont le boîtier FortiGate est

membre.
Router ID Entrez un ID de routeur unique pour permettre l’identification
de l’équipement FortiGate aux autres routeurs BGP. L’ID du
routeur est une adresse IP en format notation décimale à
points. Si vous modifiez l’ID du routeur pendant le

01-30001-0203-20060424
fonctionnement BGP, toutes les connexions aux paires BGP
seront momentanément interrompues jusqu’à leurs
rétablissement.
Voisins Les adresses IP et les numéros AS de paires BGP dans les
systèmes autonomes voisins.
IP Entrez l’adresse IP de l’interface du voisin du réseau BGP.
AS distant Entrez le numéro de l’AS auquel le voisin appartient.
Boutons Add/Edit Sélectionnez Add pour ajouter les informations sur le voisin à
la liste Voisins. Sélectionnez Edit pour éditer une entrée de la
liste.
Voisin Les adresses IP des paires BGP.
AS distant Les numéros des AS associés aux paires BGP.
Réseaux Les adresses IP et masques de réseaux des réseaux à
diffuser aux paires BGP. L’équipement FortiGate peut avoir
une interface physique ou VLAN connectée à ces réseaux.
IP/Masque Entrez l’adresse IP et le masque de réseau du réseau à
diffuser.
Bouton Add Sélectionnez pour ajouter des informations sur le réseau à la
liste Réseaux.
Réseau Les adresses IP et masques de réseaux des réseaux majeurs
diffusés aux paires BGP.
Icône Supprimer Permet de supprimer un voisin BGP ou une définition réseau
BGP.
Multicast
Un équipement FortiGate peut opérer comme routeur Multicast PIM (Protocol
Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les
modes clairsemé (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et
récepteurs multicast sur le segment réseau auquel est connectée une interface
FortiGate.
Les applications serveurs multicast utilisent une adresse multicast (Class D) pour
envoyer une copie du paquet à un groupe de receveurs. Les routeurs PIM à
travers le réseau assurent que seule une copie du paquet est envoyée à travers le
réseau jusqu’à ce qu’elle atteigne sa destination finale. A destination, des copies
du paquet sont créées seulement s’il est nécessaire de livrer les informations aux
applications clients multicast qui nécessitent le trafic destiné à l’adresse multicast.
Remarque : Toutes les applications envoi/réception et tous les routeurs PIM connectés
entre doivent valider le protocole PIM version 2 en vue de supporter les communications
PIM. PIM utilise des routes statiques, RIP, OSPF ou BGP pour transférer des paquets
multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source à
leur point de destination, soit le mode clairsemé (ou épars), soit le mode dense doit être
activé sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsemé ne peuvent
pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un
équipement FortiGate est localisé entre une source et un routeur PIM, ou entre deux
routeurs PIM ou encore est connecté directement à un receveur, vous devez créer une règle
pare-feu manuellement pour passer les paquets (multicast) encapsulés ou les données
décapsulées (trafic IP) entre la source et la destination.
Un domaine PIM est une aire logique comprenant un nombre de réseaux contigus.
Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsemé
est activé le domaine comprend également plusieurs Points de Rendez-vous (RP)

01-30001-0203-20060424
et de Designated Routers (DR). Si PIM est activé sur un boîtier FortiGate, ce
dernier peut exécuter chacune de ses fonctions à n’importe quel moment tel que
configuré. Si nécessaire en mode clairsemé, vous pouvez définir des RP statiques.
Remarque : Les options de base peuvent être configurées à partir de l’interface

d’administration web. De nombreuses options supplémentaires peuvent être configurées
uniquement à partir de l’interface de ligne de commande. Pour des descriptions et exemples
complets sur l’utilisation de commandes CLI pour la configuration de paramètres PIM, voir
« multicast » dans le chapitre Routeur du FortiGate CLI Reference.
Visualisation et édition de paramètres multicast

Lorsque le routage multicast (PIM) est activé, vous pouvez configurer le mode
clairsemé ou dense sur chacune des interfaces FortiGate.
Pour visualiser ou éditer les paramètres PIM, sélectionnez Routeur > Dynamic >
Multicast. L’interface d’administration web offre une interface simplifiée pour
configurer les options de base PIM. Les options PIM avancées peuvent être
configurées à partir de l’interface de ligne de commande. Pour plus d’informations,
voir le chapitre Routeur du FortiGate CLI Reference.
Illustration 102 : Options de base multicast
Activer le Routage Multicast Sélectionnez pour activer le routage PIM version 2. Une
règle pare-feu doit être créée sur les interfaces PIM
pour laisser passer les paquets encapsulés et les
données décapsulées entre leur source et leur
destination.
Add Static RP (+) Ajouter une adresse RP. Si nécessaire en mode
clairsemé, entrez l’adresse IP d’un Point de Rendez-
vous (RP) qui peut être utilisé comme racine de l’arbre
de distribution d’un paquet pour un groupe multicast.
Les join messages du groupe multicast et les données
de la source sont envoyés au RP.
Si un RP du groupe multicast de l’IP spécifié est déjà
connu par le Boot Strap Router, ce RP est utilisé et
l’adresse RP statique spécifiée ignorée.
Appliquer Permet de sauvegarder les adresses RP statiques
entrées.
Créer Nouveau Sélectionnez pour créer une nouvelle entrée multicast
pour une interface. Cela vous permettra de régler

01-30001-0203-20060424
précisément des opérations PIM sur une interface
spécifique FortiGate ou ignorer les paramètres globaux
PIM sur une interface particulière. Voir « Ignorer les
paramètres multicast sur une interface » à la page 223.
Interface Les noms des interfaces FortiGate ayant des
paramètres spécifiques PIM.
Mode Le mode de fonctionnement PIM (Clairsemé ou Dense)
valide sur cette interface.
Statut Le statut de la candidature RP en mode clairsemé sur
l’interface. Pour activer ou désactiver la candidature sur
une interface, sélectionnez l’icône Editer dans la ligne
correspondant à l’interface.
Priorité Le numéro de priorité affecté à la candidature RP sur
cette interface. Uniquement disponible lorsque la
candidature RP est activée.
Priorité DR Le numéro de priorité affecté à la candidature DR
(Designated Router) sur l’interface. Uniquement
disponible lorsque le mode clairsemé est activé.
Icônes Supprimer et Editer Permet de supprimer ou d’éditer les paramètres PIM de
l’interface.
Ignorer les paramètres multicast d’une interface

Les options des interfaces multicast (PIM) permettent de définir des paramètres de
fonctionnement pour les interfaces FortiGate connectées à des domaines PIM. Par
exemple vous pouvez activer le mode dense sur une interface connectée à un
segment réseau PIM. Lorsque le mode clairsemé est activé, vous pouvez ajuster le
numéro de priorité utilisé pour diffuser les candidatures RP (Rendezvous Point)
et/ou DR (Designated Router) sur l’interface.
Illustration 103 : Paramètres multicast de l’interface
Interface Sélectionnez le nom de l’interface FortiGate du VDOM root à

laquelle ces paramètres s’appliquent. L’interface doit être
connectée à un segment réseau PIM version 2.
Mode PIM Sélectionnez le mode de fonctionnement : Mode clairsemé ou
Mode dense. Tous les routeurs PIM connectés au même
segment réseau doivent fonctionner dans le même mode. Si
vous sélectionnez le mode clairsemé, ajuster les options tel
que décrit ci-dessous.
Priorité DR Entrez le numéro de priorité pour la diffusion de candidatures
DR sur l’interface FortiGate. L’intervalle va de 1 à 4 294 967
295.
Cette valeur est comparée aux interfaces DR de tous les
autres routeurs PIM du même segment réseau. Le routeur
ayant la priorité DR la plus haute est sélectionnée pour être le
DR.

01-30001-0203-20060424
Candidat RP Sélectionnez pour activer ou désactiver la candidature RP sur
l’interface.
Priorité du candidat RP Entrez le numéro de priorité de la diffusion de la candidature
RP sur l’interface FortiGate. L’intervalle va de 1 à 255.

01-30001-0203-20060424
Table de Routage
Cette section vous aide à interpréter la table de routage.
Les sujets suivants y sont parcourus :
• Affichage des informations sur le routage

• Recherche dans la table de routage FortiGate
Affichage des informations sur le routage

Par défaut, toutes les routes sont affichées dans la table de routage. La route
statique par défaut est définie à 0.0.0.0/0, ce qui correspond à l’adresse IP de
destination de « chaque/tout » paquet.
Pour afficher les routes de la table de routage, sélectionnez Routeur > Table de
routage.
L’illustration 104 représente une table de routage appartenant à un équipement

FortiGate qui possèdent des interfaces appelées « port1 », « port4 » et « lan ». Les
noms des interfaces varient en fonction des modèles FortiGate.
Illustration 104 : Table de routage
Type Sélectionnez un des types suivants pour lancer une recherche

dans la table de routage et afficher toutes les routes du type
sélectionné :
• Tout : affiche toutes les routes enregistrées dans la table
de routage.
• Connecté : affiche toutes les routes associées à des
connexions directes aux interfaces FortiGate.
• Statique : affiche les routes statiques ajoutées
manuellement à la table de routage.
• RIP : affiche toutes les routes diffusées par RIP.
• OSPF : affiche toutes les routes diffusées par OSPF.
• BGP : affiche toutes les routes diffusées par BGP.
• HA : affiche toutes les routes RIP, OSPF et BGP
synchronisées entre le membre primaire et les membres

01-30001-0203-20060424
subordonnés d’un cluster haute disponibilité (HA). Les
routes HA étant maintenues au niveau des membres
subordonnés, elles ne sont visibles qu’à partir d’une table
de routage d’un domaine virtuel configuré comme
domaine virtuel subordonné dans un cluster virtuel. Pour
plus de détails à propos de la synchronisation de routage,
voir le FortiGate High Availability User Guide – Guide
Utilisateur Haute Disponibilité FortiGate.
Réseau Entrez l’adresse IP et le masque de réseau (par exemple,
172.16.14.0/24) pour rechercher une table de routage et
afficher les routes correspondantes au réseau spécifié.
Passerelle Entrez l’adresse IP et le masque de réseau (par exemple,
192.168.12.1/32) pour rechercher une table de routage et
afficher les routes correspondantes à la passerelle spécifiée.
Appliquer le filtre Permet de rechercher les entrées d’une table de routage sur
base d’un critère de recherche spécifié et d’afficher toutes les
routes correspondantes.
Type La valeur type affectée aux routes FortiGate (Statique,
Connecté, RIP, OSPF ou BGP).
Sous-type Si d’application, reprend la classification du sous-type affecté
aux routes OSPF.
• Pas de mention implique une route intra-aire. La
destination est dans une aire à laquelle le boîtier FortiGate
est connecté.
• OSPF inter area : la destination est dans l’AS OSPF,
mais le boîtier FortiGate n’est pas connecté à cette aire.
• External 1 : la destination est en dehors de l’AS OSPF.
La métrique d’une route redistribuée est calculée en
additionnant le coût externe et le coût OSPF.
• External 2 : la destination est en dehors de l’AS OSPF.
Dans ce cas, la métrique de la route redistribuée est
équivalente au coût externe uniquement, exprimé en coût
OSPF.
• OSPF NSSA 1 : équivalent à la mention External 1, si
ce n’est que la route a été reçue par une aire NSSA (not-
so-stubby area).
• OSPF NSSA 2 : équivalent à la mention External 2, si
ce n’est que la route a été reçue par une aire NSSA (not-
so-stubby area).
Réseau Les adresses IP et masques de réseau de réseaux de
destination atteignables par le boîtier FortiGate.
Distance La distance administrative associée à la route. La valeur 0
signifie que la route est préférable à toutes les autres routes
pour la même destination. Pour modifier la distance
administrative affectée aux routes statiques, voir « Ajout d’une
route statique à la table de routage » à la page 200.Référez-
vous au FortiGate CLI Reference pour les routes dynamiques.
Métrique La métrique associée au type de la route. La métrique d’une
route influence la façon dont le boîtier FortiGate l’ajoute
dynamiquement dans la table de routage :
• Le comptage de sauts est utilisé pour les routes diffusées
par RIP.
• Le coût relatif est utilisé pour les routes diffusées par
OSPF.

01-30001-0203-20060424
• Le discriminant multi-sorties (MED) est utilisé pour les
routes diffusées par BGP. Cependant, plusieurs
propriétés, en plus du MED, déterminent le meilleur
chemin vers un réseau de destination.
Passerelle Les adresses IP des passerelles vers les réseaux de
destination.
Interface L’interface à travers laquelle les paquets sont transférés vers
la passerelle du réseau de destination.
Valide depuis Le temps total accumulé pour qu’une route diffusée par RIP,
OSPF ou BGP soit atteignable.
Recherche dans la table de routage FortiGate

Des filtres peuvent être utilisés pour faire des recherches dans la table de routage
et afficher certaines routes uniquement.
Par exemple, vous pouvez afficher des routes statiques, des routes connectées,
des routes diffusées par RIP, OSPF ou BGP, et/ou des routes associées au réseau
ou à la passerelle que vous spécifiez.
Si vous désirez lancer une recherche dans la table de routage en fonction des
types et limiter un peu plus l’affichage en fonction de réseau ou passerelle, toutes
les valeurs des critères de recherche doivent correspondre aux valeurs de la
même entrée de la table de routage pour que cette entrée soit affichée (la
condition implicite « ET » est appliquée à tous les paramètres de recherches
spécifiés).
Par exemple, si l’équipement FortiGate est connecté au réseau 172.16.14.0/24 et

vous désirez afficher toutes les routes directement connectées au réseau
172.16.14.0/24, vous devez sélectionner Connecté dans la liste Type, taper
172.16.14.0/24 dans le champ Réseau et ensuite cliquer sur Appliquer le Filtre
pour afficher la ou les entrée(s) associée(s) de la table de routage.
Chaque entrée qui contient le mot Connecté dans le champ Type et la valeur
spécifiée dans le champ Passerelle seront affichées.
Lancer une recherche dans la table de routage FortiGate
1 Sélectionnez Routeur > Table de routage > Table de routage.

2 Sélectionnez dans la liste Type, le type à afficher. Par exemple, sélectionnez
Connecté pour afficher toutes les routes connectées ou sélectionnez RIP pour
afficher toutes les routes diffusées par RIP.
3 Si vous désirez afficher les routes pour un réseau spécifique, tapez l’adresse IP et
le masque de réseau du réseau dans le champ Réseau.
4 Si vous désirez afficher les routes pour une passerelle spécifique, tapez l’adresse
IP de la passerelle dans le champ Passerelle.
5 Cliquez sur Appliquer le Filtre.
Remarque : Toutes les valeurs des critères de recherche doivent correspondre aux valeurs
de la même entrée de la table de routage pour que cette entrée soit affichée.

01-30001-0203-20060424
Règle Pare-feu
Les règles pare-feu contrôlent tout le trafic passant par le boîtier FortiGate. L’ajout
de règles pare-feu permet de contrôler les connexions et le trafic entre les
interfaces FortiGate, les zones et les sous-interfaces VLAN.

• A propos des règles pare-feu
• Visualisation de la liste des règles pare-feu
• Configuration des règles pare-feu
A propos des règles pare-feu

Les règles pare-feu sont des instructions utilisées par le boîtier FortiGate pour
décider de la réponse à donner à une requête de connexion. Lorsque le boîtier
FortiGate reçoit une requête de connexion sous la forme d’un paquet, il analyse ce
paquet pour en extraire l’adresse source, l’adresse de destination et le service (via
le numéro du port).
L’adresse source, l’adresse de destination et le service d’un paquet qui veut se

connecter à travers un FortiGate doivent correspondre à une règle pare-feu. La
règle régit l’action du pare-feu sur le paquet. Les actions possibles sont
l’autorisation de la connexion, le blocage de la connexion, la requête d’une
authentification avant que la connexion soit autorisée ou le traitement du paquet
comme un paquet IPSec VPN.
Chaque règle peut être configurée pour diriger les connexions ou appliquer le
service de translation d’adresse réseau (NAT – network address translation) pour
translater les adresses IP et ports source et de destination. Vous pouvez ajouter
des pools IP pour une utilisation NAT dynamique lorsque le pare-feu translate les
adresses sources. Vous pouvez utiliser des règles pour configurer la translation
d’adresse port (PAT – port address translation) à travers le boîtier FortiGate.
L’ajout de profils de protection à des règles de pare-feu permet d’appliquer des

paramètres de protection différents pour le trafic contrôlé par des règles pare-feu.
Vous pouvez utiliser des profils de protection pour :
• appliquer un contrôle antivirus aux règles HTTP, FTP, IMAP, POP3, IM et

SMTP
• activer du filtrage Web statique sur les règles HTTP
• appliquer du filtrage web dynamique, par catégorie, sur ces mêmes règles
HTTP
• activer les services antispam sur les règles IMAP, POP3 et SMTP
• activer les services de prévention d'intrusion sur tous les flux
• activer la journalisation de contenu pour les flux HTTP, FTP, IMAP, POP3, IM
et SMTP
• configurer le filtrage IM et le contrôle d’accès pour AIM, ICQ, MSN et la
messagerie instantanée Yahoo

01-30001-0203-20060424
• configurer l’accès P2P et le contrôle de la largeur de bande pour les clients
peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa et Skype
• décider des actions des profils de protection à journaliser
L’activation de la journalisation du trafic pour une règle pare-feu entraîne la

journalisation par le boîtier FortiGate de toutes les connexions utilisant cette règle.
Le pare-feu lance une recherche sur des règles en partant du haut de la liste et
descendant jusqu’à ce qu’il trouve la première correspondance. Il est donc
essentiel de hiérarchiser les règles dans la liste de la plus spécifique à la plus
générale. Par exemple, la règle par défaut est une règle très générale car elle
correspond à toutes les tentatives de connexion. Les exceptions à cette règle sont
ajoutées à la liste de règles au-dessus de la règle par défaut. Une règle qui devrait
être placée en dessous de la règle par défaut ne représentera jamais une
correspondance.
Les options de la règle sont configurables lors de la création ou de l’édition d’une

règle pare-feu.
Un ensemble différent d’options est présenté en fonction du type d’action
sélectionné.
Comment fonctionne la correspondance de règles ?

Lorsque le boîtier FortiGate reçoit une tentative de connexion sur une interface, il
sélectionne une liste de règles dans laquelle il va chercher une règle qui
corresponde à la tentative de connexion. Le boîtier FortiGate choisit la liste de
règles en fonction des adresses source et de destination de la tentative de
connexion.
Le boîtier FortiGate commence alors sa recherche par le haut de la liste et

descend jusqu’à la première règle qui corresponde aux adresses source et de
destination, au port service et au jour et heure de la tentative de connexion reçue.
La première règle correspondante s’applique à la tentative de connexion. Si
aucune règle ne correspond, la connexion est abandonnée. En règle générale,
toujours organiser les règles pare-feu de la plus spécifique à la plus générale.
Les règles générales sont des règles qui peuvent accepter des connexions avec
de multiples adresses sources et de destination, ainsi qu’avec des intervalles
d’adresses. Elles peuvent également accepter des connexions de multiples ports
service ou avoir des horaires très ouverts. Si vous désirez ajouter des règles qui
sont des exceptions aux règles générales, ces exceptions doivent être ajoutées au-
dessus des règles générales. dans la liste de règles
Par exemple, vous pouvez avoir une règle générale permettant à tous les
utilisateurs de votre réseau interne d’accéder à tous les services Internet. Si vous
désirez bloquer l’accès aux serveurs FTP sur Internet, vous devriez ajouter au-
dessus de la règle générale une règle qui bloque les connexions FTP. La règle de
déni bloque les connexions FTP mais les tentatives de connexion de tous les
autres types de services ne correspondent pas à la règle FTP mais correspondent
à la règle générale. De ce fait, la pare-feu accepte toutes les connexions du réseau
interne vers Internet, à l’exception des connexions FTP.

01-30001-0203-20060424
Concernant les correspondances de règles, il faut également savoir que :
• Les règles qui nécessitent une authentification doivent être ajoutées à la liste
de règles au-dessus des règles correspondantes qui n’en nécessitent pas.
Sinon, la règle qui ne nécessite pas d’authentification est sélectionnée en
premier.
• Les règles sur le mode tunnel VPN IPSec doivent être ajoutées à la liste de
règles au-dessus des règles d’accès ou de blocage correspondantes.
• Les règles sur le VPN SSL doivent être ajoutées à la liste de règles au-dessus
des règles d’accès ou de blocage correspondantes.
Visualisation de la liste des règles pare-feu

Dans le cas où des domaines virtuels sont activés sur le boîtier FortiGate, les
règles pare-feu sont configurées séparément pour chaque domaine virtuel. Pour
accéder aux règles, sélectionnez un domaine virtuel à partir du menu principal.
Ajouter, supprimer, éditer, réorganiser, activer ou désactiver des règles dans la

liste des règles.
Pour visualiser la liste des règles, sélectionnez Pare-feu > Règle.
Illustration 105 : Echantillon d’une liste de règles
La liste des règles possèdent les icônes et fonctionnalités suivants :

Créer Nouveau Permet d’ajouter une règle pare-feu. Voir « Ajout d’une
règle pare-feu » à la page .
Icône Commentaire Cette icône n’apparaît que dans le cas où la règle
possède un commentaire. Le commentaire apparaît
lorsque le curseur de la souris vient se placer sur l’icône.
ID L’identificateur de la règle. Les règles sont numérotées
selon l’ordre dans lequel elles sont ajoutées à la liste.
Source L’adresse source ou le groupe d’adresses auquel la règle
s’applique. Voir « Adresse Pare-feu » à la page 245. Les
informations sur les adresses peuvent également être
éditées à partir de la liste. En cliquant sur l’adresse, la
boîte de dialogue d’édition d’une adresse s’ouvre.
Destination L’adresse de destination ou le groupe d’adresses auquel
la règle s’applique. Voir « Adresse Pare-feu » à la page
245 . Les informations sur les adresses peuvent
également être éditées à partir de la liste. En cliquant sur
l’adresse, la boîte de dialogue d’édition d’une adresse
s’ouvre.

01-30001-0203-20060424
Schedule Détermine la période d’activité de la règle.
Service Détermine le service auquel s’applique la règle.
Action Définit l’action à apporter lorsque la règle correspond à
une tentative de connexion.
Statut Permet d’activer ou de désactiver la règle. Activer la règle
la rend disponible pour le pare-feu pour les connexions
entrantes.
Source -> destination (n) Les titres de la liste des règles indiquant le trafic auquel
s’applique la règle. Le titre de la liste est en format Source
-> Destination (n) où n est le nombre de règles dans la
liste.
Icône Supprimer Sélectionnez pour supprimer la règle de la liste.
Icône Editer Sélectionnez pour éditer la règle.
Icône Insérer la règle avant Sélectionnez pour ajouter une nouvelle règle au-dessus
de la règle correspondante (la fenêtre de la nouvelle règle
apparaît).
Icône Déplacer Sélectionnez pour déplacer la règle correspondante avant
ou après une autre règle dans la liste. Voir « Déplacement
d’une règle vers une position différente dans la liste » à la
page 231.
Ajout d’une règle pare-feu

La procédure suivante décrit comment ajouter une règle pare-feu dans la liste des
règles pare-feu.
1 Sélectionnez Pare-feu > Règle.
2 Cliquez sur Créer Nouveau ou sélectionnez l’icône « Insérer la règle avant » à côté
d’une règle pour que la nouvelle règle s’ajoute au-dessus de celle-ci.
3 Sélectionnez les interfaces source et de destination.
4 Sélectionnez les adresses source et de destination.
5 Configurez la règle. Pour toute information sur la configuration de règles, voir
« Configuration des règles pare-feu » à la page 232.
6 Cliquez sur OK.
7 Hiérarchisez les règles dans la liste de manière à obtenir les résultats attendus.
Pour plus d’informations sur l’arrangement des règles dans une liste, voir
« Comment fonctionne la correspondance de règles ? » à la page 229 et
« Déplacement d’une règle vers une position différente dans la liste » à la page
231.
Déplacement d’une règle dans la liste

Vous pouvez déplacer une règle dans la liste pour influencer les évaluations des
règles. Dans le cas où plus d’une règle ont été définies pour une même paire
d’interfaces, la règle qui se trouve en premier dans la liste est évaluée en premier.
La disposition des règles de cryptage pare-feu est importante pour assurer qu’elles
prennent effet comme prévu – les règles de cryptage pare-feu doivent être
évaluées avant des règles pare-feu régulières.
Déplacer une règle dans la liste ne modifie pas son numéro ID.

01-30001-0203-20060424
Illustration 106 : Déplacer une règle

2 Cliquez sur l’icône Déplacer de la règle que vous voulez déplacer.
3 Entrez une position pour la règle.
4 Cliquez sur OK.
Configuration des règles pare-feu

L’utilisation de règles pare-feu permet de définir la façon dont une règle pare-feu
est sélectionnée pour être appliquée à une session de communication et de définir
comment le boîtier FortiGate traite les paquets pour cette session.
Pour ajouter ou éditer une règle pare-feu, sélectionnez Pare-feu > Règle.
Vous pouvez ajouter des règles ACCEPT pour accepter des sessions de
communication. Une telle règle permet d’appliquer des fonctionnalités FortiGate
telles qu’une analyse des virus et une authentification de la session de
communication acceptée par cette règle. Une règle ACCEPT peut également
permettre le trafic VPN IPSec en mode interface si la source ou la destination est
une interface virtuelle IPSec. Pour plus d’informations, voir « Aperçu sur le mode
interface IPSec » à la page 294.
Vous pouvez ajouter des règles DENY pour interdire des sessions de
communication.
Vous pouvez également ajouter des règles de cryptage IPSec pour permettre le
trafic VPN en mode tunnel IPSec et des règles de cryptage VPN SSL pour
permettre le trafic VPN SSL. Des règles de cryptage pare-feu déterminent quels
types de trafic IP seront permis pendant une session IPSec ou VPN SSL. Si permis
par une règles de cryptage pare-feu, un tunnel peut être initié automatiquement à
chaque fois qu’un paquet IP du type sélectionné arrive à l’interface FortiGate vers
le réseau privé local. Pour plus d’informations, voir « Options des règles pare-feu
IPSec » à la page 242 et « Options des règles pare-feu VPN SSL » à la page 243.

01-30001-0203-20060424
Illustration 107 : Options des règles – règle ACCEPT en mode NAT/Route
Illustration 108 : Options des règles – règle ACCEPT en mode Transparent

01-30001-0203-20060424
Illustration 109 : Options des règles – règle DENY
Les champs Interface/Zone Source et Destination correspondent à la règle pare-

feu avec la source et destination d’une session de communication.
Les champs Adresse correspondent aux adresses sources et de destination de la

session de communication.
Le champ Horaire permet de définir la plage horaire d’activité de la règle pare-feu.
Le champ Service correspond à la règle pare-feu avec le service utilisé par une
session de communication.
Le champ Action définit le traitement du trafic par le boîtier FortiGate. Spécifiez une
action pour accepter ou bloquer le trafic ou configurez une règle de cryptage pare-
feu.
Les options des règles pare-feu peuvent être sélectionnées pour définir des
fonctionnalités additionnelles : NAT, Profil de Protection, Log Allowed Traffic, Log
Violation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut être
appliqué aux règles qui bloquent le trafic. Des services supplémentaires différents
sont configurables à partir de l’interface de ligne de commande (voir le chapitre
« firewall » du FortiGate CLI Reference).
Options des règles pare-feu

Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau pour ajouter une
règle pare-feu. Les options suivantes des règles pare-feu sont configurables :
Source Spécifiez les caractéristiques de la source des paquets IP

qui seront sujets à la règle.
Interface/Zone Sélectionnez le nom de l’interface ou de la zone FortiGate
sur laquelle les paquets IP sont reçus. Les interfaces et
zones sont configurées sur la page Système > Réseau.
Voir « Interface » à la page 61 et « Zone » à la page 75
pour plus d’informations sur les interfaces et les zones.
Si le champ ACTION est positionné sur IPSEC, l’interface
est associée à un réseau privé local. Si le champ ACTION
est positionné sur SSL-VPN, l’interface est associée à des
connexions à des clients VPN SSL distants.

01-30001-0203-20060424
Adresse Sélectionnez le nom d’une adresse IP précédemment
définie à associer à l’interface ou zone source ; ou
sélectionnez Créer Nouveau pour définir une nouvelle
adresse IP. L’en-tête du paquet doit contenir l’adresse IP
associée pour être confronté à la règle. Les adresses
peuvent être créées à l’avance. Voir « Configuration des
adresses » à la page 247.
Si le champ ACTION est positionné sur IPSEC, l’adresse
correspond à l’adresse privée de l’hôte, serveur ou réseau
derrière le boîtier FortiGate.
Si le champ ACTION est positionné sur SSL-VPN et que
la règle s’applique aux clients en mode web, sélectionnez
all (tout).
Si le champ ACTION est positionné sur SSL-VPN et que
la règle s’applique aux clients en mode tunnel,
sélectionnez le nom de l’adresse que vous réservez pour
ces clients.
Destination Spécifiez les caractéristiques de la destination des
paquets IP qui seront sujets à la règle.
Interface/Zone Sélectionnez le nom de l’interface ou de la zone FortiGate
vers laquelle les paquets IP sont envoyés. Les interfaces
et zones sont configurées sur la page Système > Réseau.
Voir « Interface » à la page 61 et « Zone » à la page 75
pour plus d’informations sur les interfaces et les zones.
Si le champ ACTION est positionné sur IPSEC, l’interface
est associée à l’entrée du tunnel VPN. Si le champ
ACTION est positionné sur SSL-VPN, l’interface est
associée à un réseau privé local.
Adresse Sélectionnez le nom d’une adresse IP précédemment
définie à associer à l’interface ou zone de destination ; ou
sélectionnez Créer Nouveau pour définir une nouvelle
adresse IP. L’en-tête du paquet doit contenir l’adresse IP
associée pour être confronté à la règle. Les adresses
peuvent être créées à l’avance. « Configuration des
adresses » à la page 247.
Si le champ ACTION est positionné sur IPSEC, l’adresse
correspond à l’adresse IP privée vers laquelle les paquets
peuvent être envoyés à la fin du tunnel VPN.
Si le champ ACTION est positionné sur SSL-VPN,
sélectionnez le nom de l’adresse IP qui correspond à
l’hôte, au serveur ou au réseau dont les clients à
distances ont besoin pour accéder derrière l’équipement
FortiGate.
Horaire Sélectionnez une plage horaire ponctuelle ou récurrente
qui contrôle la période de disponibilité de la règle. Les
horaires peuvent être crées à l’avance dans Pare-feu >
Plage horaire. Voir « Plage horaire des pare-feu » à la
page 257.
Vous pouvez créer une plage horaire, ponctuelle ou
récurrente, pendant la configuration de la règle en cliquant
sur Créer Nouveau. Ajoutez les informations requises pour
la configuration de la plage horaire et cliquez sur OK.
Cette nouvelle plage horaire est alors ajoutée à la liste des
plages horaires.
Service Sélectionnez le nom du service ou du groupe de services
qui correspond au service ou protocole des paquets
auquel s’applique cette règle. Vous pouvez sélectionner

01-30001-0203-20060424
les services à partir d’une longue liste de services
prédéfinis. Des services personnalisés peuvent être crées
à l’avance dans Pare-feu > Service > Personnalisé. Des
groupes de services peuvent également être crées à
l’avance dans Pare-feu > Service > Groupe. Voir
« Configuration de services personnalisés » à la page 253
et « Configuration de groupes de services » à la page 255.
Vous pouvez créer un service personnalisé ou un groupe
de services pendant la configuration de la règle en
cliquant sur Créer Nouveau. Ajoutez les informations
requises pour la configuration des services personnalisés
ou des groupes de services et cliquez sur OK. Ces
services sont alors ajoutés à la liste des Services.
Action Sélectionnez la réponse du pare-feu à appliquer lorsqu’un
paquet correspond aux conditions de la règle.
ACCEPT Accepte le trafic correspondant à la règle. Vous pouvez
alors configurer les options NAT, profils de protection, log
traffic, shape traffic, authentification ou ajouter un
commentaire à la règle.
DENY Rejette le trafic correspondant à la règle. La seule option
configurable est la journalisation (journaliser les
connexions refusées par la règle). Vous pouvez
également ajouter un commentaire.
IPSEC Configure une règle de cryptage pare-feu IPSEC, qui
entraîne le traitement des paquets VPN IPSec par le
boîtier FortiGate. Voir « Options des règles pare-feu
IPSec » à la page 242.
SSL-VPN Configure une règle de cryptage pare-feu VPN SSL, qui
entraîne l’acceptation du trafic VPN SSL par le boîtier
FortiGate. Cette option n’est disponible qu’après avoir
ajouté un groupe d’utilisateurs VPN SSL. Voir « Options
des règles pare-feu VPN SSL » à la page 243.
NAT Activer l’option NAT (Network Address Translation) pour la
règle. NAT translate l’adresse source et le port de paquets
acceptés par la règle. Lorsque NAT est activé, les
fonctions Pool d’Adresses et Port Fixe peuvent être
configurés. NAT n’est pas disponible en mode
Transparent.
Pool d’Adresses Sélectionnez pour translater l’adresse source en une
adresse sélectionnée arbitrairement dans un pool
d’adresses. Un pool d’adresses peut se composer d’une
seule adresse IP ou d’une plage d’adresses IP. Une liste
de pools d’adresses apparaît si ces pools ont été ajoutés
à l’interface de destination. Sélectionnez ANY IP Pool
pour que le boîtier FortiGate sélectionne n’importe quelle
adresse IP de n’importe quel pool d’adresses ajouté à
l’interface de destination.
Sélectionnez le nom d’un pool d’adresses ajouté à
l’interface de destination pour que le boîtier FortiGate
translate l’adresse source en une des adresses définies
dans ce pool.
Il n’est pas possible de sélectionner Pool d’Adresses si
l’interface de destination, la sous-interface VLAN ou l’une
des interfaces ou des sous-interfaces VLAN dans la zone
de destination est configurée avec DHCP ou PPPoE.
Vous ne pouvez pas utiliser des pools d’adresses lors de
l’utilisation de zones. Un pool d’adresses peut seulement
être associé à une interface.

01-30001-0203-20060424
Pour plus d’informations sur l’ajout de pools d’adresses,
voir « Plages IP » à la page 277.
Port fixe Sélectionnez un port fixe pour empêcher NAT de
translater le port source. Certaines applications ne
fonctionnent pas correctement si le port source est
modifié. Dans la plupart des cas, si Port fixe est
sélectionné, Pool d’Adresses est également sélectionné.
Si Pool d’Adresses n’est pas sélectionné, une règle qui a
l’option Port Fixe sélectionnée ne peut permettre qu’une
connexion à la fois.
Profil de protection Sélectionnez un profil de protection pour configurer la
façon dont les antivirus, filtrage web, filtrage par catégorie
web, filtrage antispam, IPS, archives et journaux sont
appliqués à la règle pare-feu. Les profils de protection
peuvent être crées à l’avance ou pendant la configuration
d’un profil. Les profils crées ici apparaissent dans la liste
des profils de protection. Pour plus d’informations sur
l’ajout et la configuration de profils de protection, voir
« Profil de protection pare-feu » à la page 279.
Pour une authentification dans les paramètres avancés,
l’option de profil de protection est désactivée car le groupe
d’utilisateurs choisi pour l’authentification est déjà lié à un
profil de protection. Pour plus d’informations à propos de
l’ajout d’une authentification aux règles pare-feu, voir
« Ajout d’une authentification aux règles pare-feu » à la
page 238.
Log Allowed Traffic Sélectionnez cette option pour les règles ACCEPT, IPSEC
ou VPN SSL pour enregistrer les messages dans les
journaux à chaque fois que la règle traite une connexion.
Activez la journalisation du trafic vers une destination
(syslog, WebTrends, un disque local si disponible,
mémoire ou FortiAnalyzer) et fixez le niveau de sévérité
de la journalisation à Notification ou plus bas. Pour plus
d’informations sur la journalisation, voir « Journaux et
Alertes » à la page 409.
Log Violation Traffic Sélectionnez cette option pour les règles DENY pour
enregistrer les messages dans les journaux à chaque fois
que la règle traite une connexion. Activez la journalisation
du trafic vers une destination (syslog, WebTrends, un
disque local si disponible, mémoire ou FortiAnalyzer) et
fixez le niveau de sévérité de la journalisation à
Notification ou plus bas. Pour plus d’informations sur la
journalisation, voir « Journaux et Alertes » à la page 409.
Authentification Ajoutez des utilisateurs et un profil de protection pare-feu
à un groupe d’utilisateurs avant de sélectionner
Authentification. Pour toute information à propos de l’ajout
et de la configuration de groupes utilisateurs, voir
« Groupe d’utilisateurs » à la page 330. L’authentification
est possible si l’action est positionnée sur ACCEPT. Pour
plus d’informations sur l’ajout d’une authentification aux
règles pare-feu, voir « Ajout d’une authentification aux
règles pare-feu » à la page 238.
Traffic Shaping Cette option permet de contrôler la bande passante
disponible et de définir les niveaux de priorité du trafic
traité par la règle.
Remarque :
• Veillez à activer cette option sur toutes les règles
pare-feu. Si vous n’appliquez aucune consigne de

01-30001-0203-20060424
priorité de trafic à une règle, cette dernière est définie
comme hautement prioritaire par défaut.
• Affectez à chaque règle pare-feu une des trois
priorités (high, medium ou low).
• Assurez-vous que la somme de toutes les bandes
passantes garanties de toutes les règles pare-feu est
considérablement moindre que la capacité de la
bande passante de l’interface.
Pour toute information sur la configuration des priorités du
trafic, voir « Ajout d’une priorité de trafic aux règles pare-
User Authentication Affiche la page d’information d’authentification (un
Disclaimer message de remplacement). L’utilisateur doit accepter ce
message pour se connecter à la destination. Ce message
peut être utilisé lors d’une authentification ou d’un profil de
protection. Cette option est disponible sur certains
modèles uniquement.
Redirect URL Si vous entrez un URL dans ce champ, l’utilisateur est
redirigé vers cette URL après authentification et/ou
acceptation de la page d’information d’authentification de
l’utilisateur. Cette option est disponible sur certains
modèles uniquement.
Commentaires Ajoutez une description ou d’autres informations sur cette
règle. Le commentaire peut être long de 63 caractères,
espaces compris.
Ajout d’une authentification aux règles pare-feu

Ajoutez des utilisateurs et un profil de protection pare-feu à un groupe d’utilisateurs
avant de sélectionner une Authentification. L’authentification est disponible si
l’Action est positionnée sur ACCEPT. Pour plus d’informations sur l’ajout et la
configuration de groupes utilisateurs, voir « Groupe d’utilisateurs » à la page 330.
Sélectionnez Authentification, ensuite un ou plusieurs groupes d’utilisateurs pour

obliger les utilisateurs à entrer un nom d’utilisateur et un mot de passe avant que le
pare-feu n’accepte la connexion.
Illustration 110 : Sélection de groupes utilisateurs pour authentification
Sélectionnez Authentification pour tous les services. Les utilisateurs peuvent

s’authentifier avec le pare-feu en utilisant HTTP, Telnet ou FTP. Pour que les
utilisateurs puissent s’authentifier, ajoutez une règle HTTP, Telnet ou FTP
configurée pour authentification. Lorsque les utilisateurs tentent de se connecter à
travers le pare-feu via cette règle, il leurs est demandé d’entrer un nom d’utilisateur
et un mot de passe pare-feu.

01-30001-0203-20060424
La méthode d’authentification pare-feu comprend des groupes d’utilisateurs définis
locaux, de même que des utilisateurs LDAP ou Radius. Sélectionnez Active
Directory dans le menu déroulant pour choisir des groupes Active Directory définis
dans Utilisateur > Groupe utilisateur. L’authentification avec des groupes Active
Directory et d’autres groupes ne peut pas être combinée dans une même règle.
Remarque : Pour permettre au boîtier FortiGate d’authentifier à partir d’un serveur Active
Directory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active
Directory Domain Controller. Le FSAE est disponible auprès du Support Technique Fortinet.
Pour que les utilisateurs puissent s’authentifier à partir d’autres services (par
exemple POP3 ou IMAP), créez un groupe de services qui comprend les services
pour lesquels une authentification est requise, de même que HTTP, Telnet et FTP.
Ainsi, les utilisateurs peuvent s’authentifier avec la règle via HTTP, Telnet ou FTP
avant d’utiliser un autre service.
Dans la plupart des cas, assurez-vous que les utilisateurs puissent utiliser DNS à
travers le pare-feu sans authentification. Si DNS n’est pas disponible, les
utilisateurs ne peuvent pas se connecter à un serveur web, FTP ou Telnet avec un
nom de domaine.
Remarque : Les règles qui nécessitent une authentification doivent être placées, dans la
liste, au-dessus des règles correspondantes qui n’en nécessitent pas. Sinon, la règle qui ne
nécessite pas d’authentification est choisie en premier.
Ajout d’une priorité de trafic aux règles pare-feu

Le Traffic Shaping contrôle la bande passante disponible pour la règle et définit le
niveau de priorité du trafic traité par cette règle. Le Traffic Shaping permet de
contrôler quelles règles ont la priorité la plus haute lorsqu’un grand montant de
données passent par un boîtier FortiGate. Par exemple, on pourrait attribuer à la
règle du serveur web de l’organisation une priorité plus haute que celle des règles
destinées aux ordinateurs des autres employés. Un employé qui nécessiterait
exceptionnellement un accès Internet haut débit pourrait bénéficier d’une règle
spéciale offrant une bande passante plus grande.
L’option de priorité de trafic est disponible pour les règles ACCEPT, IPSEC et VPN
SSL, ainsi que pour tous les services supportés, y compris H.323, TCP, UDP,
ICMP et ESP. Elle sera disponible pour SIP dans les versions futures.
Les bandes passantes garantie et maximum, combinée à l’option d’attente dans la

queue, assurent qu’un minimum et maximum de bande passante soit disponible
pour le trafic.
L’option de priorité de trafic ne permet pas d’augmenter la quantité totale de bande

passante disponible, mais elle peut améliorer la qualité pour le trafic utilisant la
bande passante de manière intensive ou sensible aux variations de performances.
Bande passante garantie et bande passante maximum

Lorsque vous entrez une valeur dans le champ de la bande passante garantie
d’une règle pare-feu, vous garantissez la disponibilité d’une quantité de bande
passante pour un trafic réseau sélectionné (en Koctets/sec). Par exemple, vous
pourriez donner une bande passante garantie plus grande à votre trafic e-
commerce.

01-30001-0203-20060424
Lorsque vous entrez une valeur dans le champ de la bande passante maximum
d’une règle pare-feu, vous limitez la disponibilité d’une quantité de bande passante
pour un trafic réseau sélectionné (en Koctets/sec). Par exemple, vous pourriez
limiter la bande passante du trafic IM, de manière à avoir plus de bande passante
pour le trafic e-commerce plus important.
La bande passante utilisée pour le trafic contrôlé par une règle sert au contrôle et
aux sessions de données du trafic dans les deux directions. Par exemple, si la
bande passante garantie est appliquée à une règle FTP interne et externe,
lorsqu’un utilisateur d’un réseau interne utilise FTP pour placer et recevoir des
fichiers, les sessions de réception et d’envoi partagent la bande passante
disponible au trafic contrôler par cette règle.
La bande passante garantie et maximum disponible pour une règle est la bande
passante totale disponible pour tout le trafic contrôlé par cette règle. Si différents
utilisateurs commencent plusieurs sessions de communication avec la même
règle, toutes ces sessions de communication doivent se partager la bande
passante disponible pour cette règle.
Cependant, la disponibilité de la bande passante n’est pas partagée entre les

instances multiples qui utilisent le même service si ces instances sont contrôlées
par des règles différentes. Par exemple, vous pouvez créer une règle FTP pour
limiter la quantité de bande passante disponible pour le service FTP pour une
adresse réseau et créer une autre règle FTP avec une disponibilité différente pour
une autre adresse réseau.
Priorité du trafic
Fixer une priorité permet de gérer les priorités relatives des différents types de
trafic. Les trafics importants devraient avoir un haut niveau de priorité. Les trafics
moins importants devraient se voir attribuer un niveau plus bas de priorité.
Le pare-feu antivirus FortiGate procure de la bande passante à des connexions

moins prioritaires seulement si la bande passante n’est pas utilisée pour des
connexions hautement prioritaires.
Par exemple, vous pouvez ajouter des règles qui garantissent de la bande
passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une
haute priorité à la règle qui contrôle le trafic « voix » et une priorité medium à la
règle qui contrôle le trafic e-commerce. Aux heures de pointe, lorsque les deux
trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic
voice sera transmis avant le trafic e-commerce puisqu’il a la plus haute priorité.
Remarques sur la priorité de trafic

L’option de priorité de trafic tente de normaliser les piques de trafic en donnant la
priorité à certains flux. Il y a cependant une limite physique à la quantité de
données mise en réserve (dans le buffer) et à son délai. Une fois les seuils
dépassés, les trames et paquets seront abandonnés affectant alors le bon
déroulement des sessions. Une priorité mal configurée pourrait dégrader un peu
plus les flux réseaux étant donné que la quantité de paquets non pris en compte
pourrait créer un surplus aux couches supérieures.
Un exemple de priorité de trafic de base serait de définir une priorité pour certains
flux de trafic au détriment d’autres trafics qui ne seront alors pas pris en compte.

01-30001-0203-20060424
Ce qui signifie que vous acceptez de sacrifier certaines performances du trafic X
dans le but d’augmenter ou de garantir la performance et la stabilité du trafic Y.
Si, par exemple, vous appliquez une limitation de la bande passante à certains
flux, vous devez accepter le fait que ces sessions peuvent être limitées.
La priorité de trafic appliquée à une règle pare-feu est renforcée pour le trafic qui
peut circuler dans chaque direction. Dès lors une session mise en place par un
hôte interne vers un hôte externe, via une règle Interne -> Externe, subira la
priorité de trafic appliquée même si le flot de données provient alors d’Externe ->
Interne. Ce sera par exemple le cas pour un fichier FTP « reçu » ou un serveur
SMTP se connectant à un serveur externe dans le but de récupérer des emails.
La priorité de trafic est efficace pour un trafic IP normal à des taux réguliers. Elle
n’est pas efficace durant des situations extrêmes de trafic dense alors que le trafic
dépasse la capacité du boîtier FortiGate. Les paquets doivent être reçus par le
boîtier FortiGate avant qu’ils soient sujets à la priorité de trafic. Si le boîtier
FortiGate n’arrive pas à traiter tout le trafic reçu, le risque de paquets abandonnés,
retardés ou latents augmente.
Pour assurer un fonctionnement optimal de la priorité de trafic, veillez à ce que les

statistiques de l’interface Ethernet soient dépourvues d’erreurs, de télescopage ou
de dépassement du buffer. Si ce n’est pas le cas, les paramètres du boîtier
FortiGate et du commutateur nécessiteront probablement quelques ajustements.
Pour un fonctionnement optimal de la priorité de trafic, veillez à respecter les

règles suivantes :
• Activer la priorité de trafic sur toutes les règles pare-feu. Si vous n’appliquez
une priorité de trafic qu’à une seule règle, cette dernière est définie par défaut
comme hautement prioritaire.
• Affectez à chaque règle pare-feu une des trois priorités (low, medium et high).
Assurez-vous également que la somme des bandes passantes garanties de toutes

les règles pare-feu est considérablement moindre que la capacité de la bande
passante de l’interface.
Configuration de la priorité de trafic FortiGate

La priorité de trafic s’active et ses paramètres se définissent lors de la
configuration de règles pare-feu.
Configurer la priorité de trafic

2 Lorsque vous créez une nouvelle règle ou éditer une règle existante, sélectionnez
l’option Traffic Shaping (Priorité de Trafic).
3 Configurez les trois options suivantes :
Bande Passante Garantie Permet de garantir une quantité disponible de bande passante
pour une règle à travers le pare-feu. Garantir de la bande
passante (en Koctets) assure une disponibilité suffisante de
bande passante pour les services hautement prioritaires.
Assurez-vous que la somme des bandes passantes garanties
de toutes les règles pare-feu est considérablement moindre
que la capacité de la bande passante de l’interface.

01-30001-0203-20060424
Bande Passante Maximum Permet de limiter la quantité disponible de bande passante
pour une règle à travers le pare-feu. Limiter la bande passante
permet d’empêcher l’utilisation de la bande pour des services
mineurs au bénéfice de services plus importants.
Niveau de Priorité Sélectionnez High, Medium ou Low. Cela permet de gérer les
priorités relatives des différents types de trafic. Par exemple,
une règle permettant de se connecter à un serveur web
sécurisé et supportant le trafic e-commerce devrait être
affectée d’une priorité de trafic haute (High). Les services
moins importants devraient être affectés d’une priorité de trafic
basse (low). Le pare-feu fournit de la bande passante aux
connexions moins prioritaires seulement lorsque celle-ci n’est
pas requise pour des connexions hautement prioritaires.
Assurez-vous d’activer la priorité de trafic sur toutes les règles
pare-feu. Si vous n’appliquez une priorité de trafic qu’à une
seule règle, cette dernière est définie par défaut comme
hautement prioritaire.
Affectez à chaque règle pare-feu une des trois priorités.
Remarque : Si vous affectez la valeur 0 (zéro) à la bande passante garantie et à la

bande passante maximum, la règle n’accepte aucun trafic.
Options des règles pare-feu IPSec

Lorsque l’action est positionnée sur IPSEC, les options suivantes sont disponibles :
Illustration 111 : Règle de cryptage IPSEC
VPN Tunnel Sélectionnez le nom du tunnel VPN défini dans la configuration

phase 1. Le tunnel spécifié sera sujet à cette règle de cryptage
pare-feu.
Allow Inbound Activez cette option pour permettre au trafic d’un client ou
d’ordinateurs « dialup » d’un réseau privé distant de démarrer
le tunnel.
Allow Outbound Activez cette option pour permettre au trafic à partir
d’ordinateurs du réseau privé local de démarrer le tunnel.
Inbound NAT Activez cette option pour translater les adresses IP source de
paquets entrants décryptés en adresse IP de l’interface
FortiGate au réseau privé local.
Outbound NAT Activez cette option en combinaison avec une valeur CLI
natip pour translater les adresses sources des paquets
sortants en clair en une adresse IP que vous spécifiez. Ne pas
sélectionnez cette option à moins que vous n’ayez spécifié une
valeur natip à partir du CLI. Dans ce cas, les adresses
source de paquets IP sortants sont remplacés avant que les
paquets ne soient envoyés à travers le tunnel. Pour plus
d’informations, voir le chapitre « Firewall » du FortiGate CLI
Reference.
Remarque : Les tunnels IPSec en mode route (mode interface) ne sont pas configurés de la
même manière que les tunnels IPSec en mode tunnel : au lieu de définir une règle de
cryptage pare-feu (en mode tunnel « IPSEC ») qui permet les connexions VPN et le contrôle
du trafic IP à travers le tunnel, celui-ci lie un tunnel VPN en mode route à une interface

01-30001-0203-20060424
virtuelle IPSec et spécifie ensuite cette interface comme interface source ou de destination
dans une règle pare-feu (ACCEPT ou DENY) régulière.
Pour plus d’informations, voir le chapitre « Définition d’une règle de cryptage pare-
feu » du Guide Utilisateur VPN IPSec FortiGate – FortiGate IPSec VPN User
Guide.
Options des règles pare-feu VPN SSL

Lorsque l’Action est positionnée sur SSL-VPN, les options suivantes sont
disponibles :
Remarque : L’option VPN SSL est disponible à partir de la liste Action après qu’un ou
plusieurs groupes d’utilisateurs aient été créés. Pour créer des comptes utilisateurs et des
groupes d’utilisateurs VPN SSL, voir « Configuration des options des groupes d’utilisateurs
VPN SSL » à la page 335.
Illustration 112 : Règle de cryptage VPN SSL
Certificat Client SSL Autorise le trafic généré par des titulaires d’un certificat de
Restrictive groupe (partagé). Ces titulaires doivent être des membres d’un
groupe d’utilisateurs VPN SSL, et le nom de ce groupe doit
être présent dans le champ « Allowed », « Autorisé ».
Algorithme de la clé Sélectionnez une des options suivantes pour déterminer le

de cryptage niveau de cryptage SSL à utiliser. Le navigateur web du client
distant doit pouvoir correspondre au niveau sélectionné :
• Pour utiliser une suite de chiffres, sélectionnez Any.
• Pour utiliser une suite de chiffres 164 bits ou plus,
sélectionnez High>=164.
• Pour utiliser une suite de chiffres 128 bits ou plus,
sélectionnez Medium>=128.
Authentification Utilisateur Sélectionnez l’une des options suivantes :
Méthode
• Si le groupe d’utilisateurs lié à cette règle de pare-feu est
un groupe d’utilisateurs local, sélectionnez Local.
• Si les clients à distance seront authentifiés par un serveur
RADIUS externe, sélectionnez Radius.
• Si les clients à distance seront authentifiés par un serveur
LDAP externe, sélectionnez LDAP.
• Sélectionnez Any pour activer toutes les méthodes
d’authentification ci-dessus. L’authentification Local est
tentée en premier, suivit de Radius et ensuite LDAP.
Groupes Disponibles Sélectionnez le nom du groupe d’utilisateurs nécessitant un

accès VPN SSL, et cliquez ensuite sur la flèche droite. Ne
sélectionnez pas plus d’un groupe d’utilisateurs à moins que

01-30001-0203-20060424
tous les membres des groupes d’utilisateurs sélectionnés aient
des exigences d’accès identiques.
Pour plus d’informations sur comment créer une règle de cryptage pare-feu pour
les utilisateurs VPN SSL, voir le chapitre « SSL VPN administration tasks » du
FortiGate SSL VPN User Guide.

01-30001-0203-20060424
Adresse Pare-Feu
A partir de cette page, vous pouvez ajouter, éditer ou supprimer des adresses
pare-feu. Les adresses pare-feu sont ajoutées aux règles pare-feu pour
correspondre aux adresses IP source ou de destination de paquets reçus par le
boîtier FortiGate.

• A propos des adresses pare-feu
• Visualisation de la liste des adresses pare-feu
• Configuration des adresses
• Visualisation de la liste des groupes d’adresses
• Configuration des groupes d’adresses
A propos des adresses pare-feu

Une adresse pare-feu peut être :
• L’adresse IP d’un ordinateur unique (par exemple, 192.45.46.45).
• L’adresse IP d’un sous-réseau (par exemple, 192.168.1.0 pour un sous-réseau
classe C).
• 0.0.0.0 pour représenter toutes les adresses IP possibles.
Le masque de réseau correspond au type d’adresses ajoutées. Par exemple :
• Le masque de réseau d’une adresse IP d’un ordinateur unique devrait être
255.255.255.255.
• Le masque de réseau d’un sous-réseau classe A devrait être 255.0.0.0.
• Le masque de réseau d’un sous-réseau classe B devrait être 255.255.0.0.
• Le masque de réseau d’un sous-réseau classe C devrait être 255.255.255.0.
• Le masque de réseau pour toutes les adresses devrait être 0.0.0.0.
Une plage d’adresses IP représente :
• Une plage d’adresses IP dans un sous-réseau (par exemple, 192.168.20.1 à
192.168.20.10).
Remarque : L’adresse IP 0.0.0.0 et le masque de réseau 255.255.255.255 ne correspond

pas à une adresse de pare-feu valide.
Pour simplifier la création de règles, il est conseillé d’organiser les adresses ayant
un lien entre elles en groupes d’adresses.
Une adresse pare-feu peut être configurée avec un nom, une adresse IP et un
masque de réseau ou un nom et une plage d’adresses. Il peut également s’agir
d’un FQDN (Fully Qualified Domain Name).
Entrez une adresse IP et un masque de réseau en utilisant les formats suivants :

01-30001-0203-20060424
• x.x.x.x/x.x.x.x., par exemple 192.168.1.0/255.255.255.0
• x.x.x.x/x, par exemple 192.168.1.0/24
Entrez une plage d’adresses IP en utilisant les formats suivants :
• x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120
• x.x.x.[x-x], par exemple 192.168.110.[100-120]
• x.x.x.*, par exemple 192.168.110.* pour représenter toutes les adresses sur le
sous-réseau
Une adresse IP/Masque peut représenter :
• L’adresse d’un sous-réseau (par exemple, un sous-réseau classe C, adresse
IP : 192.168.20.0 et un masque de réseau : 255.255.255.0)
• Une adresse IP unique (par exemple, une adresse IP : 192.168.20.1 et un
masque de réseau : 255.255.255.255)
• Toutes les adresses IP possibles (représentées par l’adresse IP : 0.0.0.0 et le
masque de réseau : 0.0.0.0)
Entrez un FQDN en utilisant le format suivant :
• <host_name>.<second_level_domain_name>.<top_level_domain_name>
• <host_name>.<top_level_domain_name>
Un FQDN peut être
• www.fortinet.com
• exemple.com
Visualisation de la liste des adresses pare-feu

Si des domaines virtuels sont activés sur le boîtier FortiGate, les adresses sont
configurées séparément pour chaque domaine virtuel. Pour accéder aux adresses,
sélectionnez un domaine virtuel de la liste dans le menu principal.
Vous pouvez ajouter des adresses à la liste et éditer des adresses existantes. Le
boîtier FortiGate est configuré avec l’adresse par défaut « All » qui représente
n’importe quelle adresse IP sur le réseau. Les adresses dans la liste sont triées par
type : IP/Masque, Plage IP et FQDN.
Pour visualiser la liste d’adresses, sélectionnez Pare-feu > Adresse.
Illustration 113 : Echantillon d’une liste d’adresses
Créer Nouveau Permet d’ajouter une adresse pare-feu.

Nom Le nom de l’adresse pare-feu.
Adresse / FQDN L’adresse IP et le masque, la plage d’adresses IP ou le FQDN.

01-30001-0203-20060424
Icône Supprimer Permet de supprimer une adresse de la liste. Cette icône
s’affiche uniquement si l’adresse n’est pas reprise dans une
règle pare-feu.
Icône Editer Permet d’éditer les informations suivantes : Nom, Type, Sous-
réseau/Plage IP.
Configuration des adresses

Les adresses peuvent également être créées ou éditées pendant la configuration
de règles pare-feu à partir de la fenêtre de la règle pare-feu.
Vous pouvez lier un FQDN à de multiples machines pour un équilibrage de charge

et de la haute disponibilité. Une règle pare-feu FQDN unique peut être créée pour
laquelle le boîtier FortiGate correspond automatiquement et maintient un
enregistrement de toutes les adresses auxquelles le FQDN correspond.
Attention : L’utilisation d’un FQDN dans une règle pare-feu peut, malgré sa
commodité, présenter des risques de sécurité. Soyez très prudents lors de
l’utilisation de cette fonction.
Sélectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage
d’adresses ou un FQDN.
Illustration 114 : Options de nouvelles adresses ou de plage IP.
Nom Entrez un nom pour identifier l’adresse pare-feu. Les adresses,

groupes d’adresses et IP virtuelles doivent avoir des noms
uniques afin d’éviter la confusion parmi les règles pare-feu.
Type Sélectionnez le type d’adresse : Subnet/IP Range ou FQDN.
Subnet/IP Range Entrez l’adresse IP du pare-feu / le masque du sous-réseau ou
entrez la plage IP séparée par un tiret.
Visualisation de la liste des groupes d’adresses

Si des domaines virtuels sont activés sur le boîtier FortiGate, les groupes
d’adresses sont configurés séparément pour chaque domaine virtuel. Pour accéder
aux groupes d’adresses, sélectionnez un domaine virtuel de la liste dans le menu
principal.
Pour simplifier la configuration de règles, il est conseillé d’organiser les adresses

apparentées en groupes d’adresses. Par exemple, après avoir ajouté trois
adresses et les avoir configuré en un groupe d’adresses, configurez une seule
règle qui reprend les trois adresses.
Pour visualiser la liste des groupes d’adresses, sélectionnez Pare-feu > Adresse
> Groupe.
Remarque : Si un groupe d’adresses est compris dans une règle, il ne peut pas être
supprimer à moins qu’il soit d’abord retirer de la règle.

01-30001-0203-20060424
Illustration 115 : Echantillon d’une liste de groupes d’adresses
Créer Nouveau Permet d’ajouter un groupe d’adresses.

Nom des groupes Le nom du groupe d’adresses.
Membres Les adresses faisant partie du groupe d’adresses.
Icône Supprimer Permet de supprimer le groupe de la liste. Cette icône s’affiche
uniquement si le groupe d’adresses n’est pas repris dans une
règle pare-feu.
Icône Editer Permet d’éditer les informations suivantes : Nom du groupe et
Membres
Configuration des groupes d’adresses

Des groupes d’adresses peuvent être créés pendant la configuration de pare-feu
en cliquant sur Créer Nouveau de la liste déroulante Adresse.
Pour organiser les adresses en groupes d’adresses, sélectionnez Pare-feu >

Adresse > Groupe.
Illustration 116 : Options des groupes d’adresses
Nom du groupe Entrez un nom pour identifier le groupe d’adresses. Les

adresses, groupes d’adresses et IP virtuelles doivent avoir des
noms uniques pour éviter la confusion parmi les règles pare-
feu.
Adresses disponibles La liste des adresses pare-feu configurées et par défaut.
Utilisez les flèches pour déplacer les adresses d’une liste à
l’autre.
Membres La liste des adresses dans le groupe. Utilisez les flèches pour
déplacer les adresses d’une liste à l’autre.

01-30001-0203-20060424
Service Pare-feu
La fonctionnalité Service permet de déterminer les types de communication qui
seront acceptés ou refusés par le pare-feu. Vous pouvez ajouter un ou plusieurs
service(s) prédéfini(s) au choix à une règle. Vous pouvez également créer des
services personnalisés pour chaque domaine virtuel et ajouter des services à des
groupes de services.

• Visualisation de la liste des services prédéfinis
• Visualisation de la liste des services personnalisés
• Configuration des services personnalisés
• Visualisation de la liste des groupes de services
• Configuration des groupes de services
Visualisation de la liste des services prédéfinis

Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les services
prédéfinis sont disponibles globalement.
Dans le menu principal, sélectionnez Configuration Globale et ensuite Pare-feu >

Service pour visualiser la liste des services prédéfinis.
Illustration 117 : Liste des services prédéfinis
Nom Le nom du service prédéfini.

Détail Le protocole de chaque service prédéfini.
Le tableau 33 répertorie les services pare-feu FortiGate prédéfinis. Vous pouvez

ajouter ces services à n’importe quelle règle.

01-30001-0203-20060424
Tableau 33 : Services FortiGate prédéfinis
Nom du service Description Protocole Port
AH Authentication Header. AH fournit une 51
authentification de l’hôte source et
l’intégrité des données, mais pas de
secret. Ce protocole est utilisé pour
l’authentification par les passerelles
IPSec distantes définies en mode
agressif.
ANY Convient aux connexions à n’importe all all
quel port. Une connexion utilisant
n’importe lequel des services
prédéfinis est autorisé à travers le
pare-feu.
AOL Protocole de messagerie instantanée TCP 5190-5194
AOL.
BGP Protocole de routage Border Gateway TCP 179
Protocol. BGP est un protocole de
routage intérieur/extérieur.
DHCP Dynamic Host Configuration Protocol UDP 67
alloue des adresses réseau et livre
des paramètres de configuration à
partir de serveurs DHCP vers les
hôtes.
DNS Domain Name Service pour la TCP 53
traduction de noms de domaines en
UDP 53
adresses IP.
ESP Encapsulating Security Payload. Ce 50
service est utilisé par les tunnels VPN
en clé manuelle et AutoIKE pour
communiquer des données cryptées.
Les tunnels VPN AutoIKE utilisent
ESP après avoir établi le tunnel en
utilisant IKE.
FINGER Un service réseau fournissant des TCP 79
informations sur les utilisateurs.
FTP Service FTP pour le transfert de TCP 21
fichiers.
FTP_GET Service FTP pour le téléchargement TCP 21
de fichiers « reçus ».
FTP_PUT Service FTP pour le téléchargement TCP 21
de fichiers « à envoyer ».
GOPHER Service de communications TCP 70
GOPHER. Il organise et affiche les
contenus d’un serveur Internet sous
forme de liste de fichiers structurés
hiérarchiquement.
GRE Generic Routing Encapsulation. Un 47
protocole permettant à un protocole
réseau arbitraire d’être transmis sur
tout autre protocole réseau arbitraire,
en encapsulant les paquets du
protocole dans des paquets GRE.
H323 Protocole multimédia H.323. Il s’agit TCP 1720, 1503
d’un standard approuvé par ITU
(International Telecommunication
Union) définissant comment les
données de conférences
audiovisuelles sont transmises à
travers les réseaux.
HTTP HTTP est le protocole utilisé par la TCP 80
toile web mondiale pour le transfert de
données pour les pages web.

01-30001-0203-20060424
HTTPS HTTPS est un service SSL (Secure TCP 443
socket layer) pour des
communications sécurisées des
serveurs web.
ICMP_ANY Internet Control Message Protocol est ICMP
une console de messages et un
protocole de rapport d’erreurs entre
un hôte et une passerelle (Internet).
IKE IKE est le protocole pour obtenir UDP 500
l’échange de clés authentifiées
utilisées avec ISAKMP pour IPSEC
IMAP Internet Message Access Protocol est TCP 143
un protocole utilisé pour la réception
de courriers électroniques.
INFO_ADDRESS Messages de requêtes d’informations ICMP 17
ICMP.
INFO_REQUEST Messages de requêtes de masque ICMP 15
d’adresses ICMP.
IRC Internet Relay Chat permet aux TCP 6660-6669
personnes connectées à Internet de
rejoindre des discussions en ligne.
Internet – Internet Locator Service comprend TCP 389
Locator - LDAP, User Locator Service, et LDAP
Service sur TLS/SSL.
L2TP L2TP est un protocole tunnel en mode TCP 1701
PPP pour l’accès à distance.
LDAP Lightweight Directory Access Protocol TCP 389
est un ensemble de protocoles utilisés
pour accéder aux informations des
services d’annuaires.
NFS Network File System autorise les TCP 111, 2049
utilisateurs du réseau d’accéder à des
fichiers partagés stockés sur des
ordinateurs de différents types.
NNTP Network News Transport Protocol est TCP 119
un protocole utilisé pour envoyer,
distribuer et recevoir des messages
USENET.
NTP Network Time Protocol pour la TCP 123
synchronisation de la date et l’heure
avec un serveur NTP.
NetMeeting NetMeeting autorise les utilisateurs de TCP 1720
participer à des téléconférences via
Internet comme moyen de
transmission.
OSPF Open Shortest Path First est un 89
protocole de routage commun d’état
de lien.
PC-Anywhere PC-Anywhere est un protocole de UDP 5632
contrôle à distance et de transfert de
fichiers.
PING ICMP echo request/reply pour tester ICMP 8
des connexions vers d’autres
machines.
POP3 Post Office Protocol est un protocole TCP 110
email pour le téléchargement de
courriers électroniques à partir d’un
serveur POP3.
PPTP Point-to-Point Tunneling Protocol est TCP 1723
un protocole permettant aux
organisations d’étendre leur propre
réseau organisationnel à travers des
tunnels privés sur l’Internet public.

01-30001-0203-20060424
QUAKE Pour les connexions utilisées par le UDP 26000,
jeu d’ordinateur multi-joueurs Quake. 27000,
27910,
27960
RAUDIO Pour fluer le trafic multimedia audio UDP 7070
réel.
RIP Routing Information Protocol est un UDP 520
protocole commun de routage à
vecteur de distance.
RLOGIN Service RLOGIN pour la connexion à TCP 513
distance à un serveur.
SAMBA Samba autorise les clients Microsoft TCP 139
Windows à utiliser les services de
fichier et d’impression à partir d’hôtes
TCP/IP.
SIP Session Initiation Protocol définit UDP 5060
comment les données de conférence
audiovisuelle sont transmises à
travers les réseaux.
SIP- Session Initiation Protocol est utilisé TCP 1863
MSNmessenger par Microsoft Messenger pour initier
une session mulimedia interactive.
SMTP Simple Mail Transfer Protocol est TCP 25
utilisé pour l’envoi de mail entre
serveurs emails sur Internet.
SNMP Simple Network Management Protocol TCP 161-162
est un ensemble de protocoles pour la
UDP 161-162
gestion de réseaux complexes.
SSH Secure Shell est un service pour TCP 22
connexions sécurisées d’ordinateurs
UDP 22
lors d’administrations distantes.
SYSLOG Service syslog pour connexion à UDP 514
distance.
TALK Un protocole supportant des UDP 517-518
conversations entre deux ou plusieurs
utilisateurs.
TCP Tous les ports TCP. TCP 0-65535
TELNET Service Telnet pour des connexions TCP 23
vers un ordinateur d’administration
pour en prendre les commandes.
TFTP Trivial File Transfert Protocol est un UDP 69
protocole de transfert simple de
fichiers similaire à FTP mais sans
fonctionnalités de sécurité.
TIMESTAMP Messages de requêtes ICMP ICMP 13
timestamp.
UDP Tous les ports UDP UDP 0-65535
UUCP Unix to Unix copy utility, un protocole UDP 540
simple de copiage de fichiers.
VDOLIVE Pour fluer le trafic multimedia VDO TCP 7000-7010
live.
WAIS Wide Area Information Server est un TCP 210
protocole de recherche Internet.
WINFRAME Pour des communications WinFrame TCP 1494
entre des ordinateurs munis de
Windows NT.
X-WINDOWS Pour des communications à distance TCP 6000-6063
entre un serveur X-Window et des
clients X-Window.

01-30001-0203-20060424
Visualisation de la liste des services personnalisés
Si les domaines virtuels sont activés sur le boîtier FortiGate, les services
personnalisés sont configurés séparément pour chaque domaine virtuel. Pour
accéder aux services personnalisés, sélectionnez un domaine virtuel de la liste
dans le menu principal.
Vous pouvez ajouter un service personnalisé pour créer une règle pour un service
qui ne se trouve pas dans la liste des services prédéfinis.
Pour visualiser la liste des services personnalisés, sélectionnez Pare-feu >

Service > Personnalisé.
Illustration 118 : Liste de services personnalisés
Créer Nouveau Sélectionnez un protocole et cliquez ensuite sur Créer

Nouveau pour ajouter un service personnalisé.
Nom du Service Le nom du service personnalisé.
Détail Les numéros des protocole et ports pour chaque service
personnalisé.
Icône Supprimer Permet de supprimer une entrée de la liste. Cette icône
s’affiche uniquement si le service n’est pas repris dans une
règle pare-feu.
Icône Editer Permet d’éditer les informations suivantes : Nom, Type de
Protocole, Type, Numéro de Protocole, Code, Port Source et
Port de Destination.
Configuration des services personnalisés

Des services personnalisés peuvent être créés lors de la configuration d’une règle
pare-feu en sélectionnant Créer Nouveau de la liste Service déroulante.
Ajouter un service personnalisé TCP ou UDP
1 Sélectionnez Pare-feu > Service > Personnalisé.

2 Positionnez le Type de Protocole sur TCP/UDP.
3 Configurez les paramètres suivants :
Illustration 119 : Nouveau service personnalisé – TCP/UDP

01-30001-0203-20060424
Nom Entrez un nom au service personnalisé.
Type de protocole Sélectionnez le type de protocole du service personnalisé :
TCP/UDP.
Protocole Sélectionnez TCP ou UDP comme protocole de la plage des
ports ajoutée.
Port source Spécifiez la plage des numéros de Port Source pour le service
en entrant les numéros de ports les plus bas et plus haut. Si le
service n’utilise qu’un numéro de port, entrez celui-ci dans les
champs Début et Fin. Les valeurs par défaut permettent
l’utilisation de n’importe quel port source.
Port destination Spécifiez la plage des numéros de Port de Destination pour le
service en entrant les numéros de ports les plus bas et plus
haut. Si le service n’utilise qu’un numéro de port, entrez celui-
ci dans les champs Début et Fin.
Bouton ADD Si le service personnalisé nécessite plus d’une plage de ports,
cliquez sur le bouton Add pour permettre plusieurs plages
source et de destination.
Icône Supprimer Permet de supprimer une entrée de la liste.
Ajouter un service personnalisé ICMP

2 Positionnez le Type de Protocole sur ICMP.
Illustration 120 : Nouveau service personnalisé - ICMP
Nom Entrez un nom au service personnalisé ICMP.

Type de protocole Sélectionnez le type de protocole du service : ICMP.
Type Entrez le numéro du type ICMP pour ce service.
Code Entrez le numéro du code ICMP pour ce service si requis.
Ajouter un service personnalisé IP

2 Positionnez le Type de Protocole sur IP.

01-30001-0203-20060424
Illustration 121 : Nouveau service personnalisé - IP
Nom Entrez un nom au service personnalisé IP.

Type de protocole Sélectionnez le type de protocole du service : IP.
Numéro de protocole Le numéro de protocole IP pour ce service.
Visualisation de la liste des groupes de services

Si les domaines virtuels sont activés sur le boîtier FortiGate, les groupes de
services sont créés séparément pour chaque domaine virtuel. Pour accéder aux
groupes de services, sélectionnez un domaine virtuel de la liste dans le menu
principal.
Pour faciliter l’ajout de règles, vous pouvez créer des groupes de services et
ensuite ajouter une règle qui autorise ou bloque l’accès à tous les services d’un
groupe. Un groupe de service peut comprendre des services prédéfinis et
personnalisés. Un groupe de services ne peut pas être ajouté à un autre groupe de
services.
Pour visualiser la liste des groupes de services, sélectionnez Pare-feu > Service >
Groupe.
Illustration 122 : Echantillon d’une liste de groupes de services
Créer Nouveau Permet d’ajouter un groupe de services.

Nom des groupes Le nom d’identification du groupe de services.
Membres Les services ajoutés à ce groupe de services.
Icône Supprimer Permet de supprimer l’entrée de la liste. Cette icône s’affiche
uniquement si le groupe de services n’est pas repris dans une
règle pare-feu.
Icône Editer Permet d’éditer les informations suivantes : Nom des groupes
et Membres.
Configuration des groupes de services

Des groupes de services peuvent être créés lors de la configuration d’une règle
pare-feu en cliquant sur Créer Nouveau dans la liste déroulante.
Pour organiser les services en un groupe de services, sélectionnez Pare-feu >

Service > Groupe.

01-30001-0203-20060424
Illustration 123 : Options des groupes de services
Nom du groupe Entrez un nom pour identifier le groupe de services.

Services disponibles La liste des services configurés et prédéfinis. Utilisez les
flèches pour déplacer les services d’une liste à l’autre.
Membres La liste des services dans le groupe. Utilisez les flèches pour
déplacer les services d’une liste à l’autre.

01-30001-0203-20060424
Plage horaire d’un Pare-feu
Cette section décrit l’utilisation de plages horaires pour contrôler les périodes
d’activité et d’inactivité des règles. Des plages horaires ponctuelles et récurrentes
peuvent être créées. Les plages horaires ponctuelles opèrent une seule fois
pendant la période de temps spécifié dans l’horaire. Les plages horaires
récurrentes se réitèrent chaque semaine. Elles opèrent uniquement lors de
périodes de temps spécifiés de la journée ou lors de jours spécifiés dans la
semaine.

• Visualisation de la liste des plages horaires ponctuelles
• Configuration des plages horaires ponctuelles
• Visualisation de la liste des plages horaires récurrentes
• Configuration des plages horaires récurrentes
Visualisation de la liste des plages horaires ponctuelles

Si des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires
ponctuelles sont configurées séparément pour chaque domaine virtuel. Pour
accéder aux plages horaires ponctuelles, sélectionnez un domaine virtuel de la
liste dans le menu principal.
Vous pouvez créer une plage horaire ponctuelle qui active ou désactive une règle
pour une période de temps spécifiée. Par exemple, un pare-feu peut être configuré
avec une règle par défaut qui permet l’accès à tous les services Internet à tout
moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet
accès à Internet pendant une période de congé.
Pour visualiser la liste des plages horaires ponctuelles, sélectionnez Pare-feu >
Plage horaire > Ponctuelle.
Illustration 124 : Listes des plages horaires ponctuelles
Créer Nouveau Permet d’ajouter une plage horaire ponctuelle.

Nom Le nom de la plage horaire ponctuelle.
Début La date et l’heure de début de la plage horaire ponctuelle.
Fin La date et l’heure de la fin de la plage horaire ponctuelle.
Icône Supprimer Permet de supprimer la plage horaire de la liste. Cette icône
apparaît seulement si la plage horaire n’est pas reprise dans
une règle pare-feu.
Icône Editer Permet d’éditer la plage horaire.

01-30001-0203-20060424
Configuration des plages horaires ponctuelles
Les plages horaires ponctuelles peuvent être créées lors de la configuration d’une
règle pare-feu en sélectionnant Créer Nouveau dans la liste Plage Horaire
(Schedule) déroulante.
Pour ajouter une plage horaire ponctuelle, sélectionnez Pare-feu > Plage horaire
> Ponctuelle.
Illustration 125 : Nouvelle plage horaire ponctuelle
Nom Entrez un nom pour identifier la plage horaire ponctuelle.

Début Entrez les date et heure de départ de la plage horaire
ponctuelle.
Fin Entrez les date et heure de fin de la plage horaire ponctuelle.
Pour une plage horaire active tout au long de la journée, affectez 00 aux dates et
heures de départ et de fin. Les plages horaires ponctuelles utilisent une horloge de
24 heures (et non pas 12).
Visualisation de la liste des plages horaires récurrentes

Si des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires
récurrentes sont configurées séparément pour chaque domaine virtuel. Pour
accéder aux plages horaires récurrentes, sélectionnez un domaine virtuel de la
liste dans le menu principal.
Vous pouvez créer une plage horaire récurrente qui active ou désactive une règle
à des moments de la journée ou lors de certains jours de la semaine spécifiés. Par
exemple, empêcher les jeux pendant les heures de travail en créant une plage
horaire récurrente.
Remarque : Une plage horaire récurrente avec une heure de fin qui a lieu avant l’heure de
début commence à l’heure de début et finit à l’heure de fin de la journée suivante. Cette
technique permet de créer des plages horaires qui passent du jour au lendemain. Pour créer
une plage horaire qui fonctionne 24 heures, affectez la même heure aux heures de début et
de fin.
Pour visualiser la liste des plages horaires récurrentes, sélectionnez Pare-feu >
Plage horaire > Récurrente.

01-30001-0203-20060424
Illustration 126 : Listes des plages horaires récurrentes
Créer Nouveau Permet d’ajouter une plage horaire récurrente.

Nom Le nom de la plage horaire récurrente.
Jour Les initiales des jours de la semaine pendant lesquelles la
plage horaire récurrente est active.
Début L’heure de début de la plage horaire récurrente.
Fin L’heure de fin de la plage horaire récurrente.
Icône Supprimer Permet de supprimer la plage horaire de la liste. Cette icône
apparaît seulement si la plage horaire n’est pas reprise dans
une règle pare-feu.
Icône Editer Permet d’éditer la plage horaire.
Configuration des plages horaires récurrentes

Les plages horaires récurrentes peuvent être créées lors de la configuration d’une
règle pare-feu en sélectionnant Créer Nouveau dans la liste Plage Horaire
(Schedule) déroulante.
Pour ajouter une plage horaire récurrente, sélectionnez Pare-feu > Plage horaire
> Récurrente.
Illustration 127 : Nouvelle plage horaire récurrente
Nom Entrez un nom pour identifier la plage horaire récurrente.

Select Cochez les jours de la semaine pendant lesquelles la plage
horaire récurrente doit être active.
Début Sélectionnez l’heure de départ de la plage horaire récurrente.
Fin Sélectionnez l’heure de fin de la plage horaire récurrente.
Les plages horaires récurrentes utilisent une horloge de 24 heures (et non pas 12).

01-30001-0203-20060424
IP virtuelles
Cette section explique comment configurer et utiliser dans les règles pare-feu les
IP virtuelles et les plages IP FortiGate.

• IP virtuelles
• Visualisation de la liste d’IP virtuelles
• Configuration des IP virtuelles
• Plages IP
• Visualisation des Plages IP
• Configuration des Plages IP
IP virtuelles
Les adresses IP virtuelles sont utilisées pour permettre des connexions à travers le
boîtier FortiGate en utilisant des règles pare-feu NAT (Network Address
Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au boîtier
FortiGate de répondre aux requêtes ARP sur le réseau pour un serveur installé sur
un autre réseau. Proxy ARP est défini par la RFC 1027.
Par exemple, vous pouvez ajouter une adresse IP virtuelle à une interface externe
FortiGate de manière à ce que cette interface puisse répondre aux requêtes de
connexion des utilisateurs en réalité connectés à un serveur du réseau DMZ ou du
réseau interne.
Comment les adresses IP virtuelles gèrent-elles leurs connexions à travers le

boîtier FortiGate ?
Un exemple d’utilisation d’une adresse IP virtuelle de translation est de permettre
un accès public facile à un serveur web d’un réseau privé protégé par un boîtier
FortiGate. De la manière la plus simplifiée, cette situation implique seulement trois
parties, tel qu’exemplifié dans l’illustration 128 : Le serveur web du réseau privé, la
machine cliente et le boîtier FortiGate connecté aux deux réseaux.
Un ordinateur client tentant de se connecter au serveur envoie des paquets de

données reçus par le boîtier FortiGate. Les adresses reprises dans les paquets
sont réécrites et transférées au serveur du réseau privé.
Illustration 128 : Exemple d’une adresse IP virtuelle de translation simple
Les paquets envoyés par l’ordinateur client ont une adresse IP source
192.168.37.55 et une adresse IP de destination 192.168.37.4. Le boîtier FortiGate
reçoit ces paquets sur son interface externe. Les paramètres de l’adresse IP

01-30001-0203-20060424
virtuelle indiquent une redirection de 192.168.37.4 à 10.10.10.42, les adresses des
paquets ayant été modifiées. L’adresse source est devenue 10.10.10.2 et celle de
destination 10.10.10.42. Le boîtier FortiGate enregistre cette translation dans sa
table de session du pare-feu. Les paquets sont ensuite envoyés et arrivent
finalement sur le serveur.
Illustration 129 : Exemple de translation d’adresse d’un paquet pendant une

translation client - serveur
Vous remarquerez que l’adresse de l’ordinateur client n’apparaît pas dans les
paquets reçus par le serveur. En effet, après que le boîtier FortiGate ait translaté
les adresses réseaux, il n’y a plus de référence faite au réseau de l’ordinateur
client. Le serveur n’a pas d’indication sur l’existence d’un autre réseau. Pour lui,
toutes les communications viennent directement du boîtier FortiGate.
Lorsque le serveur répond à l’ordinateur client, la procédure fonctionne de la même

manière mais dans la direction opposée. Le serveur envoie ses paquets réponses
ayant une adresse IP source 10.10.10.42 et une adresse IP de destination
10.10.10.2. Le boîtier FortiGate reçoit ces paquets sur son interface interne.
Cependant, cette fois-ci, l’entrée dans la table de session pare-feu va servir à
déterminer l’adresse de destination translatée.
Dans cet exemple, l’adresse source est réécrite et devient 192.168.37.4 et la

destination 192.168.37.55. Les paquets sont ensuite envoyés et arrivent finalement
sur l’ordinateur client.
L’adresse du serveur n’apparaît pas dans les paquets que le client reçoit. En effet,
après que le boîtier FortiGate ait translaté les adresses réseaux, il n’y a plus de
référence faite au réseau du serveur. Le client n’a pas d’indication sur l’existence
du réseau privé du serveur. Pour lui, le boîtier FortiGate est le serveur web.
Illustration 130 : Exemple de translation d’adresse d’un paquet pendant une

translation serveur - client
Remarque : Les adresses IP virtuelles ne sont pas disponibles ou requises en mode

Transparent.
Une adresse IP virtuelle peut être une seule adresse IP ou une plage d’adresses
IP limitée à une interface FortiGate. Lorsque vous faites correspondre une adresse
IP ou une plage d’adresses IP à une interface FortiGate fonctionnant avec une
adresse IP virtuelle, l’interface répond aux requêtes ARP pour l’adresse IP ou pour
la plage d’adresses IP correspondante.

01-30001-0203-20060424
Dans le cas où la case NAT n’a pas été sélectionnée lors de la configuration d’une
règle pare-feu, cette règle effectuera la DNAT (destination network address
translation). La DNAT accepte les paquets d’un réseau externe à l’attention d’une
adresse IP de destination spécifique, translate l’adresse de destination des
paquets en une adresse IP de correspondance d’un autre réseau caché et
transfère ensuite les paquets à travers le boîtier FortiGate vers ce réseau de
destination caché. A l’inverse des exemples précédents, l’adresse source n’est pas
translatée. Une fois sur le réseau de destination caché, les paquets peuvent arriver
à leur destination finale.
Les adresses IP virtuelles translatent également l’adresse IP source des paquets

de retour de l’adresse source du réseau caché pour qu’elle soit identique à
l’adresse de destination des paquets originaux.
Les plages d’adresses IP virtuelles peuvent être de presque n’importe quelle taille
et peuvent translater les adresses vers différents sous-réseaux. Les plages
d’adresses IP virtuelles ont les restrictions suivantes :
• L’adresse IP de correspondance ne peut pas inclure 0.0.0.0 ou

255.255.255.255.
• L’adresse IP externe ne peut pas être 0.0.0.0. si le type de cette adresse est
NAT statique et est translatée en une plage d’adresses IP. Seuls l’équilibrage
de charge des adresses IP virtuelles, et les adresses IP virtuelles translatées
vers une seule adresse IP, supportent une adresse IP externe 0.0.0.0.
• La translation de Port translate une plage de ports externes vers une plage de
ports internes. Le nombre de ces ports doit être le même. Pour cela, le port
externe doit être défini de manière à ce que sa plage ne dépasse pas 65535.
Par exemple, une plage interne de 20 ports translatées du port externe 65530
n’est pas valide puisque le dernier port de la plage serait 65550.
• Lors du relayage de port, la plage d’adresses IP externes ne peut pas inclure
d’adresses IP d’interfaces.
• La plage d’adresses IP de correspondance ne doit pas inclure d’adresses IP
d’interfaces.
• Le nom d’une adresse IP virtuelle ne peut pas être identique à celui d’une
adresse ou d’un groupe d’adresses.
• Les entrées dupliquées ou de plages qui se chevauchent ne sont pas
permises.
En plus de lier l’adresse IP ou la plage d’adresses IP à l’interface, l’adresse IP

virtuelle contient également toutes les informations requises pour translater
l’adresse IP ou la plage d’adresses IP de l’interface qui reçoit les paquets vers
l’interface connectée au même réseau que l’adresse IP ou la plage d’adresses IP
actuelle.
Vous pouvez créer cinq différents types d’adresses IP virtuelles, chacun pouvant
être utilisé pour une variation de DNAT.
Static NAT Les adresses IP virtuelles de translation translate une adresse

IP externe ou une plage d’adresses IP d’un réseau source vers
une adresse IP translatée ou une plage d’adresses IP d’un
réseau de destination.

01-30001-0203-20060424
Les adresses IP virtuelles de translation utilisent une
translation un-à-un. Une seule adresse IP externe est
translatée vers une seule adresse IP. Une plage d’adresses IP
externes est translatée vers une plage correspondante
d’adresses IP. Une adresse IP donnée dans la plage
d’adresses sources est toujours translatée vers la même
adresse IP dans la plage d’adresses de destination.
Static NAT Port Le relayage de port NAT statique translate une seule adresse
Forwarding IP ou une plage d’adresses et un seul numéro de port ou de
plage de ports sur un réseau vers une seule adresse IP ou une
plage d’adresses différente et un seul numéro de port ou de
plage de ports différente sur un autre réseau.
Le relayage de port NAT statique est également appelé
relayage de port. Les adresses IP virtuelles du relayage de
port NAT statique utilisent une translation un à un. Une plage
d’adresses IP externes est translatée vers une plage
correspondante d’adresses IP et une plage de ports externes
est translatée vers une plage correspondante de ports.
Les adresses IP virtuelles de relayage de port peuvent être
utilisées pour configurer le boîtier FortiGate pour le PAT (port
address translation).
Equilibrage de charge Egalement appelé relayage de port dynamique. Une adresse
IP virtuelle d’équilibrage de charge translate une seule adresse
IP sur un réseau vers une plage d’adresses IP sur un autre
réseau.
L’équilibrage de charge utilise une translation un-à-plusieurs et
un algorithme d’équilibrage de charge pour affecter une
adresse IP de destination de la plage d’adresses IP pour
assurer une distribution du trafic plus équilibrée.
Load Balancing Un équilibrage de charge avec une adresse IP virtuelle de
Port Forwarding relayage de port translate une seule adresse IP et un seul
numéro de port sur un réseau vers une plage d’adresses IP et
une plage de numéros de ports sur un autre réseau.
Un équilibrage de charge relayage de port utilise un algorithme
d’équilibrage de charge un-à-plusieurs pour affecter l’adresse
IP de destination d’une plage d’adresses IP pour assurer une
distribution plus équilibrée du trafic et également pour affecter
le port de destination de la plage de ports de destination.
Dynamic virtual IPs Si vous définissez l’adresse IP externe d’une adresse IP
virtuelle à 0.0.0.0 vous créez une adresse IP virtuelle
dynamique pour laquelle toute adresse IP externe est
translatée vers l’adresse IP ou la plage d’adresses IP
translatée.
Vous devez ajouter l’adresse IP virtuelle à une règle pare-feu NAT pour réellement
implémenter la translation configurée dans l’adresse IP virtuelle. Pour ajouter une
règle pare-feu qui translate des adresses sur un réseau externe vers un réseau
interne, vous ajoutez une règle pare-feu de l’externe vers l’interne et ajoutez
l’adresse IP virtuelle dans le champ de l’adresse de destination de la règle.
Par exemple, si l’ordinateur muni d’un serveur web est localisé sur le réseau
interne, il pourrait avoir une adresse IP privée telle que 10.10.10.42. Pour recevoir
des paquets d’Internet vers le serveur web, il doit y avoir une adresse externe du
serveur web sur Internet. Ajoutez une adresse IP virtuelle au pare-feu qui translate
l’adresse externe IP du serveur web sur Internet vers l’adresse actuelle du serveur
web du réseau interne. Pour autoriser des connexions d’Internet vers le serveur

01-30001-0203-20060424
web, ajoutez une règle pare-feu de l’externe vers l’interne et affectez l’adresse IP
virtuelle à l’Adresse de Destination.
Visualisation de la liste d’IP virtuelles

Pour visualiser la liste des adresses IP virtuelles, sélectionnez Pare-feu > IP
virtuelle > IP virtuelle.
Illustration 131 : Liste d’adresses IP virtuelles
Créer Nouveau Permet d’ajouter une adresse IP virtuelle.

Nom Le nom de l’adresse IP virtuelle.
IP L’adresse IP ou la plage d’adresses externe.
Port Le numéro du port externe ou la plage de ports. Le port de
service est compris dans le relayage de port d’adresses IP
virtuelles.
Adresse IP réelle La translation vers l’adresse IP ou la plage d’adresses sur le
réseau de destination.
Port réel La translation vers le numéro du port ou la plage de ports. Le
port réel est compris dans le relayage de port d’adresses IP
virtuelles.
Icône Supprimer Permet de supprimer l’adresse IP virtuelle de la liste. Cette
icône apparaît seulement si cette adresse n’est pas reprise
dans une règle pare-feu.
Icône Editer Permet de modifier toute option d’une adresse IP virtuelle
notamment son nom.
Configuration des adresses IP virtuelles

Pour ajouter une liste d’adresses IP virtuelles, sélectionnez Pare-feu > IP virtuelle
> IP virtuelle et cliquez sur Créer Nouveau. Pour éditer une adresse IP virtuelle,
cliquez sur l’icône Editer de l’adresse à éditer.
Une adresse IP virtuelle de translation pour une seule adresse IP est la

configuration la plus simple d’une adresse IP virtuelle. Une seule adresse IP sur un
réseau est translatée vers une autre adresse IP sur un second réseau. Le boîtier
FortiGate connecte les deux réseaux et autorise la communication entre eux.
Pour ajouter ou éditer une adresse IP virtuelle, sélectionnez Pare-feu > IP

virtuelle > IP virtuelle.
Nom Entrez ou modifiez le nom d’identification de l’adresse IP

virtuelle. Pour éviter toute confusion, les règles pare-feu, les
adresses, les groupes d’adresses et les adresses IP virtuelles
ne peuvent pas avoir des noms en commun.
Interface externe Sélectionnez l’interface externe de l’adresse IP virtuelle dans
la liste. L’interface externe est connectée au réseau source et
reçoit les paquets à transférer au réseau de destination. Vous
pouvez sélectionner n’importe quelle interface FortiGate, sous-
interface VLAN ou interface VPN.
Type Sélectionnez NAT statique ou Load Balance.

01-30001-0203-20060424
External IP Entrez l’adresse IP externe que vous voulez translater vers
Address/Range une adresse sur le réseau de destination. Pour configurer une
adresse IP virtuelle dynamique qui accepte les connexions
pour n’importe quelle adresse IP, affectez 0.0.0.0 à l’adresse
IP externe. Pour une adresse IP virtuelle dynamique de
translation vous ne pouvez ajouter qu’une adresse IP
translatée. Pour une adresse IP virtuelle dynamique
d’équilibrage de charge vous pouvez spécifier une seule
adresse ou une seule plage d’adresses translatée.
Mapped IP Entrez l’adresse IP réelle sur le réseau de destination de

Address/Range l’adresse IP externe translatée. Vous pouvez également entrer
une plage d’adresses pour transférer les paquets vers de
multiples adresses IP sur le réseau de destination.
Pour une adresse IP virtuelle de translation, si vous ajoutez
une plage d’adresses IP translatées, le boîtier FortiGate
calcule la plage d’adresses IP externe et ajoute cette plage
dans le champ External IP Adresse/Range.
Port forwarding Permet d’ajouter une adresse IP virtuelle de relayage de port.
Protocole Sélectionnez le protocole (TCP ou UDP) que les paquets
transférés utiliseront.
Port externe Entrez le numéro du port service externe pour lequel vous
désirez configurer le relayage de port.
Port réel Entrez le numéro du port sur le réseau de destination dont le
numéro du port externe est translaté.
Vous pouvez également entrer une plage de ports pour
transférer les paquets vers de multiples ports sur le réseau de
destination.
Pour une adresse IP virtuelle de translation, si vous ajoutez
une translation à une plage de ports, le boîtier FortiGate
calcule la plage de ports externes et ajoute cette plage dans le
champ Port Externe.
Ajout d’une adresse IP virtuelle de translation à une seule adresse IP

L’adresse IP 192.168.37.4 sur Internet est translatée à 10.10.10.42 sur un réseau
privé. Les tentatives pour communiquer avec 192.168.37.4 sur Internet sont
translatées et envoyées à 10.10.10.42 par le boîtier FortiGate. Les ordinateurs sur
Internet n’ont pas connaissance de cette translation et ne voient qu’un ordinateur
avec une adresse IP 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau
privé derrière.
Illustration 132 : Exemple d’adresse IP virtuelle de translation à une seule adresse IP

01-30001-0203-20060424
Ajouter une adresse IP virtuelle de translation à une seule adresse IP
1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.

3 Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette
aux utilisateurs d’Internet de se connecter à un serveur web sur le réseau DMZ.
Dans notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet
et l’interface dmz1 est connectée au réseau DMZ.
Nom simple_static_NAT
Interface externe wan1
Type NAT statique
External IP L’adresse IP Internet du serveur web.
Address/Range L’adresse IP externe doit être une adresse IP statique obtenue
par votre FAI pour votre serveur web. Cette adresse doit
également être une adresse IP unique qui n’est pas utilisée
par un autre hôte et ne peut pas être la même que l’adresse IP
de l’interface externe que l’IP virtuelle va utiliser. Cependant,
l’adresse IP externe doit être routée vers l’interface
sélectionnée. L’adresse IP virtuelle et l’adresse IP externe
peuvent être sur des sous-réseaux différents. Lorsque vous
ajoutez l’adresse IP virtuelle, l’interface externe répond aux
requêtes ARP pour l’adresse IP externe.
Map to IP/IP Range L’adresse IP du serveur sur le réseau interne. Puisqu’il n’y a
qu’une adresse IP, laissez le deuxième champ vide.
Illustration 133 : Options des adresses IP virtuelles : IP virtuelles de translation à une

seule adresse IP
4 Cliquez sur OK.
Ajouter une adresse IP virtuelle de translation à une seule adresse IP dans

une règle pare-feu
Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de
manière à ce que lorsque des utilisateurs sur Internet tentent de se connecter à
l’adresse IP du serveur web, les paquets passent à travers le boîtier FortiGate de
l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate l’adresse de
destination de ces paquets de l’IP externe vers l’adresse IP du réseau DMZ du
serveur web.
1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.

2 Configurez la règle pare-feu :
Source Interface/Zone wan1
Source Adresse All (ou une adresse spécifique précise)

01-30001-0203-20060424
Destination Interface/Zone dmz1
Destination Adresse simple_static_NAT
Horaire always
Service HTTP
Action ACCEPT
3 Cochez la case NAT.
4 Cliquez sur OK.
Ajout d’une adresse IP virtuelle de translation à une plage d’adresses IP

La plage d’adresses IP 192.168.37.4-192.168.37.6 sur Internet est translatée vers
10.10.10.42-10.10.123.44 sur un réseau privé. Les paquets des ordinateurs
Internet communiquant avec 192.168.37.4 sont translatées et envoyées à
10.10.10.42 par le boîtier FortiGate. Similairement, les paquets destinés à
192.168.37.5 sont translatés et envoyés à 10.10.10.43 et les paquets destinés à
192.168.37.6 sont translatés et envoyés à 10.10.10.44. Les ordinateurs sur
Internet n’ayant pas connaissance de la translation ne voient que trois ordinateurs
avec des adresses IP individuelles au lieu d’un boîtier FortiGate avec un réseau
privé derrière.
Illustration 134 : Exemple d’adresse IP virtuelle de translation à une plage d’adresses

IP
Ajouter une adresse IP virtuelle de translation à une plage d’adresses IP

aux utilisateurs d’Internet de se connecter à trois serveurs web individuels sur le
réseau DMZ. Dans notre exemple, l’interface wan1 du boîtier FortiGate est
connectée à Internet et l’interface dmz1 est connectée au réseau DMZ.
Nom static_NAT_range
Type NAT statique
External IP Address/Range La plage d’adresses IP Internet des serveurs web. Les
adresses IP externes doivent être des adresses IP

01-30001-0203-20060424
statiques obtenues par votre FAI pour votre serveur web.
Ces adresses doivent également être des adresses IP
uniques qui ne sont pas utilisées par un autre hôte et ne
peuvent pas être les mêmes que les adresses IP de
l’interface externe que l’IP virtuelle va utiliser. Cependant,
les adresses IP externes doivent être routées vers
l’interface sélectionnée. Les adresses IP virtuelles et
l’adresse IP externe peuvent être sur des sous-réseaux
différents. Lorsque vous ajoutez l’adresse IP virtuelle,
l’interface externe répond aux requêtes ARP pour les
adresses IP externes.
Map to IP/IP Range La plage d’adresses IP des serveurs du réseau interne.
Définissez la plage en entrant la première adresse de la
plage dans le premier champ et la dernière adresse de la
plage dans le deuxième champ.
Illustration 135 : Options des adresses IP virtuelles : IP virtuelles de translation avec

une plage d’adresses IP
4 Cliquez sur OK.
Ajouter une adresse IP virtuelle de translation avec une plage d’adresses IP à

une règle pare-feu
manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux
adresses IP du serveur, les paquets passent à travers le boîtier FortiGate de
l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate les adresses de
destination de ces paquets de l’adresse IP externe vers les adresses IP du réseau
DMZ des serveurs web.

Destination Adresse static_NAT_range
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.

01-30001-0203-20060424
Ajout d’un relayage de port de translation à une seule adresse IP et un seul port
L’adresse IP 192.168.37.4, port 80 sur Internet est translatée vers 10.10.10.42,
port 8000 sur un réseau privé. Les tentatives de communication avec
192.168.37.4, port 80 d’Internet sont translatées et envoyées vers 10.10.10.42,
port 8000 par le boîtier FortiGate. Les ordinateurs sur Internet n’ayant pas
connaissance de cette translation ne voient qu’un seul ordinateur au 192.168.37.4,
port 80 au lieu d’un boîtier FortiGate avec un réseau privé derrière.
Illustration 136 : Exemple de relayage de port de l’adresse IP virtuelle de translation

pour une seule adresse IP et un seul port
Ajouter un relayage de port de l’adresse IP virtuelle de translation à une

seule adresse IP et un seul port
aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ.
Nom Port_fwd_NAT_VIP
Type NAT statique
de l’interface externe que l’adresse IP virtuelle va utiliser.
Cependant, l’adresse IP externe doit être routée vers
l’interface sélectionnée. L’adresse IP virtuelle et l’adresse IP
externe peuvent être sur des sous-réseaux différents. Lorsque
vous ajoutez l’adresse IP virtuelle, l’interface externe répond
aux requêtes ARP pour l’adresse IP externe.
Map to IP/IP Range L’adresse IP du serveur sur le réseau interne. Puisqu’il n’y a
qu’une adresse IP, laissez le deuxième champ vide.
Port forwarding Sélectionné
Protocole TCP
Port externe Le port utilisé par le trafic provenant d’Internet. Pour un
serveur web, il s’agit généralement du port 80.

01-30001-0203-20060424
Port réel Le port sur lequel le serveur reçoit le trafic. Puisqu’il n’y a
qu’un port, laissez le deuxième champ vide.
Illustration 137 : Options des adresses IP virtuelles : Relayage de port d’une adresse
IP virtuelle de translation à une seule adresse IP et un seul port
4 Cliquez sur OK.
Ajouter un relayage de port d’une adresse IP virtuelle de translation à une

seule adresse IP et un seul port à une règle pare-feu
manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux
adresses IP du serveur, les paquets passent à travers le boîtier FortiGate de
l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate les adresses et
ports de destination de ces paquets de l’adresse IP externe vers les adresses IP
du réseau DMZ des serveurs web.

Destination Adresse Port_fwd_NAT_VIP
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout d’un relayage de port de translation à une plage d’adresses IP et une plage
de ports
Les ports 80 à 83 des adresses 192.168.37.4 à 192.168.37.7 sur Internet sont
translatées aux ports 8000 à 8003 des adresses 10.10.10.42 à 10.10.10.44 sur un
réseau privé. Les tentatives de communication vers 192.168.37.5, port 82
d’Internet par exemple, sont translatées et envoyées vers 10.10.10.43, port 8002
par le boîtier FortiGate. Les ordinateurs sur Internet n’ayant pas connaissance de
cette translation ne voient qu’un seul ordinateur au 192.168.37.5 au lieu d’un
boîtier FortiGate avec un réseau privé derrière.

01-30001-0203-20060424
Illustration 138 : Exemple de relayage de port d’une adresse IP virtuelle de translation
à une plage d’adresses IP et une plage de ports
Ajouter un relayage de port de l’adresse IP virtuelle de translation à une

plage d’adresses IP et une plage de ports
aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ.
Nom Port_fwd_NAT_VIP_port_range
Type NAT statique
Address/Range Les adresses IP externes doivent être des adresses IP
statiques obtenues par votre FAI. Ces adresses doivent
également être uniques et inutilisées par un autre hôte et ne
peuvent pas être identiques à l’adresse IP de l’interface
externe que l’adresse IP virtuelle va utiliser. Cependant, les
adresses IP externes doivent être routées vers l’interface
sélectionnée. Les adresses IP virtuelles et l’adresse IP externe
ajoutez l’adresse IP virtuelle, l’interface externe répond aux
requêtes ARP pour les adresses IP externes.
Map to IP/IP Range Les adresses IP du serveur sur le réseau interne. Définissez la
plage en entrant la première adresse de cette plage dans le
premier champ et la dernière adresse dans le deuxième
champ.
Port forwarding Sélectionné
Protocole TCP
Port externe Les ports utilisés par le trafic provenant d’Internet. Pour un
Port réel Les ports sur lesquels le serveur attend le trafic. Définissez la
plage en entrant le premier port de cette plage dans le premier
champ et le dernier port dans le deuxième champ. S’il n’y a
qu’un seul port, laissez le deuxième champ vide.
Illustration 139 : Options de l’adresse IP virtuelle : relayage de port de l’adresse IP

virtuelle de translation à une plage d’adresses IP et une plage de ports

01-30001-0203-20060424
4 Cliquez sur OK.
Ajouter un relayage de port d’une adresse IP virtuelle de translation à une

plage d’adresses IP et une plage de ports à une règle pare-feu
Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’IP virtuelle de manière à
ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses
IP du serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1
à l’interface dmz1. L’IP virtuelle translate les adresses et ports de destination de
ces paquets de l’IP externe vers les adresses IP du réseau DMZ des serveurs
web.

Destination Adresse Port_fwd_NAT_VIP_port_range
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout d’une IP virtuelle d’équilibrage de charge à une plage d’adresses IP

L’adresse IP 192.168.37.4 sur Internet est translatée vers 10.10.123.42 à
10.10.123.44 sur un réseau privé. La translation d’adresse IP est déterminée par
l’algorithme de l’équilibrage de charge du boîtier FortiGate. Les tentatives de
communication avec 192.168.37.4 d’Internet sont translatées et envoyées vers
10.10.10.42, 10.10.10.43 ou 10.10.10.44 par le boîtier FortiGate. Les ordinateurs
sur Internet n’ayant pas connaissance de cette translation ne voient qu’un seul
ordinateur à 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé
derrière.

01-30001-0203-20060424
Illustration 140 : Exemple d’IP virtuelle d’équilibrage de charge d’une plage
d’adresses IP
Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP

3 Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux
utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans
notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet et
l’interface dmz1 est connectée au réseau DMZ.
Nom Load_Bal_VIP
Type Load Balance
ajoutez l’IP virtuelle, l’interface externe répond aux requêtes
ARP pour l’adresse IP externe.
Map to IP/IP Range L’adresse IP des serveurs sur le réseau interne. Définissez la
champ.
Illustration 141 : Options de l’IP virtuelle : IP virtuelle d’équilibrage de charge
4 Cliquez sur OK.

01-30001-0203-20060424
Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP à
une règle pare-feu
Ajoutez une règle pare-feu wan1 vers dmz1 qui utilise l’IP virtuelle de manière à ce
que, lorsque des utilisateurs sur Internet tentent de se connecter à l’adresse IP du
serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à
l’interface dmz1. L’IP virtuelle translate l’adresse de destination de ces paquets de
l’IP externe vers les adresses IP du réseau DMZ des serveurs web.

Destination Adresse Load_Bal_VIP
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout d’une IP virtuelle relayage de port équilibrage de charge à une plage

d’adresses IP et une plage de ports
Les connexions vers 192.168.37.4 sur Internet sont translatées vers 10.10.10.42 à
10.10.10.44 sur un réseau privé. La translation d’adresse IP est déterminée par
l’algorithme de l’équilibrage de charge du boîtier FortiGate. Les ports 80 à 83 sur
192.168.37.4 sont translatés vers 8000 à 8003. Les ordinateurs sur Internet
n’ayant pas connaissance de cette translation ne voient qu’un seul ordinateur à
192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé derrière.
Illustration 142 : Exemple d’IP virtuelle relayage de ports équilibrage de charge à une
plage d’adresses IP et une plage de ports
Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP

3 Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux
utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans

01-30001-0203-20060424
notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet et
l’interface dmz1 est connectée au réseau DMZ.
Nom Load_Bal_VIP_port_forward
Type Load Balance
ajoutez l’IP virtuelle, l’interface externe répond aux requêtes
ARP pour l’adresse IP externe.
Map to IP/IP Range L’adresse IP des serveurs sur le réseau interne. Définissez la
champ.
Port Forwarding Sélectionné.
Protocole TCP
Port externe Les ports que le trafic provenant d’Internet utiliseront. Pour un
Port réel Les ports sur lesquels le serveur attend le trafic. Définissez la
champ. S’il n’y a qu’un port, laissez le deuxième champ vide.
Illustration 143 : Options de l’IP virtuelle : IP virtuelle d’équilibrage de charge
4 Cliquez sur OK.
Ajouter une IP virtuelle d’équilibrage de charge pour une plage d’adresses IP

à une règle pare-feu
Ajoutez une règle pare-feu wan1 vers dmz1 qui utilise l’IP virtuelle de manière à ce
que, lorsque des utilisateurs sur Internet tentent de se connecter à l’adresse IP du
serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à
l’interface dmz1. L’IP virtuelle translate l’adresse de destination de ces paquets de
l’IP externe vers les adresses IP du réseau DMZ des serveurs web.

01-30001-0203-20060424
Destination Adresse Load_Bal_VIP_port_forward
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout d’IP virtuelles dynamiques

Ajouter une IP virtuelle dynamique est similaire à l’ajout d’une IP virtuelle. La
différence est que l’adresse IP Externe doit être définie sur 0.0.0.0 de manière à ce
qu’elle corresponde à n’importe quelle adresse IP.
Illustration 144 : Ajout d’une nouvelle translation d’IP virtuelle – le relayage de port
dynamique
Ajouter une IP virtuelle dynamique

3 Entrez un nom pour l’IP virtuelle dynamique.
4 Sélectionnez l’Interface Externe de l’IP virtuelle dans la liste.
L’interface externe est connectée au réseau source et reçoit les paquets à
transférer au réseau de destination.
Sélectionnez n’importe quelle interface pare-feu ou sous-interface VLAN.
5 Définissez l’Adresse IP Externe sur 0.0.0.0. Cela correspond à toute adresse IP.
6 Entrez le numéro du Port Externe pour lequel configurer le relayage de port
dynamique.
Le numéro de port externe doit correspondre au port de destination des paquets à
transférer. Par exemple, si l’IP virtuelle fournit un accès PPTP au serveur PPTP à
travers l’Internet, le numéro du port externe devrait être 1723 (le port PPTP).
7 Entrez l’adresse Map to IP (ou Mapped IP Address) vers laquelle translater
l’adresse IP externe. Par exemple, l’adresse IP d’un serveur PPTP sur un réseau
interne.

01-30001-0203-20060424
8 Entrez le numéro du Port Réel à ajouter aux paquets lors de leur transfert.
Entrez le même numéro que le Port Externe si le port n’est pas destiné à être
translaté.
9 Cliquez sur OK.
Plages IP
Vous pouvez utiliser des plages IP pour ajouter des règles NAT qui translatent les
adresses sources en adresses sélectionnées arbitrairement dans la plage IP au
lieu d’être limité à l’adresse IP de l’interface de destination.
Une plage IP définit une adresse ou une plage d’adresses IP dont chacune répond
aux requêtes ARP sur l’interface à laquelle la plage IP est ajoutée.
Lors de la configuration d’une règle pare-feu, cochez la case Pool d’adresses pour
translater l’adresse source de paquets sortants en une adresse sélectionnée
arbitrairement dans la plage IP. Une liste de plages IP apparaît lorsque l’interface
de destination de la règle est la même que l’interface de plage IP.
Avec une plage IP ajoutée à l’interface interne, vous pouvez sélectionner une
plage IP dynamique pour les règles avec l’interface interne comme destination.
Vous pouvez ajouter des plages IP à n’importe quelle interface et sélectionné la

plage IP à utiliser lors de la configuration d’une règle pare-feu.
Une seule adresse IP est entrée normalement. Par exemple, 192.168.110.100 est
une adresse de plage IP valide. Si une plage d’adresses IP est nécessaire, entrez
l’un des formats suivants :
• x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120
• x.x.x.[x-x], par exemple 192.168.110.[100-120]
Plages IP et NAT dynamique

Vous pouvez utiliser des plages IP pour une NAT dynamique. Par exemple, une
entreprise peut avoir acheté une plage d’adresses Internet mais n’a qu’une
connexion Internet sur l’interface externe de son boîtier FortiGate.
Affectez une des adresses IP Internet de l’entreprise à l’interface externe du boîtier

FortiGate. Si le boîtier FortiGate fonctionne en mode NAT/Route, toutes les
connexions du réseau vers Internet semblent venir de cette adresse IP.
Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette
plage d’adresses à une plage IP pour l’interface externe. Sélectionnez ensuite Pool
d’adresses pour toutes les règles qui ont l’interface externe comme destination.
Pour chaque connexion, le pare-feu sélectionne dynamiquement une adresse IP
de la plage d’adresses qui servira d’adresse source à la connexion. Les
connexions vers Internet semblent alors provenir de n’importe quelle adresse IP de
la plage IP.
Plages IP pour les règles pare-feu utilisant des ports fixes

Certaines configurations réseaux ne fonctionnent pas correctement si une règle
NAT translate le port source des paquets utilisés par la connexion. La NAT
translate les ports sources pour garder une trace des connexions pour un service
particulier. Sélectionnez Port Fixe pour les règles NAT dans le but d’empêcher la

01-30001-0203-20060424
translation de port source. Cependant, la sélection de Port Fixe signifie qu’une
seule connexion peut être supportée à travers le pare-feu pour ce service. Pour
être capable de supporter des connexions multiples, ajoutez une plage IP à
l’interface de destination, et sélectionnez ensuite Pool d’adresses dans la règle. Le
pare-feu sélectionne arbitrairement une adresse IP de la plage IP et l’affecte à
chaque connexion. Dans ce cas, le nombre de connexions que le pare-feu peut
supporter est limité par le nombre d’adresses IP dans la plage IP.
Visualisation des plages IP

Si les domaines virtuels sont activés sur le boîtier FortiGate, les plages IP sont
créées séparément pour chaque domaine virtuel. Pour accéder aux plages IP,
sélectionnez un domaine virtuel de la liste dans le menu principal. Les plages IP ne
sont pas disponibles en mode Transparent.
Pour visualiser la liste des plages IP, sélectionnez Pare-feu > IP virtuelle > Plage
IP.
Illustration 145 : Liste de plages IP
Créer Nouveau Permet d’ajouter une plage IP.

Nom Le nom de la plage IP.
Début de la plage Définit la première adresse de la plage IP.
Fin de la plage Définit la dernière adresse de la plage IP.
Icône Supprimer Permet de retirer une entrée de la liste. Cette icône n’apparaît
que si la plage IP n’est pas reprise dans une règle pare-feu.
Icône Editer Permet d’éditer les informations suivantes : Nom, Interface,
Plage IP/Réseau.
Configuration des plages IP

Pour ajouter une plage IP, sélectionnez Pare-feu > IP virtuelle > Plage IP.
Illustration 146 : Nouvelle Plage IP dynamique
Nom Entrez ou modifiez le nom de la plage IP.

Interface Sélectionnez l’interface à laquelle ajouter une plage IP.
Plage IP/Réseau Entrez la plage d’adresses IP pour cette plage IP. La plage
d’adresses IP définit le début et la fin de la plage IP. Le début
de la plage doit être inférieur à la fin. La plage IP ne doit pas
forcément se trouver sur le même sous-réseau que l’adresse
IP de l’interface à laquelle la plage IP est ajoutée.

01-30001-0203-20060424
Profil de Protection
Cette section décrit comment ajouter des profils de protection aux règles en mode
NAT/Route et mode Transparent.
• Qu’est-ce qu’un profil de protection ?

• Profil de protection par défaut
• Visualisation de la liste des profils de protection
• Configuration d’un profil de protection
• Ajout d’un profil de protection à une règle
• Configuration CLI d’un profil de protection
Qu’est-ce qu’un profil de protection?

Un profil de protection est un groupe de paramètres ajustables pour parvenir à un
but particulier. Les profils de protection appliquant différents paramètres de
protection aux trafics contrôlés par les règles pare-feu, vous pouvez adapter les
paramètres au type de trafic que chaque règle contrôle. L’utilisation de profils de
protection permet de :
• configurer une protection antivirus aux règles HTTP, FTP, IMAP, POP3, SMTP
et IM.
• configurer un filtrage de contenu web pour les règles HTTP.
• configurer un filtrage par catégorie du contenu web pour les règles HTTP.
• configurer un filtrage anti-spam pour les règles IMAP, POP3 et SMTP.
• activer l’IPS pour tous les services.
• configurer un archivage de contenu pour les règles HTTP, FTP, IMAP, POP3,
SMTP et IM.
• configurer un filtrage IM et un contrôle d’accès pour les messageries
instantanées AIM, ICQ, MSN et Yahoo.
• configurer un contrôle d’accès et de la bande passante P2P pour les clients
peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa, Skype et WinNY.
• configurer les profils de protection à journaliser.
Grâce à l’utilisation de profils de protection, vous pouvez personnaliser les types et

niveaux de protection pour les différentes règles pare-feu.
Par exemple, alors que le trafic entre les adresses interne et externe nécessitent
probablement une protection stricte, le trafic entre des adresses internes de
confiance nécessitent quant à lui une protection modérée. Il est conseillé de
configurer des règles pour des services de trafics différents qui utiliseront des
profils de protection identiques ou différents.

01-30001-0203-20060424
Si les domaines virtuels sont activés sur le boîtier FortiGate, les profils de
protection sont configurés globalement et sont disponibles pour tous les domaines
virtuels. Pour accéder aux profils de protection, sélectionnez Configuration
Globale > Pare-feu > Profil de protection.
Profils de protection par défaut
Quatre profils de protection sont pré-configurés:
Strict Applique une protection maximum pour le trafic HTTP, FTP,

IMAP, POP3 et SMTP. Vous n’utiliserez probablement pas ce
profil rigoureux de protection en circonstances normales mais il
est disponible en cas de problème de virus nécessitant une
analyse maximum.
Scan Applique une analyse antivirus et une mise en quarantaine de

fichiers du contenu du trafic HTTP, FTP, IMAP, POP3 et
SMTP. Sur les modèles FortiGate muni d’un disque dur,
lorsque l’analyse antivirus détecte un virus dans un fichier, ce
dernier est mis en quarantaine sur le disque dur du boîtier
FortiGate. Si nécessaire, les fichiers placés en quarantaine
peuvent être récupérés.
Web Applique une analyse antivirus et un blocage du contenu web.

Vous pouvez ajouter ce profil de protection aux règles pare-feu
qui contrôlent le trafic HTTP.
Unfiltered (Non-filtré) N’applique ni analyse, ni blocage, ni IPS. A utiliser dans le cas

où aucune protection du contenu du trafic n’est souhaitée.
Vous pouvez ajouter ce profil de protection aux règles pare-feu
pour les connexions entre des réseaux hautement fiables et
sécurisés dont le contenu ne nécessite pas d’être protégé.
Visualisation de la liste des profils de protection

Pour visualiser la liste des profils de protection, sélectionnez Pare-feu > Profil de
protection.
Illustration 147 : Profils de protection par défaut
Créer Nouveau Permet d’ajouter un profil de protection.

Nom Le nom du profil de protection.
Icône Supprimer Permet de retirer un profil de protection de la liste. Cette icône
apparaît uniquement si le profil n’est pas repris dans une règle
pare-feu.
Icône Editer Permet de modifier un profil de protection.
Remarque : Un profil de protection ne peut pas être supprimé s’il est repris dans une règle
pare-feu ou compris dans un groupe d’utilisateurs.

01-30001-0203-20060424
Configuration d’un profil de protection
Dans le cas où les profils de protection par défaut ne fournissent pas les
paramètres requis, vous pouvez créer des profils de protection personnalisés.
Pour ajouter un profil de protection, sélectionnez Pare-feu > Profil de protection

et cliquez sur Créer Nouveau.
Illustration 148 : Nouveau profil de protection
Nom du profil Entrez un nom au profil de protection.

Comments Si nécessaire, entrez une description au profil.
Antivirus Voir « Options Antivirus » à la page 282.
Filtrage Web Voir « Options du filtrage Web » à la page 283.
FortiGuard-Web Filtering Voir « Options du filtrage Web FortiGuard » à la page 285.
Filtrage antispam Voir « Options du filtrage anti-spam » à la page 286.
IPS Voir « Options IPS » à la page 289.
Archiver le contenu Voir « Options des archives de contenu » à la page 289.
IM & P2P Voir « Options IM et P2P » à la page 290.
Logging Voir « Options de la journalisation » à la page 291.
Remarque : Si les fonctionnalités Virus Scan et File Block sont toutes deux activées, le
boîtier FortiGate bloque les fichiers correspondant aux types de fichiers activés avant de
procéder à une analyse antivirus.

01-30001-0203-20060424
Options Antivirus
Illustration 149 : Options antivirus du profil de protection
Remarque : Les options NNTP ne peuvent pas être sélectionnées. Le support sera ajouté
dans une version ultérieure.
Les options antivirus suivantes sont disponibles dans les profils de protection.
Détection de virus Activez ou désactivez l’analyse de virus pour chaque protocole

(HTTP, FTP, IMAP, POP3, SMTP, IM). L’option Grayware, si
activée dans Antivirus > Config > Grayware, est comprise
avec l’Analyse de virus. Notez que le mode continu est activé
automatiquement lorsque vous activez l’analyse de virus.
File Pattern Activez ou désactivez l’option « file pattern » pour chaque
protocole. Les fichiers peuvent être bloqués ou autorisés en
fonction de leur nom, leur extension ou tout autre critère. Ce
processus offre la flexibilité de bloquer des fichiers qui
contiendraient des éléments nuisibles.
Liste déroulante de File Pattern : Sélectionnez la liste File
Pattern à utiliser avec ce profil de protection. La liste par défaut
est appelée « built-in-patterns ». Seuls les modèles FortiGate-
800 et plus sont munis de cette liste.
Quarantaine Activez ou désactivez l’option de mise en quarantaine pour
(log disk requis) chaque protocole. Vous pouvez visualiser les fichiers suspects
placés en quarantaine ou les soumettre à Fortinet pour
analyse. Cette option n’est pas affichée si le boîtier FortiGate
ne possède pas de disque dur ou un équipement FortiAnalyzer
configuré.
Transmettre les mails Activez ou désactivez les emails fragmentés pour les
fragmentés protocoles de mail (IMAP, POP3, SMTP). Les mails
fragmentés ne peuvent pas subir une analyse virus.
Comfort Clients Activez ou désactivez cette option pour les trafics HTTP et
FTP. Cette option fournit le statut des fichiers mis en réserve
(buffer) pour téléchargement via HTTP ou FTP. Les utilisateurs
peuvent observer les pages web ou fichiers en cours de
téléchargement. Si désactivée, les utilisateurs n’ont aucune
indication quant à la mise en réserve du téléchargement et
peuvent annuler le transfert pensant qu’il a échoué.
Interval Le temps en secondes avant que l’option
Comfort Client démarre après que le
téléchargement ait commencé. Il s’agit

01-30001-0203-20060424
également du temps entre des intervalles
prochains.
Amount Le nombre d’octets envoyés à chaque
intervalle.
Fichier/Mail dépassant Sélectionnez Transmettre ou Bloquer pour les fichiers

la taille limite et les messages mails excédant les seuils configurés pour
chaque protocole.
Threshold Si le fichier est plus grand que la valeur du
seuil (en mégaoctets), le fichier est transmis
ou bloqué, selon ce qui a été défini dans
l’option Fichier/Mail dépassant la taille limite.
Le seuil maximum pour l’analyse en
mémoire est 10% de la RAM du boîtier
FortiGate.
Remarque : Pour l’analyse de mails, le
seuil de taille limite fait référence à la taille
finale du mail après encodage du mail client,
y compris les pièces jointes. Les mails
clients peuvent utiliser une variété de types
d’encodage dont certains translatent en taille
plus grande que la taille de la pièce jointe
originale. L’encodage le plus commun,
base64, translate 3 octets de données
binaires en 4 octets de données en base64.
Dès lors un fichier peut être bloqué ou
journalisé comme trop grand même si la
pièce jointe est de quelques mégaoctets plus
petite que la taille limite configurée dans le
seuil.
Ajout d’une signature Permet de créer et d’ajouter une signature
aux mails sortants aux mails sortants (SMTP uniquement).
Voir « Antivirus » à la page 337 pour des options antivirus supplémentaires.
Options du filtrage Web

Illustration 150 : Options de filtrage Web du profil de protection
Les options de filtrage Web suivantes sont disponibles dans les profils de
protection.
Filtrage Web par Activez ou désactivez le blocage de pages web pour le trafic
mots clefs HTTP basé sur les critères de blocage de contenu dans la liste
de blocage de contenu.
Liste déroulante de blocage de contenu : Permet de
sélectionner une liste de blocage de contenu à utiliser avec ce

01-30001-0203-20060424
profil de protection. Seuls les modèles FortiGate-800 et plus
offrent cette sélection.
Threshold : Si les résultats combinés des critères de blocage
de contenu apparaissant sur une page web excèdent la valeur
du seuil, la page sera bloquée. Voir « Visualisation de la liste
de blocage de contenu web » à la page 369.
Web Content Exempt Activez ou désactivez l’override (l’ignorance) du blocage de
contenu web basé sur des critères de dispense de contenu
dans la liste de contenu dispensé.
Liste déroulante de contenu web dispensé : Sélectionnez
une liste de contenu dispensé à utiliser avec ce profil de
protection. Seuls les modèles FortiGate-800 et plus offrent
cette sélection.
Web URL Filter Activez ou désactivez un filtrage de page web pour le trafic
HTTP basé sur une liste d’URL.
Liste déroulante de filtre d’URL web : Permet de
sélectionner une liste de filtre d’URL web à utiliser avec ce
profil de protection. Seuls les modèles FortiGate-800 et plus
offrent cette sélection.
ActiveX Filter Permet d’activer le blocage de contrôle ActiveX.
Cookie Filter Permet d’activer le blocage de cookies.
Java Applet Filter Permet d’activer le blocage des Applets Java.
Ne pas reprendre les Permet de bloquer les transferts de partie d’un fichier
transferts Web en cours déjà partiellement téléchargé. Cette option empêche le
téléchargement involontaire de virus cachés dans des fichiers
fragmentés. Notez que certains types de fichiers, comme PDF,
sont fragmentés pour augmenter la vitesse de téléchargement.
L’activation de cette option pourrait donc entraîner des
interruptions dans le téléchargement de ces types de fichier.
Voir « Filtrage Web » à la page 366 pour des options supplémentaires de

configuration de filtrage web.

01-30001-0203-20060424
Options du filtrage FortiGuard-Web
Illustration 151 : Options de filtrage FortiGuard-Web du profil de protection
Activer FortiGuard-Web Filtering Active le blocage par catégorie

(HTTP seulement) FortiGuard-WebTM.
Activer FortiGuard-Web Filtering Active l’override (l’ignorance) de catégories. Une fois

Overrides (HTTP uniquement) sélectionnée, une liste de groupes est affichée. Si
aucun groupe n’est disponible, l’option est grisée.
Pour plus d’informations sur les overrides, voir
« Visualisation de la liste override » à la page 379 et
« Configuration de règles d’ignorance » à la page
380. Pour plus d’informations sur les groupes, voir
« Groupe d’utilisateurs » à la page 330.
Fournir les détails pour les Affiche un message de remplacement pour les
erreurs bloquées HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si l’erreur est
(HTTP uniquement) autorisée, des sites malintentionnés peuvent utiliser
ces pages d’erreurs pour passer outre le blocage par
catégorie web.
Evaluer les images par URL Bloque les images qui ont été évaluées par
(les images bloquées seront FortiGuard. Les images bloquées sont remplacées
remplacées par des blancs) sur les pages web par des blancs.
(HTTP uniquement) Les types d’image qui sont évalués sont GIF, JPEG,
PNG, BMP et TIFF.
Autoriser les sites web lors Autorise les pages web qui renvoient une erreur
d’une erreur d’évaluation d’évaluation du service de filtrage web.
(HTTP uniquement)
Blocage strict Lorsque cette option est activée, l’accès au site web

01-30001-0203-20060424
(HTTP uniquement) est rejeté si l’une des classifications ou catégories
correspond à l’évaluation du site. Lorsque cette
option est désactivée, l’accès au site web est accepté
si l’une des classifications ou catégories correspond à
la liste autorisée. Ceci est définit par défaut.
Evaluer les URL par Lorsque cette option est activée, elle envoie l’URL et
domaines et adresses IP l’adresse IP du site requis pour contrôle, fournissant
ainsi une sécurité additionnelle contre les tentatives
de contournements du système FortiGuard.
Catégorie Le service de filtrage de contenu FortiGuard-Web

offre de nombreuses catégories de filtrages du trafic
web. Définissez les actions à prendre pour les pages
web de chaque catégorie : autorise, bloque,
journalise ou autorise l’override.
Classification Les classifications bloquent des classes entières de

sites web. Des sites qui fournissent des contenus
cachés, comme Google par exemple, peuvent être
bloqués. Des sites web qui autorisent des recherches
d’images, d’audio ou de vidéos peuvent également
être bloqués. Des sites web qui sont classifiés sont
également évalués dans l’une des catégories ou ne
sont pas évalués. Choisissez entre autorise, bloque,
journalise ou autorise l’override.
Voir « Filtrage Web FortiGuard» à la page 378 pour plus d’options de configuration
du blocage de catégories.
Options du filtrage antispam

Illustration 152 : Options du filtrage antispam du profil de protection
Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté
dans une version ultérieure.
Les options de filtrage antispam suivantes sont disponibles dans les profils de
protection.
FortiGuard Anti-spam Vérification de Activez ou désactivez la liste noire

l’adresse IP d’adresses IP du filtrage FortiGuard-
AntispamTM. Le FortiGuard-Antispam extrait

01-30001-0203-20060424
l’adresse source du serveur mail SMTP et
envoie l’adresse IP vers un serveur
FortiGuard-Antispam pour la comparer à la
liste des spammers connus. Si l’adresse IP
est trouvée FortiGuard-Antispam met fin à la
session. Si l’adresse IP n’est pas trouvée le
serveur mail envoie le mail à son
destinataire. Voir « Service FortiGuard-
Antispam » à la page 185 pour plus
d’informations sur ce service.
URL check Activez ou désactivez la liste noire URL du

TM
filtrage FortiGuard-Antispam . Le corps de
messages mails sont filtrés pour en extraire
tout lien URL. Ces liens URL sont envoyés
vers un serveur FortiGuard-Antispam pour
comparaison avec ses listes. Des messages
spam contiennent souvent des liens URL
vers des sites publicitaires. S’il y a une
correspondance d’URL, le FortiGuard-
Antispam met fin à la session. S’il n’y a pas
de correspondance, le serveur mail envoie le
mail à son destinataire. Voir « Service
FortiGuard-Antispam » à la page 185 pour
plus d’informations sur ce service.
Vérification Email Activez ou désactivez la liste noire de

Checksum somme de vérification (checksum) de
messages mails FortiGuard-Antispam.
Lorsque cette option est activée, ce filtre
calcule la somme de vérification d’un
message mail et l’envoie aux serveurs
FortiGuard afin de déterminer si cette
somme de vérification fait partie de la liste.
Le boîtier FortiGate transfère ensuite ou
marque/bloque le message mail en fonction
de la réponse du serveur.
Spam submission Lorsque cette option est activée, tous les

messages mails définis comme spam se
voient ajouter un lien dans le corps du
message. Si le message mail n’est pas un
spam, cliquez simplement sur le lien dans le
message pour en informer FortiGuard.
Filtrage par liste d’adresses IP Activez ou désactivez le contrôle des adresses IP

entrantes en fonction de la liste d’adresses IP du filtre
antispam configuré (SMTP uniquement).
Liste déroulante de filtrage par liste d’adresses
IP : Permet de sélectionner une liste blanche/noire
d’adresses IP à utiliser avec ce profil de protection.
Seuls les modèles FortiGate-800 et plus offrent cette
sélection.
HELO DNS lookup Activez ou désactivez la recherche du nom du

domaine source (commande SMTP HELO) dans le
Domain Name Server.
Filtrage par liste d’adresses mail :Activez ou
désactivez le filtrage d’adresses mail entrants avec la
liste d’adresses mail du filtre antispam configuré.
Liste déroulante de filtrage par liste d’adresses
mail : Permet de sélectionner une liste blanche/noire
d’adresses mail à utiliser avec ce profil de protection.

01-30001-0203-20060424
Seuls les modèles FortiGate-800 et plus offrent cette
sélection.
Return e-mail DNS check Activez ou désactivez cette option qui contrôle si le
domaine spécifié dans les champs Reply to
(Répondre à) et From Address (A partir de l’adresse)
possède un enregistrement DNS A ou MX.
Filtrage par mots clefs Activez ou désactivez le filtrage de mail source en

fonction d’une liste de mots-clés du filtre antispam
configuré.
Liste déroulante de filtrage par mots clefs : Permet
de sélectionner une liste de mots-clés à utiliser avec
ce profil de protection. Seuls les modèles FortiGate-
800 et plus offrent cette sélection.
Threshold Si les résultats combinés des
critères de mots-clés apparaissant dans un message
mail excèdent la valeur du seuil, le message sera
traité selon les paramètres définis dans Spam Action.
Voir « Visualisation de la liste des mots bannis
antispam » à la page 390.
Action antispam Définit les actions mises en vigueur par le filtre

antispam. L’action Tag vous permet d’ajouter une
balise personnalisée à un sujet ou un en-tête de mail
identifié comme spam. Pour le trafic SMTP, si
l’analyse de virus ou le mode continu est activé, vous
ne pourrez que rejeter les mails spams, ces
connexions étant alors abandonnées. (Notez que le
mode continu est activé automatiquement lorsque
l’analyse de virus est activée). Sans mode continu ou
analyse de virus activé, vous pouvez choisir entre
baliser ou rejeter les spams SMTP.
Vous pouvez baliser les mails en insérant un mot ou
une phrase dans le sujet ou en ajoutant un en-tête
MIME et une valeur dans l’en-tête du mail. Vous
pouvez choisir de journaliser toute action spam dans
le Journal d’événements.
Insertion Permet d’insérer une balise au sujet ou en-tête MIME

du mail identifié comme spam.
Tag Entrez un mot ou une phrase (tag/balise) à insérer au

mail identifié comme spam. La longueur maximum
étant de 63 caractères.
Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en
fonction de leur en-tête MIME. Contrôlez les paramètres de votre mail client avant de définir
comment baliser les spams.
Voir « Antispam » à la page 386 pour plus d’options de configuration de filtre

antispam. Pour configurer le service FortiGuard-Antispam, voir « Configuration du
boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.

01-30001-0203-20060424
Options IPS
Illustration 153 : Options IPS du profil de protection
Les options suivantes sont disponibles pour l’IPS à travers le profil de protection.
IPS Signature Sélectionnez un ou plusieurs niveaux de sévérité des

signatures IPS pour ce profil : Critical, High, Medium, Low et
Information. Les signatures avec niveau de sévérité qui n’ont
pas été sélectionnés ne sont pas enclenchées.
IPS Anomaly Sélectionnez un ou plusieurs niveaux de sévérité d’anomalie
pour ce profil : Critical, High, Medium, Low et Information. Les
anomalies avec niveau de sévérité qui n’ont pas été
sélectionnées ne sont pas enclenchées.
Voir « Protection contre les intrusions » à la page 352 pour des options de
configuration IPS supplémentaires.
Options des archives de contenu

Pour accéder à toutes les options des archives de contenu, un équipement
FortiAnalyzer doit être configuré et une connexion activée. Pour plus
d’informations, voir « Journalisation sur un boîtier FortiAnalyzer » à la page 411.
Illustration 154 : Options des archives de contenu du profil de protection
Remarque : Les options NNTP et d’archivage de fichiers ne peuvent pas être sélectionnés.
Un support sera ajouté dans une version ultérieure.
Les options suivantes sont disponibles pour l’archivage de contenu à travers le

profil de protection.
Afficher les meta-informations Permet d’avoir des meta-informations pour chaque

dans le tableau de bord Système types de trafic qui s’affichent dans la section Content
Summary de la page Statut du boîtier FortiGate.
Visualiser les statistiques pour les trafics HTTP, FTP et
messages mails (IMAP, POP3 et SMTP combinés).
Archive to FortiAnalyzer Activez ou désactivez l’archivage sur un équipement
FortiAnalyzer de meta-informations sur le contenu pour
chaque protocole. Les meta-informations sur le contenu

01-30001-0203-20060424
peuvent comprendre la date et l’heure, la source et le
résultat de l’analyse. L’archivage de contenu n’est
disponible que si un équipement FortiAnalyzer est
activé dans Journaux/Alertes > Configuration >
Configuration du Journal.
Archive a copy of all files Activez ou désactivez l’archivage de copies
transferred de fichiers téléchargés.
Log emails to FortiAnalyzer Permet de sauvegarder une copie de tous les
messages mails sur un équipement FortiAnalyzer.
Archive IM to FortiAnalyzer Activez ou désactivez des informations condensées de
journalisation pour les protocoles IM: AIM, ICQ, MSN et
Yahoo. Des informations condensées peuvent
comprendre la date et l’heure, les informations sur la
source et la destination, la taille de la requête et de la
réponse et le résultat de l’analyse.
Remarque : Vous devez activer les options IM dans la
section IM & P2P du profil de protection pour un
archivage de contenu opérationnel.
Archive full IM chat information to FortiAnalyzer Activez ou désactivez l’archivage
de l’entièreté des chats pour le protocole IM sur un
équipement FortiAnalyzer. L’archivage de contenu n’est
disponible que si le FortiAnalyzer est activé dans
Journaux/Alertes > Configuration > Configuration
du Journal.
section IM et P2P du profil de protection pour un
Archive a copy of all files Activez ou désactivez l’archivage de copies
transferred de fichiers transférés.
section IM & P2P du profil de protection pour un
Options IM et P2P
Illustration 155 : Options IM et P2P pour un profil de protection
Les options suivantes d’archivage de contenu sont disponibles dans les profils de
protection.
Bloquer la connexion Empêche les utilisateurs de messageries

instantanées de se connecter aux services AIM, ICQ,
MSN et Yahoo.
Bloquer le transfert de fichiers Bloque les transferts de fichiers pour les protocoles
AIM, ICQ, MSN et Yahoo.

01-30001-0203-20060424
Bloquer l’audio Bloque l’audio pour les protocoles AIM, ICQ, MSN et
Yahoo.
Inspecter les ports non standard Active l’inspection de ports non standard pour le trafic
IM.
Action Transfère, bloque ou évalue une limite des transferts
P2P pour les protocoles BitTorrent, eDonkey,
Gnutella, Kazaa et WinNY. Les transferts Skype
peuvent être transférés ou bloqués, mais pas limités.
Limite (Koctets/sec) Spécifiez une limite de bande passante pour les
protocoles BitTorrent, eDonkey, Gnutella, Kazaa et
WinNY si l’action est définie sur Limitation de Bande
Passante.
Les changements apportés aux options des profils de protection IM, alors que des
utilisateurs sont connectés, ne prendront effet qu’à leur prochaine connexion.
Activer le blocage de connexion, par exemple, ne peut pas être utilisé pour
déconnecter les utilisateurs qui ont une connexion en cours.
Voir « IM/P2P » à la page 403 pour des options de configuration IM

supplémentaires.
Options de la journalisation
Illustration 156 : Options de connexion du profil de protection
Les options de journalisation suivantes sont disponibles dans les profils de

protection.
Antivirus Virus Active la journalisation de virus

scannés.
Fichiers bloqués Active la journalisation de
fichiers bloqués.
Fichiers/Emails Active la journalisation de
surdimensionnés fichiers et messages mails
surdimensionnés.
Filtrage Web Blocage de contenu Active la journalisation du
blocage de contenu.

01-30001-0203-20060424
Filtrage d’URL Active la journalisation d’URL
bloquées et exemptées.
Filtrer les ActiveX Active la journalisation des
ActiveX bloqués.
Filtrer les Cookies Active la journalisation des
cookies bloqués.
Filtrer les Applets Active la journalisation des
Java Applets Java bloqués.
FortiGuard Web Filtering Erreurs d’évaluation Active la

(HTTP uniquement) journalisation des erreurs
d’évaluation.
Filtrage Antispam Log Spam Active la journalisation des
spams détectés.
IPS Journaliser les intrusions Active la journalisation des
intrusions de signatures et
anomalies.
IM / P2P Journaliser l’activité IM Active la journalisation de
l’activité IM.
Journaliser l’activité p2p Active la journalisation de
l’activité P2P.
Pour plus d’informations à propos de la journalisation, voir « Journaux/Alertes » à

la page 409.
Ajout d’un profil de protection à une règle

Vous pouvez activer un profil de protection pour les règles pare-feu dont l’action
est définie sur Allow ou IPSec et dont le service est défini sur ANY, HTTP, FTP,
IMAP, POP3, SMTP ou un groupe de services comprenant ces services.
Si les domaines virtuels sont activés sur le boîtier FortiGate, les profils de
protection doivent être ajoutés aux règles dans chaque domaine virtuel. Pour
accéder à une règle, sélectionnez un domaine virtuel dans le menu principal.

2 Sélectionnez une liste de règles à laquelle ajouter un profil de protection. Par
exemple, pour activer une protection réseau sur les fichiers téléchargés d’Internet
par les utilisateurs internes du réseau, sélectionnez une liste de règles Interne >
Externe.
3 Cliquez sur Créer Nouveau pour ajouter une règle ou cliquez sur l’icône Editer
d’une règle à modifier.
4 Sélectionnez Profil de protection.
5 Sélectionnez un des profils de protection de la liste.
6 Configurez les autres paramètres de la règle si nécessaire.
7 Cliquez sur OK.
8 Répétez cette procédure pour toutes les règles pour lesquelles il faut activer une
protection réseau.

01-30001-0203-20060424
Configuration CLI d’un profil de protection
Remarque : Pour des descriptions et exemples complets sur l’utilisation de commandes

CLI, référez-vous au FortiGate CLI Reference.
Config firewall profile

La commande CLI config firewall profile vous permet d’ajouter, d’éditer
ou de supprimer des profils de protection. Les profils de protection appliquent des
paramètres de protection différents pour le trafic contrôlé par les règles pare-feu.

01-30001-0203-20060424
VPN IPSEC
Cette section couvre les informations sur les options des modes tunnel et route
(mode interface) VPN IPSec disponibles à partir de l’interface d’administration web.
Les boîtiers FortiGate implémentent le protocole ESP (Encapsulated Security
Pauload) en mode tunnel. Les paquets cryptés ressemblent à des paquets
ordinaires qui peuvent être routés à travers n’importe quel réseau IP. IKE (Internet
Key Exchange) s’effectue automatiquement en fonction des clés partagées ou de
certificats digitaux X.509. Facultativement, vous pouvez spécifier des clés
manuelles. Le mode interface est uniquement supporté en mode NAT/Route. Cela
crée une interface virtuelle pour la fin locale d’un tunnel VPN.
Cette section parcourt les sujets suivants :

• Aperçu du mode interface IPSec
• Auto Key
• Clé Manuelle
• Tunnels actifs
Aperçu du mode interface IPSec

Lors de la définition d’un tunnel IPSec en mode route (mode interface), une
interface virtuelle IPSec est créée automatiquement. Peu importe d’avoir des clés
IKE générées automatiquement ou des clés manuelles, l’interface virtuelle IPSec
est créée comme une sous-interface d’une interface physique FortiGate locale,
agrégée ou VLAN sélectionnée lors de la définition des paramètres de la phase 1
IPSec. L’adresse IP de l’interface physique locale, agrégée ou VLAN est obtenue
sur Système > Réseau > Interface.
Remarque : Il est possible de lier une interface IPSec à une zone.
Une interface virtuelle IPSec est considérée comme active (up) lorsqu’elle peut
établir une connexion phase 1 avec un client ou paire VPN. Cependant, l’interface
virtuelle IPSec ne peut pas être utilisée pour envoyer du trafic tant qu’elle n’est pas
liée à une définition de tunnel phase 2.
Les liens des interfaces virtuelles IPSec sont affichés sur la page Système >
Réseau > Interface. Les noms de tous les tunnels liés aux interfaces physiques
sont affichés sous l’interface physique associée dans la colonne Nom. Pour plus
d’informations sur la page Interface, voir « Interface » à la page 61.
Après qu’une interface virtuelle IPSec ait été liée à un tunnel, le trafic peut être
routé vers l’interface utilisant des métriques spécifiques pour les routes statiques et
de règles. De plus, vous pouvez créer une règle pare-feu ayant l’interface virtuelle
IPSec comme interface source ou de destination.
Lorsque le trafic IP provenant de derrière le boîtier FortiGate local arrive à une

interface FortiGate de sortie agissant comme sortie locale du tunnel IPSec (si le
mode interface IPSec est activé sur l’interface), le trafic est encapsulé par le tunnel
et transféré à travers l’interface physique à laquelle l’interface virtuelle IPSec est
liée. Lorsque le trafic encapsulé d’un client distant atteint une interface physique
FortiGate locale, le boîtier FortiGate détermine si une interface virtuelle IPSec est

01-30001-0203-20060424
associée à l’interface physique à travers des sélecteurs dans le trafic. Si le trafic
correspond aux sélecteurs prédéfinis, il est encapsulé et transféré vers l’interface
virtuelle IPSec.
Pour les flux en sortie, le boîtier FortiGate exécute une recherche de route pour
trouver l’interface à travers laquelle il doit transférer le trafic en vue d’atteindre le
routeur du prochain saut. Si la route trouvée passe par une interface virtuelle liée à
un tunnel VPN spécifique, le trafic est crypté et envoyé à travers le tunnel VPN.
Pour les flux en entrée, le boîtier FortiGate identifie un tunnel VPN en utilisant
l’adresse IP de destination et le SPI (Security Parameter Index) du datagramme
ESP pour identifier la SA (security association) de la phase 2 correspondante. Si
une SA correspondante est trouvée, le datagramme est décrypté et le trafic IP
associé est redirigé à travers l’interface virtuelle IPSec.
La règle pare-feu associée à un chemin spécifique est responsable du contrôle de

tout le trafic passant entre les adresses source et de destination. Si nécessaire,
vous pouvez configurer plusieurs règles pare-feu pour réguler le flux du trafic
entrant et/ou sortant du tunnel VPN en mode route. Deux règles pare-feu sont
nécessaires pour supporter le trafic bidirectionnel à travers un tunnel IPSec en
mode route : l’un pour contrôler le trafic vers l’extérieur et l’autre pour le trafic vers
l’intérieur.
Les VPN en mode route simplifient l’implémentation de la redondance de tunnel

VPN. Vous pouvez configurer une route pour le même trafic IP utilisant des
métriques de routes différentes. Vous pouvez également configurer l’échange
d’informations de routage dynamique (RIP, ISPF ou BGP) à travers des tunnels
VPN. Si la connexion primaire VPN échoue ou la priorité d’une route est modifiée
par un routage dynamique, une route alternative sera sélectionnée pour envoyer le
trafic en utilisant une connexion redondante.
Auto Key
Deux paires VPN (ou un serveur dialup FortiGate et un client VPN) peuvent être
configurés pour générer des clés uniques IKE (Internet Key Exchange)
automatiquement durant les échanges IPSec en phases 1 et 2.
Pour configurer le boîtier FortiGate pour qu’il génère des clés uniques
automatiquement en phases 1 et 2, sélectionnez VPN > IPSEC > Auto Key (IKE).
Lors de la définition des paramètres de création du tunnel en phase 2, vous

pouvez choisir n’importe quel ensemble de paramètres de la phase 1 pour mettre
en place une connexion sécurisée pour le tunnel et authentifier le paire à distance.
La configuration Auto Key s’applique aux VPN en modes tunnel et interface.

01-30001-0203-20060424
Illustration 157 : Liste Auto Key
Créer Phase 1 Créer une nouvelle configuration phase 1. Voir « Création

d’une nouvelle configuration phase 1 » à la page 296.
Créer Phase 2 Créer une nouvelle configuration phase 2. Voir « Création
d’une nouvelle configuration phase 2 » à la page 302.
Phase 1 Les noms des configurations phase 1 existantes.
Phase 2 Les noms des configurations tunnel phase 2 existantes.
Interface Binding Les noms des interfaces physiques locales, agrégées ou
VLAN auxquelles les tunnels IPSec sont liés.
Icônes Supprimer et Editer Supprime ou édite une configuration phase 1.
Création d’une nouvelle configuration phase 1

En phase 1, deux paires VPN (ou un serveur dialup FortiGate et un client VPN)
s’authentifient l’un l’autre et échangent des clés pour établir un canal de
communication sécurisé entre eux. Les paramètres de base de la phase 1
associent les paramètres de la phase 1 avec une passerelle à distance et
déterminent :
• si les paramètres variés de la phase 1 seront échangés en étapes multiples

avec des informations d’authentification cryptées ou en un message unique
avec des informations d’authentification qui ne sont pas cryptées (mode
agressif).
• si une clé partagée ou des certificats digitaux seront utilisés pour authentifier
les identités des deux paires VPN (ou un serveur VPN et ses clients).
• si un identificateur spécial, un certificat « distinguished name », ou un nom de
groupe seront utilisés pour identifier le paire ou client VPN à distance lors
d’une tentative de connexion.
Pour définir les paramètres de base de la phase 1 IPSec, sélectionnez VPN >
IPSEC > Auto Key (IKE) et cliquez sur Créer Phase 1.

01-30001-0203-20060424
Illustration 158 : Nouvelle Phase 1
Nom Entrez un nom qui représente la définition de la phase 1. La

longueur maximum du nom est de 15 caractères pour un VPN en
mode interface, 35 caractères pour un VPN basé sur une règle.
Le nom des VPN en mode tunnel devrait faire référence à
l’origine de la connexion à distance. Dans le cas d’un tunnel en
mode route (mode interface), le boîtier FortiGate utilise ce même
nom pour l’interface virtuelle IPSec qu’il crée automatiquement.
Passerelle Sélectionnez la nature de la connexion à distance :
• Si c’est un paire à distance avec une adresse IP statique qui
se connectera au boîtier FortiGate, sélectionnez Adresse IP
Statique.
• Si ce sont un ou plusieurs utilisateurs dialup
TM
FortiClient /FortiGate avec des adresses IP dynamiques
qui se connecteront au boîtier FortiGate, sélectionnez
Utilisateur Dialup.
• Si c’est un paire à distance qui possède un nom de domaine
et souscrit à un service dynamique DNS qui se connectera
au boîtier FortiGate, sélectionnez Dynamique DNS.
Adresse IP Si vous avez sélectionné Adresse IP Statique, entrez l’adresse IP
du paire à distance.
Dynamique DNS Si vous avez sélectionné Dynamique DNS, entrez le nom de
domaine du paire à distance.
Interface locale Cette option est disponible en mode NAT/Route uniquement.
Sélectionnez l’interface physique, agrégée ou VLAN à laquelle le
tunnel IPSec sera lié. Le boîtier FortiGate obtient l’adresse IP de
l’interface sur Système > Réseau > Interface (voir « Interface » à
la page 61) à moins que vous spécifiez une adresse IP différente
dans le champ Passerelle IP locale dans les options avancées
de la Phase 1 (voir « Passerelle IP locale » à la page 300).
Mode Sélectionnez Aggressive ou Main, en fonction des paramètres
des Options de Connexion ci-dessous.
• En mode Main, les paramètres de la phase 1 sont échangés
en étapes multiples avec des informations d’authentification
cryptées.
• En mode Agressif, les paramètres de la phase 1 sont
échangés via un message unique avec des informations
d’authentification non cryptées.
Lorsque le client ou paire VPN à distance possède une adresse
IP dynamique, ou qu’il sera authentifié via un identifiant (ID

01-30001-0203-20060424
local), vous devez sélectionner le mode Agressif s’il y a plus
d’une configuration phase 1 dialup pour l’adresse IP de
l’interface.
Méthode Sélectionnez Clef partagée ou Signature RSA.
d’authentification
Clef partagée Si vous avez sélectionné Clef partagée, entrez la clef partagée
que le boîtier FortiGate utilisera pour s’authentifier auprès du
paire à distance ou du client dialup pendant les négociations de
la phase 1. Vous devez définir la même valeur au client ou paire
distant. La clé doit contenir au moins 6 caractères imprimables et
ne doit être connue que des administrateurs réseau. Pour une
protection optimum contre les attaques connues, la clé devrait se
constituer d’un minimum de 16 caractères alphanumériques
choisis arbitrairement.
Nom du certificat Dans le cas où vous avez sélectionné Signature RSA, choisissez
le nom du certificat du serveur que le boîtier FortiGate utilisera
pour s’authentifier auprès du paire à distance ou client dialup
pendant les négociations de la phase 1. Pour obtenir et charger
le certificat du serveur, voir le FortiGate Certificate Management
User Guide.
Options de connexion Une ou plusieurs des options suivantes sont disponibles pour
l’authentification des paires ou clients VPN, en fonction de la
Passerelle et des paramètres de la Méthode d’authentification.
• Lorsque la Méthode d’authentification est définie sur Clef
partagée, vous pouvez sélectionner l’option « Accepter tout
identifiant de connexion ». Dans ce cas, le boîtier FortiGate
ne contrôlent pas les identifiants (ID locaux). Le mode peut
être défini sur Aggressive ou Main.
partagée, vous pouvez authentifier un paire à distance qui a
une adresse IP dynamique, ou plusieurs clients dialup
FortiGate/FortiClient en fonction d’un identifiant particulier.
Sélectionnez « Accepter cet identifiant» et entrez l’identifiant.
Pour un paire DDNS ou un client dialup FortiGate qui se
connecte via un tunnel dédié, cette valeur doit être identique
à la valeur dans le champ ID local de la configuration de la
passerelle en phase 1 sur le pair distant ou le client dialup.
Si vous configurez des paramètres d’authentification pour
des clients dialup FortiClient, référez-vous au document
Authenticating FortiClient Dialup Clients Technical Note. Si
plusieurs clients dialup FortiGate/FortiClient se connecteront
à travers le même tunnel VPN et utilisant le même identifiant
(partagé), le Mode doit être défini sur Aggressive.
partagée, sélectionnez « Accepter les identifiants du groupe
dialup » pour authentifier de multiples clients dialup
FortiGate/FortiClient qui utilisent des identifiants uniques et
des clés partagées pour se connecter au VPN à travers le
même tunnel VPN. Dans ce cas, vous devez créer un
groupe dialup dans un but d’authentification. Voir « Groupe
d’utilisateurs » à la page 330. Lorsque cette option est
sélectionnée, vous pouvez sélectionner le nom du groupe
dans la liste. Pour configurer des clients dialup FortiGate,
référez-vous au FortiGate IPSec VPN User Guide. Pour
configurer, des clients dialup FortiClient, référez-vous à la
note Authenticating FortiClient Dialup Clients Technical
Note. Le Mode doit être défini sur Aggressive lorsque les
clients dialup utilisent des identifiants et clés partagées
uniques. S’ils utilisent seulement des clés partagées

01-30001-0203-20060424
uniques, vous pouvez définir le Mode sur Main s’il n’y a
qu’une seule configuration dialup de la phase 1 pour cette
adresse IP d’interface.
• Lorsque la Méthode d’authentification est définie sur
Signature RSA, vous pouvez authentifier un (ou plusieurs)
paire à distance ou client dialup sur base d’un certificat de
sécurité particulier (ou partagé). Sélectionnez le nom du
certificat dans la liste. Le certificat doit être ajouté à la
configuration FortiGate via la commande CLI config user
paire avant qu’il ne puisse être sélectionné. Pour plus
d’informations, voir le chapitre « User » dans le FortiGate
CLI Reference. Si le paire ou client VPN à distance possède
une adresse IP dynamique, définissez le Mode sur
Aggressive.
• Lorsque la Méthode d’authentification est définie sur
Signature RSA, vous pouvez utiliser un groupe de certificats
pour authentifier les paires à distance et les clients dialup qui
ont des adresses IP dynamiques et utilisent des certificats
uniques. Sélectionnez le nom du groupe de la liste. Le
groupe doit être ajouté à la configuration FortiGate via les
commandes CLI config user paire et config user
peergrp avant qu’il ne puisse être sélectionné. Pour plus
d’informations, voir le chapitre « User » dans le FortiGate
CLI Reference. Si le paire ou client VPN à distance possède
une adresse IP dynamique, définissez le Mode sur
Aggressive.
Avancé ... Permet de définir les paramètres avancés de la phase 1. Voir
« Définition des paramètres avancés de la phase 1 » ci-dessous.
Définition des paramètres avancés de la phase 1

Les paramètres avancés de la Proposition Phase 1 permettent de sélectionner les
algorithmes de cryptage et d’authentification que le boîtier FortiGate utilise pour
générer des clés pour l’échange IKE. Des paramètres avancés supplémentaires de
la phase 1 peuvent être sélectionnés pour assurer une bonne opération des
négociations de la phase 1.
Pour modifier les paramètres avancés de la phase 1 IPSec, sélectionnez VPN >
IPSEC > Auto Key (IKE), cliquez sur Créer Phase 1 et ensuite sur Avancé.
Illustration 159 : Paramètres avancés de la Phase 1

01-30001-0203-20060424
Activer le mode Créer une interface virtuelle pour le fin locale du
interface IPSec tunnel VPN. Ceci n’est pas disponible en mode Transparent.
Passerelle IP locale Dans le cas où le mode Interface IPSec est activé, il faut
spécifier une adresse IP pour la fin locale du tunnel VPN.
Sélectionnez l’une des options suivantes :
• Interface IP principale – Le boîtier FortiGate obtient
l’adresse IP de l’interface à partir des paramètres dans
Système > Réseau > Interface (voir « Interface » à la page
61).
• Spécifier – Spécifier une adresse IP. Cette adresse IP
sera assignée à l’interface physique, agrégée ou VLAN
qui est sélectionnée à ce moment dans le champ Interface
locale de la phase 1 (voir « Interface locale » à la page
297).
Vous ne pouvez pas configurer le mode Interface dans un
VDOM en mode Transparent.
Proposition Phase 1 Sélectionnez les algorithmes de cryptage et d’authentification
qui seront utilisés pour générer des clés pour la protection des
négociations.
Ajouter ou supprimer des algorithmes de cryptage et
d’authentification tel que nécessaire.
Sélectionnez un minimum de 1 et un maximum de trois
combinaisons. Le paire ou client distant doit être configuré
pour utiliser au moins une des propositions que vous
définissez.
Vous pouvez sélectionner chacun des algorithmes à clés
symétriques suivants :
• DES – Digital Encryption Standard, un algorithme de 64
bits qui utilise une clé de 56 bits.
• 3DES – Triple- DES, avec lequel le texte clair est crypté
trois fois par trois clés.
• AES128 – un algorithme de 128 bits qui utilise une clé de
128 bits.
192 bits.
256 bits.
Vous pouvez sélectionner chacun des messages récapitulatifs
pour vérifier l’authenticité des messages pendant les
négociations de la phase 1 :
• MD5 – Message Digest 5, l’algorithme de hachage
développé par RSA Data Security.
• SHA1 – Secure Hash Algorithm 1, qui produit un message
résumé de 160 bits.
Pour ajouter une troisième combinaison, cliquez sur le bouton
+ à côté des champs de la seconde combinaison.
Groupe DH Sélectionnez un ou plusieurs groupes Diffie-Hellman des
groupes DH 1, 2 et 5. Lors de l’utilisation du mode agressif, les
groupes DH ne peuvent pas être négociés.
• Si les deux paires VPN (ou un serveur d’accès distant
VPN et son client) ont des adresses IP statiques et
utilisent un mode agressif, sélectionnez un seul groupe
DH.

01-30001-0203-20060424
Le paramétrage du boîtier FortiGate doit être identique au
paramétrage du paire distant ou du client dialup.
• Lorsque le paire VPN distant ou le client possède une
adresse IP dynamique et utilise un mode agressif,
sélectionnez jusqu’à trois groupes DH sur le boîtier
FortiGate et un groupe DH sur le paire à distance ou client
dialup. Le paramétrage du paire ou client distant doit être
identique à l’une des sélections du boîtier FortiGate.
• Si l’un des paire ou client VPN emploie le mode main,
vous pouvez sélectionner de multiples groupes DH. Au
moins, l’un des paramètres du paire ou client à distance
doit être identique aux sélections du boîtier FortiGate.
Durée de vie de la clef Entrez la période de temps (en secondes) avant que la clé de
cryptage IKE expire. Lors de l’expiration d’une clé, une autre
clé est générée sans interruption de service. La durée de vie
de la clé peut varier entre 120 et 172800 secondes.
ID local Si le boîtier FortiGate agit comme client VPN et que vous
utilisez des ID paire pour authentification, entrez l’identifiant
que le boîtier FortiGate fournira au serveur d’accès distant
VPN pendant l’échange de la phase 1.
Si le boîtier FortiGate agit comme client VPN et que vous
utilisez des certificats de sécurité pour authentification,
sélectionnez le nom DN (distinguished name) du certificat du
serveur local que le boîtier FortiGate utilisera pour
l’authentification.
Si le boîtier FortiGate est un client dialup et ne partagera pas
un tunnel avec d’autres clients dialup (ce qui signifie que le
tunnel sera dédié à ce client dialup FortiGate), définissez le
Mode sur Aggressive.
XAuth Cette option est fournie pour supporter l’authentification de
clients dialup. Si le boîtier FortiGate est un client dialup et que
vous sélectionnez « Activer en tant que client », entrez le nom
d’utilisateur et le mot de passe dont le boîtier FortiGate aura
besoin pour s’authentifier auprès du serveur à distance XAuth.
Si la passerelle est définie sur Utilisateur dialup et que les
clients dialup s’authentifieront comme membres d’un groupe
dialup, le boîtier FortiGate peut agir comme un serveur XAuth.
Pour pouvoir sélectionner « Activer en tant que serveur », vous
devez d’abord créer des groupes d’utilisateurs pour identifier
les clients dialup qui nécessitent un accès au réseau derrière
le boîtier FortiGate. Voir « Configuration d’un groupe
d’utilisateurs » à la page 333.
Vous devez également configurer le boîtier FortiGate pour
envoyer les requêtes d’authentification à un serveur
d’authentification externe RADIUS ou LDAP. Pour plus
d’informations à ce propos, voir « Configuration d’un serveur
RADIUS » à la page 326 et « Configuration d’un serveur
LDAP » à la page 328.
Sélectionnez un paramètre de Type de Serveur pour
déterminer le type de méthode de cryptage à utiliser entre un
boîtier FortiGate, un client XAuth et le serveur
d’authentification externe. Sélectionnez ensuite le groupe
d’utilisateurs dans la liste des Groupes Utilisateur.
Nat-traversal Activez cette option si un serveur NAT existe entre le boîtier
FortiGate local et le paire ou client VPN. Le boîtier FortiGate
local et le paire ou client VPN doivent avoir les mêmes
paramètres de NAT traversal (tous deux sélectionnés ou
désactivés).

01-30001-0203-20060424
Fréquence des keepalive Si vous activez NAT-traversal, entrez un paramètre de
fréquence des keepalive. Cette valeur représente un intervalle
entre 0 et 900 secondes.
DPD Dead Paire Detection – Activez cette option pour rétablir des
tunnels VPN sur des connexions inactives et se débarrasser
des paires IKE morts si nécessaire. Vous pouvez utiliser cette
option pour recevoir une notification à chaque fois qu’un tunnel
devient actif ou inactif. Vous pouvez aussi activer l’option pour
garder les connexions tunnel ouvertes lorsque aucun trafic
n’est généré à l’intérieur du tunnel (par exemple, dans les
scénarios où un client dialup ou paire DNS dynamique se
connecte d’une adresse IP qui change régulièrement – le trafic
peut être suspendu pendant que l’adresse IP change).
Lorsque l’option de DPD est activée, vous pouvez utiliser les
commandes CLI config vpn ipsec phase1 (mode tunnel)
ou config vpn ipsec phase1-interface (mode
interface) pour spécifier optionnellement un temps d’inactivité
court et long, un nombre d’essais et un intervalle entre chaque
tentative. Pour plus d’informations, voir le FortiGate CLI
Reference.
Création d’une nouvelle configuration phase 2

Après que les négociations de la phase 1 IPSec se terminent avec succès, la
phase 2 commence. Les paramètres de la phase 2 définissent les algorithmes que
le boîtier FortiGate pourrait utiliser pour crypter et transférer des données pour le
reste de la session. Pendant la phase 2, les associations spécifiques de sécurité
IPSec nécessaires à l’implémentation de services de sécurité sont sélectionnées et
un tunnel est établi.
Les paramètres de base de la phase 2 associent les paramètres IPSec de la phase

2 avec la configuration de la phase 1 et spécifient le point final à distance du tunnel
VPN. Dans la plupart des cas, vous n’avez besoin de configurer que les
paramètres de base de la phase 2.
Pour configurer les paramètres de la phase 2, sélectionnez VPN > IPSEC > Auto
Key (IKE) et cliquez sur Créer Phase 2.
Illustration 160 : Nouvelle Phase 2
Nom Entrez un nom pour identifier la configuration du tunnel.

Phase 1 Sélectionnez la configuration de la phase 1 à affecter à ce
tunnel. Voir « Création d’une nouvelle configuration phase 1 »
à la page 296. La configuration phase 1 décrit comment des
paires ou clients VPN à distance seront authentifiés sur ce
tunnel, et comment la connexion sera sécurisée.
Avancé Permet de définir les paramètres avancés de la phase 2. Voir
« Définition des paramètres avancés de la phase 2 » ci-
dessous.

01-30001-0203-20060424
Définition des paramètres avancés de la phase 2
Pendant la phase 2, le boîtier FortiGate et le paire ou client VPN s’échangent
encore des clés pour établir un canal de communication sécurisé entre eux. Les
paramètres de la proposition Phase 2 sélectionnent les algorithmes de cryptage et
d’authentification nécessaires à la génération de clés pour la protection des détails
d’implémentation de SA (Securtity Associations). Les clés sont générées
automatiquement via un algorithme Diffie-Hellman.
Un nombre de paramètres supplémentaires avancés de la phase 2 sont

disponibles pour améliorer l’opération du tunnel. Pour modifier les paramètres
avancés de la phase 2 IPSec, sélectionnez VPN > IPSEC > Auto Key (IKE),
cliquez sur Créer Phase 2 et ensuite sur Avancé.
Illustration 161 : Paramètres avancés de la Phase 2
Proposition Phase 2 Sélectionnez les algorithmes de cryptage et d’authentification

qui seront utilisés pour modifier les données en code crypté.
Ajoutez ou supprimez les algorithmes de cryptage et
d’authentification tel que requis.
Sélectionnez un minimum de 1 et un maximum de 3
combinaisons. Le paire à distance doit être configuré pour
utiliser au moins une des propositions que vous avez définies.
Vous pouvez sélectionner un des algorithmes à clés
symétriques suivants :
• NULL – Ne pas utiliser d’algorithme de cryptage.
• 3DES – Triple-DES, dans lequel le texte clair est crypté
trois fois par trois clés.
• AES128 – Un algorithme de 128 bits qui utilise une clé de
128 bits.
192 bits.
256 bits.

01-30001-0203-20060424
Vous pouvez sélectionner chacun des messages récapitulatifs
pour vérifier l’authenticité des messages pendant les
négociations de la phase 2 :
• NULL – Ne pas utiliser de message récapitulatif.
• MD5 – Message Digest 5, l’algorithme de hachage
développé par RSA Data Security.
résumé de 160 bits.
Pour spécifier une seule combinaison, affectez à la seconde
combinaison, la mention NULL. Pour ajouter une troisième
combinaison, cliquez sur le bouton + à côté des champs de la
seconde combinaison.
Activer l’option Facultativement, vous pouvez activer ou désactiver
« Replay detection » l’option “Replay Detection”. Les attaques rejouées ont lieu
lorsqu’une partie non autorisée intercepte une série de
paquets IPSec et les rejoue dans le tunnel.
Activer l’option« Perfect Activer ou désactiver PFS. Cette option améliore la sécurité
forward secrecy » (PFS) en forçant un nouvel échange Diffie-Hellman à chaque fois
qu’une durée de vie d’une clé expire.
Groupe DH Sélectionnez un groupe Diffie-Hellman (1, 2 ou 5). Le paire
distant ou client dialup doit être configuré pour utiliser le même
groupe.
Durée de vie Sélectionnez la méthode pour déterminer quand la clé
Tunnel toujours actif de la phase 2 expire : Secondes, Koctets ou les deux. Si vous
sélectionnez les deux, la clé expire soit quand la période de
temps s’est écoulée, soit lorsque le nombre de Ko a été traité.
Les intervalles s’étendent de 120 à 172800 secondes ou de
5120 à 2147483648 Ko. Activez l’option tunnel toujours actif si
vous désirez que le tunnel reste actif lorsque aucune donnée
n’est traitée.
DHCP-IPSec Activez cette option si le boîtier FortiGate agit comme serveur
dialup et qu’un relais DHCP FortiGate sera utilisé pour affecter
des adresses VIP aux clients dialup FortiClient. N’activez pas
cette option sur les boîtiers FortiGate qui agissent comme
clients dialup. Les paramètres du relais DHCP doivent être
configurés séparément. Pour plus d’informations, voir
« Système > DHCP » à la page 99.
Si le boîtier FortiGate agit comme serveur dialup et vous
affectez manuellement les adresses VIP des clients dialup
FortiClient qui correspondent au réseau derrière le serveur
dialup, sélectionnez Activer pour que le boîtier FortiGate
agisse comme proxy pour ses clients dialup.
Ceci n’est disponible que pour les configurations phase 2 en
mode tunnel associées à une configuration phase 1 dialup.
Quick Mode Selector Facultativement, vous pouvez spécifier les adresses IP source
et de destination à utiliser comme sélecteurs pour des
négociations IKE. Si le boîtier FortiGate est un serveur dialup,
la valeur par défaut 0.0.0.0/0 devrait être maintenue à moins
qu’il soit nécessaire de contourner des problèmes causés par
des adresses IP ambiguës entre un ou plusieurs réseaux
privés constituant le VPN. Vous pouvez spécifier une seule
adresse IP hôte, une plage d’adresses IP ou une adresse
réseau. Vous pouvez en option spécifier les numéros de ports
source et de destination et/ou un numéro de protocole.
Si vous éditez une configuration de tunnel phase 2
existante, les champs Adresse Source et Adresse

01-30001-0203-20060424
Destination sont indisponibles si le tunnel a été
configuré pour utiliser des adresses pare-feu comme
sélecteurs. Cette option n’existe que sur l’interface de
ligne de commande. Voir les mots-clés dst-addr-
type, dst-name, src-addr-type et src-name
de la commande vpn ipsec phase2 dans le
FortiGate CLI Reference.
Adresse source Si le boîtier FortiGate est un serveur dialup, entrez
l’adresse IP source qui corresponde à/aux
expéditeur(s) local/locaux ou au réseau derrière le
paire VPN local. Par exemple, 172.16.5.0/24 ou
172.16.5.0/255.255.255.0 pour un sous-
réseau, ou 172.16.5.1/32 ou
172.16.5.1/255.255.255.255 pour un serveur
ou un hôte, ou 192.168.10.[80-100] ou
192.168.10.80-192.168.10.100 pour une
plage d’adresses.
Une valeur de 0.0.0.0/0 représente toutes les
adresses IP derrière le paire VPN local. Si le boîtier
FortiGate est un client dialup, l’adresse source doit
référer au réseau privé derrière le client dialup
FortiGate.
Port source Entrez le numéro du port que le paire VPN local utilise pour
transporter le trafic lié au service spécifié (numéro du
protocole). L’intervalle varie entre 0 et 65535. Pour spécifier
tous les ports, entrez 0.
Adresse destination Entrez l’adresse IP de destination qui corresponde
aux destinataires ou réseau derrière le paire VPN
distant. Par exemple 192.168.20.0/24 pour un
sous-réseau, ou 172.16.5.1/32 pour un serveur
ou un hôte, ou 192.168.10.[80-100] pour une
plage d’adresses. Une valeur de 0.0.0.0/0
représente toutes les adresses IP derrière le paire
VPN à distance.
Port destination Entrez le numéro du port que le paire VPN à distance utilise
pour transporter le trafic lié au service spécifié (numéro de
protocole). L’intervalle varie entre 0 et 65535. Pour spécifier
tous les ports, entrez 0.
Protocole Entrez le numéro du protocole IP du service. L’intervalle varie
entre 1 et 255. Pour spécifier tous les ports, entrez 0.
Remarque : Vous pouvez permettre aux utilisateurs VPN de naviguer sur Internet à travers
le boîtier FortiGate. Pour ce faire, configurez une règle pare-feu IPSec supplémentaire avec
comme interface source et de destination l’interface publique FortiGate, l’adresse source all,
l’adresse de destination le réseau à distance et la translation en entrée activée. Pour plus
d’informations sur les règles pare-feu, voir « Configuration de règles pare-feu » à la page
232.
Clé Manuelle
Si nécessaire, vous pouvez définir manuellement des clés de cryptographie pour
l’établissement d’un tunnel VPN IPSec. Des clés manuelles peuvent être définies
dans les cas suivants :
• Une connaissance antérieure de la clé de cryptage et/ou d’authentification est
nécessaire (c’est-à-dire lorsque l’un des paires VPN requiert une clé spécifique
de cryptage et/ou d’authentification).

01-30001-0203-20060424
• Le cryptage et l’authentification doivent être désactivés.
Dans les deux cas, vous ne spécifiez pas les paramètres des phases 1 et 2 IPSec ;
au lieu de cela, vous définissez des clés manuelles sur la page VPN > IPSEC >
Clef Manuelle.
Remarque : Il y a toujours un risque dans la définition de clés manuelles car il faut compter
sur les administrateurs réseaux pour garder les clés confidentielles et la propagation
sécurisée de changements aux paires VPN à distance risque d’être difficile.
Illustration 162 : Liste des clés manuelles
Créer Nouveau Créer une nouvelle configuration de clé manuelle. Voir

« Création d’une nouvelle configuration à clé manuelle »
ci-dessous.
Nom du tunnel Les noms des configuration de clés manuelles existantes.
Passerelle Les adresses IP des paires distants ou des clients dialup.
Algorithme de chiffrement Les noms des algorithmes de chiffrement spécifiés dans
les configurations de clés manuelles.
Algorithme d’authentification Les noms des algorithmes d’authentification spécifiés
dans les configurations de clés manuelles.
Icônes Supprimer et Editer Permet de supprimer ou d’éditer une configuration de clé
manuelle.
Création d’une nouvelle configuration à clé manuelle

Si l’un des équipements VPN utilise des clés d’authentification et/ou de cryptage
pour établir un tunnel, les deux équipements VPN doivent être configurés pour
utiliser des clés d’authentification et/ou de cryptage identiques. De plus, il est
essentiel que ces deux équipements VPN soient configurés avec les paramètres
complémentaires SPI (Security Parameter Index).
Chaque SPI identifie un SA (Security Association). La valeur est placée dans des
datagrammes ESP pour lier les datagrammes au SA. Lorsqu’un datagramme est
reçu, le destinataire se réfère au SPI pour déterminer quel SA s’applique au
datagramme. Un SPI doit être spécifié manuellement pour chaque SA. Etant donné
qu’un SA s’applique à la communication dans une seule direction, vous devez
spécifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les
communications bidirectionnelles entre deux équipements VPN.
Attention : Si vous n’êtes pas familier avec les règles de sécurité, SA, sélecteurs et bases
de données SA, ne tentez pas la procédure suivante sans assistance qualifiée.
Pour spécifier des clés manuelles pour la création d’un tunnel, sélectionnez VPN >
IPSEC > Clef Manuelle et cliquez sur Créer Nouveau.

01-30001-0203-20060424
Illustration 163 : Nouvelle Clé Manuelle
Nom Entrez un nom pour le tunnel VPN. La longueur du nom ne doit

pas dépasser 15 caractères pour un VPN en mode interface,
35 caractères pour un VPN basé sur une règle.
SPI Local Entrez un nombre hexadécimal (jusqu’à 8 caractères, 0-9, a-f)
qui représente le SA qui traite le trafic sortant sur le boîtier
FortiGate local. L’intervalle s’étend de 0x100 à 0xffffffff. Cette
valeur doit correspondre à la valeur SPI Distant dans la
configuration de la clé manuelle du paire distant.
SPI Distant Entrez un nombre hexadécimal (jusqu’à 8 caractères, 0-9, a-f)
qui représente le SA qui traite le trafic entrant sur le boîtier
FortiGate local. L’intervalle s’étend de 0x100 à 0xffffffff. Cette
valeur doit correspondre à la valeur SPI Local dans la
configuration de la clé manuelle du paire distant.
Passerelle Entrez l’adresse IP de l’interface publique vers le paire distant.
L’adresse identifie le destinataire des datagrammes ESP.
Local Interface Cette option n’est disponible qu’en mode NAT/Route.
Sélectionnez le nom de l’interface physique, agrégée ou VLAN
à laquelle le tunnel IPSec sera lié. Le boîtier FortiGate obtient
l’adresse IP de l’interface dans les paramètres de Système >
Réseau > Interface (voir « Interface » à la page 61).
Algorithme de chiffrement Vous pouvez sélectionner un des algorithmes à clé symétrique
suivants :
• NULL – Ne pas utiliser d’algorithme de chiffrement.
• 3DES – Triple-DES, dans lequel le texte est crypté trois
fois par trois clés.
128 bits.
192 bits.
256 bits.
Clef de chiffrement Si vous avez sélectionné :

• DES, entrez un numéro hexadécimal de 16 symboles (0-9,
a-f).

01-30001-0203-20060424
• 3DES, entrez un nombre hexadécimal de 48 symboles (0-
9, a-f), séparé en trois segments de 16 symboles.
• AES128, entrez un nombre hexadécimal de 32 symboles
(0-9, a-f) , séparé en deux segments de 16 symboles.
(0-9, a-f) , séparé en trois segments de 16 symboles.
(0-9, a-f) , séparé en quatre segments de 16 symboles.
Algorithme Vous pouvez sélectionner un des messages
d’authentification récapitulatifs suivants:
• NULL – Ne pas utiliser de message récapitulatif.
• MD5 – Message Digest 5, algorithme qui produit un
message récapitulatif de 128 bits.
récapitulatif de 160 bits.
Clef d’authentification Si vous sélectionnez :
• MD5, entrez un nombre hexadécimal de 32 symboles (0-
9, a-f) séparé en deux segments de 16 symboles.
• SHA1, entrez un nombre hexadécimal de 40 symboles (0-
9, a-f) , séparé en un segment de 16 symboles et un
second de 24 symboles.
IPSec Interface Mode Créez une interface virtuelle pour la fin locale du tunnel VPN.
Cette commande n’est disponible qu’en mode NAT/Route.
Concentrateur
Dans une configuration « hub-and-spoke », les connexions à plusieurs paires
distants partent d’un seul boîtier FortiGate central. Les connexions site à site entre
les paires à distance n’existent pas ; cependant, des tunnels VPN entre deux des
paires à distance peuvent être établis à travers un hub FortiGate.
Dans un réseau « hub-and-spoke », tous les tunnels VPN se terminent au hub. Les
paires qui se connectent au hub sont connus sous le nom de « spokes ». Le hub
fonctionne comme un concentrateur sur le réseau, gérant toutes les connexions
VPN entre les « spokes ». Le trafic VPN passe d’un tunnel à un autre à travers le
hub.
Vous définissez un concentrateur pour inclure des « spokes » dans la configuration

« hub-and-spoke ».
Pour définir un concentrateur, sélectionnez VPN > IPSEC > Concentrateur.

01-30001-0203-20060424
Illustration 164 : Liste des concentrateurs
Créer Nouveau Définissez un nouveau concentrateur pour une configuration

IPSec hub-and-spoke. Voir « Définition des options d’un
concentrateur » ci-dessous.
Nom du concentrateur Les noms des concentrateurs VPN IPSec existants.
Membres Les tunnels qui sont associés aux concentrateurs.
Icônes Supprimer et Permet de supprimer ou d’éditer un concentrateur.
Editer
Définition des options d’un concentrateur

Une configuration de concentrateur spécifie quels spokes inclure dans une
configuration hub-and-spoke IPSec.
Pour spécifier les spokes d’une configuration hub-and-spoke IPSec, sélectionnez

VPN > IPSEC > Concentrateur et cliquez sur Créer Nouveau.
Illustration 165 : Nouveau Concentrateur VPN
Nom du concentrateur Entrez un nom pour le concentrateur.

Tunnels Disponibles Une liste de tunnels VPN IPSec définis. Sélectionnez un tunnel
de la liste et cliquez ensuite sur la flèche droite. Répétez cette
étape jusqu’à ce que tous les tunnels associés aux spokes
soient inclus dans le concentrateur.
Membres Une liste de tunnels membres du concentrateur. Pour enlever
un tunnel du concentrateur, sélectionnez le tunnel et cliquez
sur la flèche gauche.

01-30001-0203-20060424
Tunnels actifs
Cette page vous permet de visualiser l’activité des tunnels VPN IPSec, et
également de les démarrer ou de les arrêter. S’affichent à l’écran une liste
d’adresses, d’ID proxy et d’informations timeout pour tous les tunnels actifs, y
compris les tunnels en mode tunnel et en mode route (mode interface).
Pour visualiser les tunnels actifs, sélectionnez VPN > IPSEC > Tunnels actifs.
Illustration 166 : Liste des tunnels actifs
La liste des tunnels dialup fournit des informations sur le statut des tunnels établis
pour les clients dialup. La liste reprend les adresses IP de clients dialup et les
noms de tous les tunnels actifs. Le nombre de tunnels affichés dans la liste se
modifie quand un client dialup se connecte ou se déconnecte.
Icône Flush dialup tunnels Permet d’arrêter tous les tunnels dialup et le trafic passant à
travers tous les tunnels dialup. Les utilisateurs dialup auront
peut-être à se reconnecter pour établir des nouvelles sessions
VPN.
Icône Page suivante et Affiche la page suivante et précédente de la liste des
Page précédente statuts des tunnels dialup.
Nom Les noms de tunnels configurés.
Passerelle distante Lorsqu’un client dialup FortiClient établit un tunnel, le champ
Passerelle Distante affiche soit l’adresse IP publique et le port
UDP de la machine de l’hôte distant (sur lequel l’application
FortiClient Host Security est installée), soit, dans le cas où un
serveur NAT existe à l’avant de l’hôte distant, l’adresse IP
publique et le port UDP de l’hôte distant.
Lorsqu’un client dialup FortiGate établit un tunnel, le champ
Passerelle Distante affiche l’adresse IP publique et le port UDP
du client dialup FortiGate.
Compte utilisateur L’ID du paire, le nom du certificat ou le nom utilisateur XAuth
du client dialup ( dans le cas où ces éléments ont été affectés
au client dialup dans le but d’une authentification).
Timeout La période de temps avant le prochain échange de clés de la
phase 2. Ce temps est calculé en soustrayant le temps passé
depuis le dernier échange de clés de la durée de vie de la clé.
Lorsque la clé de la phase 2 expire, une nouvelle clé est
générée sans interruption de service.
ID Proxy Source Les adresses IP des hôtes, serveurs ou réseaux privés situés
derrière le boîtier FortiGate. Une plage de réseau s’affiche si
l’adresse source de la règle pare-feu de chiffrement a été
exprimée sous forme de plage d’adresses IP.

01-30001-0203-20060424
ID Proxy Destination Lorsqu’un client dialup FortiClient établit un tunnel :
• Si les adresses VIP ne sont pas utilisées et que l’hôte
distant se connecte à Internet directement, le champ
Proxy ID Destination affiche l’adresse IP publique de la
NIC (Network Interface Card) dans l’hôte distant.
• Si les adresses VIP ne sont pas utilisées et l’hôte distant
est derrière un serveur NAT, le champ Proxy ID
Destination affiche l’adresse IP privée de la NIC dans
l’hôte distant.
• Si les adresses VIP ont été configurées (manuellement ou
à travers un relais FortiGate DHCP), le champ Proxy ID
Destination affiche soit l’adresse VIP appartenant à un
client dialup FortiClient, soit l’adresse d’un sous-réseau à
partir duquel les adresses VIP ont été affectées.
Lorsqu’un client dialup FortiGate établit un tunnel, le champ
Proxy ID Destination affiche l’adresse IP du réseau privé
distant.
Icône Tunnel up et tunnel Une flèche verte pointant vers le haut signifie que le
down tunnel est en train de traiter du trafic. Une flèche rouge
pointant vers le bas signifie que le tunnel n’est pas en train de
traiter du trafic.
La liste de tunnels IP statiques et de tunnels DNS dynamiques fournit des
informations à propos des tunnels VPN aux paires à distance qui ont des adresses
IP statiques ou des noms de domaine. Cette liste permet de visualiser les statuts et
informations sur les adressages IP pour chaque configuration de tunnel. Vous
pouvez également commencer ou arrêter des tunnels individuels à partir de cette
liste.
Icône Page suivante et Affiche la page précédente ou suivante de la liste des

Page précédente statuts des tunnels VPN.
Nom Les noms des tunnels configurés.
Passerelle distante Les adresses IP et les ports UDP des passerelles. Pour les
tunnels DNS dynamiques, les adresses IP sont mises à jour
dynamiquement.
Timeout La période de temps avant le prochain échange de clés de la
phase 2. Ce temps est calculé en soustrayant le temps passé
depuis le dernier échange de clés de la durée de vie de la clé.
Lorsque la clé de la phase 2 expire, une nouvelle clé est
générée sans interruption de service.
ID Proxy Source Les adresses IP des hôtes, serveurs ou réseaux privés
derrière le boîtier FortiGate. Une plage de réseaux s’affiche si
l’adresse source de la règle pare-feu de chiffrement a été
exprimée sous forme de plage d’adresses IP.
ID Proxy Destination Les adresses IP des hôtes, serveurs et réseaux privés derrière
le boîtier FortiGate distant.
Icône Tunnel up et tunnel Une flèche verte pointant vers le haut signifie que le
down tunnel est en train de traiter du trafic. Une flèche rouge
pointant vers le bas signifie qu’aucun traitement de trafic par le
tunnel n’est en cours.

01-30001-0203-20060424
VPN PPTP
Le boîtier FortiGate supporte PPTP pour créer un tunnel pour le trafic PPP entre
deux paires VPN. Les clients Windows et Linux peuvent établir un tunnel PPTP
avec un boîtier FortiGate configuré comme serveur PPTP. Comme alternative,
vous pouvez configurer le boîtier FortiGate pour envoyer des paquets PPTP vers
un serveur PPTP sur le réseau derrière le boîtier FortiGate.
Le VPN PPTP est uniquement disponible en mode NAT/Route.
Cette section explique comment utiliser l’interface d’administration web pour

spécifier une plage d’adresses IP pour les clients PPTP. Pour toute information sur
la mise en place du VPN PPTP, voir le FortiGate PPTP VPN User Guide.
Cette section parcourt la plage PPTP.
Plage PPTP
Vous pouvez spécifier une plage d’adresses PPTP sur la page Plage PPTP. La
plage d’adresses PPTP est une plage d’adresses réservée aux clients PPTP
distants. Lorsqu’un client PPTP distant se connecte, le boîtier FortiGate affecte une
adresse IP d’une plage d’adresses IP réservées à l’interface PPTP du client. Le
client PPTP utilise l’adresse IP affectée comme adresse source pendant la durée
de la connexion.
Pour activer PPTP et spécifier la plage d’adresses PPTP, sélectionnez VPN >
PPTP > Plage PPTP, sélectionnez les options requises et cliquez ensuite sur
Appliquer.
Illustration 167 : Editer la plage PPTP
Activer PPTP Avant de pouvoir sélectionner cette option, vous devez ajouter
un groupe d’utilisateurs. Voir « Groupe d’utilisateurs » à la
page 330.
IP début de plage Entrez l’adresse de départ de la plage d’adresses IP
réservées.
IP fin de plage Entrez l’adresse de fin de la plage d’adresses IP réservées.
Groupe Utilisateur Sélectionnez le nom du groupe d’utilisateurs PPTP que vous
avez défini.
Désactiver PPTP Désactive le support PPTP.

01-30001-0203-20060424
VPN SSL
Cette section fournit les informations sur les fonctionnalités de la page VPN > SSL
dans l’interface d’administration web. Le boîtier FortiGate supporte ces
fonctionnalités en mode NAT/Route uniquement.
Remarque : Pour davantage d’instructions détaillées sur la configuration des opérations en

mode web et mode tunnel, voir le FortiGate SSL VPN User Guide.

• Configuration
• Monitor
Configuration
La page Config comporte les paramètres de base VPN SSL y compris des valeurs
timeout et des préférences de cryptage SSL. Si nécessaire, vous pouvez
également activer l’utilisation de certificats digitaux pour l’authentification des
clients distants.
Remarque : Si nécessaire, vous pouvez activer le cryptage SSL version 2 (compatible avec
des navigateurs plus anciens) à partir de l’interface de ligne de commande. Pour plus
d’informations, voir « SSL Settings » dans le chapitre « VPN » du FortiGate CLI Reference.
Sélectionnez VPN > SSL > Config pour un affichage des paramètres de
configuration SSL en cours.
Illustration 168 : Paramètres VPN SSL
Activer SSL-VPN Active les connexions VPN SSL.

01-30001-0203-20060424
Port de Login Facultativement, entrez un numéro de port HTTPS
différent pour les navigateurs web des clients distants
pour se connecter au boîtier FortiGate. Le numéro de port
par défaut est 10443.
Plage IP du tunnel Spécifiez la plage d’adresses IP réservées pour les clients
VPN SSL en mode tunnel. Entrez les adresses de départ
et de fin qui définissent la plage d’adresses IP réservées.
Certificat Serveur Sélectionnez le certificat serveur signé à utiliser pour le
processus d’authentification. Si vous maintenez le
paramétrage par défaut (Self-Signed), le boîtier FortiGate
propose son certificat installé par défaut par Fortinet aux
clients distants lors de leurs connexions.
Nécessite un certificat client Sélectionnez cette option si vous désirez permettre
l’utilisation de certificats de groupes pour l’authentification
de clients distants. Par après, lorsque le client distant initie
une connexion, le boîtier FortiGate génère un message
chez lui concernant sa partie du certificat, ceci faisant
partie du processus d’authentification.
Algorithme de la clé de Sélectionnez l’algorithme pour la création d’une
cryptage connexion sécurisée SSL entre le navigateur web du
client distant et le boîtier FortiGate.
Nécessite une longueur Sélectionnez cette option pour le navigateur web d’un
de clé>=128bit(défaut) client distant capable de correspondre à une suite de
chiffres de 128 bits et plus.
Nécessite une longueur Si le navigateur web d’un client distant est capable
de clé>128bit(haute) de correspondre à un haut niveau de cryptage SSL,
sélectionnez cette option pour activer des suites de
chiffres utilisant plus de 128 bits pour crypter les données.
Nécessite une longueur Si vous n’êtes pas certain du niveau de cryptage SSL
de clé>=64bit(basse) que supporte le navigateur web du client distant,
sélectionnez cette option pour activer une suite de chiffres
de 64 bits et plus.
Idle Timeout Timeout d’inactivité : Entrez la période de temps (en
secondes) pendant laquelle la connexion peut rester
inactive avant de forcer l’utilisateur à se reconnecter.
L’intervalle varie entre 10 et 28800 secondes. Ce
paramètre s’applique à la session VPN SSL. La connexion
ne se coupe pas tant que des sessions d’application web
ou des tunnels sont activés.
Message du portail Facultativement, entrez le message personnalisé que
vous désirez voir apparaître sur le portail.
Avancé (Serveurs DNS et WINS)
Serveur DNS #1 Entrez jusqu’à deux Serveurs DNS fournis pour une
Serveur DNS #2 utilisation clients.
Serveur WINS #1 Entrez jusqu’à deux Serveurs WINS fournis pour une
Serveur WINS #2 utilisation clients.

01-30001-0203-20060424
Monitor
Vous pouvez afficher une liste de toutes les sessions actives VPN SSL. La liste
affiche le nom utilisateur de l’utilisateur distant, son adresse IP et l’heure à laquelle
la connexion a été initiée. La liste répertorie également quels services sont fournis.
Pour visualiser la liste des sessions actives VPN SSL, sélectionnez VPN > SSL >
Monitor.
Illustration 169 : Liste Monitor
No. L’identificateur de la connexion.

Utilisateur Les noms utilisateurs de tous les utilisateurs distants connectés.
IP Source Les adresses IP des hôtes connectés au boîtier FortiGate.
Heure de début L’heure de début de chaque connexion.
Description Des informations sur les services fournis. Lorsqu’un utilisateur en
mode tunnel est connecté, le champ Description affiche l’adresse IP
que le boîtier FortiGate affecte au client distant.
Icône Supprimer Supprime un tunnel.

01-30001-0203-20060424
Certificats VPN
Cette section explique comment gérer les certificats de sécurité X.509 à partir de
l’interface d’administration web FortiGate. Ce module vous apprend à générer des
requêtes de certificat, installer des certificats signés, importer le certificat de
l’autorité de certification et des listes de révocation, sauvegarder et restaurer des
certificats et leurs clés privées associées. Pour plus d’informations, voir le
FortiGate Certificate Management User Guide.

• Certificats locaux
• Certificats CA
• CRL
Certificat locaux
Les requêtes de certificat et les certificats serveurs installés sont affichés dans la
liste des Certificats Locaux. Après avoir soumis une requête à une autorité de
certification (AC), cette dernière vérifie les informations et enregistre les
informations de contact sur un certificat digital qui contient un numéro de série, une
date d’expiration et la clé publique de l’autorité de certification. L’AC va ensuite
signer et vous envoyer le certificat à installer sur votre boîtier FortiGate.
Pour visualiser des requêtes de certificat et/ou importer des certificats de serveur
signés, sélectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les
détails du certificat, sélectionnez l’icône Voir les Détails du Certificat du certificat
concerné.
A la première ligne de l’illustration 170 s’affiche une requête de certificat et à la

deuxième ligne, un certificat serveur signé.
Illustration 170 : Liste des Certificats Locaux
Générer Génère une requête de certificat local. Voir « Générer une

requête de certificat » à la page 317.
Importer Importer un certificat local signé. Voir « Importation d’un
certificat serveur signé » à la page 319.
Nom Les noms des certificats locaux existants et des requêtes de
certificat en suspens.
Sujet Les DS (Distinguished Names) des certificats signés locaux.
Etat Le statut du certificat local. PENDING désigne une requête de
certificat nécessitant un téléchargement et une signature.

01-30001-0203-20060424
Icône Voir les Détails Affiche les détails du certificat tels que le nom du
du Certificat certificat, l’émetteur, le sujet et les dates de validité. Voir
Illustration 171.
Icône Supprimer Supprime la requête de certificat sélectionnée ou le certificat
serveur installé lors de la configuration FortiGate.
Icône Sauvegarder Sauvegarde une copie de la requête du certificat sur un
ordinateur local. Envoyez la requête à votre autorité de
certification pour obtenir un certificat serveur signé pour le
boîtier FortiGate.
Illustration 171 : Informations détaillées sur le certificat
Pour des informations détaillées et des procédures pas à pas pour l’obtention et
l’installation des certificats digitaux, voir le FortiGate Certificate Management User
Guide.
Générer une requête de certificat

Le boîtier FortiGate génère une requête de certificat basée sur les informations
entrées pour identifier le boîtier FortiGate. Les requêtes générées sont affichées
dans la liste des Certificats Locaux avec le statut PENDING. Après avoir généré
une requête de certificat, vous pouvez télécharger la requête sur un ordinateur qui
possède un accès administratif au boîtier FortiGate et transférer ensuite la requête
à une autorité de certification (AC).
Pour compléter une requête de certificat, sélectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Générer. Pour télécharger et transférer une
requête de certificat, voir « Téléchargement et soumission d’une requête de
certificat » à la page 318.
Illustration 172 : Générer des Requêtes de Signature de Certificat

01-30001-0203-20060424
Nom du certificat Entrez un nom au certificat. En général, il s’agit du nom du
boîtier FortiGate. Pour activer l’exportation d’un certificat signé
sous forme d’un fichier PKCS12 si nécessaire, même plus
tard, ne pas inclure d’espace dans le nom.
Information sur le sujet Entrez les informations requises pour identifier le boîtier
FortiGate :
• Si le boîtier FortiGate possède une adresse IP statique,
sélectionnez Adresse IP de l’hôte et entrez l’adresse IP
publique du boîtier FortiGate. Si celui-ci ne possède pas
d’adresse IP publique, utilisez à la place une adresse mail
(ou un nom de domaine si disponible).
• Si le boîtier FortiGate possède une adresse IP
statique et souscrit à un service DNS dynamique,
utilisez un nom de domaine si disponible pour
identifier le boîtier FortiGate. Si vous
sélectionnez Nom de Domaine, entrez le FQDN
du boîtier FortiGate. Ne pas inclure le protocole
de spécification (http://) ni numéro de port ni
noms de chemin. Si un nom de domaine n’est
pas disponible et que le boîtier FortiGate souscrit
à un service dynamique DNS, un message de
type « Unable to verify certificate »
(« Impossibilité de vérifier le certificat ») peut
s’afficher dans une fenêtre du navigateur à
chaque changement d’adresse IP publique du
boîtier FortiGate.
• Si vous sélectionnez Mail, entrez l’adresse mail
du propriétaire du boîtier FortiGate.
Unité organisationnelle Facultativement, entrez le nom de votre département.
Organisation Facultativement, entrez le nom légal de votre
entreprise ou organisation.
Localité (Ville) Facultativement, entrez le nom de la ville où est situé
le boîtier FortiGate.
Etat/Province Facultativement, entrez le nom de l’état, de la
province ou du département où est situé le boîtier
FortiGate.
Pays Facultativement, entrez le nom du pays où est situé le
boîtier FortiGate.
Mail Facultativement, entrez l’adresse mail de contact.
Type de clef Seul RSA est supporté.
Longueur de la clef Choisissez entre 1024bit, 1536bit et 2048bit. Les plus
grandes clés sont plus lentes à générer mais
procurent une sécurité plus accrue.
Téléchargement et soumission d’une requête de certificat

Vous devez compléter une requête de certificat et générer la requête avant
de pouvoir soumettre les résultats à l’autorité de certification. Pour plus
d’informations, voir « Générer une requête de certificat » à la page 317.
Télécharger et soumettre une requête de certificat
1 Sélectionnez VPN > Certificats > Certificats Locaux.

2 Dans la liste des Certificats locaux, sélectionnez l’icône Sauvegarder de la requête
de certificat générée.

01-30001-0203-20060424
3 Dans la boîte de dialogue de Sauvegarde du Fichier, sélectionnez Sauvegarder.
4 Nommez le fichier et sauvegardez-le dans le système de fichiers locaux.
5 Soumettez votre requête à votre autorité de certification de la manière suivante :
• A partir du navigateur web sur l’ordinateur d’administration, allez sur le site
web de l’autorité de certification.
• Suivez les instructions de l’autorité de certification pour effectuer une requête
de certificat au format PKCS#10 encodé en base64 et téléchargez votre
requête de certificat.
• Suivez les instructions de l’autorité de certification pour télécharger leur
certificat et leur liste de révocation (Certificate Revocation List), et installez-les
ensuite sur chaque client à distance (référez-vous à la documentation du
navigateur).
6 Lors de la réception du certificat signé de l’AC, installez-le sur le boîtier FortiGate.
Voir « Importation d’un certificat serveur signé » ci-dessous.
Importation d’un certificat serveur signé

Votre autorité de certification va vous fournir un certificat serveur signé à installer
sur le boîtier FortiGate. Lors de la réception de ce certificat, sauvegardez-le sur un
ordinateur qui possède un accès administratif au boîtier FortiGate.
Pour installer le certificat serveur signé, sélectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Importer. Installez le certificat à partir de la boîte
de dialogue de téléchargement du certificat local en haut de la page. Le fichier du
certificat peut se trouver sous le format PEM ou DER. Les autres boîtes de
dialogue servent à importer des certificats exportés précédemment et leurs clés
privées.
Illustration 173 : Télécharger le certificat local
Télécharger le fichier Entrez le chemin complet et le nom du fichier du certificat

serveur signé.
Browse Alternativement, accédez au certificat sauvegardé sur
l’ordinateur d’administration, sélectionnez alors le certificat et
cliquez sur OK.
Importation d’un certificat serveur exporté et de sa clé privée

Le certificat serveur et sa clé privée à importer doivent avoir été exporté
précédemment sous forme d’un fichier unique PKCS12 à partir de la commande
CLI execute vpn certificate key export. Ce fichier est associé à un mot
de passe nécessaire à son importation. Avant de commencer, sauvegardez une
copie du fichier sur un ordinateur qui possède un accès administratif au boîtier
FortiGate. Pour plus d’informations, se référer au FortiGate Certificate
Management User Guide.

01-30001-0203-20060424
Pour importer le fichier PKCS12 ; sélectionnez VPN > Certificats > Certificats
Locaux et cliquez sur Importer.
Illustration 174 : Télécharger le certificat PKCS12
Certifier avec un fichier clé Entrez le chemin complet et le nom du fichier du fichier
PKCS12 exporté précédemment.
Browse Alternativement, accédez au fichier PKCS12 sauvegardé sur
l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.
Mot de passe Entrez le mot de passe requis pour télécharger le fichier
PKCS12.
Importation de fichiers séparés de certificat serveur et leur clé privée

A partir de la boîte de dialogue de téléchargement de certificat, importez les
fichiers du certificat serveur et de sa clé privée associée lorsque la requête de
certificat et la clé privée n’ont pas été générées par le boîtier FortiGate. Les deux
fichiers à importer doivent être disponibles sur l’ordinateur d’administration.
Illustration 175 : Télécharger le certificat
fichier certificat Entrez le chemin complet et le nom du fichier du certificat

exporté précédemment.
Fichier clé Entrez le chemin complet et le nom du fichier de la clé exporté
précédemment
Mot de passe Entrez, si requis, le mot de passe pour télécharger et ouvrir les
fichiers.
Certificats CA
Lorsque vous appliquez pour un certificat personnel (administratif) ou de groupe à
installer sur des clients distants, vous devez obtenir le certificat racine
correspondant et la liste de révocation (CRL) de votre autorité de certification.
A la réception du certificat personnel ou de groupe, installez-le sur les clients

distants en respectant les procédures décrites dans la documentation du
navigateur. Installez le certificat racine et le CRL de votre autorité de certification
sur votre boîtier FortiGate.
Les certificats CA installés sont affichés dans la liste de Certificats CA. Pour
visualiser des certificats racines AC installés ou pour en importer,sélectionnez VPN

01-30001-0203-20060424
> Certificats > Certificats CA. Pour visualiser les détails du certificat racine,
sélectionnez l’icône Voir les détails du certificat du certificat concerné.
Illustration 176 : Liste des certificats CA
Importer Importez un certificat racine CA. Voir « Importation de

certificats de l’autorité de certification » ci-dessous.
Nom Les noms des certificats racines CA existants. Le
boîtier FortiGate affecte des noms uniques
(CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.) aux
certificats AC lors de leur importation.
Sujet Informations sur l’ autorité de certification
émettrice.
Icône Supprimer Supprime un certificat racine CA de la configuration
FortiGate.
Icône Voir les Détails du Certificat Affiche les détails du certificat.
Icône Sauvegarder Sauvegardez une copie du certificat racine CA sur un
ordinateur local.
Pour des informations détaillées et des procédures pas à pas pour l’obtention et
l’installation de certificats digitaux, se référer au FortiGate Certificate Management
User Guide.
Importation de certificats de l’autorité de certification

Après avoir téléchargé le certificat racine de l’ autorité de certification, sauvegardez
le certificat sur un ordinateur qui possède un accès administratif au boîtier
FortiGate.
Pour importer un certificat racine CA, sélectionnez VPN > Certificats > Certificats
CA et cliquez sur Importer.
Illustration 177 : Télécharger un certificat CA
Télécharger le fichier Entrez le chemin complet et le nom de fichier du certificat

racine CA.
Browse Alternativement, accédez au certificat sauvegardé sur
l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.

01-30001-0203-20060424
Le système affecte un nom unique à chaque certificat. Les noms sont numérotés
consécutivement (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.).
CRL
Une liste de Révocation de Certificat (CRL) est une liste de souscripteurs de
certificat CA et des informations sur le statut du certificat. Les CRL installés sont
affichés dans la liste CRL. Le boîtier FortiGate utilise des CRL pour s’assurer de la
validité des certificats appartenant à des AC et à des clients distants.
Pour visualiser des CRL installés ou un CRL importé/mis à jour, sélectionnez VPN
> Certificats > CRL.
Illustration 178 : Liste de révocation de certificat
Importer Importe un CRL. Voir « Importation d’une liste de révocation de

certificat » ci-dessous.
Nom Les noms des listes de révocation de certificat existantes. Le
boîtier FortiGate affecte des noms uniques (CRL_1, CRL_2,
CRL_3, etc.) aux listes lors de leur importation.
Sujet Informations sur les listes de révocation de certificat.
Icône Supprimer Supprime le CRL sélectionné de la configuration FortiGate.
Illustration 179 : Détails d’un certificat CA
Importation d’une liste de révocation de certificat

Il est conseillé d’accéder régulièrement à des listes de révocation de certificat sur
les sites web des AC et de mettre à jour les informations correspondantes sur le
boîtier FortiGate pour s’assurer que les clients dont les certificats ont été révoqués
ne puissent plus établir de connexions avec le boîtier FortiGate. Après avoir
télécharger un CRL d’un site web d’une AC, sauvegardez-le sur un ordinateur qui
possède un accès administratif vers le boîtier FortiGate.
Pour importer une liste de révocation de certificat, sélectionnez VPN > Certificats
> CRL et cliquez sur Importer.

01-30001-0203-20060424
Illustration 180 : Télécharger CRL
Télécharger le fichier Entrez le chemin complet et le nom de fichier du CRL.

Browse Alternativement, accédez au CRL sauvegardé sur l’ordinateur
d’administration, sélectionnez-le et cliquez sur OK.
Le système affecte un nom unique à chaque CRL. Les noms sont numérotés
consécutivement (CRL_1, CRL_2, CRL_3, etc.).

01-30001-0203-20060424
Utilisateur
Cette section explique comment installer des comptes utilisateurs, des groupes
d’utilisateurs et des serveurs d’authentification externes. Certains composants de
l’authentification de l’utilisateur permettent de contrôler l’accès aux ressources du
réseau.

• Configuration de l’authentification d’un utilisateur
• Comptes utilisateurs locaux
• Serveurs RADIUS
• Serveurs LDAP
• Serveurs Windows AD
• Groupe d’utilisateurs
• Configuration de paires et de groupes paires
Configuration de l’authentification d’un utilisateur

L’authentification FortiGate contrôle l’accès par les groupes utilisateurs. La création
de groupes d’utilisateurs n’est pas la première étape de la configuration de
l’authentification. Vous devez configurer l’authentification d’un utilisateur en
respectant l’ordre suivant :
1 Si une authentification externe utilisant des serveurs RADIUS ou LDAP est

requise, configurez l’accès à ces serveurs. Voir « Serveurs RADIUS » à la page
326 et « Serveurs LDAP » à la page 327.
2 Configurez des comptes utilisateurs locaux dans Utilisateur > Local. Pour chaque
utilisateur, le mot de passe peut être authentifié par le boîtier FortiGate, un serveur
RADIUS ou un serveur LDAP. Voir « Comptes utilisateurs locaux » à la page 325.
3 En cas d’utilisation d’un serveur Microsoft Windows Active Directory pour
l’authentification, configurez-en l’accès. Voir « Configuration d’un serveur Windows
AD » à la page 329. Les utilisateurs authentifiés par un serveur Active Directory
n’ont pas besoin de comptes utilisateurs locaux sur le boîtier FortiGate. Vous
devez installer les Fortinet Server Authentication Extensions (FSAE) sur votre
réseau Windows.
4 Créez des groupes d’utilisateurs dans Utilisateur > Groupe utilisateur et ajoutez-
y des membres. Il y a trois types de groupes d’utilisateurs : Pare-feu, Active
Directory et VPN SSL.
Paramétrage du timeout d’authentification

Les timeouts d’authentification contrôlent combien de temps une connexion pare-
feu authentifiée peut rester inactive avant que l’utilisateur ne doive s’authentifier à
nouveau.

01-30001-0203-20060424
Définir un timeout d’authentification
1 Sélectionnez Système > Admin > Settings.

2 Dans Paramètres de Timeout Utilisateur, entrez une période de temps en minutes.
Le timeout d’authentification par défaut est de 15 minutes.
Comptes utilisateurs locaux

Sélectionnez Utilisateur > Local pour ajouter des comptes utilisateurs locaux et
configurer une authentification.
Illustration 181 : Liste des utilisateurs locaux
Créer Nouveau Permet d’ajouter un nouveau compte utilisateur local.

Nom des utilisateurs Le nom de l’utilisateur local.
Type Le type d’authentification à mettre en place pour cet utilisateur.
Icône Supprimer Supprimer l’utilisateur. Cette icône n’apparaît pas si l’utilisateur
appartient à un groupe d’utilisateurs.
Icône Editer Permet d’éditer le compte utilisateur.
Remarque : Supprimer le nom utilisateur supprime également l’authentification configurée

pour l’utilisateur.
Edition d’un compte utilisateur

Sélectionnez Utilisateur > Local et cliquez sur Créer Nouveau pour créer un
nouveau compte utilisateur. Vous pouvez également sélectionner l’icône Editer
d’un compte utilisateur existant pour visualiser ou modifier ses paramètres.
Illustration 182 : Options des utilisateurs locaux
Nom de compte Entrez ou modifiez le nom du compte.

Désactiver Cochez cette case si vous voulez empêcher cet utilisateur de
s’authentifier.
Mot de passe Sélectionnez un mot de passe pour authentifier cet utilisateur à
partir d’un mot de passe stocké sur le boîtier FortiGate. Entrez
un mot de passe d’au moins 6 caractères de long.
LDAP Cochez LDAP pour authentifier cet utilisateur à partir d’un mot
de passe stocké sur un serveur LDAP. Sélectionnez le serveur
LDAP. Vous pouvez seulement sélectionner un serveur LDAP

01-30001-0203-20060424
qui a été ajouté à la configuration LDAP FortiGate. Voir
« Serveurs LDAP » à la page 327.
RADIUS Cochez RADIUS pour authentifier cet utilisateur à partir d’un
mot de passe stocké sur un serveur RADIUS. Sélectionnez le
serveur RADIUS. Vous pouvez seulement sélectionner un
serveur RADIUS qui a été ajouté à la configuration RADIUS
FortiGate. Voir « Serveurs RADIUS » ci-dessous.
Serveurs RADIUS
Si vous avez configuré un support RADIUS et qu’un utilisateur doit s’authentifier à
l’aide d’un serveur RADIUS, le boîtier FortiGate contacte ce serveur pour
authentification. Sélectionnez Utilisateur > RADIUS pour configurer les serveurs
RADIUS.
Le port par défaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS
utilise le port 1645, vous pouvez modifier le port RADIUS par défaut à partir de
l’interface de ligne de commande. Pour plus d’informations,voir la commande
config system global dans le FortiGate CLI Reference.
Illustration 183 : Liste des serveurs RADIUS
Créer Nouveau Permet d’ajouter un nouveau serveur RADIUS.

Nom Le nom du serveur RADIUS.
Nom/Adresse IP Le nom de domaine ou l’adresse IP du serveur RADIUS.
Icône Supprimer Supprime une configuration de serveur RADIUS. Vous ne
pouvez pas supprimer un serveur RADIUS qui a été ajouté à
un groupe d’utilisateurs.
Icône Editer Editer une configuration de serveur RADIUS.
Configuration d’un serveur RADIUS

Sélectionnez Utilisateur > RADIUS et cliquez sur Créer Nouveau pour créer une
nouvelle configuration de serveur RADIUS. Vous pouvez également cliquer sur
l’icône Editer d’un serveur RADIUS existant pour le modifier.
Illustration 184 : Configuration RADIUS
Nom Entrez un nom pour identifier le serveur RADIUS.

Nom/Adresse IP Entrez un nom de domaine ou une adresse IP d’un serveur
RADIUS.
Secret Entrez le secret du serveur RADIUS.

01-30001-0203-20060424
Serveurs LDAP
Si vous avez configuré un support LDAP et qu’un utilisateur doit s’authentifier à
l’aide d’un serveur LDAP, le boîtier FortiGate contacte ce serveur pour
authentification. Pour authentifier avec le boîtier FortiGate, l’utilisateur entre un
nom d’utilisateur et un mot de passe. Le boîtier FortiGate envoie ces informations
au serveur LDAP. Si ce serveur peut authentifier l’utilisateur, celui-ci est connecté
avec succès au boîtier FortiGate. Si le serveur LDAP ne peut pas authentifier
l’utilisateur, la connexion au boîtier FortiGate lui est refusée.
Le boîtier FortiGate supporte la fonctionnalité du protocole LDAP définie dans la

RFC2251 pour la recherche et la validation des noms d’utilisateurs et mots de
passe. FortiGate LDAP supporte tous les serveurs LDAP compatibles avec LDAP
v3.
Le support FortiGate LDAP ne couvre pas les fonctionnalités « privées », telle que
la notification de la date d’expiration d’un mot de passe, qui est parfois disponible
sur certains serveurs LDAP.
Le support FortiGate LDAP ne fournit pas d’informations à l’utilisateur sur les
raisons de l’échec de l’authentification.
Sélectionnez Utilisateur > LDAP pour configurer les serveurs LDAP.
Illustration 185 : Liste des serveurs LDAP
Créer Nouveau Ajoute un nouveau serveur LDAP.

Nom Le nom d’identification du serveur LDAP sur le boîtier
FortiGate.
Nom/Adresse IP Le nom de domaine ou l’adresse IP du serveur LDAP.
Port Le port utilisé pour communiquer avec le serveur LDAP.
Identifiant Nom Commun L’identifiant nom commun pour le serveur LDAP. Pour la
plupart des serveurs LDAP cet identifiant est cn. Cependant
certains serveurs utilisent un autre l’identifiant tel que uid.
Distinguished Name Le distinguished name utilisé pour rechercher des entrées
dans le serveur LDAP. Le distinguished name reflète la
hiérarchie des classes d’objets des bases de données LDAP
au-dessus de l’Identifiant Nom Commun.
Icône Supprimer Supprime une configuration de serveur LDAP.
Icône Editer Edite une configuration de serveur LDAP.

01-30001-0203-20060424
Configuration d’un serveur LDAP
Sélectionnez Utilisateur > LDAP et cliquez sur Créer Nouveau pour créer une
nouvelle configuration de serveur LDAP. Vous pouvez également cliquez sur
l’icône Editer d’une configuration d’un serveur LDAP existante.
Illustration 186 : Configuration d’un serveur LDAP
Nom Entrez ou modifiez un nom d’identification de ce serveur

LDAP.
Nom/Adresse IP Entrez un nom de domaine ou une adresse IP du serveur
LDAP.
Port Entrez le port utilisé pour communiquer avec le serveur LDAP.
Par défaut, LDAP utilise port 389.
Identifiant Nom Commun Entrez l’Identifiant Nom Commun pour le serveur LDAP. Ce
champ est limité à 20 caractères. Pour la plupart des serveurs
LDAP cet identifiant est cn. Cependant certains serveurs
utilisent un autre l’identifiant tel que uid.
Distinguished Name Entrez le distinguished name utilisé pour rechercher des
entrées sur le serveur LDAP.
Entrez le distinguished name de base pour le serveur utilisant
le X.500 correct ou le format LDAP. Le boîtier FortiGate
transfère ce distinguished name inchangé au serveur.
Par exemple, vous pouvez utiliser le distinguished name de
base suivant : ou=marketing,dc=fortinet,dc=com où ou est le
département dans l’organisation et dc, le composant du
domaine. Vous pouvez également spécifier des instances
multiples du même champ dans le distinguished name, par
exemple, pour spécifier de multiples unités organisationnelles :
ou=account,ou=marketing,dc=fortinet,dc=com.
Serveurs Windows AD
Sur les réseaux utilisant des serveurs Windows Active Directory (AD) pour
l’authentification, les boîtiers FortiGate peuvent authentifier les utilisateurs de
manière transparente, sans avoir à leur demander leur compte utilisateur et mot de
passe. Vous devez pour cela installer le Fortinet Server Authentication Extensions
(FSAE) sur le réseau et configurer le boîtier FortiGate pour retrouver les
informations du serveur Windows AD. Pour plus d’informations sur le FSAE, voir la
FSAE Technical Note.
Sélectionnez Utilisateur > Windows AD pour configurer les serveurs Windows

AD.

01-30001-0203-20060424
Illustration 187 : Liste de serveurs Windows AD
Créer Nouveau Permet d’ajouter un nouveau serveur Windows AD.

FortiClient AD Le nom du serveur Windows AD avec FSAE. Vous pouvez
étendre le nom du serveur pour afficher les informations du
groupe et domaine Windows AD.
Adresse IP Les adresses IP et les ports TCP d’agents collecteurs (jusqu’à
maximum 5) qui envoient des informations sur la connexion au
serveur Windows AD au boîtier FortiGate.
Icône Supprimer Supprime ce serveur Windows AD.
Icône Editer Edite ce serveur Windows AD.
Icône Rafraîchir Fournit des informations sur les groupes et domaines à partir
du serveur Windows AD.
Configuration d’un serveur Windows AD

Sélectionnez Utilisateur > Windows AD et cliquez sur Créer Nouveau pour créer
une nouvelle configuration de serveur Windows AD. Pour plus d’informations à
propos de FSAE, voir la FSAE Technical Note.
Illustration 188 : Configuration du serveur Windows AD
FortiClient AD Entrez un nom pour le serveur Windows AD. Ce nom apparaît

dans la liste des serveurs Windows AD lorsque vous créez des
groupes d’utilisateurs.
Server # 1 - # 5 Entrez les informations suivantes des agents collecteurs
(maximum 5 agents collecteurs).
Adresse IP Entrez l’adresse IP du serveur Windows AD où cet agent
collecteur est installé.
Port Entrez le port TCP utilisé pour Windows AD. Ce doit être le
même que le port FortiGate spécifié dans la configuration de
l’agent collecteur FSAE.
Mot de passe Entrez le mot de passe pour l’agent collecteur. Ceci est requis
uniquement si vous avez configuré votre agent collecteur
FSAE pour qu’il requiert un accès authentifié.

01-30001-0203-20060424
Groupe d’utilisateurs
Un groupe d’utilisateurs est une liste d’identités d’utilisateurs. Une identité peut
être :
• un compte utilisateur local (compte utilisateur et mot de passe) stocké sur le
boîtier FortiGate
• un compte utilisateur local avec mot de passe stocké sur un serveur RADIUS
ou LDAP
• un serveur RADIUS ou LDAP (toutes les identités sur le serveur peuvent
s’authentifier)
• un groupe d’utilisateurs défini sur un serveur Microsoft Active Directory (AD)
Dans la plupart des cas, le boîtier FortiGate authentifie les utilisateurs en requérant
leur compte utilisateur et mot de passe. Le boîtier FortiGate vérifie d’abord les
comptes utilisateurs locaux. En absence de correspondance, le boîtier FortiGate
vérifie les serveurs RADIUS et LDAP qui appartiennent au groupe d’utilisateurs.
L’authentification réussit lorsque la correspondance du compte utilisateur et du mot
de passe a lieu.
Pour un groupe d’utilisateurs Active Directory, le serveur Active Directory

authentifie les utilisateurs lorsqu’ils se connectent au réseau. Le boîtier FortiGate
reçoit les noms et adresse IP des utilisateurs de l’agent collecteur FSAE. Pour plus
d’informations sur le FSAE, voir FSAE Technical Note.
Vous pouvez configurer les groupes d’utilisateurs pour fournir un accès authentifié
à:
• des règles pare-feu qui requièrent une authentification
Voir « Ajout d’une authentification aux règles pare-feu » à la page 238.
• des VPN SSL sur le boîtier FortiGate
Voir « Options des règles pare-feu VPN SSL » à la page 243.
• des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup.
Voir « Création d’une nouvelle configuration phase 1 » à la page 296.
• de XAuth pour les configurations Phase 1 VNP IPSec
Voir XAUTH dans « Définition des paramètres avancés de la phase 1 » à la
page 299.
• de la configuration PPTP FortiGate
Voir « Plage PPTP » à la page 312.
• de la configuration L2TP FortiGate
Configurable uniquement à partir de la commande CLI config vpn 12tp.
Voir le FortiGate CLI Reference.
• d’une connexion administrateur via une authentification RADIUS
Voir « Configuration d’une authentification RADIUS des administrateurs » à la
page 169.
• des groupes override du Filtrage Web FortiGuard
Voir « Filtrage Web FortiGuard » à la page 378.

01-30001-0203-20060424
Pour chaque ressource qui nécessite une authentification, vous devez spécifier
quels groupes utilisateurs ont une permission d’accès. Vous devez également
déterminer le nombre et l’adhésion des groupes d’utilisateurs membres concernés
pour vos besoins d’authentification.
Types de groupe d’utilisateurs

Il existe trois types de groupes d’utilisateurs :
Groupe d’utilisateurs pare-feu

Un groupe d’utilisateurs pare-feu fournit un accès à une règle pare-feu qui requiert
une authentification de type pare-feu et comprend le groupe d’utilisateurs parmi les
groupes autorisés. Le boîtier FortiGate requiert le compte utilisateur et mot de
passe des membres du groupes lorsque l’utilisateur tente d’accéder aux
ressources protégées par la règle pare-feu. Pour plus d’informations, voir « Ajout
d’une authentification aux règles pare-feu » à la page 238.
Un groupe d’utilisateurs pare-feu peut également fournir un accès à un VPN IPSec

aux utilisateurs dialup. Dans ce cas, la configuration de la phase 1 VPN IPSec
utilise l’ID paire Accept dans l’option paire groupe dialup. Le client VPN de
l’utilisateur est configuré avec comme compte utilisateur l’ID du paire et comme
mot de passe la clé partagée. L’utilisateur arrive à se connecter au VPN IPSec
uniquement si son compte utilisateur est membre d’un groupe d’utilisateurs
autorisé et que le mot de passe corresponde à celui stocké sur le boîtier FortiGate.
Un groupe d’utilisateurs ne peut pas être un groupe dialup si l’un des membres est
authentifié à partir d’un serveur RADIUS ou LDAP. Pour plus d’informations, voir
« Création d‘une nouvelle configuration phase 1 » à la page 296.
Un groupe d’utilisateurs pare-feu peut être utilisé pour fournir des privilèges
d’override pour le filtrage web FortiGuard. Voir « Configuration des options override
FortiGuard pour un groupe d’utilisateurs » à la page 334. Pour des informations
détaillées sur FortiGuard Web Filter, voir « Filtrage Web FortiGuard » à la page
378.
Groupe d’utilisateurs Active Directory

Sur un réseau Microsoft Windows, le boîtier FortiGate peut permettre l’accès aux
membres de groupes utilisateurs d’un serveur Active Directory qui ont été
authentifiés sur le réseau Windows. Le FSAE (Fortinet Server Authentication
Extensions) doit être installé sur les contrôleurs du domaine du réseau.
Un groupe d’utilisateurs Active Directory fournit un accès à une règle pare-feu qui
requiert une authentification de type Active Directory et comprend le groupe
d’utilisateurs parmi les groupes autorisés. Les membres du groupe d’utilisateurs
sont des groupes Active Directory que vous sélectionnez dans une liste que le
boîtier FortiGate reçoit des serveurs Windows AD que vous avez configurés. Voir
« Serveurs Windows AD » à la page 328.
Un groupe d’utilisateurs Active Directory ne peut pas bénéficier des privilèges

override FortiGuard ou d’un accès VPN SSL.

01-30001-0203-20060424
Groupe d’utilisateurs VPN SSL
Un groupe d’utilisateurs VPN SSL fournit un accès à une règle pare-feu qui
requiert une authentification de type VPN SSL et comprend le groupe d’utilisateurs
parmi les groupes autorisés. Les comptes utilisateurs locaux, ainsi que les
serveurs RADIUS et LDAP peuvent être membres d’un groupe d’utilisateurs VPN
SSL. Le boîtier FortiGate requiert le nom du compte utilisateur et son mot de passe
lorsque l’utilisateur accède au portail web VPN SSL. Les paramètres du groupe
d’utilisateurs comprennent des options pour les fonctionnalités VPN SSL. Voir
« Configuration des options d’un groupe d’utilisateurs VPN SSL » à la page 335.
Un groupe d’utilisateurs VPN SSL peut également fournir un accès aux utilisateurs
dialup VPN IPSec. Dans ce cas, la configuration phase 1 VPN IPSec utilise
l’identifiant du paire à accepter configuré dans l’option du groupe de paires. Le
client VPN de l’utilisateur est configuré avec comme compte utilisateur l’IP du paire
et comme mot de passe, la clé partagée. L’utilisateur arrive à se connecter au VPN
IPSec uniquement si le compte utilisateur est membre d’un groupe d’utilisateurs
autorisé et que le mot de passe corresponde à un mot de passe stocké sur le
boîtier FortiGate. Un groupe d’utilisateurs ne peut pas être un groupe dialup si l’un
des membres est authentifié à partir d’un serveur RADIUS ou LDAP. Pour plus
d’informations, voir « Création d‘une nouvelle configuration phase 1 » à la page
296.
Liste de groupes d’utilisateurs

Sélectionnez Utilisateur > Groupe utilisateur pour configurer des groupes
d’utilisateurs.
Illustration 189 : Liste des groupes d’utilisateurs
Créer Nouveau Permet d’ajouter un nouveau groupe d’utilisateurs.

Nom des groupes Le nom du groupe d’utilisateurs. Les noms sont répertoriés par
type de groupe d’utilisateurs : Pare-feu, Active Directory et
VPN SSL.
Membres Les utilisateurs et serveurs RADIUS ou LDAP du groupe
d’utilisateurs.
Profil de protection Le profil de protection associé à ce groupe d’utilisateurs.
Icône Supprimer Supprime le groupe d’utilisateurs. Vous ne pouvez pas
supprimer un groupe d’utilisateurs repris dans une règle pare-
feu, une configuration phase 1 d’un utilisateur dialup ou une
configuration PPTP ou L2TP.
Icône Editer Edite l’adhésion d’un membre et les options du groupe.

01-30001-0203-20060424
Configuration d’un groupe d’utilisateurs
Sélectionnez Utilisateur > Groupe utilisateur et cliquez sur Créer Nouveau ou
sur l’icône Editer d’un groupe existant pour configurer ses membres et autres
options.
Illustration 190 : Configuration d’un groupe d’utilisateurs
Nom Entrez le nom du groupe d’utilisateurs.

Type Sélectionnez le type du groupe d’utilisateurs : Voir « Types de
groupe d’utilisateurs » à la page 331.
Firewall Vous pouvez sélectionner ce groupe pour
chaque règle pare-feu requérant une
authentification pare-feu. Voir « Ajout
d’une authentification aux règles pare-
Active Directory Vous pouvez sélectionner ce groupe pour
chaque règle pare-feu requérant une
authentification Active Directory. Voir
« Ajout d’une authentification aux règles
pare-feu » à la page 238.
SSL-VPN Vous pouvez sélectionner ce groupe pour
chaque règle pare-feu dont l’Action est
définie sur SSL-VPN. Voir « Options des
règles pare-feu VPN SSL » à la page 243.
Profil de protection Disponible uniquement si le type est Firewall ou Active
Directory. Sélectionnez un profil de protection pour ce groupe
d’utilisateurs. Vous pouvez sélectionner Créer Nouveau pour
créer un nouveau profil de protection.
Utilisateurs disponibles La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP
qui peuvent être ajoutés à un groupe d’utilisateurs.
Membres La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP
qui appartiennent à un groupe d’utilisateurs.
Bouton Flèche Droite Permet d’ajouter un utilisateur ou un serveur à la liste des
Membres. Sélectionnez le nom d’un utilisateur ou d’un serveur
dans la liste Utilisateurs Disponibles et cliquez sur la flèche
droite pour le transférer dans la liste des Membres.
Bouton Flèche Gauche Permet de supprimer un utilisateur ou un serveur de la liste
des Membres. Sélectionnez le nom d’un utilisateur ou d’un
serveur dans la liste des Membres et cliquez sur la flèche

01-30001-0203-20060424
gauche pour le transférer dans la liste des Utilisateurs
Disponibles.
Override du filtrage web Ceci est uniquement disponible si le Type est défini sur
FortiGuard Firewall. Permet de configurer les options override du filtrage
web FortiGuard pour ce groupe. Voir « Configuration des
options override FortiGuard pour un groupe d’utilisateurs » ci-
dessous.
Options de groupe Ceci est uniquement disponible si le Type est défini sur
d’utilisateurs SSL-VPN VPN SSL. Pour des instructions détaillées à propos de la
configuration du mode web ou du mode tunnel, voir le
FortiGate SSL VPN User Guide.
Remarque : Si vous tentez d’ajouter des serveurs LDAP ou des utilisateurs locaux à un
groupe configuré pour une authentification d’administrateurs, un message d’erreur s’affiche.
Configuration des options override FortiGuard pour un groupe d’utilisateurs

Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l’icône Editer d’un
groupe d’utilisateurs pare-feu. Afficher la section Override du filtrage Web
FortiGuard.
Illustration 191 : Configuration de l’override du filtrage web FortiGuard
Permettre l’override du Les membres de ce groupe peuvent solliciter l’override

filtrage Web FortiGuard (l’ignorance) de la page de blocage du filtrage Web FortiGuard.
Le profil de protection pare-feu gérant la connexion doit avoir
activé l’override de FortiGuard.
Le profil de protection désigne un groupe d’utilisateurs comme
groupe Override. Les membres de ce groupe Override peuvent
authentifier sur la page FortiGuard Web Filter Block Override
pour accéder au site bloqué.
Pour plus d’informations détaillées, voir « Filtrage
Web FortiGuard » à la page 378.
Override Scope L’override peut s’appliquer au seul utilisateur qui sollicite
l’override ou en comprendre d’autres. Choisissez entre :
Utilisateur L’utilisateur seul
Groupe Le groupe d’utilisateurs auquel appartient l’utilisateur
d’utilisateurs
IP N’importe quel utilisateur à l’adresse IP de l’utilisateur
Profil N’importe quel utilisateur sur le sous-réseau de l’utilisateur
Demander L’utilisateur en cours d’authentification choisit l’override
Type d’Override Choisissez pour permettre l’accès :
Directory uniquement au niveau le plus bas du directory dans l’URL
Domaine à l’intégralité du domaine du site web
Catégories à la catégorie FortiGuard

01-30001-0203-20060424
Demander L’utilisateur en cours d’authentification choisit le type d’override
Off-site URLs Choisissez si l’utilisateur peut accéder aux liens des sites
extérieurs du site bloqué :
Autorisé L’utilisateur peut suivre les liens des autres sites.
Interdit L’utilisateur peut uniquement suivre les liens vers les
destinations définies par le type d’Override.
Demander L’utilisateur en cours d’authentification choisit de permettre
l’accès aux liens de sites extérieurs.
Override Time Etablissez la durée de l’override.
Constant Définissez la durée de l’override en jours, heures, minutes.
Demander L’utilisateur en cours d’authentification détermine la durée de
l’override. La durée que vous définissez est la durée
maximum.
Configuration des options des groupes d’utilisateurs VPN SSL

Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l’icône Editer d’un
groupe d’utilisateurs VPN SSL. Affichez la section Options de groupe d’utilisateurs
VPN SSL.
Pour des instructions détaillées sur la configuration en mode web et mode tunnel,
voir le FortiGate SSL VPN User Guide.
Illustration 192 : Options de groupe d’utilisateurs VPN SSL
Activer le service Activer pour permettre aux utilisateurs de ce groupe de se

tunnel SSL-VPN connecter au réseau derrière le boîtier FortiGate utilisant le
tunnel VPN SSL. Ceci n’est pas disponible en mode
Transparent.
Vérifier si le FortiClient Permettre au client de se connecter seulement s’il

est installé et fonctionne fonctionne avec le FortiClient Host Security Software. Pour
plus d’informations à propos de ce software, visitez le site de
Documentation Technique Fortinet.
Vérifier la présence Permettre au client de se connecter seulement si un logiciel

d’un antivirus tiers antivirus Norton (Symantec) ou McAfee est installé. Cette
option n’est pas disponible si vous sélectionnez Vérifier si le
FortiClient est installé et fonctionne.

01-30001-0203-20060424
Vérifier la présence Permettre au client de se connecter seulement si un logiciel
d’un firewall logiciel tiers pare-feu Norton (Symantec) ou McAfee est installé. Cette
option n’est pas disponible si vous sélectionnez Vérifier si le
FortiClient est installé et fonctionne.
Restreindre la plage IP Entrez les adresses IP de début et de fin de la plage

du tunnel pour ce groupe intervalle pour ce groupe si vous désirez un override de la
plage Tunnel IP définie dans VPN > SSL > Config.
Activer Web Application Activez le portail web pour fournir un accès aux application
web. Ceci n’est pas disponible en mode Transparent.
Proxy HTTP/HTTPS Si vous activez Web Application, activez chaque applications

FTP dont l’accès est permis aux utilisateurs de ce groupe.
Telnet (applet)
Samba
Activer Cache Clean Enlève tous les fichiers temporaires Internet créés sur
l’ordinateur client entre la connexion et la déconnexion. Ceci
s’effectue grâce à un contrôle ActiveX téléchargé et fonctionne
uniquement avec Internet Explorer sur Windows 2000 et
Windows XP.
Redirect URL Facultativement, ouvrez une deuxième fenêtre de navigation

vers cette URL lorsque la page du portail VPN SSL s’ouvre. Le
serveur web de cette URL doit se trouver sur le réseau privé
derrière le boîtier FortiGate.
Vous pouvez également modifier la page de connexion du
portail web VPN SSL. Pour plus d’informations, voir
« Modification du message de connexion VPN SSL » à la page
165.
Personnaliser le Entrez le message personnalisé à afficher sur la page de

message du portail garde du portail pour ce groupe.
pour ce groupe
Configuration de paires et de groupes de paires

Vous pouvez définir des paires et des groupes de paires utilisés pour
l’authentification dans certaines configurations VPN. Pour ce faire, utilisez les
commande CLI config user paire et config user peergrp.
Pour davantage d’informations, voir le chapitre « User » du FortiGate CLI
Reference.

01-30001-0203-20060424
Antivirus
Cette section décrit comment configurer les options antivirus associées aux profils
de protection pare-feu.
• Antivirus
• Modèles de Fichier
• Mise en Quarantaine
• Configuration
• Configuration de l’Antivirus à partir de l’interface de ligne de commande
Antivirus
Le traitement Antivirus comprend des modules et des appliances variés exécutant
des tâches séparées. Le boîtier FortiGate procède aux traitements antivirus dans
l’ordre d’apparition des fonctionnalités dans le menu de l’interface d’administration
web : modèle de fichier, analyse antivirus, et grayware, suivis par heuristique,
configurable uniquement à partir de l’interface de ligne de commande.
Les services FortiGuard-AntivirusTM constituent d’excellentes ressources offrant

des mises à jour automatiques des bases de données antivirus et IPS, de même
que de l’antispam local DNSBL, et ce, à partir du FortiGuard Distribution Network
(FDN). Par ailleurs, le Centre FortiGuard fournit une encyclopédie FortiGuard-
Antivirus des virus et attaques, et publie le bulletin FortiGuard. Pour plus de détails,
visitez le site de la Base de Connaissance Fortinet où vous trouverez également
un lien vers le Centre FortiGuard.
La connexion entre le boîtier FortiGate et le Centre FortiGuard se configure dans

Système > Maintenance > FortiGuard Center. Voir « Configuration du boîtier
FortiGate pour les services FDN et FortiGuard » à la page 186.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Alors que des paramètres antivirus sont configurés pour une utilisation globale, des
paramètres spécifiques peuvent être implémentés pour chaque profil. Le tableau
34 compare les options antivirus des profils de protection et les paramètres du
menu antivirus.

01-30001-0203-20060424
Tableau 34 : Configuration antivirus des profils de protection et du menu Antivirus
Options antivirus des Profils de Paramètres Antivirus
Protection
Analyse antivirus Antivirus > Config > Liste de Virus
Activer ou désactiver l’analyse antivirus pour Visualiser une liste (en lecture
chaque protocole (http, FTP, IMAP, POP3, uniquement) des virus actuels.
SMTP, IM).
Modèle de fichier Antivirus > File Pattern
Activer ou désactiver le traitement de Configurer des modèles de fichier pour
modèle de Fichier (File Pattern) pour bloquer ou autoriser ces fichiers. Des
chaque protocole. modèles peuvent aussi être activés ou
désactivés individuellement.
Mise en Quarantaine Antivirus > Mise en Quarantaine
Activer ou désactiver la mise en quarantaine Visualiser et trier la liste des fichiers en
pour chaque protocole. Cette option est quarantaine, configurer des modèles de
disponible sur les boîtiers avec un disque fichier pour téléchargement automatique
local ou un FortiAnalyzer configuré. vers Fortinet pour analyse et configurer
les options de quarantaine dans Antivirus.
Passer les emails fragmentés
Activer ou désactiver le passage d’emails
fragmentés. Les emails fragmentés ne
peuvent pas être analysés contre les virus.
Option « Comfort Client »
Activer ou désactiver cette option pour le
trafic HTTP et FTP. Etablir un intervalle et
un volume en octets pour déclencher
l’option de comfort client.
Fichier/Mail surdimensionné
Configurer le boîtier FortiGate pour bloquer
ou autoriser les fichiers et mails
surdimensionnés pour chaque protocole.
Etablir des seuils de taille pour les fichiers et
mails pour chaque protocole dans Antivirus.
Antivirus > Config > Grayware
Activer ou désactiver le blocage de
grayware par catégorie.
Ajouter une signature aux mails sortants.
Créer et activer une signature à ajouter aux
mails sortants (SMTP seulement).
Modèles de Fichier
La configuration de modèles de fichier (File Pattern) permet de bloquer tous les
fichiers potentiellement menaçants et empêcher les attaques et virus. Les fichiers
peuvent être bloqués sur base du nom, de l’extension ou tout autre caractéristique.
Le blocage de modèles de nom de fichier offre la flexibilité de bloquer des
contenus potentiellement dangereux.
Remarque : Les entrées de modèles de fichier ne sont pas sensibles à la casse des
caractères (lettre majuscule/minuscule). Par exemple, ajouter *.exe à une liste de modèles
de fichier entraîne un blocage de tous les fichiers se terminant par .EXE.

01-30001-0203-20060424
En cas d’opération standard, vous pouvez choisir de désactiver File Pattern dans
le Profil de Protection et de l’activer temporairement pour bloquer les menaces
spécifiques quand elles apparaissent.
Le boîtier FortiGate bloque les fichiers qui correspondent à un modèle de fichier

spécifique et affiche un message de remplacement à la place. Le boîtier FortiGate
enregistre un message dans le Journal Virus et peut être configuré pour envoyer
un message d’alerte.
Si File Pattern et Virus Scan sont tout deux activés, le boîtier FortiGate bloque les
fichiers correspondants aux modèles de fichier activés et ne procède pas à une
analyse des virus.
Visualisation du catalogue de la liste des modèles de fichier (FortiGate-800 et

plus uniquement)
Les modèles FortiGate-800 et plus prévoient la possibilité d’ajouter des listes de
modèles de fichier et de sélectionner ensuite la liste la plus appropriée pour
chaque profil de protection. Pour visualiser le catalogue des listes de modèles de
fichier, sélectionnez Antivirus > File Pattern. Pour visualiser une liste de modèles
de fichier, cliquez sur l’icône Editer de la liste.
Illustration 193 : Echantillon d’un catalogue de listes de modèles de fichier
Remarque : Le catalogue des listes de Modèles de Fichier par défaut s’appelle builtin-
patterns.
Créer Nouveau Permet d’ajouter une nouvelle liste de modèles de fichier au

catalogue.
Nom Les listes de modèles de fichier disponibles.
# entrées Le nombre de modèles de fichier dans chaque liste.
Profils Les profils de protection auxquels la liste a été appliquée.
Commentaire Description facultative de chaque liste.
Icône Supprimer Permet de retirer la liste du catalogue. Cette icône n’est pas
disponible lorsque la liste est reprise dans un profil de
protection.
Icône Editer Permet d’éditer des informations de la liste de modèles de
fichier telles que le nom de la liste ou le commentaire.
Sélectionnez les listes de modèles de fichier dans les profils de protection. Pour
plus d’informations, voir « Options Antivirus » à la page 282.

01-30001-0203-20060424
Création d’une nouvelle liste de modèles de fichier ( FortiGate-800 et plus
uniquement)
Pour ajouter une liste de modèles de fichier dans le catalogue, sélectionnez
Antivirus > File Pattern et cliquez sur Créer Nouveau.
Illustration 194 : Nouvelle liste de modèles de fichier
Nom Entrez un nom pour cette nouvelle liste.

Commentaire Entrez un commentaire pour décrire cette liste si nécessaire.
Visualisation de la liste de modèles de fichier

Pour visualiser la liste de modèles de fichier sur les modèles FortiGate-500 et
moins, sélectionnez Antivirus > File Pattern.
Illustration 195 : Liste des modèles de fichier par défaut pour les modèles FortiGate-
500 et moins
Pour visualiser la liste des modèles de fichier sur les modèles FortiGate-800 et
plus, sélectionnez Antivirus > File Pattern et cliquez sur l’icône Editer de la liste à
visualiser.

01-30001-0203-20060424
Illustration 196 : Echantillon d’une liste de modèles de fichier pour les modèles-
FortiGate-800 et plus
Nom Le nom de la liste. Pour modifier le nom, éditez le texte dans

ce champ et cliquez sur OK. Le champ Nom apparaît sur les
modèles FortiGate-800 et plus.
Commentaire Commentaire facultatif. Pour ajouter ou éditer un commentaire,
entrez le texte dans le champ commentaire et cliquez sur OK.
Le champ commentaire apparaît sur les modèles FortiGate-
800 et plus.
Créer Nouveau Permet d’ajouter un nouveau modèle à la liste.
Filtre La liste actuelle des modèles de fichier.
Action Les fichiers correspondants aux modèles de fichier peuvent
être définis sur Bloquer ou Autoriser.
Activer Décochez la case pour désactiver le modèle de fichier.
Icône Supprimer Permet de retirer le modèle de fichier de la liste.
Icône Editer Permet d’éditer le modèle de fichier et son action.
Icône Déplacer Permet de modifier la position du modèle de fichier dans la
liste.
Les fichiers sont comparés aux modèles de fichier activés, et ce dans leur ordre
d’apparition dans la liste, de haut en bas. Dans le cas où un fichier ne correspond
pas à l’un de modèles de fichier spécifiés, il subit une analyse virale (si activée).
Les fichiers passent s’ils ne sont pas explicitement bloqués.
L’action Autoriser permet de renverser la procédure, en bloquant tous les fichiers

sauf ceux précisés explicitement. Entrez tous les modèles de fichier que vous
voulez laisser passer associés à l’attribut Autoriser. A la fin de la liste, ajoutez le
méta-caractère (*.*) associé à l’action Autoriser. Les fichiers autorisés passent à
travers l’analyseur de virus (si activé) alors que les fichiers ne correspondant à
aucun modèle de fichier sont bloqués grâce au méta-caractère ajouté à la fin de la
liste.
Sur les modèles FortiGate-500 et moins, la liste des modèles de fichier est
préconfigurée avec les modèles par défaut suivants :
• Les fichiers exécutables (*.bat, *.com, *.exe)

• Les fichiers compressés ou archivés (*.gz, *.rar, *.tar, *.tgz, *.zip)
• Les librairies dynamiques (*.dll)
• Les applications HTML (*.hta)

01-30001-0203-20060424
• Les fichiers Microsoft Office (*.doc, *.ppt, *.xl)
• Les fichiers Microsoft Works (*.wps)
• Les fichiers Visual Basic (*.vb)
• Les fichiers Screen Saver (*.scr)
• Les fichiers d’informations de programmes (*.pif)
Les modèles de fichier sont activés dans les profils de protection. Pour plus
d’information, voir « Options Antivirus » à la page 282.
Configuration de la liste de modèles de fichier

Les modèles de fichier peuvent faire 80 caractères de long. Une liste peut contenir
un maximum de 5000 modèles de fichier.
Pour ajouter un nouveau modèle de fichier, cliquez sur Créer Nouveau. Pour éditer
un modèle de fichier existant, cliquez sur l’icône Editer associée au modèle.
Illustration 197 : Nouveau modèle de fichier
Pattern Entrez le modèle de fichier. Celui-ci peut correspondre au nom

exacte d’un fichier ou inclure des méta-caractères.
Action Sélectionnez un type de modèle de la liste déroulante :
Wildcard ou Expression régulière.
Activer Cochez pour activer le modèle.
Mise en Quarantaine
Les boîtiers FortiGate munis d’un disque local peuvent placer en quarantaine des
fichiers bloqués ou infectés. Vous pouvez visualiser le nom du fichier et ses statuts
dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des
fichiers spécifiques et d’ajouter des modèles de fichier à la liste de soumission
automatique pour un téléchargement automatique vers Fortinet pour analyse.
Les boîtiers FortiGate non munis d’un disque local peuvent placer en quarantaine
des fichiers bloqués ou infectés sur un boîtier FortiAnalyzer. Les fichiers stockés
sur un FortiAnalyzer peuvent êtres récupérés pour visualisation. Pour configurer un
boîtier FortiAnalyzer, sélectionnez Journaux/Alertes > Configuration >
Configuration du Journal.

01-30001-0203-20060424
Visualisation de la liste des Fichiers mis en Quarantaine
La liste des fichiers mis en quarantaine affiche des informations à propos de
chaque fichier mis en quarantaine pour cause d’infection par virus ou de blocage
de fichiers. Vous pouvez trier les fichiers par nom de fichier, date, service, état,
décompte (DC) ou time to live (TTL). Il est également possible de filtrer la liste
selon l’état ou le service du fichier en quarantaine.
Pour visualiser la liste des Fichiers mis en quarantaine, sélectionnez Antivirus >
Mise en Quarantaine > Fichiers en quarantaine.
Illustration 198 : Liste des fichiers mis en quarantaine
Cette liste comporte les fonctionnalités suivantes et affiche les informations

suivantes pour chaque fichier mis en quarantaine :
Appliquer Permet d’appliquer les sélections de tri et de filtrage à la liste.
Classer par Trie la liste. Choisissez entre Etat, Service, Nom du Fichier,
Date, TTL ou décompte. Cliquez sur Appliquer pour lancer le
tri.
Filtre Filtre la liste. Choisissez entre Etat (contaminés, heuristiques,
filtrés) ou service (IMAP, POP3, SMTP, FTP ou HTTP).
Cliquez sur Appliquer pour lancer le filtrage. Le mode
heuristique est configurable à partir de l’interface de ligne de
commande seulement. Voir « Configuration de l’Antivirus à
partir de l’interface de ligne de commande » à la page 350.
Nom du Fichier Le nom du fichier en quarantaine. Lorsqu’un fichier est mis en
quarantaine, tous les espaces sont enlevés du nom du fichier
et une somme de vérification de 32-bit est exécuté sur le
fichier. La somme de vérification apparaît dans le message de
remplacement mais pas dans le fichier en quarantaine. Le
fichier est stocké sur le disque dur du FortiGate avec la
convention suivante :
<32bit_CRC>.<processed_filename>
Par exemple, un fichier du nom de Over Size.exe est stocké
sous
3fc155d2.oversize.exe
Date La date et l’heure de la mise en quarantaine du fichier, sous le
format jj/mm/aaaa hh:mm. Cette valeur indique le moment
auquel le premier fichier a été mis en quarantaine si le
décompte augmente.
Service Le service à partir duquel le fichier a été mis en quarantaine
(HTTP, FTP, IMAP, POP3, SMTP, IM).
Etat La raison pour laquelle le fichier a été mis en quarantaine :
contaminés, heuristiques ou filtrés.
Description du statut Informations spécifiques relatives à l’état, par exemple « File is
infected with « W32/Klez.h » » ou « File was stopped by file
block pattern ».

01-30001-0203-20060424
DC Duplicate count - Décompte. Le nombre de duplicata du même
fichier mis en quarantaine. Un nombre augmentant rapidement
peut être un signal de la présence d’un virus.
TTL Time to live sous le format hh:mm. Une fois le TTL écoulé, le
boîtier FortiGate nomme le fichier EXP sous l’en-tête TTL.
Dans le cas de duplicata de fichiers, chaque duplicata trouvé
rafraîchit le TTL.
Statut du téléchargement Un Y indique que le fichier a été téléchargé vers Fortinet pour
analyse. Un N signifie que ce fichier n’a pas été téléchargé.
Icône Supprimer Permet de retirer un fichier de la liste.
Icône Télécharger Permet de télécharger le fichier correspondant dans son
format original.
Icône Soumettre Permet de soumettre un fichier suspect à Fortinet pour
analyse.
Remarque : Les duplicatas de fichiers (basés sur la somme de vérification) ne sont pas
stockés, seulement comptés. La valeur TTL et le comptage de duplicata sont mis à jour à
chaque fois qu’un fichier est trouvé.
Visualisation de la liste de soumission automatique

Vous pouvez configurer le boîtier FortiGate pour télécharger les fichiers suspects
automatiquement vers Fortinet pour analyse. Vous pouvez également ajouter des
modèles de fichier à la liste de soumission automatique en utilisant les méta-
caractères (* ou ?). Les modèles de fichier sont appliqués à l’AutoSubmit, sans
tenir compte des paramètres de blocage de fichier.
Téléchargez les fichiers vers Fortinet selon l’état (filtré ou heuristique) ou

soumettez des fichiers individuels directement à partir de la liste des fichiers mis en
quarantaine. Le boîtier FortiGate utilise des mails cryptés pour soumettre les
fichiers à un serveur SMTP à partir du port 25.
Cette option est disponible uniquement sur les boîtiers FortiGate munis d’un disque
local.
Pour visualiser la liste de soumission automatique, sélectionnez Antivirus > Mise

en Quarantaine > Soumission automatique.
Illustration 199 : Echantillon d’une liste de soumission automatique
Créer Nouveau Permet d’ajouter un nouveau modèle de fichier à la liste de

soumission automatique.
Nom de fichier La liste en cours de modèles de fichier qui sera téléchargée
automatiquement. Créez un modèle en utilisant les méta-
caractères ? ou *. Cochez la case pour activer tous les
modèles de fichier de la liste.
Icône Supprimer Permet de retirer une entrée de la liste.

01-30001-0203-20060424
Icône Editer Permet d’éditer les informations suivantes : Modèle de Fichier
et Activer.
Configuration de la liste de soumission automatique

Pour ajouter un modèle de fichier à une liste de soumission automatique,
sélectionnez Antivirus > Mise en Quarantaine > Soumission automatique.
Illustration 200 : Nouveau modèle de fichier
Filtre Entrez le modèle de fichier ou le nom de fichier à télécharger

automatiquement vers Fortinet.
Activer Sélectionnez pour activer le modèle de fichier.
Remarque : Pour activer un téléchargement automatique des modèles de fichier configurés,

sélectionnez Antivirus > Mise en Quarantaine > Config et cochez Activer le
téléchargement automatique et sélectionnez Utiliser les filtres de nom.
Configuration des options de mise en quarantaine

Sélectionnez Antivirus > Mise en Quarantaine > Config pour définir des options
de configuration de mise en quarantaine, notamment le choix de mettre en
quarantaine ou pas les fichiers contaminés ou filtrés et à partir de quel service.
Configurez le TTL et les valeurs de taille de fichiers et activez les paramètres
AutoSubmit.
Illustration 201 : Configuration de la mise en Quarantaine (FortiGate avec disque

local)

01-30001-0203-20060424
Illustration 202 : Configuration de la mise en Quarantaine (FortiAnalyzer d’un
FortiGate avec disque local)
Illustration 203 : Configuration de la mise en Quarantaine (FortiAnalyzer d’un

FortiGate sans disque local)
Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté
dans l’avenir.
La configuration de la mise en quarantaine offre les options suivantes :
Options Mise en quarantaine des fichiers contaminés: Sélectionnez les

protocoles à partir desquels mettre en quarantaine les fichiers
contaminés identifiés par l’analyseur antivirus.
Mise en quarantaine des fichiers suspects: Sélectionnez les
suspects identifiés par heuristique.
Mise en quarantaine des fichiers bloqués: Sélectionnez les
bloqués identifiés par un blocage de fichiers antivirus. Cette
option n’est pas disponible pour les protocoles HTTP, FTP et
IM parce qu’un nom de fichier est bloqué avant
téléchargement et ne peut pas être mis en quarantaine.
Âge limite Le temps limite en heures pendant lequel les fichiers sont
maintenus en quarantaine. Cette limite est utilisée pour
formuler la valeur dans le colonne TTL de la liste des fichiers
mis en quarantaine. Lorsque la limite est atteinte, la colonne
TTL affiche EXP. et le fichier est supprimé (bien qu’un
enregistrement est maintenu dans la liste des fichiers mis en

01-30001-0203-20060424
quarantaine). La valeur 0 (zéro) permet un stockage indéfini,
dépendant de l’espace libre sur le disque.
Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Une
quarantaine taille maximum trop haute pourrait impacter la performance.
Espace disque faible Sélectionnez l’action à prendre lorsque le disque local est
complet : Ecraser les plus vieux fichiers ou Ne pas mettre en
quarantaine les nouveaux fichiers.
FortiAnalyzer Sélectionnez pour activer le stockage des fichiers bloqués ou
en quarantaine sur un boîtier FortiAnalyzer. Voir
« Journaux/Alertes » à la page 409 pour plus d’informations
sur la configuration d’un boîtier FortiAnalyzer.
Activer le téléchargement Active la fonctionnalité de soumission automatique.
automatique Sélectionnez une ou les deux options ci-dessous :
Utiliser les filtres de nom : Active le téléchargement
automatique des fichiers correspondants aux modèles de
fichier dans la liste de soumission automatique.
Utiliser le statut des fichiers : Active le téléchargement
automatique de fichiers en quarantaine selon leur statut.
Sélectionnez soit Heuristique, soit Nom filtré.
Heuristique est configurable à partir de l’interface de ligne de
commande uniquement. Voir « Configuration de l’Antivirus à
partir de l’interface de ligne de commande » à la page 350.
Appliquer Enregistre la configuration.
Configuration
La page Config affiche une liste des virus actuels bloqués par le boîtier FortiGate. Il
est également possible de configurer des limites de tailles de fichiers et de mails,
et de bloquer des graywares.
Visualisation de la liste des virus

La liste des virus affiche une liste alphabétique FortiGuard des définitions actuelles
des virus (appelées également définitions AV) installée sur le boîtier FortiGate.
Celui-ci utilise les définitions de virus pour détecter ou enlever les virus, vers,
troyens et autres menaces lorsqu’ils passent à travers le boîtier FortiGate.
Visualiser la liste complète ou des parties de cette liste en sélectionnant un
intervalle numérique ou alphabétique.
Pour visualiser la liste des virus, sélectionnez Antivirus > Config.
La liste FortiGuard des définitions de virus est mise à jour à chaque réception
d’une nouvelle version FortiGuard des définitions AV par le boîtier FortiGate.
L’Encyclopédie des Virus du Centre FortiGuard comprend des descriptions

détaillées de virus, vers, troyens et autres menaces pouvant être détectés et retirés
par votre boîtier FortiGate grâce aux informations des définitions des virus
FortiGuard.

01-30001-0203-20060424
Illustration 204 : Liste (partielle) des virus
Les définitions AV FortiGuard sont généralement mises à jour automatiquement à

partir du réseau de distribution FortiGuard (FDN – FortiGuard Distribution
Network). Sélectionnez Système > Maintenance > FortiGuard Center pour
configurer automatiquement les mises à jour automatiques des définitions AV à
partir du FDN.
Vous pouvez également mettre à jour manuellement les définitions AV à partir du

tableau de bord (sélectionnez Système > Statut).
Visualisation de la liste des Graywares

Les programmes Grayware sont des logiciels commerciaux non désirés qui
s’installent sur les ordinateurs, en général sans l’autorisation ni connaissance de
l’utilisateur. Ces programmes sont considérés comme désagréments pouvant
entraîner des problèmes de performance, voir être utilisés à des fins malveillantes.
Le boîtier FortiGate procède à une analyse en vue des programmes exécutables

grayware pour chaque catégorie activée. La liste et les contenus des catégories
sont ajoutés ou mis à jour à chaque réception de mise à jour de l’antivirus par le
boîtier FortiGate. De nouvelles catégories peuvent être créées à tout moment et
seront téléchargées lors de la mise à jour antivirus. Par défaut, toutes les nouvelles
catégories sont désactivées. L’option de recherche de Grayware est activée dans
un profil de protection lorsque Virus Scan est activé.
Les catégories Grayware sont composées de fichiers exécutables connus. A

chaque réception des mises à jour des définitions antivirus et IPS par le boîtier
FortiGate, les catégories grayware sont mises à jour.
Pour visualiser la liste Grayware, sélectionnez Antivirus > Config > Grayware.

01-30001-0203-20060424
Illustration 205 : Echantillons des options grayware
L’activation d’une catégorie grayware entraîne le blocage de tous les fichiers

répertoriés dans cette catégorie. Les catégories peuvent être modifiées ou
complétées lors des mises à jour. Choisissez parmi les catégories suivantes, celles
que vous voulez bloquer :
Adware Blocage des programmes adware. Les adwares sont généralement

ancrés dans des logiciels gratuits qui entraînent l’apparition de
publicités à chaque ouverture ou utilisation du programme.
BHO Blocage des Browser Helper Object. Les BHO sont des fichiers DDL
souvent installés dans des logiciels de manière à ce que ce logiciel
puisse contrôler le comportement de l’Internet Explorer 4.x et plus.
Certains BHO sont bienveillants, mais il y a toujours un risque potentiel
de rassembler des informations sur les habitudes de navigation.
Dial Blocage des programmes dialer. Les dialers sont des petits
programmes qui peuvent se créer une nouvelle connexion Internet à
des numéros surtaxés ou longues distances via les modems d’autres
PC.
Download Blocage des programmes de téléchargement. Les téléchargements ont
généralement lieu lors du démarrage Windows et sont destinés à
installer des logiciels, en particulier des publicités.
Game Blocage de games. Les games sont en général des blagues ou jeux
que vous voudrez probablement interdire aux utilisateurs du réseau.
HackerTool Blocage des outils des attaquants.
Hijacker Blocage des programmes des substitueurs de navigateur. Les
substitueurs de navigateur entraînent des modifications des paramètres
du navigateur Internet, notamment dans les favoris, signets, page
d’accueil et options des menus.
Joke Blocage des programmes joke. Ces programmes peuvent comprendre
des curseurs clients qui apparaissent pour affecter le système.
Keylog Blocage des programmes Enregistreurs de frappe. Ces programmes
enregistrent la frappe des touches sur le clavier notamment les mots de
passe, les messages instantanés et les discussions sur forum.
Misc Blocage de n’importe quel programme compris dans la catégorie
grayware « miscellaneous ».
NMT Blocage des Network Management Tools. Ces outils de gestion des
réseaux peuvent être installés et utilisés avec malveillance pour
modifier les paramètres et perturber la sécurité du réseau.

01-30001-0203-20060424
P2P Blocage des programmes de communication peer to peer. P2P, bien
qu’étant un protocole légitime, est souvent synonyme de programme de
partage de fichiers utilisés pour échanger de la musique, des films et
autres fichiers, souvent en toute illégalité.
Plugin Blocage des modules d’extension. Ces modules d’extension viennent
se greffer à un logiciel principal afin de lui apporter de nouvelles
fonctionnalités. Ils sont souvent sans risque. Cependant, certaines
barres d’outils ou de modules d’extensions peuvent tenter de contrôler
ou enregistrer et envoyer les préférences de navigation de l’utilisateur.
RAT Blocage de Remote Administration Tools. Ces outils de gestion à
distance permettent à des utilisateurs extérieurs de modifier et contrôler
à distance un ordinateur du réseau.
Spy Blocage des logiciels espions. Les logiciels espions tels que les
adware, sont souvent compris dans les logiciels gratuits. Ils permettent
de faire des rapports des activités de l’utilisateur telles que les
habitudes de navigation Internet et de les envoyer à un site web de
publicité qui les analysera.
Toolbar Blocage des barres d’outils clients. Bien que certaines barres d’outils
sont sans risque, les développeurs de logiciels espions utilisent des
barres d’outils pour contrôler les habitudes de navigation et envoient
ces informations au développeur.
Configuration de l’Antivirus à partir de l’interface de ligne de

commande
Cette section parcourt les commandes CLI offrant des fonctionnalités
supplémentaires que celles de l’interface d’administration web. Pour des
descriptions et exemples complets sur l’ajout de fonctionnalités à partir de
l’interface de ligne de commande, reportez-vous au FortiGate CLI Reference.
system global optimize

Cette fonctionnalité configure les paramètres CPU pour assurer un fonctionnement
efficace de l’analyseur antivirus ou de passage direct du trafic à travers le boîtier
FortiGate. Lorsque cette fonction est définie sur antivirus, le boîtier FortiGate utilise
un procédé de traitement multiple symétrique pour étendre les tâches antivirus à
divers CPU, rendant ainsi l’analyse plus rapide.
Cette fonction est disponible sur les modèles FortiGate-1000 et plus.
Pour plus d’informations, voir l’article Antivirus failopen and optimization sur le site
de la Base de Connaissance Fortinet.
config antivirus heuristic

L’engin antivirus heuristique FortiGate exécute des tests sur les fichiers pour
détecter des comportements susceptibles d’être effectués par des virus ou des
indicateurs de virus connus. Une analyse heuristique est lancée en dernier, après
que le filtrage des fichiers et l’analyse antivirus n’aient donné aucun résultat.
L’analyseur heuristique peut donc trouver de nouveaux virus mais risquent
également de produire des résultats erronés.
L’engin heuristique est activé par défaut pour laisser passer les fichiers suspects
vers le destinataire et envoyer une copie en quarantaine. Une fois configurée dans
l’interface de ligne de commande, l’analyse heuristique est activée dans un profil
de protection lorsque le Virus Scan est activé.

01-30001-0203-20060424
Utilisez la commande heuristique pour modifier le mode d’analyse heuristique.
config antivirus quarantine

La commande quarantaine donne également lieu à une configuration des
paramètres liés à l’analyse heuristique. Cette fonction est disponible sur les
modèles FortiGate-200 et plus.
config antivirus service <service_name>

Utilisez cette commande pour configurer le traitement de l’analyse antivirus de gros
fichiers dans le trafic HTTP, FTP, IM, POP3, IMAP ou SMTP, ainsi que les ports
que le boîtier FortiGate analyse pour le service.

01-30001-0203-20060424
Protection contre les Intrusions
Le système de Prévention d’Intrusion FortiGuard (IPS - Intrusion Prevention
System) combine la détection et la prévention des intrusions d’anomalies et de
signatures, et ce avec la garantie d’une haute fiabilité. Le système IPS offre un
accès de configuration des options IPS activées lors de la création des profils de
protection pare-feu.

• A propos de la protection contre les intrusions
• Signatures prédéfinies
• Signatures personnalisées
• Décodeurs de protocoles
• Anomalies
• Configuration de l’IPS à partir de l’interface de ligne de commande
A propos de la protection contre les intrusions

Le boîtier FortiGate peut enregistrer le trafic suspect dans des journaux, envoyer
des mails d’alerte aux administrateurs et journaliser, passer, abandonner,
réinitialiser ou supprimer les paquets ou sessions suspects. Il est important
d’ajuster des seuils d’anomalies IPS pour un fonctionnement optimal du trafic sur
les réseaux protégés. La création de signatures personnalisées permet de
personnaliser le système IPS FortiGate pour des environnements réseaux divers.
L’IPS FortiGate correspond au trafic réseau contre les modèles contenus dans les
signatures IPS. La fiabilité de ces signatures protège votre réseau des attaques
connues. L’infrastructure du FortiGuard de Fortinet assure une identification rapide
des nouvelles menaces et le développement de nouvelles signatures IPS.
Les services FortiGuard forment des ressources précieuses et comprennent des

mises à jour automatiques des engins et définitions antivirus et IPS (attaques)
grâce au Réseau de Distribution FortiGuard (FDN – FortiGuard Distribution
Network). Le Centre FortiGuard offre également une encyclopédie de virus et
attaques et publie le bulletin de FortiGuard. Visitez le site de la Base de
Connaissance Fortinet pour plus de détails et un lien vers le Centre FortiGuard.
La connexion entre le boîtier FortiGate et FortiGuard est configurée dans Système

> Maintenance > FortiGuard Center. Voir « Configuration du boîtier FortiGate
pour les services FDN et FortiGuard » à la page 186 pour plus d’informations.
Vous pouvez configurer le boîtier FortiGate pour télécharger automatiquement les

fichiers de définitions des attaques mis à jour qui contiennent les signatures les
plus récentes. Vous pouvez également les télécharger manuellement. Une
alternative est de configurer le boîtier FortiGate de manière à ce qu’il autorise les
mises à jour forcées des fichiers de définitions des attaques dès que ceux-ci sont
disponibles sur le FDN.

01-30001-0203-20060424
Lorsque le boîtier FortiGate installe un fichier de définition des attaques mis à jour,
il vérifie que la configuration par défaut de chaque signature a été modifiée. Si c’est
le cas, ces modifications seront maintenues.
Vous pouvez créer des signatures IPS personnalisées que le boîtier FortiGate
utilisera en plus de sa vaste liste de signatures IPS prédéfinies. A chaque détection
ou empêchement d’une attaque, un message d’attaque est généré. Vous pouvez
configurer le boîtier FortiGate pour qu’il ajoute le message au Journal des Attaques
et envoie un mail d’alerte aux administrateurs. Définissez alors à quel intervalle le
boîtier FortiGate doit envoyer un mail d’alerte. Vous pouvez réduire le nombre de
messages journalisés et d’alertes en désactivant les signatures pour les attaques
auxquelles le système n’est pas vulnérable, par exemple, les attaques web en
l’absence de fonctionnement du serveur web.
La journalisation de paquets fournit aux administrateurs la possibilité d’analyser les

paquets pour une détection de faux positifs.
Pour plus d’informations sur la journalisation et les mails d’alertes FortiGate, voir
« Journaux/Alertes » à la page 409.
Configurez l’IPS et activez ou désactivez ensuite toutes les signatures ou toutes

les anomalies dans les profils de protection pare-feu individuels.
fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités,
Le tableau 35 décrit les paramètres IPS et comment y accéder pour les configurer.
Tableau 35 : IPS des profils de protection et configuration IPS

Options IPS des profils de protection Paramètres IPS
Signature IPS Intrusion Protection > Signature
Activer ou désactiver les signatures IPS par Visualiser et configurer une liste de
niveau de sévérité. signatures prédéfinies.
Créer des signatures personnalisées
basées sur les nécessités du réseau.
Configurer des décodeurs de protocoles.
Anomalie IPS Intrusion Protection > Anomaly
Activer ou désactiver les anomalies IPS par Visualiser et configurer une liste
niveau de sévérité. d’anomalies prédéfinies.
Journaux des Intrusions Intrusion Protection > Anomaly > [individual
anomaly]
Activer la journalisation de toutes les Activer la journalisation pour chaque
signatures et intrusions d’anomalies. signature ou groupe de signatures.
Activer la journalisation de paquets pour
chaque signature ou anomalie.
Pour accéder aux options IPS des profils de protection, sélectionnez Pare-feu >
Profil de protection, cliquez sur Editer ou Créer Nouveau et sélectionnez IPS.

01-30001-0203-20060424
Signatures prédéfinies
Les signatures prédéfinies sont arrangées en groupes basés sur le type des
attaques. Par défaut, toutes les signatures ne sont pas activées mais la
journalisation de toutes les signatures est activée. Veillez à ce que le paramétrage
par défaut répondent aux exigences du trafic du réseau.
La désactivation de signatures inutiles peut améliorer la performance du système

et réduire le nombre de messages journalisés et les mails d’alertes générés par
l’IPS. Par exemple, l’IPS détecte un grand nombre d’attaques du serveur web. Si
l’accès à un serveur web derrière le boîtier FortiGate n’est pas prévu, désactivez
toutes les signatures des attaques du serveur web.
Les groupes de signatures comprennent des paramètres configurables dépendant

du type de signature dans le groupe de signatures. Les paramètres configurés
pour un groupe de signature s’appliquent à toutes les signatures de ce groupe.
Visualisation de la liste de signatures prédéfinies

Vous pouvez activer ou désactiver et configurer les paramètres pour les signatures
prédéfinies individuelles de la liste. Cette liste peut être visualisée par niveau de
sévérité de la signature.
Pour visualiser la liste des signatures prédéfinies, sélectionnez Intrusion

Protection > Signature > Predefined.
Illustration 206 : Liste des signatures prédéfinies
Voir les signatures Sélectionnez des filtres et cliquez ensuite sur Go

prédéfinies avec pour visualiser les signatures répondant aux critères
la sévérité : des filtres. Les critères de tri peuvent être <=, =, >=, Tout,
Information, Low, Medium, High ou Critical.
Nom des signatures Le nom du groupe de signatures.
Activer L’état des signatures du groupe. Un cercle vert indique que
chaque signature dans le groupe est activée. Un cercle gris

01-30001-0203-20060424
indique qu’aucune signature dans le groupe n’est activée. Un
cercle mi-gris, mi-vert indique que certaines signatures sont
activées et d’autres pas.
Journaliser L’état de la journalisation pour les signatures du groupe. Par
défaut, la journalisation est activée pour toutes les signatures.
Lorsque la journalisation est activée, l’action apparaît dans le
champ Etat (Status ou Statut) du message journalisé généré
par la signature.
Action L’action définie pour les signatures individuelles. Cliquez sur le
triangle bleu pour faire apparaître les membres du groupe de
signatures. L’action peut être Laisser passer, Rejeter,
Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur,
Rejeter tous les paquets de la session, Laisser passer la
session, ou Supprimer la session. En cas d’activation de la
journalisation, l’action apparaît dans le champ Etat du
message journalisé généré par la signature. Voir le Tableau 36
pour une description de ces actions.
Sévérité Le niveau de sévérité défini pour chacune de ces signatures.
Ce niveau peut être Information, Low, Medium, High ou
Critical. Le niveau de sévérité est défini pour les signatures
individuelles.
Révision Le nombre de révision pour les signatures individuelles. Pour
afficher les membres du groupe de signatures, cliquez sur le
triangle bleu.
Icône Configurer Configurez les paramètres pour les signatures individuelles ou
un groupe entier. Les modifications apportées aux paramètres
d’un groupe s’appliquent à tous les membres de ce groupe. De
cette manière, cela permet d’activer ou de désactiver tous les
membres d’un groupe en une seule opération.
Icône Réinitialiser (Reset) Cette icône apparaît uniquement lorsque le paramétrage par
défaut d’une signature ou d’un groupe a été modifié. Cliquez
sur la flèche bleue pour dérouler le groupe de signatures pour
visualiser les signatures qui ont été modifiées. Sélectionner
cette icône pour une signature rétablit son paramétrage par
défaut. Sélectionner cette icône pour un groupe rétablit le
paramétrage par défaut du groupe et de toutes les signatures
membres du groupe.

01-30001-0203-20060424
Le tableau 36 décrit chaque action possible pour les signatures prédéfinies,
personnalisées ou les anomalies.
Tableau 36 : Actions à sélectionner pour chaque signature prédéfinie

Action Description
Laisser passer Lorsqu’un paquet active une signature, le boîtier
FortiGate génère une alerte et autorise le paquet à
travers le pare-feu sans action supplémentaire.
Si la journalisation est désactivée et l’action établie
sur Laisser passer, la signature est effectivement
désactivée.
Rejeter Lorsqu’un paquet active une signature, le boîtier
FortiGate génère une alerte et rejette le paquet. La
session pare-feu est intouchée. Fortinet
recommande l’utilisation d’une autre action que
Rejeter pour les attaques basées sur des
connexions TCP.
Réinitialiser Lorsqu’un paquet active une signature, le boîtier
FortiGate génère une alerte et rejette le paquet. Le
boîtier FortiGate envoie une réinitialisation au client
et au serveur et rejette la session pare-feu de la
table de session pare-feu.
Ceci ne s’applique qu’aux connexions TCP. Les
attaques non TCP définies avec ce paramètre
verront leur session supprimée. Dans le cas où
l’action Réinitialiser est enclenchée avant que la
connexion TCP soit entièrement établie, la session
est supprimée.
Réinitialiser côté client Lorsqu’un paquet active une signature, le boîtier
boîtier FortiGate envoie une réinitialisation au client
et rejette la session pare-feu de la table de session
pare-feu.
l’action Réinitialiser côté client est enclenchée avant
que la connexion TCP soit entièrement établie, la
session est supprimée.
Réinitialiser côté serveur Lorsqu’un paquet active une signature, le boîtier
boîtier FortiGate envoie une réinitialisation au
serveur et rejette la session pare-feu de la table de
session pare-feu.
l’action Réinitialiser côté serveur est enclenchée
avant que la connexion TCP soit entièrement
établie, la session est supprimée.
Rejeter tous les paquets Lorsqu’un paquet active une signature, le boîtier
de la session FortiGate génère une alerte et rejette le paquet. Les
paquets suivants de cette session pare-feu sont
également rejetés.
Laisser passer la session Lorsqu’un paquet active une signature, le boîtier
FortiGate génère une alerte et autorise le paquet à
travers le pare-feu. Les paquets suivants de cette
session contournent l’IPS.
Supprimer la session Lorsqu’un paquet active une signature, le boîtier
FortiGate génère une alerte et la session à laquelle
appartient ce paquet est immédiatement retirée de

01-30001-0203-20060424
la table de session. Aucun réinitialisation n’est
envoyée.
Pour TCP, tous les paquets suivants sont rejetés.
Pour UDP, tous les paquets suivants peuvent
enclencher une nouvelle session créée par le pare-
feu.
Configuration de groupes de signatures prédéfinies

Pour modifier rapidement et facilement les attributs de toutes les signatures d’un
groupe, cliquez sur l’icône Configurer du groupe de signatures associé. Seuls les
attributs modifiés dans une fenêtre de configuration d’un groupe sont appliquées
aux signatures de ce groupe.
Illustration 207 : Configuration de groupes de signatures IPS prédéfinies
Signature Le groupe de signatures auquel les changements seront

appliqués.
Activer Active toutes les signatures du groupe.
Journaliser Active la journalisation pour toutes les signatures du groupe.
Action Sélectionnez une action de la liste à appliquer à toutes les
signatures du groupe. Les différentes action sont : Laisser
passer, Rejeter, Réinitialiser, Réinitialiser côté client,
Réinitialiser côté serveur, Rejeter tous les paquets de la
session, Laisser passer la session et Supprimer la session.
Voir le tableau 36 pour une description des actions.
Packet Log Active la journalisation des paquets.
Severity Sélectionnez un niveau de sévérité de la liste déroulante. Les
différents niveaux de sévérité sont : Information, Low, Medium,
High, Critical. Le niveau de sévérité est défini pour les
signatures individuelles.
Configuration des signatures prédéfinies

Pour chaque signature, configurez l’action que l’IPS FortiGate doit prendre lors de
la détection d’une attaque. L’IPS FortiGate peut laisser passer, rejeter, réinitialiser
ou supprimer les paquets ou les sessions. Activez ou désactivez la journalisation
de paquets. Sélectionnez un niveau de sévérité à appliquer à la signature.
Pour configurer des groupes de signatures, sélectionnez Intrusion Protection >

Signature > Predefined.

01-30001-0203-20060424
Illustration 208 : Configuration des signatures IPS prédéfinies.
Action Sélectionnez une des actions de la liste : Laisser passer,

Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté
serveur, Rejeter tous les paquets de la session, Laisser passer
la session et Supprimer la session. Voir le tableau 36 pour une
description des actions.
Sévérité Sélectionnez un niveau de sévérité de la liste déroulante. Les
Signatures personnalisées
Les signatures personnalisée offrent le pouvoir et la flexibilité de personnaliser
l’IPS FortiGate pour des environnements réseaux divers. Les signatures
prédéfinies FortiGate couvrent les attaques les plus courantes. Si une application
inhabituelle ou spécialisée ou encore une plateforme peu commune est utilisée,
vous pouvez ajouter des signatures personnalisées en fonction des alertes de
sécurité publiées par les vendeurs de l’application ou de la plateforme.
Visualisation de la liste des signatures personnalisées

Pour visualiser la liste des signatures personnalisées, sélectionnez Intrusion
Protection > Signature > Custom.
Illustration 209 : Liste des signatures personnalisées
Voir les signatures Sélectionnez les filtres et cliquez ensuite sur Go pour
personnalisées avec la sévérité visualiser les signatures personnalisées qui
correspondent à ces critères. Les différents critères sont
<+, =, >= pour Tout, Information, Low, Medium, High ou
Critical.
Activer les signatures Activez ou désactivez le groupe de signatures

personnalisées personnalisées
Créer nouveau Permet de créer un nouvelle signature personnalisée.
Icône Supprimer toutes les Supprime toutes les signatures personnalisées du
groupe.

01-30001-0203-20060424
signatures personnalisées
Icône Réinitialiser aux valeurs Réinitialise les paramètres par défaut à toutes les
par défaut ? signatures personnalisées.
Nom des signatures Le nom des signatures.
Activer L’état de chaque signature personnalisée. Une case
cochée signifie que la signature est activée.
Journaliser Le statut de la journalisation pour chaque signature
personnalisée. Une case cochée signifie que la
journalisation est activée pour cette signature.
Action L’action établie pour chacune des signatures
personnalisées. Les différentes actions sont : Laisser
session, Laisser passer la session et Supprimer la
session. Si la journalisation est activée, l’action apparaît
dans le champ Etat du message journalisé généré par
la signature. Voir le tableau 36 pour une description des
actions.
Sévérité Le niveau de sévérité pour chaque signature
personnalisée. Les différents niveaux de sévérité sont :
Information, Low, Medium, High, Critical. Le niveau de
sévérité est défini pour les signatures individuelles.
Icône Supprimer Permet de supprimer une signature personnalisée.
Icône Editer Permet d’éditer les informations suivantes : Nom,
Signature, Action, Packet Log et Sévérité.
Création de signatures personnalisées

L’utilisation de signatures personnalisées sert à bloquer ou permettre des trafics
spécifiques. Par exemple, pour bloquer le trafic comprenant un contenu
pornographique, ajoutez des signatures personnalisées similaires au modèle
suivant :
F-SBID (--protocol tcp ; --flow established ; --content « nude cheerleader » ; --
no_case)
Lors de l’ajout de la signature, définissez l’action sur Rejeter tous les paquets de la
session.
Pour plus d’informations sur la syntaxe des signatures personnalisées, voir le

FortiGate Intrusion Protection System (IPS) Guide.
Remarque : Les signatures personnalisées consistent en une fonction avancée. Ce

document présume que l’utilisateur a l’expérience nécessaire pour créer des signatures de
détection d’intrusions.
Pour créer une signature personnalisée, sélectionnez Intrusion Protection >

Signature > Custom.

01-30001-0203-20060424
Illustration 210 : Configurer une signature personnalisée
Nom des signatures Le nom de la signature personnalisée.

Signature Entrez la signature personnalisée. Pour plus d’informations sur
la syntaxe des signatures personnalisées, voir le FortiGate
Intrusion Protection System (IPS) Guide.
Action Sélectionnez une action de la liste : Laisser passer, Rejeter,
Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur,
Rejeter tous les paquets de la session, Laisser passer la
session et Supprimer la session. Voir le tableau 36 pour une
Sévérité Sélectionnez un niveau de sévérité de la liste déroulante. Les
Décodeurs de protocoles
L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic réseau qui
tente d’exploiter des failles connues.
Activez ou désactivez la journalisation pour chaque anomalie de protocole, et

configurez l’action IPS à prendre en cas de détection d’anomalie. Utilisez les
commandes CLI pour configurer le contrôle de la session en fonction des adresses
réseaux source et de destination.
La liste de détection des anomalies des protocoles peut uniquement être mise à
jour lors de la mise à jour de l’image logicielle boîtier FortiGate.

01-30001-0203-20060424
Visualisation de la liste de décodeurs de protocoles
Pour visualiser la liste de décodeurs, sélectionnez Intrusion Protection >
Signature > Protocol Decoder.
Illustration 211 : Un échantillon de la liste des décodeurs de protocoles
Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas être désactivés. Les
fonctions IM et P2P ont besoin de ces décodeurs pour fonctionner. Cependant, le décodeur
individuel peut être désactivé.
Voir les protocol decoders Sélectionnez les filtres et cliquez ensuite sur OK pour
avec la sévérité visualiser les seuls décodeurs qui correspondent aux critères
des filtres. Les différents filtres sont <=, =, >= pour Tous,
Information, Low, Medium, High ou Critical.
Nom Le nom du décodeur de protocole.
Activer L’état du décodeur de protocole. Une case cochée signifie que
la signature du décodeur est activée.
Journaliser Le statut de la journalisation pour chaque décodeur de
protocole. Une case cochée signifie que la journalisation est
activée pour le décodeur.
Les groupes de décodeurs utilisent un indicateur graphique
pour le statut de la signature dans le groupe. Un cercle vert
signifie que toutes les signatures du groupe sont activées. Un
cercle gris indique qu’aucune signature du groupe n’a été
activée. Un cercle mi-vert, mi-gris signifie que certaines
signatures sont activées et d’autres pas.
Action L’action définie pour chaque décodeur de protocoles : Laisser
session, Laisser passer la session et Supprimer la session. Si
la journalisation est activée, l’action apparaît dans le champ
statut du message journalisé généré par le décodeur. Voir le
tableau 36 pour une description des actions.
Sévérité Le niveau de sévérité pour chaque anomalie de protocole. Les
décodeurs individuels.
Icône Configurer Permet d’éditer les attributs du groupe de décodeurs de
protocoles.
Icône Réinitialiser Cette icône s’affiche uniquement lorsqu’un décodeur a été
modifié. Utilisez cette icône pour restaurer les valeurs initiales
des paramètres recommandés.

01-30001-0203-20060424
Configuration des groupes de décodeurs de protocoles IPS
De nombreux groupes d’anomalies de protocole ont des propriétés séparées des
signatures du groupe. Sélectionnez l’icône Configurer du groupe de décodeurs de
protocoles afin d’éditer les propriétés de ce groupe. L’édition de la configuration du
groupe ne modifiera pas les paramètres des anomalies individuelles du groupe.
Chaque groupe d’anomalies de protocole possède ses propriétés spécifiques.

Modifier l’une de ces propriétés impacte le fonctionnement du groupe. La manière
dont les changements affectent le groupe peuvent varier pour chaque groupe.
Illustration 212 : Editer un Groupe d’Anomalies de Protocole : HTTP
Configuration des décodeurs de protocoles IPS

Chaque anomalie de trafic IPS est prédéfinie par une configuration recommandée.
Vous pouvez utiliser ces configurations recommandées ou les modifier pour
répondre aux besoins de votre réseau.
Pour configurer les anomalies de trafic IPS, sélectionnez Intrusion Protection >
Signature > Protocol Decoder.
Illustration 213 : Editer une anomalie de protocole IPS : tcp_reassembler, stealth

activity
Action Sélectionnez une action de la liste déroulante : Laisser passer,

la session et Supprimer la session. Voir le tableau 36 pour une
Packet Log Activer la journalisation des paquets.
Sévérité Sélectionnez un niveau de sévérité de la liste déroulante :
Information, Low, Medium, High, Critical.
Anomalies
L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic réseau ne
correspondant pas aux modèles de trafic connu ou prédéfini.
L’IPS FortiGate identifie quatre types d’anomalies statistiques pour les protocoles
TCP, UDP et ICMP.
Flooding Si le nombre de sessions ciblant une seule destination en une

seconde dépasse un seuil spécifié, la destination est
submergée (flooding).

01-30001-0203-20060424
Scan Si le nombre de sessions provenant d’une seule source en une
seconde dépasse un seuil spécifié, la source est analysée.
Limite de la session Si le nombre de sessions en cours à partir d’une
de la source seule source dépasse un seuil spécifié, la limite de la session
de la source est atteinte.
Limite de la session de Si le nombre de sessions en cours vers une seule

la destination destination dépasse un seuil spécifié, la limite de la session de
la destination est atteinte.
Il vous faut activer ou désactiver la journalisation pour chaque anomalie de trafic,

et configurer l’action IPS à enclencher en réponse à la détection d’une anomalie.
Dans de nombreux cas, les seuils utilisés par l’anomalie pour détecter des
modèles de trafic qui pourraient représenter une attaque sont configurables.
Remarque : Il est important de connaître le trafic réseau normal et attendu avant de modifier
les seuils d’anomalie par défaut. Etablir un seuil trop bas pourrait causer des faux positifs, et
à l’inverse, établir un seuil trop élevé pourrait laisser passer des attaques.
Pour configurer un contrôle de la session basé sur les adresses réseau source et
de destination, utilisez les commandes CLI.
La mise à jour de la liste de détection des anomalies de trafic a lieu lors de la mise
à jour de l’image logicielle sur le boîtier FortiGate.
Visualisation de la liste des anomalies de trafic

Pour visualiser la liste des anomalies, sélectionnez Intrusion Protection >
Anomaly.
Illustration 214 : Un échantillon de la liste des anomalies de trafic
Voir les anomalies de Sélectionnez les filtres et cliquez ensuite sur Go pour afficher
trafic avec la sévérité les anomalies qui correspondent aux critères des filtres : Les
critères sont <=, =, >= pour Tous, Information, Low, Medium,
High, Critical.
Nom Le nom de l’anomalie de trafic.
Activer L’état de l’anomalie de trafic. Une case cochée signifie que la
signature de l’anomalie est activée.
Journaliser L’état de la journalisation pour chaque anomalie de trafic. Une
case cochée signifie que la journalisation de l’anomalie est
activée.

01-30001-0203-20060424
Action L’action définie pour chaque anomalie de trafic : Laisser
session, Laisser passer la session et Supprimer la session. Si
la journalisation est activée, l’action apparaît dans le champ
statut du message journalisé généré par l’Anomalie. Voir le
tableau 36 pour une description des actions.
Sévérité Le niveau de sévérité défini pour chaque anomalie de trafic. Il
existe différents niveaux de sévérité : Information, Low,
Medium, High, Critical. Le niveau de sévérité est défini pour
les anomalies individuelles.
Icône Editer Permet d’éditer les informations suivantes : Action, Sévérité et
Seuil.
Icône Réinitialiser Cette icône s’affiche uniquement si l’anomalie a été modifiée.
Elle permet de restaurer les valeurs par défaut des paramètres
modifiés.
Configuration des anomalies de trafic IPS

Chaque anomalie de trafic IPS est prédéfinie par une configuration recommandée.
Vous pouvez utiliser les configurations recommandées ou les modifier pour
répondre aux besoins de votre réseau.
Pour configurer les anomalies de trafic IPS, sélectionnez Intrusion Protection >
Anomaly.
Illustration 215 : Editer l’Anomalie de Trafic IPS : icmp_dst_session
Action Sélectionnez une action de la liste déroulante : Laisser passer,

la session et Supprimer la session. Voir le tableau 36 pour
une description des actions.
Sévérité Sélectionnez un niveau de sévérité de la liste déroulante :
Information, Low, Medium, High, Critical.
Seuil Dans le cas des anomalies IPS comprenant le paramètre seuil,
le trafic dépassant le seuil spécifié enclenche l’anomalie.

01-30001-0203-20060424
Configuration de l’IPS à partir de l’interface de ligne de
commande
Cette section reprend les commandes CLI qui élargissent l’éventail des
fonctionnalités disponibles à partir de l’interface d’administration web. Pour plus de
descriptions et exemples complets sur l’activation des fonctionnalités
supplémentaires à partir de l’interface de ligne de commande, voir le FortiGate CLI
Reference.
system autoupdate ips

Lorsque l’IPS est mis à jour, les paramètres modifiés par l’utilisateur sont
conservés. Dans le cas où les paramètres recommandés des signatures IPS n’ont
pas été modifiés, et que les paramètres de mise à jour sont différents, les
paramètres de la signature seront définis en fonction de la commande accept-
recommended-settings.
ips global fail-open

Si, pour quelque raison que ce soit, l’IPS devait arrêter de fonctionner, par défaut il
laisse passer le trafic. Ce qui signifie que le trafic réseau crucial ne sera pas
bloqué, et que les pare-feu continueront d’opérer jusqu’à ce que le problème soit
résolu.
ips global ip_protocol

Sauve les ressources du système en restreignant le traitement IPS aux seuls
services autorisés par les règles pare-feu.
ips global socket-size

Définit la taille de la réserve IPS.
(config ips anomaly) config limit

Accédez à la sous-commande config limit à partir de la commande config
ips anomaly <name_str>. Utilisez cette commande pour un contrôle de la
session basé sur les adresses réseau source et de destination. Cette commande
est disponible pour
tcp_src_session, tcp_dst_session, icmp_src_session,
icmp_dst_session, udp_src_session, udp_dst_session.

01-30001-0203-20060424
Filtrage Web
Cette section décrit comment configurer les options du Filtrage Web. Les fonctions
du filtrage web doivent être activées dans le profil de protection actif pour les
paramètres correspondants.

• Filtrage Web
• Filtrage par mots-clés
• Filtre URL
• Filtrage Web FortiGuard
Filtrage Web
Le filtrage web comprend des modules variés qui exécutent des tâches séparées.
Le boîtier FortiGate effectue le filtrage web dans l’ordre d’apparition des filtres dans
le menu de l’interface d’administration web : filtrage par mots-clés, filtre URL et
filtrage par catégorie (FortiGuard-Web). Le filtrage des scripts est effectué en
dernier.
Le Filtrage Web FortiGuard est décrit en détails dans la section « Options du

Filtrage Web FortiGuard » à la page 285. Les corrections d’évaluation, ainsi que
des suggestions d’évaluation pour de nouvelles pages peuvent être soumises via
la page web du Centre FortiGuard. Visitez le site de la Base de Connaissance
Fortinet : Fortinet Knowledge Center, pour plus de détails et un lien vers le Centre
FortiGuard.
Les tableaux suivants comparent les options de filtrage web dans les profils de
protection et le menu du filtrage web.
Tableau 37 : Filtrage Web et configuration du filtrage par mots-clés à partir des profils
de protection
Options de filtrage web des profils de Paramètres du Filtrage
protection Web
Filtrage par mots-clés Filtrage Web > Filtrage par mots-clés
Activer ou désactiver le blocage de page Ajouter des mots et caractéristiques pour
web en fonction de mots-clés ou bloquer les pages web contenant ces mots
caractéristiques interdits dans la liste de ou caractéristiques.
filtrage par mots-clés pour le trafic HTTP.
Tableau 38 : Filtrage Web et configuration du filtrage d’URL dans les profils de

protection
Options de filtrage web des Paramètres du Filtrage
profils de protection Web
Filtrage d’URL Filtrage Web > URL Filter
Activer ou désactiver le filtrage Ajouter les URL et caractéristiques d’URL pour
de page web pour le trafic HTTP dispenser ou bloquer les pages web provenant de
en fonction de la liste du filtre sources spécifiques.
URL.

01-30001-0203-20060424
Tableau 39 : Filtrage Web et filtrage de script Web dans les profils de protection et
configuration de téléchargement
Options de filtrage web des profils de Paramètres du Filtrage Web
protection
Filtrage des ActiveX, Filtrage des cookies, n/a
Filtrage des Applets Java
Activer ou désactiver le blocage scripts de
page web pour le trafic HTTP.
Blocage Web resume Download n/a
Activez pour bloquer le téléchargement du
reste d’un fichier déjà partiellement téléchargé.
Cette option empêche le téléchargement
involontaire des virus, mais peut par contre
entraîner des interruptions dans le
téléchargement.
Tableau 40 : Filtrage Web et configuration du filtrage de catégories web dans les

profils de protection
Options de filtrage web des profils de Paramètres du Filtrage Web
protection
Activer le Filtrage Web FortiGuard (HTTP FortiGuard Web Filter > Configuration
uniquement).
Activer l’Override du Filtrage Web FortiGuard FortiGuard Web Filter > Override
(HTTP uniquement).
Fournit le détail des erreurs HTTP 4xx et 5xx
bloquées (HTTP uniquement).
Evalue les images par URL (les images
bloquées sont remplacées par des blancs)
(HTTP uniquement).
Autorise les sites web lorsqu’une erreur
d’évaluation a lieu (HTTP uniquement).
Blocage strict (HTTP uniquement).
Catégorie / Action
Le service de Filtrage Web FortiGuard fournit
de nombreuses catégories à partir desquelles
le trafic web peut être filtré. Choisissez l’action
à prendre pour chaque catégorie : autorise,
bloque, journalise ou autorise l’override.
Les catégories locales peuvent être FortiGuard Web Filter > Catégories locales/Local
configurées pour convenir aux besoins locaux. Ratings
Classification / Action
Si sélectionnés, les utilisateurs peuvent
accéder aux sites web fournissant des
contenus sauvegardés et des moteurs de
recherche de fichiers image, son et vidéo.
Choisissez entre autorise, bloque, journalise
ou autorise l’override.
Pour accéder aux options de filtrage web des profils de protection, sélectionnez
Pare-feu > Profil de protection, cliquez sur Editer ou Créer Nouveau et
sélectionnez Filtrage Web ou Filtrage par Catégorie Web.
fonctionnalités de filtrage web sont configurées globalement. Pour accéder à ces
fonctionnalités, sélectionnez Configuration Globale dans le menu principal.

01-30001-0203-20060424
Filtrage par mots-clés
Vous pouvez contrôler le contenu du web en bloquant des mots ou caractéristiques
spécifiés. Si cette option est activée dans le profil de protection, le boîtier FortiGate
recherche ces mots et caractéristiques sur les pages web demandées. Dans le cas
où des correspondances sont trouvées, les valeurs affectées à ces mots sont
additionnées. La page web est bloquée lorsque la valeur seuil pour cet utilisateur
est dépassée.
Utilisez des expressions régulières en Perl ou des méta-caractères (wildcard) pour

ajouter des modèles de mots interdits à la liste.
Remarque : Les expressions régulières en Perl sont sensibles à la casse des caractères
pour le filtrage par mots-clés. Pour modifier cela et rendre le mot ou la phrase insensible à la
casse des caractères, utilisez l’expression /i. Par exemple, /bad language/i bloque
tous les cas de bad language sans tenir compte de la casse. Les méta-caractères
(wildcards) ne sont pas sensibles à la casse des caractères.
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800

et plus)
Vous pouvez ajouter de multiples listes de blocage de contenu Web pour les
modèles FortiGate-800 et plus, et sélectionnez ensuite la meilleure liste pour
chaque profil de protection. Pour visualiser le catalogue des listes, sélectionnez
Filtrage Web > Filtrage par mots-clefs. Pour visualiser n’importe quelle liste de
blocage de contenu web, cliquez sur l’icône Editer de la liste correspondante.
Illustration 216 : Echantillon d’un catalogue de listes de blocage de contenu web
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
sélectionnez Ajouter. Les nouvelles listes sont vides par
défaut.
Nom Les listes de filtrage par mots-clés disponibles.
# d’entrées Le nombre de mots-clés dans chaque liste.
Profils Le profil de protection auquel s’applique chacune des listes.
Commentaire Description facultative de chaque liste de filtrage par mots-
clés.
Icône Supprimer Sélectionnez pour retirer la liste du catalogue. Cette icône est
disponible si la liste n’est pas reprise dans un profil de
protection.
Icône Editer Sélectionnez pour éditer une liste, un nom de liste ou un
commentaire.
Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour
plus d’informations, voir « Options du Filtrage Web » à la page 283.

01-30001-0203-20060424
Création d’une nouvelle liste de blocage de contenu Web (Modèle boîtier
FortiGate-800 et plus)
Pour ajouter une liste de blocage de contenu Web au catalogue, sélectionnez
Filtrage Web > Filtrage par mots-clés et cliquez sur Créer Nouveau.
Illustration 217 : Nouvelle liste de blocage de contenu web
Nom Entrez un nom à la liste.

Commentaire Entrez un commentaire pour décrire la liste, si nécessaire.
Visualisation de la liste de blocage de contenu Web

Grâce à l’activation de blocage de contenu Web, chaque page web demandée est
comparée à la liste de blocage de contenu. La valeur du score de chaque modèle
apparaissant sur la page est additionnée. Si le total dépasse la valeur seuil définie
dans le profil de protection, la page est bloquée. Le score d’un modèle est calculé
une seule fois même s’il apparaît à plusieurs reprises sur la page.
Pour visualiser la liste de blocage du contenu Web sur les modèles 500 et moins,
sélectionnez Filtrage Web > Filtrage par mots-clefs.
Illustration 218 : Echantillon d’une liste de blocage de contenu Web pour les
FortiGate-500 et moins
Pour visualiser la liste de blocage du contenu Web sur les modèles 800 et plus,
sélectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur l’icône Editer
d’une liste que vous voulez visualiser.

01-30001-0203-20060424
Illustration 219 : Echantillon d’une liste de blocage de contenu Web pour les
FortiGate-800 et plus
Remarque : Activer Filtrage Web > Web Content Block dans un profil de protection pare-feu
pour activer les paramètres de blocage de contenu.
Nom Nom de la liste de blocage de contenu. Pour modifier le nom,

éditer le texte dans le champ et cliquez sur OK. Le champ
Nom s’affiche sur les modèles FortiGate 800 et plus.
Commentaire Commentaire facultatif. Pour ajouter ou éditer un commentaire,
entrez un texte dans le champ Commentaire et cliquez sur OK.
Le champ Commentaire s’affiche sur les modèles FortiGate-
800 et plus.
Créer Nouveau Permet d’ajouter un modèle à la liste.
Total Le nombre de modèles dans la liste.
Icône Haut de page Permet d’afficher la page précédente.
Icône Bas de page Permet d’afficher la page suivante.
Icône Supprimer toutes Permet de supprimer les entrées de la table.
les entrées
Modèles La liste en cours des modèles. Cochez la case pour activer
tous les modèles de la liste.
Type de modèles Le type de modèle utilisé dans l’entrée de la liste de modèles.
Choisissez entre Wildcard (méta-caractère) ou Expression
régulière. Voir « Utilisation des expressions régulières en
Perl » à la page 400.
Langage Le caractère du modèle. Choisissez entre Chinois Simplifié,
Chinois Traditionnel, Français, Japonais, Coréen, Thaï ou
Occidental.
Score Une valeur numérique affectée au modèle. Les valeurs des
scores de tous les modèles correspondants apparaissant sur
la page sont additionnées. Si le total dépasse la valeur seuil
définie dans le profil de protection, la page est bloquée.
Icône Editer Permet d’éditer les informations suivantes : Modèles, Type de
modèles, Langage, Activer.

01-30001-0203-20060424
Configuration de la liste de blocage de contenu web
Les modèles de contenu web peuvent être entrés sous forme de mot ou de texte
jusqu’à 80 caractères de long. Le nombre maximum de mots-clés dans la liste est
de 5000.
Pour ajouter ou éditer un modèle de blocage de contenu, sélectionnez Filtrage

Web > Content Block.
Illustration 220 : Nouveau modèle banni
Modèle Entrez un modèle de blocage de contenu. Si vous entrez un

mot, le boîtier FortiGate recherche ce mot sur toutes les pages
web. Si vous entrez une phrase, il recherche tous les mots de
la phrase sur toutes les pages web. Si vous entrez une phrase
entre guillemets, il recherche la phrase entière sur toutes les
pages web.
Type de format Sélectionnez un type de format de la liste déroulante :
Wildcard ou Expression Régulière.
Langage Sélectionnez une langue de la liste déroulante.
Score Entrez un score pour le modèle.
Activer Cochez cette case pour activer le modèle.
Visualisation du contenu de la liste d’exemption des contenus Web (modèles

FortiGate-800 et plus)
Vous pouvez ajouter de multiples listes d’exemption des contenus Web pour les
modèles FortiGate-800 et plus, et sélectionner ensuite la meilleure liste pour
chaque profil de protection. Pour visualiser le contenu de ces listes, sélectionnez
Filtrage Web > Filtrage par mots-clés > Web Content Exempt. Pour visualiser
chaque liste d’exemption des contenus Web individuellement, cliquez sur l’icône
Editer de la liste correspondante.
Illustration 221 : Echantillon d’un catalogue de liste d’exemption des contenus Web
sélectionnez Ajouter. Les nouvelles listes sont vides par
défaut.
Nom Les listes d’exemption des contenus Web disponibles.
# d’entrées Le nombre de modèles de contenu dans chaque liste de
blocage de contenu web.

01-30001-0203-20060424
Profils Le profil de protection appliqué à chaque liste.
Icône Supprimer Permet de retirer une liste du catalogue. Cette icône est
protection.
Icône Editer Permet d’éditer une liste, le nom de la liste ou le commentaire.
Sélectionnez les listes d’exemption des contenus Web dans les profils de
protection. Pour plus d’informations, voir « Options de filtrage web » à la page 283.
Création d’une nouvelle liste d’exemption des contenus Web (modèles FortiGate-
800 et plus)
Pour ajouter une liste d’exemption des contenus Web au catalogue, sélectionnez
Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur
Créer Nouveau.
Illustration 222 : Nouvelle liste d’exemption des contenus Web
Nom Entrez un nom à cette nouvelle liste.

Commentaire Entrez, si nécessaire, un commentaire qui décrive cette liste.
Visualisation de la liste d’exemption des contenus Web

Les exemptions autorisent l’overriding de la fonction de blocage de contenu web.
Si l’un des modèles d’exemption défini dans la liste d’exemption des contenus Web
(web content exempt list) apparaît sur une page web, celle-ci ne sera pas bloquée
même si elle aurait dû l’être par la fonction de blocage de contenu web.
Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate-
500 et moins, sélectionnez Filtrage Web > Blocage par mots-clefs > Web
Content Exempt.
Illustration 223 : Echantillon d’une liste d’exemption des contenus Web pour les
modèles FortiGate-500 et moins
Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate-
800 et plus, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content
Exempt et cliquez sur l’icône Editer de la liste à visualiser.

01-30001-0203-20060424
Illustration 224 : Echantillon d’une liste d’exemption des contenus Web pour les
modèles FortiGate-800 et plus
Remarque : Pour activer les paramètres des contenus exemptés, activez Filtrage Web >
Web Content Exempt dans un profil de protection pare-feu.
La liste d’exemption des contenus Web offre les icônes et fonctionnalités

suivantes :
Nom Le nom de la liste. Pour le modifier, entrez un nouveau nom
dans le champ Nom et cliquez sur OK. Ce champ apparaît sur
les modèles FortiGate-800 et plus.
Commentaire Un commentaire facultatif. Pour ajouter ou éditer un
commentaire, entrez le texte dans le champ Commentaire et
cliquez ensuite sur OK. Ce champ apparaît sur les modèles
FortiGate-800 et plus.
Créer Nouveau Permet d’ajouter un modèle à la liste.
Total Le nombre de modèles dans la liste.
Icône Haut de page Permet de visualiser la page précédente.
Icône Bas de page Permet de visualiser la page suivante.
Icône Supprimer Permet de supprimer la table.
toutes les entrées
Modèle La liste des modèles en cours. Cochez la case pour activer
tous les modèles de la liste.
Type de modèle Le type de modèle utilisé par cette entrée. Choisissez entre
Wildcard ou Expression Régulière. Voir « Utilisation des
expressions régulières en Perl » à la page 400.
Langage Les caractères utilisés par le modèle : Chinois simplifié,
Chinois traditionnel, Français, Japonais, Coréen, Thaï ou
Occidental.
Icône Supprimer Permet de supprimer l’entrée de la liste.
Icône Editer Permet d’éditer les informations suivantes : Modèle, Type de
modèle, Langage et l’activation.
Configuration de la liste d’exemption des contenus Web

Les modèles de contenu web exempté se trouve sous la forme d’un mot ou d’une
phrase longue de maximum 80 caractères. La liste peut contenir jusqu’à 5000
mots.

01-30001-0203-20060424
Pour ajouter ou éditer un modèle d’exemption, sélectionnez Filtrage Web >
Filtrage par mots-clefs > Web Content Exempt.
Illustration 225 : Nouveau modèle d’exemption
Modèle Entrez le modèle d’exemption. Dans le cas d’un mot unique, le

boîtier FortiGate recherche le mot dans toutes les pages web.
Dans le cas d’une phrase, le boîtier FortiGate recherche
chaque mot de la phrase dans toutes les pages web. Dans le
cas d’une phrase entre guillemets, le boîtier FortiGate
recherche la phrase entière dans toutes les pages web.
Type de modèle Sélectionnez un type de modèle dans la liste déroulante :
Wildcard ou Expression Régulière.
Langage Sélectionnez un type de caractères dans la liste déroulante.
Activer Cochez pour activer le modèle.
Filtre URL
Vous pouvez autoriser ou bloquer l’accès à certaines URL en les ajoutant à la liste
de filtre URL. Cela se fait par l’ajout de modèles utilisant du texte et des
expressions régulières (ou des méta-caractères). Le boîtier FortiGate autorise ou
bloque les pages web correspondantes aux URL ou modèles spécifiés et affiche
un message de remplacement à la place de la page.
Remarque : Pour activer les paramètres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.
Remarque : Le blocage d’URL n’empêche pas l’accès aux autres services que les
utilisateurs ont sur leur navigateur web. Par exemple, le blocage d’URL ne bloque pas
l’accès à ftp://ftp.exemple.com. A la place, utilisez des règles pare-feu pour bloquer les
connexions FTP.
Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et

plus)
Vous pouvez ajouter plusieurs listes de filtres URL pour les modèles FortiGate-800
et plus, et sélectionner ensuite la liste de filtres URL la plus appropriée à chaque
profil de protection. Pour visualiser le catalogue de ces listes, sélectionnez Filtrage
Web > URL Filter. Pour visualiser une liste de filtres URL individuellement, cliquez
sur l’icône Editer de la liste à visualiser.

01-30001-0203-20060424
Illustration 226 : Echantillon du catalogue des listes de filtres URL
cliquez sur Ajouter. Les nouvelles listes sont par défaut vide.
Nom Les listes de filtres URL disponibles.
# d’entrées Le nombre de modèles URL dans chaque liste de filtres URL.
Profils Les profils de protection auxquels s’applique la liste.
Commentaire Description facultative pour chaque liste de filtres URL.
Icône Supprimer Permet de supprimer une liste de filtres URL d’un catalogue.
Cette icône s’affiche si la liste n’est pas reprise dans un profil
de protection.
Icône Editer Permet d’éditer une liste de filtres URL, le nom de la liste ou le
commentaire.
Sélectionnez Listes de filtres URL (URL filter lists) dans les profils de protection.
Pour plus d’informations, voir « Options de filtrage web » à la page 283.
Création d’une nouvelle liste de filtres URL (Modèles FortiGate-800 et plus)

Pour ajouter une liste de filtres URL au catalogue, sélectionnez Filtrage Web >
URL Filter et cliquez sur Créer Nouveau.
Illustration 227 : Nouvelle liste de filtres URL
Nom Entrez un nom à la nouvelle liste.

Commentaire Entrez, si nécessaire, une description de la liste.
Visualisation de la liste des filtres URL

Il est possible d’ajouter des URL spécifiques à bloquer ou à exempter et d’ajouter
les éléments suivants à la liste de filtres URL :
• URL complètes
• Adresses IP
• URL partielles qui permettent de bloquer ou d’autoriser tous les sous-
domaines.

01-30001-0203-20060424
Pour visualiser la liste des filtres URL sur les FortiGate-500 et moins, sélectionnez
Filtrage Web > URL Filter.
Illustration 228 : Liste de filtres URL sur les FortiGate-500 et moins
Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, sélectionnez
Filtrage Web > URL Filter et cliquez sur l’icône Editer de la liste à visualiser.
Illustration 229 : Liste de filtres URL sur les FortiGate-800 et plus
La liste de filtres URL possède les icônes et fonctionnalités suivantes :
Nom Le nom de la liste de filtres URL. Pour le modifier, entrez un

nouveau nom dans le champ Nom et cliquez sur OK. Ce
champ s’affiche sur les modèles FortiGate-800 et plus.
Commentaire Un commentaire facultatif. Pour l’ajouter ou le modifier, entrez
un commentaire dans ce champ et cliquez sur OK. Ce champ
s’affiche sur les modèles FortiGate-800 et plus.
Créer Nouveau Sélectionnez pour ajouter une URL à la liste de blocage des
URL.
Icône Page précédente Permet de visualiser la page précédente.
Icône Page suivante Permet de visualiser la page suivante.
Icône Supprimer toutes Permet de supprimer toutes les entrées de la table.
les entrées
URL La liste en cours des URL bloquées ou exemptées. Cochez la
case pour sélectionner toutes les URL de la liste.
Type Le type d’URL : Simple ou Regex (expression régulière).
Action L’action à prendre lors d’une correspondance avec l’URL :
Bloquer, Autoriser ou Exempter.
Icône Editer Permet d’éditer les informations suivantes : URL, Type, Action
et l’activation.
Icône Déplacer Ouvre la boîte de dialogue de déplacement d’un filtre URL.

01-30001-0203-20060424
Configuration d’une liste de filtres URL
Une liste de filtres URL peut compter jusqu’à 5000 entrées.
Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, « com »)
pour bloquer l’accès à toutes les URL comprenant ce suffixe.
Pour ajouter une URL à la liste de filtres URL, sélectionnez Filtrage URL > URL
Filter.
Illustration 230 : Nouveau filtre URL
URL Entrez une URL sans inclure http://

Type Sélectionnez un type dans la liste déroulante : Simple ou Regex
(Expression Régulière).
Action Sélectionnez une action dans la liste déroulante : Autoriser,
Bloquer, Exempter.
Activer Cochez cette case pour activer l’URL.
Entrez une URL ou une adresse IP de haut niveau pour contrôler l’accès à toutes
les pages d’un site web. Par exemple, www.exemple.com ou 192.168.144.155
contrôle l’accès à toutes les pages de ce site web.
Entrez une URL de haut niveau suivie d’un chemin et d’un nom de fichier pour
contrôler l’accès à une seule page d’un site web. Par exemple,
www.exemple.com/news.html ou 192.168.144.155/news.html contrôle
l’accès à la page News de ce site.
Pour contrôler l’accès à toutes les pages dont l’URL se termine par exemple.com,
ajoutez exemple.com à la liste de filtres. Par exemple, l’ajout de exemple.com
contrôle l’accès à www.exemple.com, mail.exemple.com,
www.finance.exemple.com, etc.
Les filtres web FortiGate supportent les expressions régulières standard.
Remarque : Les URL dont l’action est définie sur Exempter ne sont pas soumises
à l’analyse de virus. Si les utilisateurs du réseau téléchargent des fichiers
provenant de sites web de confiance, ajoutez l’URL de ce site à la liste de filtres
URL avec l’action définie sur Exempter pour que le boîtier FortiGate ne procède
pas à l’analyse de virus de ces fichiers.
Remarque : Pour activer les paramètres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.

01-30001-0203-20060424
Déplacement d’URL au sein de la liste de filtres URL
Pour simplifier l’utilisation de la liste de filtres URL, les entrées peuvent être
déplacées à différents endroits de la liste.
Pour déplacer une URL dans la liste, sélectionnez l’icône Déplacer à droite de
l’URL à déplacer.
Illustration 231 : Déplacer un filtre URL
Déplacer vers Choisissez une localisation dans la liste.

(URL) Entrez l’URL avant ou après laquelle la nouvelle URL doit être
placée.
Filtrage Web FortiGuard

Le service FortiGuard-Web est une solution de filtrage Web gérée par Fortinet.
FortiGuard-Web trie des centaines de millions de pages web en une grande
gamme de catégories que les utilisateurs peuvent autoriser, bloquer ou surveiller.
Le boîtier FortiGate se connecte au Point de Service FortiGuard-Web le plus
proche pour déterminer la catégorie d’une page web sollicitée et suit ensuite les
directives de la règle pare-feu configurée pour cet utilisateur ou cette interface.
FortiGuard-Web comprend plus de 60 millions d’évaluation de sites web couvrant

ainsi des centaines de millions de pages. Les pages sont triées et évaluées en
fonction de 56 catégories que les utilisateurs peuvent bloquer, autoriser ou
surveiller. Les catégories peuvent être ajoutées ou mises à jour en fonction de
l’évolution d’Internet. Pour simplifier une configuration, l’utilisateur peut également
choisir de bloquer, autoriser ou surveiller des groupes entiers de catégories. Les
pages bloquées sont alors remplacées par un message indiquant que la page n’est
pas accessible étant donné le règlement en vigueur sur l’utilisation de l’Internet.
Les évaluations de FortiGuard-Web sont le résultat d’une combinaison de

méthodes propres d’analyse de texte, d’exploitation de la structure du Web et
d’évaluations entreprises par une équipe de personnes analyseurs du web. Les
utilisateurs peuvent faire part aux Points de Service FortiGuard-Web d’une page
qui est, à leur avis, mal catégorisée. Les nouveaux sites web sont rapidement
évalués si nécessaire.
La procédure pour configurer le blocage de catégories FortiGuard dans un profil de

protection est décrite dans « Options du filtrage FortiGuard-Web » à la page 285.
Pour configurer le service FortiGuard-Web, voir « Configuration du boîtier
Configuration du filtrage FortiGuard-Web

Pour configurer un service FortiGuard-Web, sélectionnez Système > Maintenance
> Centre FortiGuard. Pour plus d’informations, voir « Configuration du boîtier

01-30001-0203-20060424
Visualisation de la liste override
Les utilisateurs voudront probablement accéder à des sites web bloqués par une
règle. Dans ce cas, un administrateur peut donner à cet utilisateur la possibilité
d’ignorer le blocage pour un temps déterminé.
Lorsqu’un utilisateur tente d’accéder à un site bloqué alors que l’override est
activé, un lien vers une page d’authentification apparaît sur la page bloquée.
L’utilisateur doit fournir un nom d’utilisateur et un mot de passe corrects sans quoi
le site web reste bloqué. L’authentification est basée sur des groupes utilisateurs et
peut être effectuée pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus
d’informations sur l’authentification et la configuration de groupes utilisateurs, voir
« Groupe d’utilisateurs » à la page 330.
Pour visualiser la liste d’override, aussi appelée liste des règles d’ignorance,
sélectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 232 : Liste Override
Créer Nouveau Permet d’ajouter une nouvelle règle d’ignorance à la liste.

# Le nombre de règles d’ignorance dans la liste.
Icône Supprimer tout Supprime toutes les entrées de la table.
URL/Catégorie L’URL ou la catégorie à laquelle s’applique la règle
d’ignorance.
Portée L’utilisateur ou le groupe d’utilisateurs qui bénéficient de la
règle d’ignorance.
Off-site URLs L’utilisateur se voit autoriser ou interdit d’accéder aux liens de
la catégorie ou de l’URL ignorée. Une marque verte signifie un
accès off-site permis. Une croix grise signifie une interdiction
d’accès.
Initiateur Le créateur de la règle d’ignorance.
Date d’expiration La date d’expiration de la règle d’ignorance.
Icône Editer Permet d’éditer les informations suivantes : Type, URL,
Portée, Utilisateur, Off-site URLs et Durée de la règle
d’ignorance.

01-30001-0203-20060424
Configuration de règles d’ignorance
Les règles d’ignorance peuvent être configurées pour permettre l’accès aux sites
web bloqués en fonction du répertoire, nom de domaine ou de la catégorie.
Pour créer une règle d’ignorance pour un répertoire ou un domaine, sélectionnez

Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 233 : Nouvelle règle d’ignorance – Répertoire ou Domaine
Type Sélectionnez Répertoire ou Domaine.

URL Entrez l’URL ou le nom de domaine du site web.
Portée Choisissez entre : Utilisateur, Groupe d’utilisateurs, IP, Profil.
En fonction de l’option choisie, le champ qui suit varie.
Utilisateur Entrez le nom de l’utilisateur sélectionné dans Portée.
Groupe Sélectionnez un groupe d’utilisateurs dans la liste
d’utilisateurs déroulante. Ces groupes doivent être configurés avant de
commencer la configuration du FortiGuard-Web. Pour plus
d’informations, voir « Groupe d’utilisateurs » à la page 330.
IP Entrez l’adresse IP de l’ordinateur initiant la règle.
Profil Sélectionnez un profil de protection dans la liste déroulante.
Off-site URLs Choisissez entre Autorisées ou Bloquées. Cette fonction va
permettre à l’utilisateur d’accéder ou non aux liens du site web
ignoré.
Durée d’ignorance Entrez la durée en jours, heures et minutes. La date
d’expiration alors calculée s’affiche dans la liste des règles
d’ignorance.

01-30001-0203-20060424
Pour créer une règle d’ignorance pour des catégories, sélectionnez Filtrage Web >
FortiGuard-Web Filter > Override.
Illustration 234 : Nouvelle règle d’ignorance – Catégories
Type Sélectionnez Catégories.

Catégories Choisissez les catégories auxquelles s’applique la règle
d’ignorance. Un groupe ou un sous-groupe de catégories peut
être sélectionné. Les catégories locales sont également
affichées.
Classifications Choisissez les classifications auxquelles s’applique la règle
d’ignorance. Si prévu, les utilisateurs peuvent accéder aux
sites web qui fournissent des contenus sauvegardés et des
moteurs de recherche de fichiers image, audio et vidéo.
Portée Choisissez entre : Utilisateur, Groupe d’utilisateurs, IP, Profil.
En fonction de l’option choisie, le champ qui suit varie.
Utilisateur Entrez le nom de l’utilisateur sélectionné dans Portée.
Groupe d’utilisateurs Sélectionnez un groupe d’utilisateurs de la liste déroulante.
IP Entrez l’adresse IP de l’ordinateur initiant la règle.
Profil Sélectionnez un profil de protection de la liste déroulante.
Off-site URLs Choisissez entre Autorisées ou Bloquées. Cette fonction va
permettre à l’utilisateur d’accéder ou non aux liens du site web
ignoré.

01-30001-0203-20060424
Durée d’ignorance Entrez la durée en jours, heures et minutes. La date
d’expiration alors calculée s’affiche dans la liste des règles
d’ignorance.
Création de catégories locales

Des catégories définies par des utilisateurs peuvent être créées afin d’autoriser
aux utilisateurs de bloquer des groupes d’URL sur base d’un profil. Les catégories
définies ici s’affichent dans la liste des catégories URL globale lors de la
configuration d’un profil de protection. Les utilisateurs peuvent évaluer les URL en
fonction des catégories locales.
Illustration 235 : Liste des catégories locales
Add/Ajouter Entrez le nom d’une catégorie et cliquez ensuite sur le bouton

Add.
Visualisation de la liste des évaluations locales

Pour visualiser la liste des évaluations locales, sélectionnez Filtrage Web >
FortiGuard-Web Filter > Local Ratings.
Illustration 236 : Liste des évaluations locales
Créer Nouveau Permet d’ajouter une évaluation à la liste.

Rechercher Entrez un critère de recherche pour filtrer la liste.
1 – 3 of 3 Le nombre total d’évaluations locales dans la liste.
Icône Page suivante Permet de passer à la page suivante.
Icône Supprimer tout Permet de supprimer toutes les entrées de la table.
URL L’URL évaluée. Cliquez sur la flèche verte pour trier la liste en
fonction des URL.
Catégorie La catégorie ou classification dans laquelle l’URL a été placée.
Si l’URL a été classée dans plusieurs catégories ou
classifications, des points de suspension (...) suivent la
première catégorie. En cliquant sur l’entonnoir gris, la boîte de
dialogue Filtre de catégorie s’ouvre. Une fois la liste filtrée,
l’entonnoir apparaît en vert.

01-30001-0203-20060424
Icône Editer Permet d’éditer les informations suivantes : URL, Evaluation
de la catégorie et Evaluation de la Classification.
Illustration 237 : Filtre de catégorie
Clear Filter Supprime tous les filtres.

Nom de la catégorie Cliquez sur la flèche bleue pour afficher le contenu de la
catégorie.
Activer le filtre Permet d’activer le filtre pour la catégorie ou la sous-catégorie
individuelle.
Nom de la classification Les classifications qui peuvent être filtrées.
(ou classe)
Activer le filtre Permet d’activer le filtre de classification.
Configuration d’évaluations locales

Les utilisateurs peuvent créer des catégories et spécifier les URL qui entrent dans
ces catégories. Cela permet aux utilisateurs de bloquer des groupes de sites web
sur base d’un profil. Les évaluations sont comprises dans la liste d’URL globale
avec les catégories associées et elles sont comparées de la même façon que la
liste d’URL bloquées.
L’utilisateur peut également spécifier si l’évaluation locale est utilisée en

conjonction avec l’évaluation FortiGuard ou utilisée comme règle d’ignorance.
Pour créer une évaluation locale, sélectionnez Filtrage Web > FortiGuard-Web
Filter > Local Ratings.

01-30001-0203-20060424
Illustration 238 : Nouvelle évaluation locale
URL Entrez l’URL à évaluer.

Nom de la catégorie Cliquez sur la flèche bleue pour afficher la catégorie.
Activer le filtre Cochez la case pour activer le filtre pour la catégorie ou sous-
catégorie individuelle.
Nom de la classification Les classifications pouvant être filtrées.
Activer le filtre Cochez la case pour activer le filtre de classification.
Configuration d’un blocage de catégorie à partir de l’interface de ligne de

commande
Utilisez le mot-clé hostname pour la commande webfilter fortiguard pour
modifier le nom d’hôte par défaut (URL) du Point de Service FortiGuard-Web. Ce
nom ne peut être modifié à partir de l’interface d’administration web. Configurez
tous les paramètres FortiGuard-Web à partir des commandes CLI. Pour plus
d’informations, voir le FortiGate CLI Reference.
Rapports du Filtrage FortiGuard-Web
Remarque : Les rapports du filtrage FortiGuard-Web ne sont disponibles que sur les
FortiGate munis d’un disque dur.
Cette fonction permet de générer un tableau textuel et sous forme de diagramme

du rapport du Filtrage FortiGuard-Web pour tous les profils de protection. Le boîtier
FortiGate enregistre les statistiques pour les pages web de toutes les catégories,
bloquées, autorisées ou sous surveillance. Les rapports portent sur des tranches
d’heures ou de jours. Vous pouvez aussi visualiser un rapport complet de toutes
les activités.

01-30001-0203-20060424
Pour créer un rapport de filtrage web, sélectionnez Filtrage Web > FortiGuard-
Web Filter > Rapports.
Illustration 239 : Echantillon d’un rapport de Filtrage FortiGuard-Web
Profil Sélectionnez le profil de protection pour lequel un rapport doit

être généré.
Type de rapport Sélectionnez un type de temps pour le rapport. Choisissez
entre heure, jour ou tout.
Plage Sélectionnez la plage horaire (24 heures) ou la plage de jour
(des 6 derniers jours à aujourd’hui) pour le rapport. Par
exemple, un rapport de type heure avec une plage 13 à 16, le
rapport affiche les résultats de la tranche horaire 13 à 16
heures aujourd’hui (1 pm à 4 pm). Pour un rapport de type jour
avec une plage de 0 à 3, le rapport affiche les résultats des
trois derniers jours à aujourd’hui.
Obtenir le rapport Génère un rapport.
Un rapport généré comprend un diagramme et les informations suivantes :
Catégorie La catégorie pour laquelle les statistiques sont générées.

Autorisées Le nombre d’adresses web autorisées accédées dans la
tranche de temps défini.
Bloquées La nombre d’adresses web bloquées sollicitées dans la
Contrôlées Le nombre d’adresses web contrôlées accédées dans la

01-30001-0203-20060424
Antispam
Cette section explique comment configurer les options du filtrage antispam associé
à un profil de protection.

• Antispam
• Mots bannis
• Liste Noire et liste Blanche
• Configuration antispam avancée
• Utilisation des expressions régulières Perl
Antispam
L’Antispam gère les mails commerciaux non sollicités en détectant les messages
mails spam et identifiant les transmissions spam provenant de serveurs spam
connus ou suspectés. Les filtres spams sont configurés pour une utilisation au
niveau du système, mais sont activés sur base des profils.
FortiGuard-Antispam est une des fonctionnalités de la gestion des spams.

FortiGuard est un système antispam de Fortinet qui comprend une liste noire
d’adresses IP, une liste noire d’URL et des outils de filtrage antispam. Le Centre
FortiGuard reçoit les soumissions de messages mails spams ainsi que les faux
positifs. Visitez le site de la Base de Connaissance Fortinet, Fortinet Knowledge
Center, pour plus de détails et un lien vers le Centre FortiGuard.
Ordre du filtrage antispam

L’ordre dans lequel les mails entrants passe à travers les filtres Antispam FortiGate
est déterminé par le protocole utilisé pour le transfert des mails.
Pour le trafic SMTP

1 Vérification des adresses en listes blanches ou noires (prochain saut IP)
2 Vérification RBL & ORDBL, vérification des adresses par FortiGuard,
HELO DNS lookup
3 Vérification des adresses Email en listes blanches ou noires
4 Vérification des en-têtes MIME
5 Vérification des adresses IP en listes blanches ou noires (à partir des
adresses extraites des champs d’en-tête « Received »)
6 Vérification DNS de l’adresse de retour, vérification antispam par
Fortiguard (à partir des adresses extraites des champs d’en-tête
« Received » et des URL extraites du contenu du message)
7 Vérification des mots bannis
Pour le trafic POP3 et IMAP

1 Vérification des adresses Email en listes blanches ou noires

01-30001-0203-20060424
2 Vérification des en-têtes MIME et vérification des IP en listes blanches ou
noires
3 Vérification DNS de l’adresse de retour, vérification antispam par
FortiGuard, vérification RBL & ORDBL
4 Vérification des mots bannis
Pour le trafic SMTP, POP3 et IMAP

Les filtres nécessitant une demande à un serveur et une réponse (FortiGuard
Antispam Service et DNSBL/ORDBL) fonctionnent simultanément. Pour éviter les
retards, les requêtes sont envoyées pendant que d’autres filtres fonctionnent. La
première réponse enclenchant une action spam prend effet dès la réception de
cette réponse.
Chaque filtre spam passe le mail au prochain filtre si aucune correspondance ou

aucun problème n’est trouvé. Si l’action du filtre Mark as spam (Marquer comme
spam) s’enclenche, le boîtier FortiGate balisera (tag) ou rejettera le mail (SMTP
seulement) suivant les paramètres configurés dans le profil de protection. Si
l’action enclenchée est Mark as clear (Marquer comme non spam), le mail est
dispensé des autres filtres. Si l’action est Mark as Reject (Rejeter), la session mail
est abandonnée. Les messages mails SMTP rejetés sont substitués par un
message de remplacement configurable.
Tableau 41 : Antispam et configuration du filtrage antispam dans les profils de

protection
Options du filtrage antispam des profils Paramètres Antispam
de protection
Vérification FortiGuard-Antispam de Système > Maintenance > FortiGuard
l’adresse IP Center
Activation ou désactivation du service Activation FortiGuard-Antispam,
antispam Fortinet appelé FortiGuard- vérification de l’état du serveur
Antispam. FortiGuard-Antispam est le FortiGuard-Antispam, visualisation du
serveur DNSBL propre à Fortinet qui fournit type de licence et de la date d’expiration
les listes noires des adresses IP et URL et configuration du cache. Pour plus de
spams. Fortinet maintient ces listes à jour. détails, voir « Configuration du boîtier
FortiGate pour les services FDN et
FortiGuard » à la page 186.
Vérification des adresses IP en listes Anti-spam > Black/White List > Adresse IP
blanche ou noire
Vérification des listes noire et blanche. Ajout et édition d’adresses IP à la liste.
Activation ou désactivation de la Vous pouvez configurer l’action à prendre
comparaison des adresses IP entrantes à la pour chaque adresse IP : spam, non-
liste d’adresses IP du filtre spam configuré spam ou rejeter. Les adresses IP peuvent
(SMTP uniquement). être placées à un endroit précis de la liste.
Le filtre contrôle chaque adresse IP
successivement (SMTP uniquement).
Contrôle DNSBL & ORDBL A partir de l’interface de ligne de
commande uniquement
Activation ou désactivation de la Ajout ou suppression des serveurs
comparaison du trafic mail au serveur des DNSBL et ORDBL de la liste. Vous
listes Blackhole DNS configurée (DNSBL) et pouvez configurer l’action à prendre pour
Open Relay Database (ORDBL). les mails identifiés comme spam pour
chaque serveur : spam ou rejeter (SMTP
uniquement).
La configuration DNSBL et ORDBL ne
peut être modifiée qu’à partir de l’interface
de ligne de commande. Pour plus
d’informations, voir le FortiGate CLI
Reference.

01-30001-0203-20060424
Recherche HELO DNS n/a
Activation ou désactivation de la
comparaison du nom de domaine source à
l’adresse IP enregistrée dans le Serveur des
Noms de Domaine. Si le nom de domaine
source ne correspond pas à l’adresse IP, le
mail est marqué comme spam et l’action
sélectionnée dans le profil de protection est
enclenchée.
Contrôle des adresses mails en listes Anti-spam > Black/White List > Adresse
blanche ou noire Mail
Activation ou désactivation de la Ajout et édition d’adresses mails à la liste,
comparaison des mails entrants à la liste avec l’option d’utilisation de wildcards et
des adresses mails du filtre spam configuré. d’expressions régulières. Vous pouvez
configurer pour chaque adresse mail
l’action à prendre : spam ou rejeter. Les
adresses IP peuvent être placées à un
endroit précis de la liste. Le filtre contrôle
chaque adresse IP successivement.
Vérification DNS de l’adresse de retour n/a
Activation ou désactivation de la
comparaison du nom de domaine de
l’adresse de retour des mails entrants à
l’adresse IP enregistrée dans le Serveur des
Noms de Domaine. Si le nom de domaine
de l’adresse de retour ne correspond pas à
l’adresse IP, le mail est marqué comme
spam et l’action sélectionnée dans le profil
de protection est enclenchée.
Vérification des en-têtes MIME A partir de l’interface de ligne de
commande uniquement
Activation ou désactivation de la Ajout et édition d’en-têtes MIME, avec
comparaison de l’en-tête MIME de la source l’option d’utiliser des wildcards ou des
à la liste d’en-têtes MIME du filtre spam expressions régulières. Vous pouvez
configuré. configurer l’action à prendre pour chaque
en-tête MIME: spam ou rejeter.
La configuration DNSBL et ORDBL ne
peut être modifiée qu’à partir de l’interface
de ligne de commande. Pour plus
d’informations, voir le FortiGate CLI
Reference.
Filtrage par mots-clefs Anti-spam > Mots Clefs
Activation ou désactivation de la Ajout et édition des mots bannis de la
comparaison du mail source avec la liste liste, avec l’option d’utiliser des wildcards
des mots bannis du filtre antispam. ou expressions régulières. Vous pouvez
configurer la langue et décider de lancer
la recherche dans le sujet ou le corps du
mail, ou les deux. Vous pouvez configurer
l’action à prendre pour chaque mot : spam
ou rejeter.
Action antispam n/a
L’action à prendre pour un mail identifié
comme spam. Les messages POP3 et IMAP
sont balisés (tag). Choisissez entre Tag ou
Rejeter pour les messages SMTP. Vous
pouvez ajouter un mot ou phrase
personnalisé au sujet des en-tête MIME des
mails balisés. Vous pouvez choisir de
journaliser chaque action antispam dans le
journal des événements.
Insertion : Choisissez d’ajouter la balise au
sujet ou à l’en-tête MIME du mail identifié
comme spam.

01-30001-0203-20060424
Insertion de : Entrez un mot ou une phrase
(tag) à ajouter au mail identifié comme
spam. Longueur maximum du tag : 63
caractères.
Ajouter l’événement dans le journal du
système.
Activer ou désactiver la journalisation des
actions antispam dans la journal des
événements.
Pour accéder aux options du profil de protection Antispam, sélectionnez Pare-feu

> Profil de protection, éditer ou Créer Nouveau, Filtrage antispam.
fonctionnalités de filtrage antispam sont configurées globalement. Pour accéder à ces
fonctionnalités, sélectionnez Configuration Globale dans le menu principal.
Mots bannis
Il vous est possible de contrôler les mails spam contenant des mots ou
expressions spécifiques. Lorsque cette option est activée dans le profil de
protection, le boîtier FortiGate recherche ces mots et expressions dans les mails.
Si des correspondances sont trouvées, les valeurs affectées aux mots sont
totalisées. Si une valeur de seuil définie pour un utilisateur est dépassée, le mail
est marqué comme spam. Si aucune correspondance n’est trouvée, le mail passe
jusqu’au prochain filtre.
Pour ajouter des mots et expressions bannis dans la liste, utilisez des expressions
régulières en Perl ou des méta-caractères.
Remarque : Les expressions régulières en Perl sont sensibles à la casse des

caractères pour le filtrage antispam par mots-clés. Pour modifier cela et rendre le mot ou la
phrase insensible à la casse des caractères, utilisez l’expression /i. Par exemple, /bad
language/i bloque tous les cas de bad language sans tenir compte de la casse. Les
méta-caractères (wildcards) ne sont pas sensibles à la casse des caractères.
Visualisation du catalogue de listes de mots bannis antispam (Modèles FortiGate-

800 et plus)
Vous pouvez ajouter de multiples listes de mots bannis antispam sur les modèles
FortiGate-800 et plus, et sélectionner ensuite la meilleure liste pour chaque profil
de protection. Pour visualiser la catalogue des listes de mots bannis antispam,
sélectionnez Anti-spam > Mots clefs. Pour visualiser chaque liste
individuellement, sélectionnez l’icône Editer de la liste désirée.
Illustration 240 : Echantillon du catalogue de listes de filtrage par mots-clés
cliquez sur Ajouter. Les nouvelles listes sont vides par défaut.

01-30001-0203-20060424
Nom Les listes de mots bannis antispam disponibles.
# d’entrées Le nombre d’entrées dans chaque liste.
Profils Les profils de protection appliqués à chaque liste.
Icône Supprimer Permet de supprimer une liste du catalogue. Cette icône est
protection.
Icône Editer Permet d’éditer les informations suivantes : la liste, le nom de
la liste ou le commentaire.
plus d’informations, voir « Options du filtrage antispam » à la page 286.
Création d’une nouvelle liste de mots bannis antispam (modèles FortiGate-800 et

plus)
Pour ajouter une liste de mots bannis antispam au catalogue, sélectionnez Anti-
spam > Mots clefs et cliquez sur Créer Nouveau.
Illustration 241 : Boîte de dialogue d’une nouvelle liste de mots bannis antispam

Commentaire Entrez une description de la liste, si nécessaire.
Visualisation de la liste de mots bannis antispam

Chaque mail est contrôlé par comparaison à la liste des mots bannis antispam.
Vous pouvez ajouter un ou plusieurs mots bannis pour filtrer les mails contenant
ces mots dans leur sujet, corps du message ou les deux. La valeur accordée à
chaque mot apparaissant dans le message est ajoutée au total des valeurs. Si
celui-ci dépasse la valeur seuil définie dans le profil de protection, le message est
traité selon l’Action antispam configurée dans le profil de protection. La valeur d’un
mot banni n’est comptabilisée qu’une seule fois même si ce mot apparaît à
plusieurs reprises dans le message.
Pour visualiser la liste des mots bannis sur les modèles FortiGate-500 et moins,
sélectionnez Anti-spam > Mots Clefs.
Illustration 242 : Echantillon d’une liste de mots bannis pour les modèles FortiGate-
500 et moins

01-30001-0203-20060424
Pour visualiser la liste de mots bannis sur les modèles FortiGate-800 et plus,
sélectionnez Anti-spam > Mots clefs et cliquez sur l’icône Editer de la liste à
visualiser.
Illustration 243 : Echantillon d’une liste de mots bannis pour les modèles FortiGate-
800 et plus
Nom Nom de la liste de mots bannis. Pour le modifier, entrez un

nom dans le champ Nom et cliquez sur OK. Ce champ
apparaît sur les modèles FortiGate-800 et plus.
Commentaire Commentaire optionnel. Pour ajouter ou éditer un
cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-
800 et plus.
Créer Nouveau Permet d’ajouter un mot ou une phrase à la liste des mots
bannis.
Total Le nombre d’éléments dans la liste.
les entrées
Expression régulière La liste des mots bannis. Cochez la case pour activer tous les
mots de la liste.
Type d’expression Le type d’expression utilisé par l’entrée de la liste. Choisissez
entre Wildcard et Expression. Pour plus d’informations, voir
« Utilisation d’expressions régulières en Perl » à la page 400.
Langage Les caractères du mot banni : Chinois simplifié, Chinois
traditionnel, Français, Japonais, Coréen, Thaï ou Occidental.
Où La localisation du message dans laquelle le boîtier FortiGate
va chercher le mot banni : sujet, corps ou tout.
Score La valeur numérique affectée au mot banni. Les valeurs Score
de tous les mots correspondants apparaissant dans un mail
sont additionnées. Si le total dépasse la valeur définie dans
spamwordthreshold du profil de protection, la page est
traitée selon l’action antispam définie pour ce type de trafic
dans le profil de protection (ex. smtp3-spamaction) : pass
ou tag. Le Score d’un mot banni est comptabilisé une seule
fois même dans les cas où le mot apparaît à plusieurs reprises
sur la page web.
Icône Supprimer Permet de supprimer un mot de la liste.
Icône Editer Permet d’éditer les informations suivantes : Expression
Régulière, Type d’Expression, Langage, Où, Action antispam
et l’activation.

01-30001-0203-20060424
Configuration de la liste des mots bannis antispam
Les mots peuvent être marqués comme spam ou à rejeter. Les mots bannis
peuvent être un mot ou une phrase d’une longueur maximum de 127 caractères.
Dans le cas d’un mot simple, le boîtier FortiGate bloque tous les mails contenant
ce mot. Dans le cas d’une phrase, le boîtier FortiGate bloque tous les mails
contenant la phrase exacte. Pour entraîner le blocage à chaque apparition d’un
mot de la phrase, utilisez les expressions régulières en Perl.
Pour ajouter ou éditer un mot banni, sélectionnez Anti-spam > Mots Clefs.
Illustration 244 : Ajouter un mot-clé
Expression Entrez le mot ou la phrase à inclure dans la liste des mots

bannis.
Type d’expression Sélectionnez le type d’expression du mot banni : Wilcard ou
Expression régulière. Voir « Utilisation d’expressions
régulières en Perl » à la page 400.
Langage Les caractères du mot banni : Chinois simplifié, Chinois
traditionnel, Français, Japonais, Coréen, Thaï ou Occidental.
Où La localisation du message dans laquelle le boîtier FortiGate
va chercher le mot banni : sujet, corps ou tout.
Activer Cochez cette case pour activer le filtrage de ce mot banni.
Liste noire et liste blanche

Le boîtier FortiGate utilise aussi bien une liste d’adresses IP qu’une liste
d’adresses mails pour filtrer les mails entrants à condition que cette option ait été
activée dans le profil de protection.
Lors d’une vérification à partir de la liste d’adresses IP, le boîtier FortiGate

compare successivement l’adresse IP de l’émetteur du message à sa liste
d’adresses IP. Lorsqu’une correspondance est trouvée, l’action associée à
l’adresse IP est enclenchée. Dans le cas où aucun correspondance n’a été
trouvée, le mail est envoyé vers le prochain filtre antispam activé.
Lors d’une vérification à partir d’une liste d’adresses mails, le boîtier FortiGate
compare successivement l’adresse mail de l’émetteur du message à sa liste
d’adresses mails. Lorsqu’une correspondance est trouvée, l’action associée avec
l’adresse mail est enclenchée. Dans le cas où aucun correspondance n’a été
trouvée, le mail est envoyé vers le prochain filtre antispam activé.

01-30001-0203-20060424
Visualisation du catalogue de listes d’adresses IP antispam (modèles FortiGate-
800 et plus).
Vous pouvez ajouter plusieurs listes d’adresses IP antispam pour les modèles
FortiGate-800 et plus et sélectionner la meilleure liste pour chaque profil de
protection. Pour visualiser le catalogue de listes d’adresses IP antispam,
sélectionnez Anti-spam > Black/White List > Adresse IP. Pour visualiser une
liste individuellement, cliquez sur l’icône Editer de la liste désirée.
Illustration 245 : Echantillon d’un catalogue de listes d’adresses IP antispam
cliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides.
Nom Les listes d’adresses IP antispam disponibles.
protection.
Création d’une nouvelle liste d’adresses IP antispam (modèles FortiGate-800 et

plus)
Pour ajouter une liste d’adresses IP antispam au catalogue, sélectionnez Anti-
spam > Black/White List > Adresse IP et cliquez sur Créer Nouveau.
Illustration 246 : Boîte de dialogue d’une nouvelle liste d’adresses IP antispam
Nom Donnez un nom à la liste.


01-30001-0203-20060424
Visualisation de la liste d’adresses IP antispam
Il est possible de configurer le boîtier FortiGate pour qu’il filtre les mails provenant
d’adresses IP spécifiques. Le boîtier compare l’adresse IP de l’émetteur à sa liste
d’adresses IP antispam, et ce successivement. Vous pouvez marquer chaque
adresse IP de l’action : non spam, spam ou rejeter. Les adresses IP simples ou
des plages d’adresses au niveau du réseau peuvent être filtrées en configurant
l’adresse et le masque.
Pour visualiser la liste d’adresses IP sur les modèles FortiGate-500 et moins,

sélectionnez Anti-spam > Black/White List > Adresse IP
Illustration 247 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-500
et moins
Pour visualiser la liste d’adresses IP sur les modèles FortiGate-800 et plus,

sélectionnez Anti-spam > Black/WhiteList > Adresses IP et cliquez sur l’icône
Editer de la liste à visualiser.
Illustration 248 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-800
et plus
Nom Nom de la liste d’adresses IP antispam. Pour le modifier,

entrez un nom dans le champ Nom et cliquez sur OK. Ce
champ apparaît sur les modèles FortiGate-800 et plus.
800 et plus.
Créer Nouveau Permet d’ajouter une adresse IP à la liste d’adresses IP
antispam.
les entrées

01-30001-0203-20060424
Adresse IP/Masque La liste actuelle des adresses IP.
Action L’action à prendre pour un mail provenant d’une adresse IP
configurée. Les actions sont : Marquer comme spam pour
appliquer l’action antispam configurée, Marquer comme non-
spam pour ignorer ce filtre, ainsi que les filtres antispam
suivants, ou Marquer à Rejeter (SMTP uniquement) pour
supprimer la session. Si une adresse IP est définie sur Rejeter,
mais que le mail provient d’une adresse IP à partir de POP3
ou IMAP, les messages mails seront marqués comme spam.
Icône Supprimer Permet de supprimer une adresse de la liste.
Icône Editer Permet d’éditer les informations suivantes :L’adresse
IP/Masque, Insertion, Action antispam et l’activation.
Configuration de la liste des adresses IP antispam

Pour ajouter une adresse IP à la liste d’adresses IP, sélectionnez Anti-spam >
Black/White List > Adresse IP et cliquez sur Créer Nouveau. Entrez une adresse
IP et un masque dans un de ces deux formats :
• x.x.x.x/x.x.x.x, par exemple, 62.128.69.100/255.255.255.0

• x.x.x.x/x, par exemple, 62.128.69.100/24
Illustration 249 : Ajouter une adresse IP
Adresse IP/Masque Entrez l’adresse IP et le masque.

Insérer Avant/Après Sélectionnez une position dans la liste pour cette adresse IP.
Action Sélectionnez une action. Les actions sont : Marquer comme
spam pour appliquer l’action antispam configurée dans le profil
de protection, Marquer comme non-spam pour ignorer ce filtre,
ainsi que les filtres antispam suivants, ou Marquer à rejeter
(SMTP uniquement) pour supprimer la session.
Activer Cochez cette case pour activer l’adresse.
Visualisation du catalogue de listes d’adresses mail antispam (modèles

FortiGate-800 et plus).
Vous pouvez ajouter plusieurs listes d’adresses mail antispam pour les modèles
FortiGate-800 et plus et sélectionner la meilleure liste pour chaque profil de
protection. Pour visualiser le catalogue de listes d’adresses mail antispam,
sélectionnez Anti-spam > Black/White List > Adresse Mail. Pour visualiser une
liste individuellement, cliquez sur l’icône Editer de la liste désirée.

01-30001-0203-20060424
Illustration 250 : Echantillon d’un catalogue de listes d’adresses mail antispam
cliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides.
Nom Les listes d’adresses mail antispam disponibles.
protection.
Création d’une nouvelle liste d’adresses mail antispam (modèles FortiGate-800 et

plus)
Pour ajouter une liste d’adresses mail antispam au catalogue, sélectionnez Anti-
spam > Black/White List> Adresse Mail et cliquez sur Créer Nouveau.
Illustration 251 : Boîte de dialogue d’une nouvelle liste d’adresses mail antispam

Visualisation de la liste d’adresses IP mail antispam

Le boîtier FortiGate peut filtrer les mails provenant d’émetteurs spécifiques, ainsi
que tous les mails provenant d’un domaine (tel que exemple.net). Vous pouvez
marquer chaque adresse mail de l’action non spam ou spam.
Pour visualiser la liste d’adresses mail sur les modèles FortiGate-500 et moins,
sélectionnez Anti-spam > Black/White List > Adresse Mail

01-30001-0203-20060424
Illustration 252 : Echantillon d’une liste d’adresses mail pour les modèles FortiGate-
500 et moins
Pour visualiser la liste d’adresses IP sur les modèles FortiGate-800 et plus,

sélectionnez Anti-spam > Black/WhiteList > Adresse Mail et cliquez sur l’icône
Editer de la liste à visualiser.
Illustration 253 : Echantillon d’une liste d’adresses mail pour les modèles FortiGate-
800 et plus
Nom Nom de la liste d’adresses mail antispam. Pour le modifier,

entrez un nom dans le champ Nom et cliquez sur OK. Ce
champ apparaît sur les modèles FortiGate-800 et plus.
800 et plus.
Créer Nouveau Permet d’ajouter une adresse mail à la liste d’adresses mail
antispam.
les entrées
Adresse Mail La liste actuelle des adresses mail.
Type d’expression Le type d’expression utilisé dans l’entrée de l’adresse mail.
Choisissez entre Wildcard et Expression Régulière. Pour plus
d’informations, voir « Utilisation d’expressions régulières en
Perl » à la page 400.
Action L’action à prendre pour un mail provenant d’une adresse mail
configurée. Les actions sont : Marquer comme spam pour
appliquer l’action antispam configurée dans le profil de
protection, Marquer comme non-spam pour ignorer ce filtre,
ainsi que les filtres antispam suivants,
Icône Supprimer Permet de supprimer une adresse de la liste.

01-30001-0203-20060424
Icône Editer Permet d’éditer les informations suivantes :adresse mail, Type
d’Expression, Action antispam et l’activation.
Configuration de la liste des adresses mail antispam

Pour ajouter une adresse mail ou un domaine à la liste, sélectionnez Anti-spam >
Black/White List > Adresse Mail.
Illustration 254: Ajouter une adresse mail
Adresse Mail Entrez l’adresse mail.

Type d’expression Sélectionnez un type d’expression : Wildcard ou Expression
Régulière.
Insérer Avant/Après Sélectionnez une position dans la liste pour cette adresse mail.
Action Sélectionnez une action. Les actions sont :
• Marquer comme spam pour appliquer l’action antispam
configurée dans le profil de protection
• Marquer comme non-spam pour ignorer ce filtre, ainsi que
les filtres antispam suivants
Activer Cochez cette case pour activer l’adresse.
1 Entrez une adresse mail ou une expression.

2 Sélectionnez un type d’expression pour l’entrée de la liste.
3 Si nécessaire, choisissez d’insérer l’adresse mail avant ou après une autre
adresse dans la liste.
4 Sélectionnez l’action à prendre pour les mails provenant d’adresses mail ou de
domaines configurés.
5 Cochez la case Activer.
6 Cliquez sur OK.
Configuration antispam avancée

La configuration antispam avancée couvre uniquement des commandes CLI non
représentées dans l’interface d’administration web. Pour des descriptions et
exemples complets sur l’utilisation de commandes CLI, reportez-vous au FortiGate
CLI Reference.
config spamfilter mheader

Cette commande permet de configurer le filtrage mail en fonction de l’en-tête
MIME. Ce filtrage s’active dans les profils de protection.

01-30001-0203-20060424
Le boîtier FortiGate compare successivement la paire clé-valeur de l’en-tête MIME
des mails entrants avec sa liste de paires. Lorsqu’une correspondance est trouvée,
l’action spécifiée est enclenchée. Lorsque aucune correspondance n’est trouvée, le
mail est envoyé vers le prochain filtre antispam.
Les en-têtes MIME (Multipurpose Internet Mail Extensions) sont ajoutés aux mails
pour décrire le type et le codage de contenu, tels que le type de texte dans le corps
du mail ou le programme qui a généré le mail. Quelques exemples d’en-têtes
MIME comprennent :
• X-mailer : outgluck
• X-Distribution : bulk
• Content_Type : text/html
• Content_Type : image/jpg
La première partie de l’en-tête MIME s’appelle la clé de l’en-tête, ou juste en-tête.

La deuxième partie est appelée valeur. Les spammeurs insèrent souvent des
commentaires dans les valeurs de l’en-tête ou les laissent vides. Ces en-têtes
malformés peuvent duper certains filtres antispam et antivirus.
L’utilisation de la liste d’en-têtes MIME permet de marquer les mails provenant de

certains programmes mails les plus répandus ou comprenant certains types de
contenu communs des messages mails. Il est conseillé de marquer le mail comme
spam ou non-spam pour chaque en-tête configuré.
config spamfilter rbl

Cette commande s’utilise pour configurer le filtrage mail à partir des serveurs de la
liste DNS-based Blackhole List (DNSBL), appelée également Realtime Blackhole
List et de la liste Open Relay Database List (ORDBL). Ces deux filtres s’activent
pour chaque profil de protection.
Le boîtier FortiGate compare l’adresse IP et le nom de domaine de l’émetteur à

toutes les listes de base de données configurées, et ce, successivement.
Lorsqu’une correspondance est trouvée, l’action spécifiée est enclenchée. Lorsque
aucune correspondance n’est trouvée, le mail est envoyé vers le prochain filtre
antispam.
Certains spammeurs utilisent des serveurs SMTP tiers insécurisés pour envoyer
des mails non sollicités. L’utilisation de DNSBL et ORDBL est un moyen efficace
de baliser (tag) ou rejeter les spams lors de leur entrée sur le réseau. Ces listes
agissent comme des serveurs de nom de domaine identique au domaine d’un mail
entrant d’une liste d’adresses IP connues pour envoyer des spams ou autoriser
des spams à passer au travers.
Il existe plusieurs serveurs, dont la souscription est gratuite, qui fournissent un

accès fiable pour des mises à jour continues des DNSBL et ORDBL. Vérifiez avec
le service utilisé pour confirmer le nom de domaine correct pour une connexion au
serveur.
Remarque : Etant donné que le boîtier FortiGate utilise le nom de domaine du serveur pour
se connecter au serveur DNSBL ou ORDBL, il doit être capable de chercher ce nom sur le

01-30001-0203-20060424
serveur DNS. Pour plus d’informations sur le configuration DNS, voir « Options » à la page
76.
Utilisation des expressions régulières en Perl

Les entrées des listes d’adresses mail, d’en-têtes MIME et de mots bannis peuvent
comprendre des méta-caractères ou expressions régulières en Perl.
Expression Régulière vs Modèle à méta-caractère
Dans les expressions régulières en Perl, le caractère « . » remplace n’importe quel

caractère unique. C’est similaire au caractère « ? » des modèles à méta-caractère.
Par exemple :
• fortinet.com correspond à fortinet.com mais aussi fortinetacom,
fortinetbcom, fortinetccom, etc.
Pour que les caractères « . » et « * » ne réfèrent à aucun autre caractère, utilisez le

caractère « \ ». Par exemple :
• Pour référer à fortinet.com, l’expression régulière à utiliser est :
fortinet\.com
Dans les expressions régulières, « * » est utilisé pour correspondre au caractère

situé avant l’astérisque, et ce 0 ou plusieurs fois. Il ne remplace par contre pas
n’importe quel caractère. Par exemple :
• forti*.com correspond à fortiiii.com mais ne correspond pas à fortinet.com
Pour correspondre à n’importe quel caractère, 0 ou plusieurs fois, utilisez « .* » où

le « . » signifie n’importe quel caractère et « * » signifie 0 ou plusieurs fois. Par
exemple :
• forti*.com doit s’écrire fort.*\.com.
Limite des mots

Dans les expressions Perl, l’expression n’a pas de limites implicites. Par exemple,
l’expression régulière « test » correspond aux mots « test » bien sûr mais aussi à
tous les mots contenant « test » comme « attester », « mytest », « atestb ».
Pour spécifier une limite au mot, utilisez la notation « \b ». Pour faire correspondre
au mot exact « test », l’expression doit être \btest\b.
Sensibilité à la casse des caractères

Certaines expressions régulières sont sensibles à la casse des caractères pour les
filtrage par mots-clés et antispam. Pour modifier cela et rendre le mot ou la phrase
insensible à la casse des caractères, utilisez l’expression /i. Par exemple, /bad
language/i bloque toutes les cas de bad language sans tenir compte de la
casse.
Formats des expressions régulières en Perl

Le tableau 42 répertorie et décrit quelques exemples de formats d’expressions
régulières en Perl.

01-30001-0203-20060424
Tableau 42 : Formats d’expressions régulières en Perl
Expression Correspondances
abc « abc » (la séquence exacte de caractères à tout endroit de
la succession)
âbc « abc » au début de la succession
abc$ « abc » à la fin de la succession
a|b Soit « a », soit « b »
âbc|abc$ La succession « abc » au début ou à la fin de la succession
ab{2,4}c « a » suivi de deux, trois ou quatre « b » suivi par un « c »
ab{2,}c « a » suivi d’au moins deux « b » suivi d’un « c »
ab*c « a » suivi d’un nombre indéfini (0 ou plus) de « b » suivi
d’un « c »
ab+c « a » suivi d’un ou plusieurs « b » suivi d’un « c »
ab ?c « a » suivi d’un « b » optionnel suivi d’un « c », donc soit
« abc », soit « ac »
a.c « a » suivi de n’importe quel caractère (sauf retour à la
ligne) suivi d’un « c »
a\.c « a.c » exactement
[abc] n’importe lequel de « a », « b » ou « c »
[Aa]bc soit « Abc », soit « abc »
[abc]+ Toute succession (sans espace) de « a », « b » et « c »
(telle que « a », « abba », « acbabcacaa »)
[âbc]+ Toute succession (sans espace) qui ne contient pas de
« a », « b » et « c » (telle que « defg »)
\d\d Tout chiffre à deux décimales, tel que 42, pareil que \d{2}
/i Rend la casse des caractères insensible. Par exemple,
/bad language/i bloque tous les cas de bad
language sans tenir compte de la casse des caractères.
\w+ Un « mot » : une séquence sans espace de caractères
alphanumériques et de tirets bas ( _ , underscore) telle que
foo et 12bar8 et foo_1
100\s*mk La succession « 100 » et « mk » séparées optionnellement
par un nombre indéfini d’espace blanc (espaces,
tabulations, retour à la ligne)
abc\b « abc » suivi d’une limite au mot ( par exemple, dans
« abc ! » mais pas dans « abcd »)
perl\B « perl » sans être suivi d’une limite du mot (par exemple,
dans « perlert » mais pas dans « perl stuff »)
\x Le parser d’expression régulière ignore les espaces blancs
qui ne sont ni précédés d’un « \ », ni dans une classe de
caractères. Utilisez cette commande pour scinder une
expression régulière en plusieurs parties lisibles.
/x Utilisé pour ajouter des expressions régulières dans
d’autres textes. Si le premier caractère d’une expression
est « / », celui-ci est traité comme borne. L’expression doit
contenir un second « / ». L’expression entre les deux « / »
sera traitée comme expression régulière, et tout ce qui suit
le « / » sera traité comme liste d’options d’expressions
régulières (‘i’, ‘x’,etc). Une erreur apparaît si le second « / »
est absent. Dans les expressions régulières, l’espace à
l’avant et l’espace à l’arrière sont traités comme s’ils

01-30001-0203-20060424
faisaient partie de l’expression régulière.
Exemples
Bloquer chaque mot de la phrase

/block|any|word/
Bloquer expressément les mots mal orthographiés

Les spammeurs insèrent souvent d’autres caractères entre les lettres d’un mot
pour duper les logiciels de blocage de spams.
/^.*v.*i.*a.*g.*r.*o.*$/i
/cr[eéèêë][\+\-
\*=<>\.\,;!\?%&§@\^°\$£€\{\}()\[\]\|\\_01]dit/i
Bloquer les phrases spam communes

Les phrases suivantes sont des exemples de phrases communes trouvées dans
les messages spam.
/try it for free/i
/student loans/i
/you’re already approved/i
/special[\+\-
\*=<>\.\,;!\?%&~#§@\^°\$£€\{\}()\[\]\|\\_1]offer/i

01-30001-0203-20060424
IM/P2P
IM/P2P fournit à l’utilisateur IM les outils d’administration et les statistiques pour le
réseau IM et l’usage P2P. Les protocoles IM et P2P doivent être activés dans le
profil de protection actif pour que les paramètres de cette section prennent leurs
effets.

• Statistiques
• Utilisateur
• Configuration IM/P2P à partir de l’interface de ligne de commande
Statistiques
Les administrateurs peuvent obtenir des statistiques sur les messageries
instantanées et les communications « point to point » afin de connaître l’utilisation
de ces deux protocoles sur le réseau. Des statistiques d’ensemble sont fournies
pour tous les protocoles IM et P2P. Des statistiques détaillées et individuelles
existent pour chaque protocole IM.
Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions
IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale
Visualisation des statistiques d’ensemble

L’onglet Overview reprend un résumé des statistiques pour tous les protocoles IM
et P2P. Pour visualiser ces statistiques, sélectionnez IM/P2P > Statistics >
Overview.
Illustration 255 : Statistiques Overview IM/P2P
Intervalle de rafraîchissement Sélectionnez l’intervalle désiré entre deux

automatique rafraîchissements automatiques. Choisissez entre un
intervalle de 0 (none) à 30 secondes.
Rafraîchir Cliquez sur ce bouton pour rafraîchir la page et faire
apparaître les statistiques mises à jour.

01-30001-0203-20060424
Réinitialiser les statistiques Cliquez sur ce bouton pour remettre les statistiques à
zéro.
Utilisateurs Pour chaque protocole IM, les informations suivantes
sur l’utilisateur s’affichent : utilisateurs connectés,
(utilisateurs) depuis la dernière réinitialisation,
(utilisateurs) bloqués.
Chat Pour chaque protocole IM, les informations suivantes
sur le chat s’affichent : sessions de chat totales et total
des messages.
Transferts de fichiers Pour chaque protocole IM, les informations suivantes
sur les transferts de fichiers s’affichent : (fichiers
transférés) depuis la dernière réinitialisation et (fichiers
transférés) bloqués.
Chats vocaux Pour chaque protocole IM, les informations suivantes
sur les chats vocaux s’affichent : (chats vocaux) depuis
la dernière réinitialisation et (chats vocaux) bloqués.
Utilisation P2P Pour chaque protocole P2P, les informations suivantes
sur l’utilisation s’affichent : octets au total et moyenne
de la bande passante.
Visualisation des statistiques par protocole
L’onglet Protocol fournit des statistiques détaillées individuellement pour chaque

protocole IM.
Pour visualiser ces statistiques, sélectionnez IM/P2P > Statistics > Protocol.
Illustration 256 : Statistiques IM par protocole
Intervalle de rafraîchissement Sélectionnez l’intervalle désiré entre deux

automatique rafraîchissements automatiques. Choisissez entre un
intervalle de 0 (none) à 30 secondes.
Protocole Sélectionnez le protocole désiré : AIM, ICQ, MSN ou
Yahoo.
Utilisateurs Pour le protocole sélectionné, les informations suivantes
sur l’utilisateur s’affichent : utilisateurs connectés,

01-30001-0203-20060424
(utilisateurs) depuis la dernière réinitialisation,
(utilisateurs) bloqués.
Chat Pour le protocole sélectionné, les informations suivantes
sur le chat s’affichent : Sessions de chat totales, Chats
basés sur un serveur, Groupe de chat et Chat
direct/privé.
Messages Pour le protocole sélectionné, les informations suivantes
sur les messages s’affichent : Total des messages,
(messages) envoyés et (messages) reçus.
Transferts de fichiers Pour le protocole sélectionné, les informations suivantes
sur les transferts de fichiers s’affichent : (fichiers
transférés) depuis la dernière réinitialisation, (fichiers
transférés) envoyés, (fichiers transférés) reçus et
(fichiers transférés) bloqués.
Chats vocaux Pour le protocole sélectionné, les informations suivantes
sur les chats vocaux s’affichent : (chats vocaux) depuis
la dernière réinitialisation et (chats vocaux) bloqués.
Utilisateur
Après que les utilisateurs IM se soient connectés à travers le pare-feu, le boîtier
FortiGate affiche les utilisateurs connectés dans la liste Current Users. Les
administrateurs réseaux peuvent alors analyser la liste et décider quels utilisateurs
accepter et quels utilisateurs rejeter. Une règle peut être configurée pour traiter le
cas des utilisateurs inconnus.
Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions
IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale
Visualisation de la liste des utilisateurs connectés

La liste des utilisateurs connectés reprend des informations sur les utilisateurs des
messageries instantanées connectés. La liste peut être filtrée par protocole.
Pour visualiser les utilisateurs en cours, sélectionnez IM/P2P > Users > Current
Users.
Illustration 257 : Liste des utilisateurs connectés
Protocole Filtrez la liste en sélectionnant le protocole pour lequel vous

voulez avoir les utilisateurs : AIM, ICQ, MSN ou Yahoo. Tous
les utilisateurs connectés peuvent également être affichés.
Protocole Le protocole en cours.
Nom d’utilisateur Le nom sélectionné par l’utilisateur lors de son enregistrement
à un protocole IM. Le même nom d’utilisateur peut être utilisé
pour plusieurs protocoles IM. Chaque nom d’utilisateur / paire
de protocole apparaît séparément dans la liste.
IP Source L’adresse à partir de laquelle l’utilisateur initie une session IM.
Dernier Login La dernière fois que l’utilisateur connecté avait utilisé ce
protocole.

01-30001-0203-20060424
Bloque Sélectionnez pour déconnecter l’utilisateur et ajouter son nom
à la liste noire permanente. Chaque nom d’utilisateur / paire de
protocole doit faire l’objet d’un blocage explicite par
l’administrateur.
Visualisation de la liste des utilisateurs

La liste des utilisateurs reprend des informations à propos des utilisateurs
autorisés (liste blanche) et ceux bloqués (liste noire) des services des messageries
instantanées.
Des utilisateurs peuvent être ajoutés en cliquant sur Créer Nouveau ou à partir de
la liste temporaire d’utilisateurs.
Pour visualiser la liste des utilisateurs, sélectionnez IM/P2P > Users > User List.
Illustration 258 : Liste des utilisateurs
Créer Nouveau Sélectionnez pour ajouter un nouvel utilisateur à la liste.

Protocole Filtrez la liste en sélectionnant un protocole : AIM, ICQ, MSN,
Yahoo ou All.
Politique Filtrez la liste en sélectionnant une règle : Autoriser, Bloquer
ou Tout.
Protocole Le protocole associé à l’utilisateur.
Nom d’utilisateur Le nom sélectionné par l’utilisateur lors de son enregistrement
à un protocole IM. Le même nom d’utilisateur peut être utilisé
pour plusieurs protocoles IM. Chaque nom d’utilisateur / paire
de protocole apparaît séparément dans la liste.
Politique La règle appliquée à l’utilisateur lors d’une tentative
d’utilisation du protocole : Bloquer ou Autoriser.
Icône Editer Permet de modifier les informations suivantes sur l’utilisateur :
Protocole, nom d’utilisateur et Politique.
Icône Supprimer Supprime définitivement un utilisateur de la liste.
Ajout d’un nouvel utilisateur à la liste des utilisateurs

Ajouter des utilisateurs à la liste des utilisateurs leur permet d’accéder aux services
de messageries instantanées ou de les bloquer de ces services.
Sélectionnez IM/P2P > User > User List et cliquez sur Créer Nouveau.
Illustration 259 : Editer l’utilisateur

01-30001-0203-20060424
Protocole Sélectionnez un protocole dans la liste déroulante : AIM, ICQ,
MSN ou Yahoo.
Nom d’utilisateur Entrez un nom pour cet utilisateur.
Politique Sélectionnez une politique dans la liste déroulante : Autoriser
ou Bloquer.
Configuration d’une politique utilisateur globale

La politique utilisateur globale détermine l’action à prendre face à des utilisateurs
inconnus. Les utilisateurs inconnus peuvent être soit autorisés à utiliser certains ou
tous les protocoles IM et sont alors ajoutés à la liste blanche, soit ils sont bloqués
de certains ou tous les protocoles et alors ajoutés à la liste noire. Les
administrateurs peuvent a posteriori visualiser les listes blanche et noire et ajouter
des utilisateurs à la liste des utilisateurs.
Pour configurer une politique IM, sélectionnez IM/P2P > User > Config.
Illustration 260 : Politique utilisateur IM
Autoriser automatiquement Sélectionnez les protocoles que les utilisateurs inconnus

sont autorisés à utiliser. Les utilisateurs inconnus sont
ajoutés à une liste blanche d’utilisateurs temporaires.
Bloquer automatiquement Sélectionnez les protocoles que les utilisateurs inconnus
ne sont pas autorisés à utiliser. Les utilisateurs inconnus
sont ajoutés à une liste noire d’utilisateurs temporaires.
Liste des utilisateurs Reprend les nouveaux utilisateurs ajoutés aux listes
temporaires blanche et noire des utilisateurs temporaires. Les
informations sur l’utilisateur reprennent le protocole, le
nom d’utilisateur et la politique appliquée à cet utilisateur.
Remarque : Le contenu de la liste est effacé à chaque
réinitialisation du FortiGate.
Protocole Filtrez la liste des utilisateurs temporaires en sélectionnant
un protocole.
Nom d’utilisateur Le nom sélectionné par l’utilisateur lors de son
enregistrement à un protocole IM. Le même nom
d’utilisateur peut être utilisé pour plusieurs protocoles IM.
Chaque nom d’utilisateur / paire de protocole apparaît
séparément dans la liste.

01-30001-0203-20060424
Politique La politique appliquée à l’utilisateur lors d’une tentative
d’utilisation du protocole : Bloquer ou Autoriser.
Autoriser définitivement Sélectionnez pour ajouter l’utilisateur à la liste blanche
permanente. L’utilisateur reste en ligne et est répertorié
dans IM/P2P > User > User List.
Bloquer définitivement Sélectionnez pour ajouter l’utilisateur à la liste noire
permanente. L’utilisateur est déconnecté et est répertorié
dans IM/P2P > User > User List.
Appliquer Cliquez pour faire appliquer la politique utilisateur globale.
Configuration IM/P2P à partir de l’interface de ligne de

commande
Cette section décrit les commandes CLI qui étendent des fonctions disponibles à
partir de l’interface d’administration web. Pour des descriptions et exemples
complets sur l’activation des fonctionnalités supplémentaires à partir de l’interface
de ligne de commande, voir le FortiGate CLI Reference.
config imp2p old-version

Certaines versions plus anciennes des protocoles IM sont capable de passer à
travers le filtre car les types de messages ne sont pas reconnus. Cette commande
fournit l’option de désactiver ces anciennes versions de protocole IM.
Les protocoles IM supportés comprennent :

• MSN 6.0 et plus
• ICQ 4.0 et plus
• AIM 5.0 et plus
• Yahoo 6.0 et plus

01-30001-0203-20060424
Journaux & Alertes
Cette section informe sur l’activation de la journalisation, la visualisation des
fichiers journaux et l’affichage des rapports disponibles à partir de l’interface
d’administration web. Les boîtiers FortiGate fournissent des possibilités diverses
de journalisation pour les fonctions de protection du trafic, du système et du
réseau. Des rapports et journaux détaillés offrent une analyse historique et
actualisée de l’activité réseau, afin de permettre l’identification de problèmes ou
faiblesses de la sécurité et réduire les abus réseaux.

• Journalisation FortiGate
• Niveaux de sévérité des journaux
• Stockage de Journaux
• Journalisation d’un cluster Haute Disponibilité
• Types de Journaux
• Journal
• Rapports
• Alerte Mail
Journalisation FortiGate
Les boîtiers FortiGate peuvent journaliser de nombreuses activités réseaux et trafic
y compris :
• tout trafic réseau
• des événements liés au système dont les redémarrages système, la Haute
Disponibilité et l’activité VPN.
• infection et blocage antivirus
• filtrage web, blocage de contenu URL et HTTP
• signatures et prévention contre les attaques et anomalies
• filtrage antispam
• trafic de Messageries Instantanées et Peer-to-Peer
Vous pouvez fixer le niveau auquel le boîtier FortiGate journalise ces événements
et leur lieu de stockage. Le boîtier FortiGate peut journaliser des événements du
système et des intrusions sur la mémoire du boîtier. Cependant, étant donné la
nature limitée de cette mémoire, les messages les plus anciens ne sont pas
sauvegardés et le trafic réseau n’est pas journalisé sur la mémoire en raison du
gros volume des messages journalisés.
Pour un meilleur stockage et une récupération efficace, le boîtier FortiGate peut

envoyer les messages journalisés vers un boîtier FortiAnalyzerTM. Les boîtiers
FortiAnalyzer sont des appliances réseau fournissant une collection de journaux
intégrés, des outils d’analyse et des stockages de données. Des rapports

01-30001-0203-20060424
journalisés détaillés offrent une analyse historique et actualisée des activités
réseau et mail afin de permettre l’identification de problèmes de sécurité et de
réduire les mauvais usages du réseau. Le boîtier FortiGate peut envoyer tous les
types de messages journalisés, ainsi que des fichiers en quarantaine vers le boîtier
FortiAnalyzer pour stockage. Le FortiAnalyzer peut télécharger des journaux vers
un serveur FTP dans le but de les archiver. Pour des informations détaillées sur la
configuration du boîtier FortiGate pour l’envoi de journaux vers un boîtier
FortiAnalyzer, voir « Journalisation sur un boîtier FortiAnalyzer » à la page 411.
Le boîtier FortiGate peut également envoyer des journaux vers un serveur Syslog
ou WebTrends dans un but de stockage et d’archivage. Le boîtier FortiAnalyzer
peut également être configuré pour envoyer les messages journalisés vers son
disque dur si disponible sur le boîtier.
Afin de vous permettre de revenir sur les activités se produisant sur votre réseau et
à travers le boîtier FortiGate, ce dernier vous permet de visualiser les messages
journalisés disponibles en mémoire, sur un boîtier FortiAnalyzer muni du
microcode version 3.0 ou plus ou sur un disque dur si disponible sur le boîtier. Des
filtres personnalisables vous permettent de localiser facilement des informations
spécifiques dans les fichiers de journalisation.
Remarque : Pour plus de détails sur la sauvegarde de journaux sur le disque dur du
FortiGate, si disponible, voir le FortiGate CLI Reference.
Voir le FortiGate Log Message Reference pour plus de détails sur les messages et
formats des journaux.
Niveaux de sévérité des journaux

Il est nécessaire de définir un niveau minimum de sécurité des messages
journalisés pour chaque destination utilisée par le boîtier FortiGate pour sauver des
fichiers journaux. Le boîtier FortiGate journalise tous les messages dépassant le
niveau de sécurité minimum défini. Par exemple, si vous sélectionnez Erreur, le
boîtier journalise les messages des niveaux Erreur, Critique, Alerte et Urgent.
Tableau 43 : Niveaux de sévérité de Journalisation

Niveaux Description Généré par
0 – Urgent Le système est devenu Messages d’urgence indisponibles.
instable.
1 – Alerte Une action immédiate est Messages journalisés d’attaques
requise. NIDS.
2 – Critique Le fonctionnement est DHCP
affecté.
3 – Erreur Une erreur est présente et le Messages d’erreur indisponibles.
fonctionnement pourrait en
être affecté.
4- Avertissement Le fonctionnement pourrait Messages journalisés des
être affecté. Antivirus, Filtrage Web, Filtrage
Mail et événements du système.
5 – Notification Informations à propos des Messages journalisés des
événements normaux. Antivirus, Filtrage Web, Filtrage
Mail.
6 - Information Information générale sur les Messages journalisés des
opérations système. Antivirus, Filtrage Web, Filtrage
Mail, des contenus et autres
événements.

01-30001-0203-20060424
Stockage des Journaux
Il vous faut configurer les destinations de stockage des messages et fichiers
journaux. Le type et la fréquence des messages journalisés que vous avec
l’intention de sauvegarder décideront du type de destination de stockage utilisé.
Par exemple, stocker des messages journalisés dans la mémoire ne fournit qu’une
place très limitée. Seul un nombre limité de messages journalisés peut être sauvé
sur la mémoire. Au fur et à mesure que la mémoire se remplit, les plus vieux
messages journalisés sont supprimés. Par ailleurs, en raison du grand volume
potentiel du Journal du Trafic et de la taille du Journal de Contenu, le boîtier
FortiGate ne stockera pas les messages journalisés des trafics sur sa mémoire.
Vous pouvez configurer le boîtier FortiGate pour qu’il stocke les messages
journalisés sur une ou plusieurs destinations, telle qu’un boîtier FortiAnalyzer.
Pour configurer les endroits de stockage, sélectionnez Journaux/Alertes >

Configuration > Configuration du Journal.
Journalisation sur un boîtier FortiAnalyzer

Les boîtiers FortiAnalyzer sont des appliances réseaux fournissant une collection
intégrée de journaux, des outils d’analyse et des lieux de stockage de données.
Des rapports de journaux détaillés offrent une analyse historique et actualisée des
activités du réseau et mail afin de permettre l’identification de problèmes de
sécurité et de réduire les mauvais usages et abus du réseau.
Illustration 261 : Configuration d’une connexion à un FortiAnalyzer
Configurer un boîtier FortiGate pour qu’il envoie les journaux vers un boîtier
FortiAnalyzer
1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal.

2 Sélectionnez FortiAnalyzer.
3 Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer.
4 Définissez le niveau des messages journalisés à envoyer au boîtier FortiAnalyzer.
Le boîtier FortiGate journalise tous les messages égaux ou supérieurs au niveau
de sévérité défini. Pour plus de détails sur les niveaux de la journalisation, voir le
Tableau 43 à la page 410.
5 Entrez l’adresse IP du Serveur du boîtier FortiAnalyzer.
Remarque : Le boîtier FortiGate peut se connecter jusqu’à trois boîtiers FortiAnalyzer. Il leur
envoie à tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une
réelle protection de sauvegarde en temps réel dans le cas où l’un des trois FortiAnalyzer

01-30001-0203-20060424
devrait tomber en panne. Cette fonctionnalité n’est disponible qu’à partir de l’interface de
ligne de commande. Pour plus d’informations, voir le FortiGate CLI Reference.
Remarque : Après avoir configuré les paramètres de la journalisation sur le boîtier

FortiGate, le FortiAnalyzer nécessite d’être configuré pour recevoir les journaux envoyés par
le boîtier FortiGate. Il vous faut alors contacter l’administrateur FortiAnalyzer pour finaliser la
configuration.
Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique

La découverte automatique est une méthode pour établir une connexion à un
FortiAnalyzer. Une fois la découverte automatique sélectionnée, le boîtier
FortiGate utilise des paquets HELLO pour localiser tout boîtier FortiAnalyzer
disponible sur le réseau au sein du même sous-réseau. Lorsqu’un FortiAnalyzer
est trouvé, le boîtier FortiGate permet automatiquement la connexion au boîtier
FortiAnalyzer et commence à lui envoyer des données journalisées, dans le cas où
la journalisation pour le trafic est configurée.
Activer la découverte automatique

2 Cliquez sur la flèche bleue de FortiAnalyzer pour en faire apparaître les options.
3 Cochez Découverte Automatique.
Le boîtier FortiGate cherche dans le même sous-réseau la réponse d’un
FortiAnalyzer disponible.
4 Une fois découvert, sélectionnez un boîtier FortiAnalyzer de la liste Connecté à.
Test de la configuration d’un boîtier FortiAnalyzer

Après avoir configuré les paramètres FortiAnalyzer, vous pouvez tester la
connexion entre le boîtier FortiGate et le boîtier FortiAnalyzer pour vous assurer
que la connexion fonctionne correctement. Ceci vous permet de voir la connexion
entre les deux équipements, y compris les paramètres spécifiés pour la
transmission et la réception des journaux, rapports, archives de contenu et fichiers
en quarantaine.
Tester la connexion

3 Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer.
4 Cliquez sur Tester la connexion.

01-30001-0203-20060424
Illustration 262 : Test de connectivité avec le FortiAnalyzer
FortiAnalyzer Le nom du boîtier FortiAnalyzer. Le nom par défaut d’un

(Nom) boîtier FortiAnalyzer est le nom du produit, par exemple,
FortiAnalyzer-400.
FortiGate Le numéro de série du boîtier FortiGate.

(Identifiant de l’équipement)
Etat d’enregistrement L’état de l’enregistrement du boîtier FortiGate.
Etat de la connexion L’état de la connexion entre les boîtiers FortiGate et
FortiAnalyzer. Une marque en V indique qu’il y a
connexion, tandis qu’une croix signifie l’absence de
connexion.
Espace disque Espace alloué La quantité d’espace prévue pour
les journaux.
Espace utilisé La quantité d’espace utilisé.
Espace libre total La quantité d’espace inutilisé.
Privilèges Affiche les permissions pour l’envoi et la visualisation de
journaux et rapports.
• Tx indique que le boîtier FortiGate est configuré pour
transmettre des paquets journalisés au boîtier
FortiAnalyzer.
• Rx indique que le boîtier FortiGate est autorisé à
visualiser les rapports et journaux stockés sur le
FortiAnalyzer.
Une marque en V indique que le boîtier FortiGate possède
les permissions d’envoyer ou de visualiser les journaux et
rapports. Une croix signifie que le boîtier FortiGate ne
possède pas la permission d’envoyer ou visualiser ces
informations.
Journalisation sur la mémoire

La mémoire du système FortiGate possède une capacité limitée pour la
journalisation des messages. Le boîtier FortiGate n’affiche que les entrées
journalisées les plus récentes. Il ne stocke pas les journaux Trafic et Contenu dans
la mémoire étant donnée leur taille et fréquence. Lorsque la mémoire est pleine, le
boîtier FortiGate remplace les messages les plus anciens. Toutes les entrées
journalisées sont effacées lors d’un redémarrage du FortiGate.

01-30001-0203-20060424
Configurer le boîtier FortiGate pour que les journaux soient sauvegardés en
mémoire
2 Cochez Mémoire.
3 Cliquez sur la flèche bleue pour faire apparaître les options de la Mémoire.
4 Choisissez un niveau de sévérité.
Le boîtier FortiGate journalise tous les messages du niveaux de sévérité

sélectionné et au-delà. Pour plus de détails sur les niveaux de la journalisation, voir
le Tableau 43 à la page 410.
Journalisation sur un serveur Syslog

Le Syslog est un ordinateur distant muni d’un serveur Syslog. Syslog est un
standard industriel utilisé pour capturer les données journalisées fournies par les
équipements du réseau.
Illustration 263 : Journalisation sur un serveur Syslog
Configurer le boîtier FortiGate pour envoyer des journaux au serveur syslog

2 Cochez Syslog.
3 Cliquez sur la flèche bleue pour faire apparaître les options Syslog.
4 Définissez les options syslog suivantes et cliquez sur Appliquer :
Nom / Adresse IP Le nom de domaine ou l’adresse IP du serveur syslog.

Port Le numéro du port pour les communications avec le serveur
syslog, en général le port 514.
Niveau (Log Level) Le boîtier FortiGate journalise tous les messages du niveau de
sévérité défini et des niveaux de sévérité supérieurs. Pour plus
de détails sur les niveaux de la journalisation, voir le Tableau
43 à la page 410.
Facilité La facilité indique au serveur syslog la source d’un message
journalisé. Par défaut, il s’agit du local7. Vous pouvez changer
la valeur par défaut pour distinguer les messages journalisés
des différents boîtiers FortiGate.
Utiliser le format CSV Si vous cochez cette option, le boîtier FortiGate produit le
journal dans le format CSV (Comma Separated Value). Dans
le cas où vous n’activez pas cette option, le boîtier FortiGate
produit des fichiers de texte simples.

01-30001-0203-20060424
Journalisation sur WebTrends
Un ordinateur distant sur lequel le serveur NetIQ Web Trends fonctionne.
Les formats des journaux FortiGate sont conformes à WebTrends Enhanced Log
Format (WELF) et compatibles avec NetIQ WebTrends Security Reporting Center
and Firewall Suite 4.1.
Pour configurer le boîtier FortiGate pour l’envoi de messages journalisés vers

WebTrends, entrez la commande suivante à partir de l’interface de ligne de
commande :
config log webtrends setting

set server <address_ipv4>
set status {disable | enable}
end
Mots-clés et variables Description Par défaut

server <address_ipv4> Entrez l’adresse IP du serveur n/a
WebTrends qui stocke les
journaux.
status {disable | Entrez enable pour activer la disable
enable} journalisation vers un serveur
WebTrends.
Exemple
Cet exemple montre comment activer la journalisation vers un serveur WebTrends

et comment en définir l’adresse IP.
config log webtrends setting
set status enable
set server 220.210.200.190
end
Pour plus de détails sur le paramétrage des options pour les types de journaux à
envoyer vers WebTrends, voir le chapitre sur les Journaux dans le FortiGate CLI
Reference.
Journalisation d’un cluster Haute Disponibilité

Lors de la configuration de la journalisation dans le cadre d’un cluster Haute
Disponibilité, il faut configurer le membre primaire pour que celui-ci envoie des
journaux vers le FortiAnalyzer ou un serveur Syslog. Les paramètres
s’appliqueront aux membres subordonnés. Ceux-ci envoient les messages
journalisés au membre primaire qui lui envoie tous les journaux au FortiAnalyzer
ou serveur Syslog.
Une connexion sécurisée via un tunnel VPN IPSec entre un boîtier FortiAnalyzer et
un cluster HA est en réalité une connexion entre ce boîtier et le membre primaire
du cluster HA.
Pour plus d’informations, voir le High Availability User Guide.

01-30001-0203-20060424
Types de Journaux
Le boîtier FortiGate offre une large gamme d’options de journalisation pour
surveiller votre réseau. Cette section décrit chaque type de journal et son
activation.
Remarque : Vous devez avant tout commencer par configurer les destinations de
sauvegarde des fichiers journaux. Pour plus de détails, voir « Stockage de Journaux » à la
page 411.
Journal Trafic
Le journal Trafic enregistre tout le trafic vers et passant à travers les interfaces du
FortiGate. Vous pouvez configurer la journalisation du trafic contrôlé par des règles
pare-feu, ainsi que la journalisation du trafic entre toute adresse source et de
destination. Vous pouvez appliquer les filtres suivants :
Trafic autorisé Le boîtier FortiGate journalise tout le trafic autorisé par les
paramètres de la règle pare-feu.
Trafic bloqué Le boîtier FortiGate journalise tout le trafic violant les

paramètres de la règle pare-feu.
Remarque : Afin d’enregistrer les messages journalisés du trafic, vous devez paramétrer le
niveau de sévérité sur Notification lors de la configuration de la destination de journalisation.
Activation de la journalisation du trafic

La journalisation du trafic enregistre tout le trafic vers et en provenance de
l’interface ou de la sous-interface VLAN. Pour enregistrer des journaux, vous
devez paramétrer le niveau de sévérité sur Notification ou un niveau moindre.
Activer la journalisation du trafic pour une interface ou sous-interface VLAN

2 Cliquez sur l’icône Editer d’une interface.
3 Cochez la case Journaliser.
4 Cliquez sur OK.
Activation de la journalisation du trafic d’une règle pare-feu

La journalisation du trafic d’une règle pare-feu enregistre le trafic permis et bloqué
par la règle pare-feu, en fonction du profil de protection.
Activer la journalisation du trafic d’une règle pare-feu

2 Cliquez sur la flèche bleue de la direction du trafic souhaité pour afficher la liste de
règles.
3 Cliquez sur l’icône Editer d’une règle ou créez une nouvelle règle pare-feu.

01-30001-0203-20060424
4 Cochez Log Allowed Traffic et cliquez ensuite sur OK.
Journal Evénement
Le journal Evénement enregistre les événements d’administration et d’activités,
tels que lors d’un changement de configuration ou de l’apparition d’un événement
VPN ou Haute Disponibilité.
Activer les journaux Evénement
1 Sélectionnez Journaux/Alertes > Configuration > Event Log.

2 Sélectionnez parmi les journaux suivants :
Evénement système Le boîtier FortiGate journalise tous les événements liés au

système tels que l’échec d’un serveur ping et le statut de
la passerelle.
Négociation IPSec Le boîtier FortiGate journalise tous les événements liés à
la négociation tels que les rapports sur les progrès et les
erreurs.
DHCP Le boîtier FortiGate journalise tous les événements liés au
DHCP tels que les journaux de requêtes et de réponses.
L2TP/PPTP/PPPoE Le boîtier FortiGate journalise tous les événements liés
aux protocoles tels que les processus d’administration.
Administration Le boîtier FortiGate journalise tous les événements
administratifs tels que les connexions utilisateurs, les
réinitialisations et mises à jours de la configuration.
HA Le boîtier FortiGate journalise tous les événements liés à
la Haute Disponibilité tels que les informations relatives
aux liens, aux membres et à l’état du cluster.
Authentification pare-feu Le boîtier FortiGate journalise tous les événements liés au
pare-feu tels que l’authentification des utilisateurs.
Mise à jour des signatures Le boîtier FortiGate journalise tous les événements de
mises à jour des signatures tels que les mises à jour des
signatures antivirus et IPS et les échecs de mises à jour.
SSL VPN user authentication Le boîtier FortiGate journalise tous les événements
d’authentification des utilisateurs pour les connexions
VPN SSL tels que connexions, déconnexions et timeout
d’inactivité.
SSL VPN administration Le boîtier FortiGate journalise tous les événements
d’administration des VPN SSL tels que les configurations
SSL et le téléchargement de certificats CA.
SSL VPN session Le boîtier FortiGate journalise toutes les activités de la
session telles que les lancements et blocage
d’applications, les timeouts, les vérifications etc.

01-30001-0203-20060424
Journal Antivirus
Le Journal Antivirus enregistre les incidents liés aux virus pour les trafics Web,
FTP et mail. Par exemple, lorsque le boîtier FortiGate détecte un fichier infecté,
bloque un type de fichier ou bloque un fichier ou mail surdimensionné. Vous
pouvez appliquer les filtres suivants :
Virus Le boîtier FortiGate journalise toutes les infections virales.

Fichiers Bloqués Le boîtier FortiGate journalise tous les cas de fichiers bloqués.
Fichiers/Mails Le boîtier FortiGate journalise tous les cas de fichiers
surdimensionnés ou mails dépassant un seuil défini.
AV Monitor Le boîtier FortiGate journalise tous les cas des virus, fichiers
bloqués et fichiers et mails surdimensionnés. Cela s’applique
aux trafics HTTP, FTP, IMAP, POP3, SMTP et IM.
Activer les journaux antivirus
1 Sélectionnez Pare-feu > Profil de protection.

2 Cliquez sur l’icône Editer d’un profil de protection.
3 Cliquez sur la flèche bleue à côté de Logging pour afficher les options de
Journalisation.
4 Cochez les événements antivirus à journaliser et cliquez ensuite sur OK.
Journal Filtrage Web

Le Journal Filtrage Web enregistre les erreurs d’évaluation de journalisation
FortiGuard HTTP ainsi que les actions de blocage de contenu web effectuées par
le boîtier FortiGate.
Activer les journaux Filtrage Web

Journalisation.
4 Sous Filtrage Web, cochez les événements de filtrage web à journaliser.
5 Cochez FortiGuard Web Filtering – Erreurs d’évaluation (HTTP uniquement) pour
journaliser le filtrageFortiGuard.
6 Cliquez ensuite sur OK.
Journal des Attaques

Le Journal Attaques enregistre les intrusions détectées et bloquées par le boîtier
FortiGate. Le boîtier FortiGate journalise les événements suivants :
Signature des attaques Le boîtier FortiGate journalise toutes les intrusions détectées
et bloquées basées sur la signature de l’attaque, ainsi que les
actions prises par le boîtier FortiGate.

01-30001-0203-20060424
Anomalies Le boîtier FortiGate journalise toutes les intrusions détectées
et bloquées basées sur des signatures inconnues ou
suspectes, ainsi que les actions prises par le boîtier FortiGate.
Activer les journaux Attaques

Journalisation.
4 Cochez IPS – Journaliser les intrusions et cliquez ensuite sur OK.
Remarque : Vous devez vous assurer de l’activation des paramètres de journalisation des
signatures des attaques et anomalies. Les options de journalisation pour les signatures
présentes sur le boîtier FortiGate sont définies par défaut. Veillez à ce que toutes les
signatures personnalisées aient l’option de journalisation activée. Pour plus de détails, voir
« Protection contre les intrusions » à la page 352.
Journal Antispam
Le Journal Antispam enregistre les blocages d’adresses mails et de contenu des
trafics SMTP, IMAP et POP3.
Activer les journaux antispam

Journalisation.
4 Cochez Filtrage antispam – Log Spam et cliquez ensuite sur OK.
Journal IM / P2P
Le Journal des Messageries Instantanées et Peer-to-Peer enregistre les textes des
messages instantanés, les communications audio, les tentatives de transferts de
fichiers par les utilisateurs, le temps d’essai de la transmission, le type
d’application IM utilisé et le contenu de la transmission.
Activer les journaux IM / P2P

Journalisation.
4 Cochez les deux journalisations des activités IM et P2P et cliquez ensuite sur OK.

01-30001-0203-20060424
Accès aux Journaux
Le boîtier FortiGate vous permet de visualiser les journaux stockés en mémoire,
sur le disque dur ou sur un FortiAnalyzer muni du microcode version 3.0.
Au sein de l’afficheur de journaux, vous pouvez lancer une recherche et filtrer des
messages journalisés. Pour les journaux stockés sur un FortiAnalyzer, vous
pouvez également supprimer des fichiers journaux, retirer des messages
journalisés des fichiers et télécharger le fichier journal soit en format texte, soit en
format CSV.
Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celui-ci doit être muni du
microcode version 3.0 ou plus.
Accès aux messages journalisés stockés en mémoire

Visualiser les messages journalisés stockés dans le FortiAnalyzer

2 Sélectionnez Memory.
3 Sélectionnez le type de journal désiré. Les journaux trafic ne sont pas stockés en
mémoire, étant donné leur volume.
Les messages journalisés s’affichent dans la fenêtre.
Accès aux journaux stockés sur un boîtier FortiAnalyzer

Dans la cas où vous avez configuré votre boîtier FortiGate pour qu’il envoie des
paquets messages journalisés vers un FortiAnalyzer, vous pourrez visualiser,
naviguer et télécharger des journaux sauvegardés sur ce FortiAnalyzer. Pour plus
de détails sur la configuration du FortiGate pour l’envoi de journaux vers un
FortiAnalyzer, voir « Journalisation sur un FortiAnalyzer » à la page 411.
Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celui-ci doit être muni du
microcode version 3.0 ou plus.
Accéder aux fichiers journaux d’un FortiAnalyzer

3 Sélectionnez le type de journal désiré.

01-30001-0203-20060424
Illustration 264 : Fichiers journaux sur un FortiAnalyzer
Type de journal Sélectionnez le type de journal que vous voulez visualiser.

Certains fichiers journaux, tels que le journal Trafic, ne peut
pas être sauvegardé sur la mémoire en raison du volume des
informations journalisées.
Nom de fichier Les noms des fichiers du type sélectionné stocké sur le disque
dur du FortiAnalyzer.
Lorsqu’un fichier journal atteint sa taille maximum, le
FortiAnalyzer sauve ce fichier avec un numéro et commence
un nouveau fichier avec le même nom. Par exemple, le journal
Attaques en cours est alog.log. Tout journal supplémentaire
sauvé aura comme nom alog.n, où n est le nombre de
journaux répertoriés.
Taille La taille du fichier journal en octets.
Date du dernier accès Le jour, le mois, l’année et l’heure auxquels le dernier paquet
journalisé a été envoyé par le boîtier FortiGate.
Icône Vider Permet de vider le fichier en cours. Vider un fichier en cours
efface tous les messages journalisés du fichier actif. Il est
seulement possible de vider le journal actif.
Icône Supprimer Permet de supprimer le fichier journal entier. Vous ne pouvez
pas supprimer le fichier actif.
Icône Télécharger Permet de télécharger le journal sous format texte ou fichier
CSV.
Icône Visualiser Permet d’afficher le fichier journal à partir de l’interface
Visualisation des informations journalisées

L’afficheur de journaux reprend les informations des messages journalisés. Les
colonnes reprennent le contenu des fichiers journaux. La partie supérieure de la
page comprend des fonctionnalités de navigation qui vous aideront à vous
déplacer parmi les messages et à localiser des informations spécifiques.

01-30001-0203-20060424
Illustration 265 : Visualisation des messages journalisés
Type de journal Sélectionnez le type de journal à visualiser.

Icône Page précédente Affiche la page précédente du fichier journal.
Icône Page suivante Affiche la page suivante du fichier journal.
Visualiser… lignes par page Choisissez le nombre de messages journalisés affichés
sur chaque page.
Ligne Entrez le numéro de la ligne de la première ligne à
afficher. Le nombre suivant le slash (« / ») est le nombre
total de ligne dans le journal.
Formatage des colonnes Sélectionnez pour ajouter ou supprimer des colonnes.
Colonnes/Formatage Sélectionnez Colonnes pour passer en affichage non
formaté des messages journalisés. Sélectionnez
Formatage pour passer en affichage organisé en
colonnes.
Clear All Filters Supprimer tous les filtres. Permet de supprimer les options
de filtrage en cours pour le fichier journal.
Paramètres des colonnes

Le formatage des colonnes permet de personnaliser l’affichage des messages
journalisés lors de l’affichage Formatage des messages.
Illustration 266 : Paramètres des colonnes pour l’affichage des messages journalisés
Personnaliser les colonnes

2 Choisissez le Type de Journal que vous désirez accéder.

01-30001-0203-20060424
3 Choisissez entre Memory ou FortiAnalyzer.
4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le
fichier.
5 Cliquez sur Formatage des colonnes.
6 Sélectionnez un nom de colonne. Pour modifier l’affichage des informations des
journaux, sélectionnez soit :
-> la flèche droite pour déplacer les champs sélectionnés de la liste
Champs Disponibles vers la liste Visualiser les champs dans cet
ordre.
<- la flèche gauche pour déplacer les champs sélectionnés de la
liste Visualiser les champs dans cet ordre vers la liste Champs
Disponibles.
Monter Déplace le champ sélectionné d’une place vers le haut dans la
liste Visualiser les champs dans cet ordre.
Descendre Déplace le champ sélectionné d’une place vers le bas dans la
liste Visualiser les champs dans cet ordre.
7 Cliquez sur OK.
Filtrage des messages journalisés

Il est possible de filtrer les contenus des journaux pour trouver des informations
spécifiques dans un large fichier ou dans plusieurs fichiers. Le filtrage offre une
forme de recherche avancée pour chaque colonne d’information du journal.
Illustration 267 : Filtrages des journaux
Les paramètres de filtrage appliqués se maintiennent pendant la durée de votre

connexion au boîtier FortiGate. Les filtres des journaux sont réinitialisés à chaque
déconnexion du boîtier FortiGate.
Remarque : Vous devez être en affichage Formatage pour accéder aux filtres.
Filtrer des messages journalisés

2 Sélectionnez le type de journal auquel vous voulez accéder.
3 Choisissez entre Memory ou FortiAnalyzer.
4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le
fichier.
5 Sélectionnez l’icône Filtre de la colonne à trier.
6 Entrez un critère de filtrage dans le champ Texte.
7 Sélectionnez si le critère entré est égal à ce que vous filtrez ou s’il est présent dans
les données.
8 Si vous désirez exclure les contenus, cochez NOT.

01-30001-0203-20060424
Les icônes Filtres apparaissent en gris dans l’en-tête de la colonne. Un filtre utilisé
apparaît en vert.
Pour annuler un filtre, sélectionnez l’icône Filtre et cliquez ensuite sur Réinitialiser
Filtre.
Rapports
Le boîtier FortiGate offre deux formes de rapports, vous permettant de visualiser
les informations sur le trafic circulant sur votre réseau :
• Rapports de base sur le trafic – Le boîtier FortiGate utilise les informations des
journaux stockés en mémoire pour soumettre, sous format graphique, des
informations de base sur le trafic. Les rapports comprennent la bande
passante par service et les protocoles par volume.
• Rapports FortiAnalyzer – lorsqu’il est connecté à un FortiAnalyzer, le boîtier
FortiGate peut accéder à tous les rapports générés par le FortiAnalyzer à partir
de ses journaux. Vous pouvez également personnaliser un rapport par défaut
pour le boîtier FortiGate.
Rapports de base sur le trafic

Le boîtier FortiGate utilise des informations sur les journaux rassemblées et les
présente sous format graphique pour établir l’usage réseau pour un nombre de
services. Les graphiques montrent le volume d’octets utilisé par le trafic.
Remarque : Les données utilisées pour les graphiques sont stockées en mémoire. Lors
d’un redémarrage ou d’une réinitialisation du boîtier FortiGate, les données sont effacées.
Pour visualiser les rapports des journaux, sélectionnez Journaux/Alertes >

Report Access et choisissez Memory.
Illustration 268 : Visualisation de la Bande Passante par service

01-30001-0203-20060424
Source des données La localisation à partir de laquelle le boîtier FortiGate obtient
les données sur la journalisation pour ses rapports. Choisissez
Memory pour visualiser les journaux de base sur le trafic. Pour
obtenir des rapports plus détaillés, sélectionnez FortiAnalyzer.
Pour plus d’informations sur les rapports du FortiAnalyzer, voir
« Rapports FortiAnalyzer » à la page 426.
Time Period Sélectionnez un intervalle de temps pour les analyses de
graphiques.
FortiAnalyzer Link Le lien en haut du rapport varie selon que vous ayez configuré
le boîtier FortiGate pour l’envoi de journaux vers un
FortiAnalyzer. Le lien peut être :
• To access a complete set of 1000+ reports, please
configure a FortiAnalyzer appliance – cliquez sur ce lien
pour configurer un FortiAnalyzer. Pour plus de détails, voir
« Journalisation sur un FortiAnalyzer » à la page 411.
• Access full set of reports on FortiAnalyzer – cliquez sur ce
lien pour lancer une nouvelle fenêtre de navigation
accédant à l’interface d’administration web du
FortiAnalyzer.
Le rapport n’est pas mis à jour en temps réel. Pour rafraîchir le rapport,
sélectionnez Journaux/Alertes > Report Access.
Configuration de l’affichage des graphiques

Les rapports FortiGate comprennent une large gamme de services que vous
pouvez contrôler avec le rapport de base graphique. Pour vous aider à visualiser
des informations spécifiques, vous pouvez personnaliser ce que vous voyez sur le
graphe Bande Passante par Service ( Bandwidth Per Service).
Modifier les informations des graphiques
1 Sélectionnez Journaux/Alertes > Report Access.

2 Choisissez Memory comme Source de données.
3 Sélectionnez le service que vous désirez voir apparaître sur le graphe et cliquez
ensuite sur Appliquer.
Le graphe se met à jour avec le contenu sélectionné. Le « Top Protocols Ordered
by Total Volume » ne change pas.
Remarque : Il s’agit de rapports simplifiés. Un boîtier FortiAnalyzer peut fournir des rapports
plus détaillés ou spécifiques. La fonction d’un FortiAnalyzer est de rassembler des
messages journalisés et de générer des rapports. Il peut générer plus de 140 rapports
différents, vous offrant ainsi des informations historiques et mises à jour, des tendances sur
votre réseau pour les activités mail, IM et générales. Ceci vous aide dans l’identification de
problèmes de sécurité et dans la réduction des mauvais usages et abus du réseau.

01-30001-0203-20060424
Rapports FortiAnalyzer
Dans le cas où le boîtier FortiGate est connecté à un FortiAnalyzer muni du
microcode version 3.0 ou plus, il vous est possible d’accéder à tous les rapports
générés pour le boîtier FortiGate. Vous pouvez également configurer un profil de
rapport par défaut configurable pour générer des rapports spécifiques pour le
boîtier FortiGate.
Lorsque le boîtier FortiGate se connecte pour la première fois à un FortiAnalyzer,

ce dernier crée un profil de rapport par défaut personnalisable. Seul ce profil peut
être personnalisé à partir du boîtier FortiGate.
Le FortiAnalyzer peut créer plusieurs profils de rapport pour un boîtier FortiGate

afin de répondre à une gamme d’exigences et à des options personnalisables
additionnelles.
Pour plus de détails sur l’ajout et la configuration de profils de rapport, voir le
FortiAnalyzer Administration Guide.
Remarque : Les rapports FortiAnalyzer n’apparaissent pas tant que vous ne configurez pas
le boîtier FortiGate pour qu’il se connecte à un FortiAnalyzer, ou si le FortiAnalyzer n’est pas
muni du microcode version 3.0 ou plus.
Visualisation des rapports FortiAnalyzer

Le FortiAnalyzer peut générer un nombre de rapports spécifiques pour un boîtier
FortiGate et faire fonctionner ces rapports selon des horaires précis, ou sur
demande. Si vous utilisez un FortiAnalyzer, vous pouvez accéder à tout rapport
généré pour le boîtier FortiGate à partir de l’interface d’administration web
FortiGate.
Visualiser les rapports FortiAnalyzer
1 Sélectionnez Journaux/Alertes > Report.

2 Choisissez FortiAnalyzer comme Source de données.
3 Cliquez sur la flèche bleue pour afficher la sélection des rapports à visualiser.
4 Sélectionnez un nom de rapport pour visualiser une version HTML du rapport.
Si le rapport a été configuré pour inclure des formats alternés, vous pouvez
sélectionner l’icône dans la colonne Autres Formats.

01-30001-0203-20060424
Illustration 269 : Visualisation des rapports FortiAnalyzer pour le boîtier FortiGate
Configuration Sélectionnez pour configurer le rapport par défaut pour le

boîtier FortiGate. Ce rapport apparaissant en haut de la liste
des rapports FortiAnalyzer, est le seul rapport personnalisable
à partir du boîtier FortiGate. Pour plus de détails, voir le
FortiAnalyzer Administration Guide.
Fichiers de rapport Les noms des fichiers HTML pour chaque rapport généré dans
le profil de rapport.
Date La date et l’heure auxquelles le FortiAnalyzer a généré les
rapports.
Taille (octets) La taille des fichiers rapports.
Autres Formats Dans le cas où cela a été configuré par l’administrateur
FortiAnalyzer, des formats de fichiers supplémentaires de
rapports apparaîtront. Ces formats comprennent Adobe PDF,
Microsoft Word RTF ou ASCII Text.
Configuration du rapport par défaut du FortiAnalyzer

Il est possible de mettre à jour ou de modifier un profil de configuration de rapport
pour y inclure les informations à paraître sur le rapport. Choisissez le type de
rapport et un intervalle de temps pour fournir des rapports spécialisés.
Configurer le profil de rapport par défaut du FortiAnalyzer
1 Sélectionnez Journaux/Alertes > Report Config.

2 Choisissez FortiAnalyzer comme Source de données.
3 Sélectionnez Configuration.
4 Entrez un titre pour le rapport et une description de ce qu’il contient. Ces deux
champs sont facultatifs.
5 Cliquez sur la flèche bleue à côté des options à configurer :
Période de temps Choisissez un intervalle de temps pour le rapport.
Portée du rapport Choisissez le type de résultat à inclure dans le rapport.
Report Types Sélectionnez les rapports à inclure.
Filtre Filtrez les données des journaux pour créer des rapports sur
des contenus ou informations spécifiques.

01-30001-0203-20060424
Planifié Configurez le moment auquel le FortiAnalyzer génère ses
rapports, par exemple, chaque semaine ou chaque mois.
Format/Sortie Choisissez un format pour les rapports.
6 Cliquez sur OK.
Configuration des options temporelles

Les rapports reprennent les informations pour un laps de temps donné. Vous
devez spécifier cet intervalle de temps souhaité. Lorsque le FortiAnalyzer génère
un rapport, il utilise les données journalisées pour cette période de temps spécifié
uniquement.
Illustration 270 : Configuration des options temporelles des rapports
Période de temps Sélectionnez un intervalle de temps pour le rapport.

Date de début : Choisissez la date et l’heure de départ.
Date de fin : Choisissez la date et l’heure de fin.
Configuration du contenu des rapports

Sélectionnez le type de résultats que vous voulez inclure dans les rapports.
Illustration 271 : Configuration du contenu des rapports
Résoudre les noms Permet l’affichage des noms d’hôtes par un nom
d’hôtes reconnaissable à la place des adresses IP. Pour toute
information sur la configuration d’adresse IP de noms d’hôtes,
voir le FortiAnalyzer Administration Guide.
Résoudre les noms Permet l’affichage des noms des services réseaux à la place
de services des numéros de port. Par exemple, HTTP au lieu de port 80.
Dans les « rapports Pour certains types de rapports, vous pouvez définir
classés » montrer le top les éléments supérieurs. Ces rapports ont le mot « Top » dans
leur nom et afficheront uniquement les n entrées supérieures.
Par exemple, le rapport des clients mail les plus actifs dans
l’organisation (au lieu de tous les clients mail).
Les rapports qui ne comprennent pas le mot « Top » dans leur
nom afficheront quant à eux toutes les informations. Les
rapports ne seront pas affectés par un changement des
valeurs du champ « Top ».

01-30001-0203-20060424
Configuration de la sélection des rapports
Sélectionnez le type d’informations que vous voulez inclure dans les rapports :
• Basic – offre les types de rapports les plus communs.
• All – offre tous les types de rapports. Si les données pour un type de rapport
sont inexistantes, ce rapport affichera un message précisant que les données
journalisées pour ce rapport n’ont pas été trouvées.
• Custom – permet de sélectionner les rapports que vous voulez inclure. Cliquez
sur la flèche bleue pour afficher les catégories de rapports et sélectionnez des
rapports individuels.
Configuration de filtres pour les journaux

Le filtrage vous permet de visualiser ou retirer des informations d’un rapport pour
obtenir un rapport plus concis. Cela sert dans le cas, par exemple, où vous ne
désirez que des rapports sur des messages d’erreurs spécifiques ou encore si
vous ne voulez pas inclure certaines adresses IP de destination.
Illustration 272 : Configuration de filtres pour les journaux
Filtres Choisissez None pour ne pas appliquer de filtres aux journaux

d’un rapport.
Choisissez Custom pour appliquer des filtres aux journaux d’un
rapport.
Include logs that match Sélectionnez le critère voulu pour le filtre.
Sélectionnez All pour inclure dans le rapport les journaux qui
correspondent à tous les paramètres des filtres. Si le contenu
d’un journal ne correspond pas à tous les critères, le
FortiAnalyzer ne reprendra pas ce journal dans son rapport.
Sélectionnez Any pour inclure dans le rapport les journaux qui
correspondent à au moins un critère des filtres. Si un contenu
de filtre, même s’il est le seul, correspond au contenu d’un
journal, celui-ci sera repris dans le rapport généré par le
FortiAnalyzer.
Priorité Cochez cette case pour activer les options de filtrage en
fonction du niveau de priorité. Sélectionnez ensuite le niveau
de priorité à rechercher dans les journaux et précisez si vous
désirez que le contenu soit égal, plus grand ou plus petit que
ce niveau de priorité.

01-30001-0203-20060424
Source(s) Entrez l’adresse IP source comme critère de correspondance.
Utilisez une virgule pour séparer plusieurs adresses.
Cochez Not pour exclure l’adresse IP source du rapport. Dans
le cas par exemple où vous ne voulez pas inclure le contenu
d’une adresse IP source précise dans le rapport.
Destination(s) Entrez l’adresse IP de destination comme critère de
correspondance. Utilisez une virgule pour séparer plusieurs
adresses.
Cochez Not pour exclure l’adresse IP de destination du
rapport. Dans le cas par exemple où vous ne voulez pas
inclure le contenu d’une adresse IP de destination précise
dans le rapport.
Vous pouvez également organiser le filtre en fonction de

plages d’adresses IP, y compris des sous-réseaux pour créer
des rapports sur des groupes de l’organisation. Par exemple :
• 172.20.110.0-255 filtre toutes les adresses IP du
sous-réseau 172.20.110.0/255.255.255.0 ou 172.20.110.0/24
• 172.20.110.0-140.255 filtre toutes les adresses IP de
172.20.110.0 à 172.20.140.255
• 172.16.0.0-20.255.255 filtre toutes les adresses IP de
172.16.0.0 à 172.20.255.255
Interface(s) Entrez l’interface que vous voulez inclure dans le rapport.
Séparez plusieurs interfaces par une virgule.
Cochez Not pour exclure les informations de cette interface du
rapport. Dans le cas par exemple où vous ne voulez pas
inclure le contenu d’une interface précise dans le rapport.
Domaine(s) Virtuel(s) Entrez les domaines virtuels à inclure dans le rapport. Séparez
plusieurs domaines virtuels par une virgule.
Cochez Not pour exclure le VDOM du rapport. Dans le cas par
exemple où vous ne voulez pas inclure le contenu d’un VDOM
précis dans le rapport.
Service(s) Entrez les services spécifiques à inclure dans le rapport.
Séparez plusieurs services par une virgule.
Cochez Not pour exclure le service du rapport. Dans le cas par
exemple où vous ne voulez pas inclure le contenu d’un service
URL(s) Entrez les URL spécifiques à inclure dans le rapport. Séparez
plusieurs URL par une virgule.
Cochez Not pour exclure l’URL du rapport. Dans le cas par
exemple où vous ne voulez pas inclure le contenu d’un URL
Période Sélectionnez un intervalle de temps à inclure dans le rapport.
Jours de la semaine Choisissez les jours de la semaine pour lesquels les
informations tirées des fichiers journaux sont insérées dans les
rapports.

01-30001-0203-20060424
Configuration d’un planning pour les rapports
Le FortiAnalyzer génère des rapports selon un planning que vous définissez.
Choisissez un horaire récurrent pour que, par exemple, chaque semaine des
rapports sur le trafic mail soient générés.
Illustration 273 : Configuration d’un planning pour les rapports
Non planifié Permet de ne pas générer de rapport quotidien. Utilisez ce

paramètre lorsque vous voulez obtenir des rapports seulement
lorsque nécessaire. Si vous sélectionnez cette option, vous
devez solliciter l’initiation du rapport à partir de l’interface
d’administration web du FortiAnalyzer.
Quotidiennement Permet de générer un rapport tous les jours à la même heure.
Ces jours Permet de générer un rapport certains jours de la semaine.
Des dates Permet de générer un rapport certains jours du mois. Par
exemple, pour générer un rapport tous les premiers et
quinzièmes jours du mois, entrez 1, 15.
Heure Permet de définir l’heure à laquelle le rapport sera généré.
Configuration de la sortie des rapports

Vous pouvez choisir la destination et le format des rapports. Configurez pour cela
le boîtier FortiAnalyzer pour soit sauvegarder les rapports sur son disque dur, soit
les envoyer par mail à tous les destinataires prévus, soit encore les deux options.
Lors de la configuration du FortiAnalyzer pour l’envoi par mail des rapports, vous
devez configurer le serveur mail sur le FortiAnalyzer. Pour toute information à ce
sujet, voir le FortiAnalyzer Administration Guide.
Remarque : Si vous envoyez par mail des rapports HTML à un utilisateur et que son client
email ne supporte pas HTML, il verra le code HTML de chaque rapport dans le corps du
message.

01-30001-0203-20060424
Illustration 274 : Configuration de la sortie des rapports
Fichier de sortie Sélectionnez le format de fichier pour les rapports générés

sauvés sur le disque dur du FortiAnalyzer.
Email de sortie Sélectionnez le format de fichier pour les rapports générés
envoyés par le FortiAnalyzer en pièce jointe de courriers
électroniques.
Liste d’adresses Email Entrez les adresses mail des destinataires des rapports. Tapez
la touche Enter pour ajouter une adresse mail supplémentaire.
Charger le rapport Sélectionnez pour télécharger des fichiers de rapports
sur un serveur FTP terminés sur un serveur FTP.
Adresse IP Entrez l’adresse IP du serveur FTP.
Nom d’utilisateur Entrez le nom d’utilisateur pour vous connecter sur le serveur
FTP.
Mot de passe Entrez le mot de passe pour vous connecter sur le serveur
FTP.
Charger le(s) rapport(s) Permet de compresser les fichiers des rapports en
au format gzip fichiers gzip avant de les télécharger sur un serveur FTP.
Supprimer le(s) fichier(s) Permet de supprimer les fichiers des rapports du

après chargement disque dur du FortiAnalyzer une fois que celui-ci a terminé le
téléchargement sur le serveur FTP.
Mail d’alerte
La fonctionnalité de mail d’alerte permet au boîtier FortiGate de surveiller les
journaux de messages journalisés ayant un certain niveau de sévérité. Si le
message apparaît dans les journaux, le boîtier FortiGate envoie un mail aux
destinataires prédéfinis du message journalisé en question.
L’envoi de mails d’alerte fournit une notification immédiate de problèmes

apparaissant sur le boîtier FortiGate, tels que des erreurs système ou des attaques
réseaux.

01-30001-0203-20060424
Illustration 275 : Options des mails d’alerte
Configuration des mails d’alerte

Lors de la configuration de mails d’alerte, vous devez configurer au moins un
serveur DNS. Le boîtier FortiGate utilise le nom du serveur SMTP pour se
connecter au serveur mail et doit chercher ce nom sur votre serveur DNS.
Configurer les mails d’alerte

1 Sélectionnez Journaux/Alertes > Configuration > Alerte Mail.
2 Définissez les options suivantes et cliquez ensuite sur Appliquer :
Serveur SMTP Le nom/adresse du serveur mail SMTP.
Email from Le nom d’utilisateur SMTP.
Destinataire Entrez jusqu’à trois destinataires des mails d’alerte.
Authentification Activer Cochez cette case pour activer l’authentification SMTP.
Compte de messagerie Entrez un nom d’utilisateur pour vous connecter au
SMTP serveur SMTP pour l’envoi de mails d’alerte. Cette manoeuvre
n’est nécessaire que si vous avez activé l’authentification
SMTP.
Mot de passe Entrez un mot de passe pour vous connecter au serveur
SMTP pour l’envoi de mails d’alerte. Cette manoeuvre n’est
nécessaire que si vous avez activé l’authentification SMTP.
Log Level Le boîtier FortiGate envoie des mails d’alerte pour tous les
messages du niveau de sévérité sélectionné ainsi que des
niveaux supérieurs.
Urgent Entrez un intervalle de temps d’attente avant l’envoi du mail
Alerte d’alerte du niveau additionnel des messages journalisés.
Critique
Erreur
Avertissement
Notification
Information

01-30001-0203-20060424
Remarque : Dans le cas où le boîtier FortiGate réunit plus d’un message journalisé avant
que l’intervalle de temps soit atteint, le boîtier FortiGate combine ces messages et n’envoie
qu’un mail d’alerte.

01-30001-0203-20060424
Index
A C
accès au mode console, 33 Centre FortiGuard, 184
administrateur configuration du boîtier, 186
authentification RADIUS, 169 problèmes de connexion, 188
configuration d’un compte, 170 service Antispam, 185
contrôle, 180 service de filtrage web, 185
liste, 169 certificats VPN, 316
modifier le mot de passe, 170 certificats CA, 320
administration certificats locaux, 316
comptes administrateurs, 168 générer une requête de certificat, 317
FortiManager, 177–78 importation d’un certificat serveur signé, 319
groupe d’utilisateurs, 169 liste de révocation de certificat, 322
profils d’administration, 174 châssis FortiGate série 5000, 15
adresse pare-feu, 245 cluster
configuration, 247 administration, 133
configuration des groupes d’adresses, 248 administration individuelle des membres, 135
introduction, 245 configuration, 124
liste des adresses pare-feu, 246 connexion au réseau, 147
liste des groupes d’adresses, 247 déconnexion d’un membre, 136
ajout d'un serveur ping à une interface, 76–77 liste des membres, 119–20
antispam, 386 réadjoindre un membre déconnecté, 137
configuration cli, 398 réplication, 135
expressions régulières en Perl, 400 cluster virtuel
liste noire et liste blanche, 392 administration, 141
modèle à méta-caractère, 400 clustering virtuel
mots bannis, 389 activation, 131
trafic POP3 et IMAP, 386 configuration, 127
trafic SMTP, 386 exemple de configuration, 139
antivirus, 337 configuration
configuration CLI, 350 des paramètres du modem, 79
liste de soumission automatique, 344 configuration de l'interface modem, 79
liste des graywares, 348 configuration du système
liste des virus, 347 sauvegarde et restauration, 181
mise en quarantaine, 342 Configuration Globale
modèles de fichier, 338 paramètres, 42
options de mise en quarantaine, 345 configuration par défaut
archives de contenu, 58 des profils de protection, 280
authentification console de message d'alerte, 50
RADIUS, 169 conventions du document, 26
authentification
d’un utilisateur, 324
authentification D
paramétrage du timeout, 324 date et heure, paramétrage, 51
auto key, 295 détection de l'échec d'une passerelle, 76
DHCP
B baux d’adresses, 103
configuration d’un serveur, 101
bande passante garantie, 239 configuration d’une interface, 69
bande passante maximum, 239 configuration d’une interface comme relais DHCP,
BGP, 219 101
paramètres, 220 configuration des services DHCP, 100
serveurs et relais, 99
DNS
configuration dynamique d'une interface, 72
domaines virtuels

01-30001-0203-20060424
affectation d’un administrateur, 46 groupe d’utilisateurs, 329–30
ajout d’interfaces à un vdom, 45 configuration, 333
création et édition, 44 groupe d’utilisateurs Active Directory, 331
introduction, 40 groupe d’utilisateurs pare-feu, 331
mode Multiple VDOM, 43 groupe d’utilisateurs VPN SSL, 332
paramètres de configuration, 41 liste de groupe, 332
paramètres de la Configuration Globale, 42 options override FortiGuard, 334
domaines virtuels et cluster types de groupe, 331
configuration, 130 groupe d’utilisateurs VPN SSL, 335
groupes d’adresses
configuration, 248
E
échec d'une passerelle
détection, 76
H
enregistrement d'un FortiGate, 37 HA, high availability
expressions régulières en Perl, 400 voir haute disponibilité, 104
haute disponibilité
exemple de configuration en maillage intégral, 143
F haute disponibilité, 104
filtrage web, 366 clustering virtuel, 108
filtre url, 374 interface de Heartbeat, 117
liste d’exemption des contenus web, 371 maillage intégral HA, 109
liste de blocage de contenu, 368 modes HA (actif-actif et actif-passif, 107
par mots clés, 368 options HA, 114
filtrage web FortiGuard, 378 priorité de l’équipement, 115
liste override, 379 protocole de clustering FortiGate (FGCP), 106
filtre MAC, 96 statistiques, 122
FortiAnalyzer, 411 haute disponibilité
accès aux journaux, 420 interfaces agrégées 802.3ad, 150
découverte automatique, 412 haute disponibilité
rapports, 425–26 journalisation d’un cluster, 415
FortiGate heartbeat
documentation, 26–27 adresses IP des interfaces, 119
FortiGate IPv6, 91 interface, 117
commande CLI, 91 interfaces par défaut, 118
FortiGate série 5000 historique opérationnel, 55
châssis, 15 hôtes de confiance, 172–73
modules, 16
FortiGuard
configuration des options override, 334
I
mise à jour manuelle des définitions AV et IPS, 55 icônes, description, 36
Fortinet IM, 403
Base de Connaissance, 28 configuration cli, 408
Service clientèle et support technique, 28 les utilisateurs, 405
Fortinet, gamme de produits politique utilisateur globale, 407
FortiAnalyser, 22 statistiques d’ensemble, 403
FortiBridge, 23 statistiques par protocole, 404
FortiClient, 22 information sur la licence, 48
FortiGuard, 22 interface
FortiMail, 23 ajout d'un serveur ping, 76–77
FortiManager, 23 configuration additionelle, 74
FortiReporter, 23 configuration DHCP, 69
configuration DNS dynamique, 72
configuration PPPoE, 70
G contrôler un accès administratif, 74
gamme de produits FortiGate, 15 introduction, 61
gamme de produits Fortinet, 21–22 paramètres, 63
groupe d’adresses pare-feu, 247 paramètres DHCP, 70
436 Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0

01-30000-0270-20051212
paramètres PPPoE, 71 sur Web Trends, 415
interface agrégée 802.3ad, 66 types de journaux, 415–16
interface d'administration web, 29
aide en ligne, 30
barre de boutons, 30 L
barre de statuts, 37 licence, 192–93
déconnexion, 34 liste des sessions, 57
écran, 29 logiciel FortiGate, 53
icônes, 36 mise à jour logicielle, 53
menu, 35 retour à une version antérieure, 54
moteur de recherche, 32
pages, 34
interface IPSec virtuelle M
configuration, 72
interface modem MAC
configuration, 79 adresses MAC virtuelles, 138
interface redondante, 67 mail d’alerte, 432
interface sans fil, 68 maillage intégral
interfaces exemple de configuration, 143
statuts, 50 message de connexion VPN SSL
IP virtuelles, 260 modification, 164–65
ajout d’IP virtuelles dynamiques, 276 messages de remplacement, 160–61
ajout d’un relayage de port, 269 méta-caractère, 400
ajout d’une IP virtuelle d’équilibrage de charge, MIB
272 champs MIB Fortinet, 158
ajouter une adresse IP virtuelle de translation, 265– MIB FortiGate, 156
66 mise à jour
configuration des adresses, 264 des signatures antivirus et IPS, 189
liste, 264 mise à jour forcée, 191
ips, 352 via un serveur proxy, 190
anomalies, 362 mise à jour logicielle, 53
configuration cli, 364–65 à partir de l’interface d’administration web, 53
décodeurs de protocoles, 360 mise en quarantaine, 342
signatures personnalisées, 358 configuration des options, 345
signatures prédéfinies, 353–54 mode Transparent
IPSec virtuelle table de routage, 78
configuration d'une interface, 72 modèles de fichier, 338
paramètres, 73 modem
configuration des paramètres, 79
connexion et déconnexion, 83
J statut, 84
modules FortiGate série 5000, 16
journal des Attaques, 59 Multicast, 221
journalisation, 409 paramètres, 222
accès aux journaux, 419–20
boîtier FortiAnalyzer, 411
d’un cluster haute disponibilité, 415 N
filtres et colonnes, 422
journal antispam, 419 nom d’hôte d’un membre, 123
journal antivirus, 417–18 nom d'hôte du FortiGate, modification, 52
journal des attaques, 418 numéro de séquence, 195
journal événement, 417
journal filtrage web, 418 O
journal im/p2p, 419
journal Trafic, 416 options du réseau
niveaux de sévérité, 410 configuration, 77
stockage des journaux, 411 OSPF, 211
sur la mémoire, 413 définitions d’aires, 216
sur un serveur Syslog, 414 options avancées, 214
Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 437

01-30000-0270-20051212
paramètres de base, 212 ajout d’un profil à une règle, 292
spécification de réseaux, 217 configuration, 281
système autonome, 211 configuration CLI, 293
introduction, 279
liste, 280
P options antivirus, 281–82
P2P, 403 options de filtrage antispam, 286
configuration cli, 408 options de filtrage web, 283
les utilisateurs, 405 options de la journalisation, 291
politique utilisateur globale, 407 options des archives de contenu, 289
statistiques d’ensemble, 403 options du filtrage FortiGuard-Web, 284–85
statistiques par protocole, 404 options IM et P2P, 290
page d’ignorance du filtrage web FortiGuard options IPS, 288–89
modification, 164 par défaut, 280
page d’information d’authentification profils d’administration, 174
modification, 165 configuration, 176
page de connexion et authentification liste, 176
modification, 163 protection contre les intrusions, 352
paires et groupes de paires, 336 anomalies, 362
par défaut configuration cli, 364–65
route et passerelle, 198 décodeurs de protocoles, 360
paramétrage, date et heure du système, 51 signatures personnalisées, 358
paramètres signatures prédéfinies, 353–54
d'une route en mode Transparent, 78
paramètres du modem
mode redondant, 79, 81
R
mode stand alone, 79, 82 RADIUS
pare-feu authentification des administrateurs, 169
groupe de service, 255 rapports, 424
service personnalisé ICMP, 254 configuration d’un planning, 430–31
service personnalisé IP, 254 configuration de la sortie des rapports, 431
service personnalisé TCP ou UDP, 253 configuration des filtres, 429
pare-feu, 249 configuration des graphiques, 425
configuration des services personnalisés, 253 configuration du contenu, 428
liste des services personnalisés, 253 FortiAnalyzer, 425–26
liste des services prédéfinis, 249 options temporelles, 428
règle, 228 sur le trafic, 424
pare-feu règle de routage, 201
plage horaire ajout, 202
voir plage horaire, 257 déplacement, 203
passerelle règle pare-feu, 228
détection de l'échec d'une passerelle, 76 ajout d’une authentification, 238
plage horaire d’un pare-feu, 257 ajout d’une priorité de trafic, 239
configuration des plages ponctuelles, 258 ajout d’une règle, 231
configuration des plages récurrentes, 259 configuration, 232
liste des plages ponctuelles, 257 corresondance de règles, 229
liste des plages récurrentes, 258 déplacement, 231
Plages IP, 277 liste, 230
configuration, 278 options, 234
Plages IP et NAT dynamique, 277 règle pare-feu IPSec, 242
PPPoE règle pare-feu VPN SSL, 243
configuration d’une interface, 70 réseau
préférence des routes, 195 options du réseau, 76
priorité d’un membre, 123 options, configuration, 77
priorité de l’équipement, 115 retour à une version logicielle antérieure, 54
priorité du trafic, 240 RIP, 205
produits de la gamme Fortinet, 21–22 ignorer les paramètres, 209
profil de protection, 279 options avancées, 208
438 Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0

01-30000-0270-20051212
paramètres de base, 206 en mode Transparent, 78
routage recherche, 227
ajout d’une route statique, 200 traps FortiGate, 156
concepts, 194
construction d’une table de routage, 195
numéro de séquence, 195 U
préférence des routes, 195 utilisateur, 324
prendre les décisions, 195 authentification d’un utilisateur, 324
règle, 201 comptes utilisateurs locaux, 325
route configuration d’un groupe d’utilisateurs, 333
paramètres, en mode Transparent, 78 groupe d’utilisateurs, 329–30
route et passerelle par défaut, 198 groupe d’utilisateurs Active Directory, 331
routes statiques groupe d’utilisateurs pare-feu, 331
création et édition, 197 groupe d’utilisateurs VPN SSL, 332
routeur dynamique, 205 liste de groupe d’utilisateurs, 332
BGP, 219 serveurs LDAP, 327
Multicast, 221 serveurs RADIUS, 326
OSPF, 211 serveurs Windows AD, 328
RIP, 205 types de groupe d’utilisateurs, 331
S V
serveur override VLAN
ajout, 190 en mode NAT/Route, 85
serveurs LDAP, 327 en mode Transparent, 88
serveurs RADIUS, 326 introduction, 84
serveurs Windows AD, 328 VPN IPSec, 294
service clientèle et support technique, 28 auto key, 295
snmp clé manuelle, 305
configuration, 153 concentrateur, 308
SNMP, 152 création d’une phase 1, 296
configuration d’une communauté, 154 création d’une phase 2 \r, 302
statistiques tunnels actifs, 309–10
visualisation, 57 VPN PPTP, 312
statuts du système, 47 plage PPTP, 312
informations, 48 VPN SSL, 313
page des statuts, 47 configuration, 313
ressources, 49 monitor, 314–15
statistiques, 50
Syslog
journalisation, 414 W
système sans fil
domaines régulatoires, 92 Web Trends
filtrage des MAC, 96 journalisation, 415
interface LAN sans fil FortiWiFi, 92 wireless
numéros des canaux IEEE 802.11x, 92 voir Système sans fil, 92
paramètres du système, 94
surveillance du module, 97 Z
zone, 75
T liste des zones, 75
table de routage, 225 paramètres d'une zone, 76
affichage des informations, 225
Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 439

01-30000-0270-20051212

Guide Fortigate

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide Fortigate

Transféré par

Droits d'auteur :

Formats disponibles

GUIDE D’ADMINISTRATION

2 Guide d’Administration FortiGate Version 3.0

Interface d’administration web ........................................................................29

Guide d’Administration FortiGate Version 3.0 3

Utilisation de domaines virtuels ......................................................................40

Système > Réseau ............................................................................................61

4 Guide d’Administration FortiGate Version 3.0

Système Sans Fil ..............................................................................................92

Système DHCP ..................................................................................................99

Guide d’Administration FortiGate Version 3.0 5

Administration du Système ...........................................................................168

6 Guide d’Administration FortiGate Version 3.0

Maintenance du Système ...............................................................................181

Routeur Statique .............................................................................................194

Routeur dynamique ........................................................................................205

Guide d’Administration FortiGate Version 3.0 7

Adresse Pare-Feu ...........................................................................................245

Plage horaire d’un Pare-feu ...........................................................................257

8 Guide d’Administration FortiGate Version 3.0

Guide d’Administration FortiGate Version 3.0 9

VPN PPTP ........................................................................................................312

VPN SSL ..........................................................................................................313

Certificats VPN ................................................................................................316

10 Guide d’Administration FortiGate Version 3.0

Protection contre les Intrusions ....................................................................352

Filtrage Web ....................................................................................................366

Guide d’Administration FortiGate Version 3.0 11

12 Guide d’Administration FortiGate Version 3.0

Journaux & Alertes .........................................................................................409

Guide d’Administration FortiGate Version 3.0 13

14 Guide d’Administration FortiGate Version 3.0

Les boîtiers FortiGateTM Unified Threat Management System (Système de Gestion

L’appliance FortiGate est un boîtier entièrement dédié à la sécurité. Il est convivial

Le système FortiGate utilise la technologie de Dynamic Threat Prevention System

Ce chapitre parcourt les sections suivantes :

• Introduction aux équipements FortiGate

Présentation des équipements FortiGate

Châssis FortiGate série 5000

Guide d’Administration FortiGate Version 3.0 15

Cette approche modulaire offre aux entreprises et utilisateurs des FAI

A propos des modules FortiGate série 5000

16 Guide d’Administration FortiGate Version 3.0

Guide d’Administration FortiGate Version 3.0 17

Grâce à son réseau de distribution (FortiGuard Distribution Network), les services

18 Guide d’Administration FortiGate Version 3.0

Guide d’Administration FortiGate Version 3.0 19

20 Guide d’Administration FortiGate Version 3.0

Guide d’Administration FortiGate Version 3.0 21

Services de souscription FortiGuard

Les services FortiGuard comprennent:

• Le service FortiGuard antivirus

• de centraliser les journaux des boîtiers FortiGate, des serveurs syslog et du

FortiAnalyser peut également être configuré en sniffer réseau et capturer en temps

22 Guide d’Administration FortiGate Version 3.0

• un accès VPN pour se connecter aux réseaux distants

FortiClient peut s’installer de façon silencieuse et se déployer aisément sur un parc

Guide d’Administration FortiGate Version 3.0 23

Ce Guide d’Administration parcourt les fonctions de l’interface graphique dans le

La dernière version de ce document se trouve sur la page FortiGate du site de

De la documentation technique complémentaire sur FortiOS v3.0 est disponible sur

Ce Guide d’Administration contient les chapitres suivants :

• Interface d’administration web : fournit une introduction aux fonctionnalités de

24 Guide d’Administration FortiGate Version 3.0

Guide d’Administration FortiGate Version 3.0 25