Académique Documents
Professionnel Documents
Culture Documents
FortiGate
Version 3.0
www.fortinet.com
Guide d’administration FortiGate
Version 3.0
24 avril 2006
01-30001-0203-20060424
© Droit d’auteur 2006 Fortinet, Inc. Tous droits réservés. En aucun cas, tout ou
partie de cette publication, y compris les textes, exemples, diagrammes ou
illustrations, ne peuvent être reproduits, transmis ou traduits, sous aucune forme et
d’aucune façon, que ce soit électronique, mécanique, manuelle, optique ou autre,
quelqu’en soit l’objectif, sans autorisation préalable de Fortinet, Inc.
Marques déposées
Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS,
FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System,
FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion,
FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS,
FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et
FortiWiFi sont des marques déposées de Fortinet, Inc. aux États-Unis et/ou dans
d’autres pays. Les noms des sociétés et produits mentionnés ici peuvent être des
marques déposées par leurs propriétaires respectifs.
Statuts du Système...........................................................................................47
Page des statuts...................................................................................................................... 47
Visualisation des statuts du système.................................................................................... 47
Modification des informations du système .......................................................................... 51
Paramétrage des date et heure ............................................................................................ 51
Modification du nom d’hôte du boîtier FortiGate................................................................... 52
Modification du logiciel FortiGate ......................................................................................... 53
Mise à jour logicielle.............................................................................................................. 53
Retour à une version logicielle antérieure ............................................................................ 54
Visualisation de l’historique opérationnel............................................................................ 55
Mise à jour manuelle des définitions FortiGuard................................................................. 55
Mise à jour manuelle des définitions AV FortiGuard ............................................................ 56
Mise à jour manuelle des définitions IPS FortiGuard ........................................................... 56
Visualisation des Statistiques ............................................................................................... 57
Visualisation de la liste des sessions.................................................................................... 57
Visualisation des Archives de Contenu ................................................................................ 58
Visualisation du Journal des Attaques.................................................................................. 59
Règle Pare-feu.................................................................................................228
A propos des règles pare-feu .............................................................................................. 228
Comment fonctionne la correspondance de règles ? ......................................................... 229
Visualisation de la liste des règles pare-feu ...................................................................... 230
Ajout d’une règle pare-feu................................................................................................... 231
Déplacement d’une règle dans la liste................................................................................ 231
Configuration des règles pare-feu....................................................................................... 232
Options des règles pare-feu ............................................................................................... 234
Ajout d’une authentification aux règles pare-feu ................................................................ 238
Ajout d’une priorité de trafic aux règles pare-feu ................................................................ 239
Options des règles pare-feu IPSec..................................................................................... 242
Options des règles pare-feu VPN SSL ............................................................................... 243
Service Pare-feu..............................................................................................249
Visualisation de la liste des services prédéfinis................................................................ 249
Visualisation de la liste des services personnalisés......................................................... 253
Configuration des services personnalisés......................................................................... 253
Visualisation de la liste des groupes de services ............................................................. 255
Configuration des groupes de services.............................................................................. 255
IP virtuelles......................................................................................................260
IP virtuelles ............................................................................................................................ 260
Comment les adresses IP virtuelles gèrent-elles leurs connexions à travers le boîtier
FortiGate ? .......................................................................................................................... 260
Profil de Protection.........................................................................................279
Qu’est-ce qu’un profil de protection? ................................................................................. 279
Profils de protection par défaut........................................................................................... 280
Visualisation de la liste des profils de protection ............................................................. 280
Configuration d’un profil de protection .............................................................................. 281
Options Antivirus................................................................................................................. 282
Options du filtrage Web ...................................................................................................... 283
Options du filtrage FortiGuard-Web.................................................................................... 285
Options du filtrage antispam ............................................................................................... 286
Options IPS......................................................................................................................... 289
Options des archives de contenu ....................................................................................... 289
Options IM et P2P............................................................................................................... 290
Options de la journalisation ................................................................................................ 291
Ajout d’un profil de protection à une règle ........................................................................ 292
Configuration CLI d’un profil de protection ....................................................................... 293
Config firewall profile........................................................................................................... 293
VPN IPSEC.......................................................................................................294
Aperçu du mode interface IPSec ......................................................................................... 294
Auto Key................................................................................................................................. 295
Création d’une nouvelle configuration phase 1 .................................................................. 296
Définition des paramètres avancés de la phase 1.............................................................. 299
Création d’une nouvelle configuration phase 2 .................................................................. 302
Définition des paramètres avancés de la phase 2.............................................................. 303
Clé Manuelle .......................................................................................................................... 305
Création d’une nouvelle configuration à clé manuelle ........................................................ 306
Concentrateur........................................................................................................................ 308
Définition des options d’un concentrateur........................................................................... 309
Utilisateur ........................................................................................................324
Configuration de l’authentification d’un utilisateur........................................................... 324
Paramétrage du timeout d’authentification ......................................................................... 324
Comptes utilisateurs locaux ................................................................................................ 325
Edition d’un compte utilisateur............................................................................................ 325
Serveurs RADIUS .................................................................................................................. 326
Configuration d’un serveur RADIUS ................................................................................... 326
Serveurs LDAP ...................................................................................................................... 327
Configuration d’un serveur LDAP ....................................................................................... 328
Serveurs Windows AD .......................................................................................................... 328
Configuration d’un serveur Windows AD ............................................................................ 329
Groupe d’utilisateurs ............................................................................................................ 330
Types de groupe d’utilisateurs............................................................................................ 331
Liste de groupes d’utilisateurs ............................................................................................ 332
Configuration d’un groupe d’utilisateurs ............................................................................. 333
Configuration des options override FortiGuard pour un groupe d’utilisateurs .................... 334
Configuration des options des groupes d’utilisateurs VPN SSL......................................... 335
Configuration de paires et de groupes de paires .............................................................. 336
Antivirus ..........................................................................................................337
Antivirus................................................................................................................................. 337
Antispam .........................................................................................................386
Antispam ................................................................................................................................ 386
Ordre du filtrage antispam .................................................................................................. 386
Mots bannis ........................................................................................................................... 389
Visualisation du catalogue de listes de mots bannis antispam (Modèles FortiGate-800 et
plus) .................................................................................................................................... 389
Création d’une nouvelle liste de mots bannis antispam (modèles FortiGate-800 et plus) . 390
Visualisation de la liste de mots bannis antispam .............................................................. 390
Configuration de la liste des mots bannis antispam ........................................................... 392
Liste noire et liste blanche ................................................................................................... 392
Visualisation du catalogue de listes d’adresses IP antispam (modèles FortiGate-800 et
plus). ................................................................................................................................... 393
Création d’une nouvelle liste d’adresses IP antispam (modèles FortiGate-800 et plus) .... 393
Visualisation de la liste d’adresses IP antispam ................................................................. 394
Configuration de la liste des adresses IP antispam............................................................ 395
Visualisation du catalogue de listes d’adresses mail antispam (modèles FortiGate-800 et
plus). ................................................................................................................................... 395
Création d’une nouvelle liste d’adresses mail antispam (modèles FortiGate-800 et plus). 396
Visualisation de la liste d’adresses IP mail antispam ......................................................... 396
Configuration de la liste des adresses mail antispam ........................................................ 398
Configuration antispam avancée......................................................................................... 398
config spamfilter mheader................................................................................................... 398
config spamfilter rbl............................................................................................................. 399
IM/P2P ..............................................................................................................403
Statistiques ............................................................................................................................ 403
Visualisation des statistiques d’ensemble .......................................................................... 403
Visualisation des statistiques par protocole........................................................................ 404
Utilisateur............................................................................................................................... 405
Visualisation de la liste des utilisateurs connectés............................................................. 405
Visualisation de la liste des utilisateurs .............................................................................. 406
Ajout d’un nouvel utilisateur à la liste des utilisateurs ........................................................ 406
Configuration d’une politique utilisateur globale ................................................................. 407
Configuration IM/P2P à partir de l’interface de ligne de commande ............................... 408
Index ................................................................................................................435
Châssis FortiGate-5140
Le châssis FortiGate-5140 comprend quatorze slots (logements) permettant
d’installer jusqu’à quatorze modules pare-feu antivirus FortiGate-5000. Il s’agit d’un
châssis de 12U comprenant deux modules redondants et échangeables à chaud
d’alimentation de courant continu qui se connectent à une alimentation -48 VDC
des salles d’hébergement. Ce châssis possède également trois plateaux de
ventilateurs échangeables à chaud.
Châssis FortiGate-5050
Le châssis FortiGate-5050 comprend cinq slots permettant d’installer jusqu’à cinq
modules pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 5U comprenant
deux connexions redondantes d’alimentation de courant continu qui se connectent
à une alimentation -48 VDC des salles d’hébergement. Ce châssis possède
également un plateau de ventilateurs échangeable à chaud.
Châssis FortiGate-5020
Le châssis FortiGate-5020 comprend deux slots permettant l’installation d’un ou de
deux module(s) pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 4U
comprenant deux entrées d’alimentation de courant AC vers DC redondantes qui
se connectent à une alimentation AC. Ce châssis possède également un plateau
interne de ventilateurs.
Module FortiGate-5001SX
Le module FortiGate-5001SX est un système de sécurité hautement performant et
autonome possédant huit interfaces Ethernet gigabits. Il supporte les
fonctionnalités de haut niveau notamment les VLAN 802.1Q ainsi que de multiples
domaines virtuels.
Module FortiGate-5001FA2
Le module FortiGate-5001FA2 est un système de sécurité hautement performant
et autonome possédant six interfaces Ethernet gigabits. Il est similaire au module
FortiGate-5001SX à l’exception de deux interfaces qui, intégrant la technologie
Fortinet, offrent une accélération de la performance du traitement des petits
paquets.
Module FortiGate-5002FB2
Le module FortiGate-5002FB2 est un système de sécurité hautement performant
et autonome possédant un total de six interfaces Ethernet gigabits. Deux de ces
interfaces intégrant la technologie Fortinet offrent une accélération de la
performance du traitement des petits paquets.
FortiGate-3600
La fiabilité et les performances du
FortiGate-3600 sont élevés à un
niveau de type opérateur et
répondent aux exigences des
grandes entreprises et fournisseurs
de services.
Son architecture multiprocesseur et Asic fournit un débit de 4Gbit/s, répondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend
des blocs d’alimentation redondants et un partage de charge, avec un secours
assuré sans interruption de service. La grande capacité du FortiGate-3600, sa
fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de
services de sécurité managés.
FortiGate-3000
La fiabilité et les performances du
FortiGate-3000 sont élevés à un
niveau de type opérateur et
répondent aux exigences des
grandes entreprises et fournisseurs
de services.
Son architecture multiprocesseur et Asic fournit un débit de 3Gbit/s, répondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend
des blocs d’alimentation redondants et un partage de charge, avec un secours
assuré sans interruption de service. La grande capacité du FortiGate-3000, sa
fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de
services de sécurité managés.
FortiGate-1000AFA2
Le boîtier FortiGate-1000AFA2 est
une solution hautement performante
répondant aux exigences des
grandes entreprises et fournisseurs
de services.
Ses deux ports de fibres optiques supplémentaires, bénéficiant de la technologie
FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses
fonctions de sécurité critique sur une plateforme hautement sécurisée garantissent
fiabilité, rentabilité, rapidité de déploiement, coûts opérationnels bas et un taux
supérieur de détection des anomalies connues et inconnues.
FortiGate-1000
Le boîtier FortiGate-1000 est conçu
pour les grandes entreprises. Son
architecture multiprocesseur et Asic
fournit un débit de 2Gbit/s,
répondant ainsi aux besoins des applications les plus exigeantes. Le boîtier
FortiGate-1000 comprend des blocs d’alimentation redondants minimisant les
points uniques de panne, ainsi que des supports pour un partage de charge et un
secours assuré sans interruption de service.
FortiGate-800
Le boîtier FortiGate-800 fournit en
plus d’un haut débit, un total de huit
connexions réseau (quatre étant
personnalisables), un support des
VLAN et des domaines virtuels.
Lors d’une configuration de cluster FortiGate, il fournit une redondance matérielle
stateful en haute disponibilité. Ses fonctionnalités hautement performantes en font
un choix naturel pour les grandes entreprises qui exigent une sécurité optimum de
leurs réseaux.
FortiGate-500A
Le boîtier FortiGate-500A
offre
un niveau de performance
et de fiabilité de classe
opérateur, répondant
aux exigences des
fournisseurs de services et
des grandes entreprises.
Ses 10 connexions réseaux (dont un commutateur 4 ports LAN) et ses
fonctions haute disponibilité avec réplication automatique sans coupure de
réseau font du FortiGate-500A une solution performante aux applications
les plus critiques. Sa flexibilité, fiabilité et sa gestion aisée en font un choix
naturel pour les opérateurs de services de sécurité managés.
FortiGate-500
Le boîtier FortiGate-500 est conçu pour
les grandes entreprises. Sa flexibilité, sa
fiabilité et sa gestion aisée en font un
choix naturel pour les opérateurs de
services de sécurité managés. Le boîtier FortiGate-500 supporte la haute
disponibilité.
FortiGate-400A
Le boîtier FortiGate-400A
répond aux exigences des
grandes entreprises en terme de
performance, disponibilité
et fiabilité. Il supporte la haute
disponibilité et présente une
réplication automatique
sans coupure de réseau. Ses caractéristiques en font le meilleur choix
pour les applications les plus critiques.
FortiGate-400
Le boîtier FortiGate-400 est conçu pour
les grandes entreprises. Il fournit un
débit jusqu’à 500Mbit/s et supporte la
haute disponibilité, qui comprend une
réplication automatique sans coupure de réseau.
FortiGate-300
Le boîtier FortiGate-300 est conçu pour
les grandes entreprises. Il supporte la
haute disponibilité, qui comprend une
réplication automatique sans
coupure de réseau. Ses caractéristiques en font le meilleur choix pour les
applications les plus critiques.
FortiGate-200A
Le boîtier FortiGate-200A est
une solution conviviale et facile
à gérer garantissant un haut
niveau de performance, idéal
pour répondre aux applications
d’entreprises à domicile ou de petites entreprises ou succursales. L’assistant
d’installation FortiGate guide les utilisateurs à travers des procédures simples
d’installation qui permettent au boîtier d’être opérationnel en quelques minutes.
FortiGate-200
Le boîtier FortiGate-200 est conçu pour
répondre aux applications
d’entreprises à domicile ou de petites
entreprises ou succursales.
Il offre une solution conviviale, facile à gérer. Le boîtier FortiGate-200 supporte la
haute disponibilité.
FortiGate-100A
Le boîtier FortiGate-100A est une
solution pratique et facile à gérer qui
répond parfaitement aux applications
des petites entreprises, bureaux à
domicile et succursales. Ce boîtier
supporte des fonctions avancées
telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.
FortiGate-60/60M/ADSL
Le boîtier FortiGate-60 est conçu pour
les bureaux de personnel itinérant et
les magasins. Il comprend un port
modem extérieur qui peut servir de
connexion Internet redondante ou
stand alone.
Le boîtier FortiGate-60M comprend quant à lui un modem interne qui peut
également servir de connexion Internet redondante ou stand alone. Le boîtier
FortiGate-60ADSL est pour sa part muni d’un modem ADSL interne.
FortiWiFi-60
Le modèle FortiWiFi est une solution
intégrée qui assure des connexions
sans fil sécurisées. Il combine
mobilité et flexibilité grâce à ses
fonctions FortiWiFi Antivirus Firewall.
De plus, il s’adapte aux
avancées technologiques
radiophoniques. Il peut faire office de
point de connexion entre réseaux
sans fil et réseaux câblés ou tenir
lieu de point central d’un
réseau sans fil stand alone.
FortiGate-50A
Le boîtier FortiGate-50A est conçu
pour les télétravailleurs, les
utilisateurs mobiles, les petites
entreprises et les succursales
comptant 10 employés ou moins. Il
comprend un port modem extérieur
qui peut servir de connexion
autonome à Internet ou de service de sauvegarde.
Sur notre site web, vous trouverez également un scanner de virus et une
encyclopédie des virus et attaques.
FortiAnalyser
FortiAnalyserTM fournit aux administrateurs réseaux les informations nécessaires
qui leur permettent d’assurer une meilleure protection du réseau, une plus grande
sécurité contre attaques et vulnérabilités. FortiAnalyser permet entre autres:
FortiClient
Le logiciel FortiClientTM offre un environnement informatique sécurisé et fiable aux
utilisateurs d’ordinateurs de bureau et d’ordinateurs portables munis des systèmes
FortiManager
FortiManagerTM est conçu pour répondre aux besoins des grandes entreprises (y
compris les fournisseurs de services de gestion de sécurité) responsables du
déploiement et du maintien de dispositifs de sécurité à travers un parc
d’équipements FortiGate. FortiManager vous permet de configurer et de contrôler
les statuts de plusieurs boîtiers FortiGate. Vous pouvez également consulter leurs
journaux en temps réel et leurs historiques. FortiManager est facile à utiliser et
s’intègre aisément à des systèmes tiers.
FortiBridge
FortiBridgeTM permet d’assurer une continuité de connexion réseau même en cas
de panne électrique d’un système FortiGate. Le FortiBridge connecté en parallèle
au FortiGate dévie le flux réseau lorsqu'il détecte une panne sur le boîtier et reçoit
alors le trafic pour éviter toute coupure réseau. FortiBridge est facile à utiliser et à
déployer. Vous pouvez programmer à l’avance les actions que FortiBridge mettra
en place en cas de panne de courant ou de panne dans le système FortiGate.
FortiMail
FortiMailTM fournit une analyse heuristique puissante et flexible, de même que des
rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en
oeuvre des techniques fiables et hautement performantes pour détecter et bloquer
les mails non désirés, tels que les signatures SHASH (Spam Hash) ou les filtres
bayesians. Construit sur base des technologies primées FortiOS et FortiASIC,
FortiMail utilise ses pleines capacités d’inspection de contenu afin de détecter les
menaces les plus avancées dans les courriers électroniques.
FortiReporter
Le logiciel FortiReporterTM Security Analyzer génère des rapports explicites. Il peut
centraliser des journaux de n’importe quel boîtier FortiGate, ainsi que de plus de
30 boîtiers de réseau et de sécurité provenant de constructeurs tiers. FortiReporter
offre une visibilité sur les abus réseau, l’utilisation de la bande passante et l’usage
du web afin de s’assurer que le réseau est utilisé de façon appropriée.
FortiReporter permet aux administrateurs d’identifier les attaques et d’y répondre. Il
permet également de définir des actions proactives de protection des réseaux
avant que ceux-ci ne soient confrontés à une augmentation des menaces.
• Dans les exemples, les adresses IP privées sont utilisées aussi bien pour les
adresses IP privées que publiques.
• Les remarques et attentions fournissent des informations importantes :
Les « attentions » vous mettent en garde contre des commandes et procédures qui
pourraient avoir des résultats inattendus ou indésirables tels que perte de données ou
détérioration de l’équipement.
Conventions typographiques
La documentation du FortiGate utilise les conventions typographiques suivantes :
Convention Exemple
Commandes de Menus Allez dans VPN > IPSEC et sélectionnez Créer Phase 1.
Entrée clavier Dans le champ Nom de Passerelle, tapez un nom pour le client
VPN distant (par exemple, Central_Office_1).
Exemple de code config sys global
set ips-open enable
end
Syntaxe CLI (Interface config firewall policy
de ligne de commande) edit id_integer
set http_retry_count <retry_integer>
set natip <address_ipv4mask>
end
Noms des documents Guide d’Administration FortiGate
Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront
aussi disponibles en français :
• FortiGate QuickStartGuide - Guide de démarrage rapide FortiGate
Fournit les informations de base sur la connexion et l’installation d’un FortiGate
• FortiGate Install Guide - Guide d’Installation FortiGate
Décrit comment installer un FortiGate. Il comprend des informations sur le
matériel, des informations sur la configuration par défaut, ainsi que des
procédures d’installation, de connexion et de configuration de base. Sélectionnez
le guide en fonction du numéro du modèle du produit.
• FortiGate Administration Guide - Guide d’Administration FortiGate
Fournit les informations de base sur la manière de configurer un FortiGate, y
compris la définition des profils de protection FortiGate et des règles pare-feu.
Explique comment appliquer les services de prévention d’intrusion, protection
antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt également
la manière de configurer un VPN.
• FortiGate online help - Aide en ligne FortiGate
Fournit le Guide d’Administration au format HTML avec des outils de recherche.
Vous pouvez accéder à l’aide en ligne à partir de l’interface d’administration web.
• FortiGate CLI Reference - Guide de Référence CLI
Décrit comment utiliser l’interface de ligne de commande FortiGate et répertorie
toutes ses commandes.
• FortiGate Log Message Reference - Guide de référence des messages
journalisés d’un FortiGate
Disponible uniquement à partir de la base de connaissance (Fortinet Knowledge
Center), ce mode d’emploi décrit la structure et le contenu des messages
présents dans les journaux FortiGate.
• FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilité FortiGate
Fournit une description détaillée des fonctions de haute disponibilité et du
protocole de clustering FortiGate.
• FortiGate IPS User Guide - Guide utilisateur de l’IPS FortiGate (Système de
Prévention d’Intrusion)
Décrit la configuration des paramètres IPS FortiGate et le traitement des
attaques les plus courantes.
• FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate
Fournit des instructions pas à pas sur la configuration VPN IPSec via l’interface
d’administration web.
• FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate
Compare les technologies FortiGate VPN IPSec et VPN SSL et décrit comment
configurer à partir de l'interface graphique les modes VPN SSL web et VPN SSL
tunnel pour les connexions à distance des utilisateurs.
Aide en Ligne
Les boutons de l’aide en ligne (Online Help) activent l’affichage de l’aide en ligne
pour la page ouverte de l’interface d’administration web. La page d’aide en ligne
affichée contient les informations et procédures relatives aux commandes de la
page ouverte. La plupart des pages d’aide contiennent également des hyperliens
sur certains sujets dont il est question. Le système d’aide en ligne comprend
également plusieurs commandes offrant de l’information additionnelle.
Le panneau de recherche répertorie le nom de toutes les pages d’aide en ligne qui
contiennent le(s) mot(s) entré(s). Sélectionnez un des noms de la liste pour afficher
la page d’aide.
Déconnexion
Le bouton « Déconnecter » (Logout) vous déconnecte immédiatement de
l’interface d’administration web. N’oubliez pas de vous déconnecter avant de
fermer la fenêtre du navigateur. Si vous fermez la fenêtre ou quittez l’interface
d’administration web sans vous déconnecter, vous restez connecté jusqu’à
l’expiration du timeout d’inactivité (par défaut 5 minutes).
Les procédures décrites dans ce manuel vous dirigent vers la page désirée en
spécifiant l’élément du menu, l’élément du sous-menu et l’onglet. Par exemple :
1 Sélectionnez Système > Réseau > Interface.
La liste offre des informations sur chaque élément. Les icônes de la dernière
colonne permettent de modifier le statut de ces éléments. Dans cet exemple, il est
possible de sélectionner Delete (Supprimer) pour supprimer l’élément ou Edit
(Editer) pour l’éditer.
Pour ajouter un nouvel élément à une liste, cliquez sur Créer Nouveau. Une boîte
de dialogue s’ouvre pour créer et définir le nouvel élément. Cette boîte de dialogue
est similaire à celle d’Edition d’un élément existant.
Icônes
Les icônes, également présentes dans l’interface d’administration web, permettent
d’interagir avec le système. Des conseils sur les outils sont disponibles pour vous
aider à comprendre la fonction de chacune de ces icônes. Placez le curseur de la
souris sur l’icône pour visualiser le commentaire de l’outil. Le tableau suivant
reprend la description des icônes de l’interface d’administration web.
Insérer une Crée une nouvelle règle qui précède la règle courante.
règle avant
Barre de statuts
La barre de statuts se trouve en bas de l’écran de l’interface d’administration web.
Toutes les informations sur les enregistrements sont sauvées dans la base de
données du Support aux Clients Fortinet (Fortinet Customer Support). Ces
informations sont utiles pour assurer une mise à jour régulière de vos
équipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais
ces informations avec des organisations tiers.
Si vous avez entré un numéro de contrat de support, une validation en temps réel
a lieu pour vérifier que les informations SCN correspondent à l’équipement
FortiGate. Si ce n’est pas le cas, tentez à nouveau d’entrer le numéro de contrat.
S’affiche alors une page web qui contient les informations détaillées sur le service
de support technique de Fortinet disponible pour l’équipement enregistré.
Vos compte utilisateur et mot de passe vous sont envoyés par email à l’adresse
entrée avec vos coordonnées.
Domaines virtuels
Les domaines virtuels permettent à un boîtier FortiGate de fonctionner comme de
multiples unités indépendantes. Il peut fournir des règles pare-feu, des routages et
des configurations VPN séparés pour chaque niveau d’organisation. L’utilisation de
VDOM peut également simplifier l’administration de configurations complexes.
Lorsqu’un paquet entre dans un domaine virtuel sur l’équipement FortiGate, il reste
limité à ce domaine virtuel. Dans un domaine donné, vous pouvez seulement créer
des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou des
zones de ce domaine virtuel. Les paquets ne passent jamais la frontière d’un
domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut
également être sélectionné séparément sur chaque VDOM.
Les autres fonctions du FortiGate sont générales. Elles s’appliquent à tous les
domaines virtuels. Cela signifie qu’il existe une seule configuration de prévention
anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage
de contenu web, une seule configuration de profils de protection etc. Dans le
même ordre d’idée, les domaines virtuels partagent les mêmes versions logicielles
et bases de connaissances antivirus et IPS. Pour une liste complète des
paramètres de configurations partagés, voir « Paramètres de la configuration
générale» à la page 42.
Pour connaître le nombre maximum de domaines virtuels supporté par votre boîtier
FortiGate, veillez à ce que la configuration des domaines virtuels vous le
permettent et connectez-vous en tant qu’administrateur admin. Allez ensuite dans
Système > Statut et regarder sous Domaine Virtuel dans les Informations sur la
Licence.
Chaque FortiGate fonctionne par défaut avec un domaine virtuel appelé root. Ce
domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN,
zones, règles pare-feu, paramètres de routage et paramètres VPN du FortiGate.
Les outils d’administration tels que les SNMP, journalisation, emails d’alerte, mises
à jour via le FDN ou encore paramétrage du temps via un serveur NTP utilisent
des adresses et routage dans le domaine virtuel root pour communiquer avec le
réseau. Ils ne peuvent se connecter qu’aux ressources du réseau qui
communiquent avec le domaine virtuel d’administration, qui est configuré sur root
par défaut.
Une fois un nouveau domaine virtuel créé, vous pouvez le configurer en ajoutant
des sous-interfaces VLAN, des zones, des règles pare-feu, des paramètres de
routage et des paramètres VPN. Vous pouvez également déplacer des interfaces
physiques du domaine virtuel root vers d’autres domaines virtuels et déplacer les
sous-interfaces VLAN d’un domaine virtuel vers un autre.
• Paramètres du Système
• Zones
• Services DHCP
• Mode de fonctionnement (NAT/Route ou Transparent)
• IP d’administration (en mode Transparent)
• Configuration du routeur
• Paramètres des pare-feu
• Règles
• Adresses
• Services prédéfinis, personnalisés et groupés
• Plage horaire
• IP Virtuelle
• Plages IP
• Configuration VPN
• Paramètres du système
• Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou
sous-interface VLAN appartient à un seul VDOM. Chaque VDOM ne peut
utiliser ou configurer que ses propres interfaces.)
• Paramètres DNS
• Nom d’hôte, heure du système, version du Microcode (sur la page Statut du
Système.)
• Timeout d’inactivité et d’authentification
• Langue de l’interface d’administration web
• PIN du panneau LCD, si applicable.
• Détection de l’échec d’une passerelle
• Configuration HA
• Configuration SNMP
• Messages de remplacement
• Administrateurs (chaque administrateur appartient à un seul VDOM. Chaque
VDOM ne peut configurer que ses propres administrateurs.)
• Profils d’accès
• Configuration FortiManager
• Sauvegarde et restauration d’une configuration
• Configuration d’une mise à jour FDN
• Rapport sur les bogues
• Pare-Feu
• Services prédéfinis
Un VDOM n’est pas utile s’il ne possède pas au moins deux interfaces physiques
ou sous-interfaces VLAN. Seul l’administrateur admin peut attribuer des interfaces
physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur
régulier peut créer une sous-interface VLAN dans son propre VDOM sur une
interface physique de son propre VDOM.
Les sous-interfaces VLAN doivent se trouver dans des VDOM différents que leurs
interfaces physiques. Pour ce faire, l’ administrateur admin doit créer la sous-
interface VLAN et l’affecter au VDOM requis. Les interfaces font partie des
paramètres généraux de configuration. Pour plus d’informations sur la création de
sous-interfaces VLAN, voir « Ajout de sous-interfaces VLAN » à la page 87.
Pour réaffecter une interface existante d’un domaine virtuel à un autre, appliquez la
procédure ci-dessous. Vous ne pouvez pas retirer une interface d’un domaine
virtuel si cette interface est comprise dans l’une des configurations suivantes :
• routage
• proxy arp
• serveur DHCP
• zone
• règle pare-feu
• plage IP
Dans le cas d’un cluster HA, la page des statuts affiche les statuts du membre
primaire. Pour visualiser les statuts de tous les membres du cluster, sélectionnez
Système > Configuration > HA. Pour plus d’informations sur ce sujet, voir
« Haute Disponibilité » à la page 104. La fonction HA n’est pas disponible sur les
modèles FortiGate 50A et 50AM.
Les administrateurs FortiGate dont les profils d’accès prévoient les droits en
écriture de la configuration du système peuvent modifier ou mettre à jour les
informations du boîtier FortiGate. Pour plus d’informations sur les profils d’accès,
voir « Profils d’administration » à la page 174.
A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la
page Statut du Système.
Pour visualiser cette page, votre profil d’accès doit prévoir les droits en lecture de
la configuration du système. Si vous avez également les droits en écriture de la
configuration du système, vous pouvez modifier les informations du système et
mettre à jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus
d’informations sur les profils d’accès, voir « Profils d’administration » à la page 174.
Informations du système
Numéro de Série Le numéro de série de l’équipement FortiGate. Ce numéro
est unique pour chaque équipement et ne change pas
avec les mises à jour logicielles.
Actif depuis Le temps en jours, heures et minutes depuis le dernier
redémarrage de l’équipement FortiGate.
Heure Système La date et l’heure en cours selon l’horloge
préprogrammée. Cliquez sur Changer pour modifier
l’heure ou configurez le boîtier FortiGate pour qu’il se
synchronise avec un serveur NTP. Voir « Paramétrage
des date et heure » à la page 51.
Nom d’hôte Le nom d’hôte actuel de l’équipement FortiGate. Cliquez
sur Changer pour le modifier. Voir « Modification du nom
d’hôte du boîtier FortiGate » à la page 52.
Version de Code La version du microcode installé sur votre FortiGate.
Cliquez sur Update (Mettre à jour) pour changer le logiciel.
Voir « Mise à jour logicielle » à la page 53.
Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit
NAT, soit Transparent. Cliquez sur Changer pour passer
du mode NAT au mode Transparent et vice-versa. Voir
« Modification du mode de fonctionnement » à la page
166.
Ressources
Les ressources du système n’apparaissant pas sur la page Statut sont accessibles
sous forme de graphiques à partir de l’icône Historique.
Pour chaque message, la date et l’heure de sa parution sont indiquées. S’il n’y a
pas assez d’espace pour visualiser tous les messages, cliquez sur Tout Voir afin
que s’ouvre une nouvelle fenêtre avec la liste complète des messages.
Pour effacer les messages d’alerte, cliquez sur Tout Voir, ensuite sur l’icône
Supprimer les messages d’alerte, en haut de la nouvelle fenêtre.
Statistiques
Depuis La date et l’heure de la relance des compteurs. Les
compteurs sont relancés lors d’une réinitialisation du
système FortiGate.
Icône Remise à zéro Remet à zéro les compteurs du Journal des Archives
et des Attaques.
Sessions Le nombre de sessions de communication FortiGate
en cours. Sélectionnez Détails pour visualiser des
Opération Système
Les opérations suivantes peuvent être accomplies par les administrateurs dont le
profil d’accès comprend les droits en écriture de configuration du système.
Le nom d’hôte par défaut est le nom du modèle, par exemple boîtier FortiGate-300.
Les administrateurs dont le profil d’accès prévoit les droits en écriture peuvent
modifier le nom d’hôte du FortiGate.
Remarque : Si votre FortiGate fait partie d’un cluster HA, il est conseillé de lui attribuer un
nom unique pour le distinguer des autres équipements du cluster.
Les modifications du logiciel portent soit sur une mise à jour logicielle vers une
version plus récente ou soit sur une révision vers une version précédente. Les
procédures de modifications sont décrites ci-dessous.
Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la
nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure « Mettre à
jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assurer que ces
bases de connaissance sont à jour.
Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la
nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure « Mettre à
jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assurer que ces
bases de connaissance sont à jour.
Remarque : La procédure suivante nécessite que vous vous connectiez à partir du compte
administrateur admin ou d’un compte administrateur qui possède tous les droits d’accès en
lecture et écriture de la configuration du système.
Pour configurer une mise à jour automatique des fichiers de définitions par le
boîtier FortiGate, voir « Centre FortiGuard » à la page 183.
Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à
jour des définitions antivirus, voir « Centre FortiGuard » à la page 183.
1 Téléchargez le fichier de mise à jour des définitions des derniers antivirus sur le
site de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administration
web.
2 Démarrez l’interface d’administration web et sélectionnez Système > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Définitions AV des
souscriptions FortiGuard, sélectionnez Update (Mettre à jour).
La boîte de dialogue Mettre à jour les définitions antivirus s’ouvre.
4 Dans le champ Fichier de mise à jour, tapez le chemin et le nom du fichier de mise
à jour des définitions antivirus. Vous pouvez également sélectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise à jour des définitions antivirus sur le
boîtier FortiGate.
Le boîtier FortiGate met à jour les définitions AV. Cela prend environ 1 minute.
6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour
de la version du FortiGuard – Antivirus.
Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à
jour des définitions IPS (attaque), voir « Centre FortiGuard » à la page 183.
1 Téléchargez le fichier de mise à jour des définitions des dernières attaques sur le
site de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administration
web.
2 Démarrez l’interface d’administration web et sélectionnez Système > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Définitions IPS des
souscriptions FortiGuard, sélectionnez Update (Mettre à jour).
La boîte de dialogue Mettre à jour les définitions d’attaque s’ouvre.
4 Dans le champ Fichier de mise à jour, tapez le chemin et le nom du fichier de mise
à jour des définitions des attaques. Vous pouvez également sélectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise à jour des définitions des attaques
sur le boîtier FortiGate.
Le boîtier FortiGate met à jour les définitions IPS. Cela prend environ 1 minute.
6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour
de la version du FortiGuard – IPS.
Interface
En mode NAT/Route, sélectionnez Système > Réseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
• agréger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modèles 800 et plus).
• combiner des interfaces physiques en une interface redondante
• ajouter et configurer des sous-interfaces VLAN
• modifier la configuration d’une interface physique
• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM
uniquement).
Remarque : A moins d’une directive contraire, dans cette section, le mot « interface » réfère
aussi bien à une interface FortiGate physique qu’à une sous-interface FortiGate VLAN.
• Pour toute information sur les VLAN en mode NAT/Route, voir « VLAN en
mode NAT/Route » à la page 85.
• Pour toute information sur les VLAN en mode Transparent, voir « VLAN en
mode Transparent » à la page 88.
Paramètres de l’interface
Pour configurer une interface, sélectionnez Système > Réseau > Interface.
Cliquez sur Créer Nouveau pour créer une nouvelle interface. Pour éditer une
interface existante, sélectionnez l’icône Editer de cette interface.
Il est impossible de créer une interface virtuelle IPSec ici. Mais vous pouvez en
spécifier les adresses de terminaison, activer l’accès administratif et fournir une
description. Voir « Configuration d’une interface IPSec virtuelle» à la page 72.
Lorsqu’une interface fait partie d’une agrégation, elle n’est plus reprise dans la liste
de la page Système > Réseau > Interface. Elle n’est plus configurable
individuellement et ne peut plus être incluse dans les règles pare-feu, VIP, IP pools
ou de routage.
La différence entre un lien redondant et un lien d’agrégation réside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface à la fois (peu
importe le nombre de liens redondants). Cependant les interfaces redondantes
permettent des configurations plus robustes avec un risque de points de pannes
plus faible. Ceci est important dans une configuration en maillage intégral HA.
Lorsqu’une interface fait partir d’une interface redondante, elle n’est plus reprise
dans la liste de la page Système > Réseau > Interface. Elle n’est plus
configurable individuellement et ne peut plus être incluse dans les règles pare-feu,
VIP, IP pools ou de routage.
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sur
l’icône Editer d’une interface existante. Sélectionnez PPPoE dans la section Mode
d’Adressage.
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sur
l’icône Editer d’une interface existante. Activez DDNS, juste en dessous de la
section Mode d’Adressage et configurez le service DDNS en fonction des
informations fournies.
Zone
Les zones permettent de grouper des interfaces et des sous-interfaces VLAN. Ces
zones simplifient la création de règles. Dans le cas de regroupement d’interfaces et
de sous-interfaces VLAN en zones, vous pouvez configurer des règles pour des
connexions de et à partir d’une zone. Cependant il n’est pas possible de configurer
des règles de et à partir de chaque interface de cette zone.
A partir de la liste Zone, il est possible d’ajouter des zones, de les renommer, les
éditer ou encore les supprimer. Pour ajouter une zone, vous devez sélectionner les
noms des interfaces et sous-interfaces VLAN à ajouter à cette zone.
Les zones sont ajoutées aux domaines virtuels. Si de multiples domaines virtuels
ont été ajoutés à la configuration FortiGate, veillez à configurer le domaine virtuel
correct avant d’ajouter ou d’éditer des zones.
Options
Les options du réseau comprennent les paramètres du serveur DNS et de la
détection d’échec d’une passerelle.
Les modèles FortiGate 100 et moins peuvent être configurés pour obtenir des
adresses de serveur DNS automatiquement. Pour ce faire, au moins une des
interfaces doit utiliser le mode d’adressage DHCP ou PPPoE. Voir « Configuration
DHCP d’une interface » à la page 69. Voir « Configuration PPPoE d’une interface»
à la page 70.
Les modèles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs
interfaces. Les hôtes du réseau attaché utilisent l’adresse IP de l’interface comme
leur serveur DNS. Les requêtes DNS envoyées à l’interface sont transmises aux
adresses du serveur DNS configurées ou fournies automatiquement au boîtier
FortiGate.
Obtenir dynamiquement Cette option est uniquement disponible sur les modèles 100
les adresses et moins.
des serveurs DNS
Lorsque le service DHCP est utilisé par une interface, il
permet également d’obtenir l’adresse IP d’un serveur DNS.
Ceci est uniquement valable en mode NAT/Route. Il est
conseillé d’activer « Remplacer le serveur DNS pré-
configuré » dans les paramètres DHCP de l’interface. Voir
« Configuration DHCP d’une interface » à la page 69.
Les modèles FortiGate 50AM et 60M sont conçus avec un modem intégré. Il est
dès lors possible de configurer des opérations modem à partir de l’interface
d’administration web. Voir « Configuration des paramètres du modem ».
Remarque : Ne pas confondre l’interface modem avec le port AUX, utilisé pour des
connexions à distance vers la console – il n’a pas d’interface associée. Le port AUX est
uniquement disponible sur les modèles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus
d’informations, voir la commande config system aux dans le FortiGate CLI
Reference.
Activer le modem USB Cochez cette case pour activer le modem FortiGate.
Etat du modem Les différents statuts du modem sont : « inactif », « en cours
de connexion », « connecté », « en cours de déconnexion» ou
« déconnecté» (pour le mode Stand alone uniquement).
Appeler/Raccrocher (Pour le mode Stand alone uniquement.) Sélectionnez Appeler
pour vous connecter manuellement à un compte téléphonique.
Lorsque le modem est connecté, sélectionnez Raccrocher
pour déconnecter le modem manuellement.
Mode Sélectionnez le mode désiré : Standalone ou Redondant. En
mode stand alone, le modem est une interface autonome. En
mode Redondant, le modem est un outil de sauvegarde, un
actif en secours d’une interface Ethernet sélectionnée.
Remarque : Ne pas ajouter de règles pour les connexions entre l’interface modem et
l’interface secourue par le modem.
Il est primordial de configurer des règles pare-feu pour les connexions entre
l’interface modem et les autres interfaces du boîtier FortiGate.
Vous pouvez configurer des règles pare-feu pour contrôler le flot de paquets
circulant entre l’interface modem et les autres interfaces FortiGate. Pour plus
d’informations à propos de l’ajout de règles pare-feu, voir « Ajout d’une règle pare-
feu » à la page 231.
Déconnecter le modem
Un VLAN distingue les équipements en ajoutant des balises VLAN 802.1Q à tous
les paquets reçus et envoyés par ces équipements. Ces balises sont des
extensions de 4 octets comprenant un identificateur VLAN ainsi que d’autres
informations.
Les VLAN offrent une grande flexibilité, une segmentation efficace du réseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir
compte de la localisation physique.
Grâce à l’utilisation d’un VLAN, un seul boîtier FortiGate fournit des services de
sécurité et des connexions sous contrôle entre de multiples domaines sécurisés.
Le trafic provenant de chaque domaine sécurisé reçoit un identificateur VLAN
différent. Le boîtier FortiGate reconnaît les identificateurs VLAN et applique les
règles de sécurité pour protéger les réseaux et le trafic VPN IPSec entre les
domaines sécurisés. Le boîtier FortiGate appliquent également les fonctionnalités
d’authentification, de profils de protection et autres règles pare-feu sur le trafic du
réseau et le trafic VPN autorisé à circuler entre les domaines sécurisés.
Vous pouvez également définir des sous-interfaces VLAN sur toutes les interfaces
du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant une
sous-interface VLAN ou peut retirer des balises des paquets entrants et ajouter
une balise différente aux paquets sortants.
Lorsque le commutateur VLAN reçoit des paquets de VLAN 100 et VLAN 200, il
leurs applique des balises VLAN et les transfère vers les ports locaux et à travers
le tronçon vers le boîtier FortiGate. Des règles sont configurées dans le boîtier
FortiGate pour permettre aux trafics de circuler entre les VLAN et à partir des
VLAN vers le réseau externe.
Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.
Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de
leur appliquer des règles pare-feu pour les connexions entre les sous-interfaces
VLAN ou d’une sous-interface vers une interface physique.
1 Sélectionnez Pare-Feu > Adresse.
2 Cliquez sur Créer Nouveau pour créer des adresses pare-feu qui correspondent
aux adresses IP source et de destination des paquets VLAN. Voir « A propos des
adresses pare-feu » à la page 245.
3 Sélectionnez Pare-Feu > Règle.
4 Créer ou ajouter des règles pare-feu tel que requis.
Lorsqu’un boîtier FortiGate reçoit un paquet balisé VLAN sur l’une de ses
interfaces, ce paquet est dirigé vers la sous-interface VLAN possédant
l’identificateur VLAN correspondant. La sous-interface VLAN retire la balise et
affecte une interface de destination au paquet en fonction de son adresse MAC de
destination. Les règles pare-feu des sous-interfaces VLAN source et de destination
Des domaines virtuels supplémentaires peuvent être créés si vous désirez séparer
des groupes de sous-interfaces VLAN en domaines virtuels. Pour plus
d’informations sur l’ajout et la configuration de domaines virtuels, voir « Utilisation
de domaines virtuels » à la page 40.
Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.
Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de
leurs appliquer des règles pare-feu pour les connexions entre les sous-interfaces
VLAN ou d’une sous-interface vers une interface physique.
Le mode Point d’Accès est activé par défaut. Les boîtiers FortiWiFi-60A et 60AM
peuvent fournir de multiples WLAN.
Les boîtiers FortiWiFi supportent les standard réseau sans fil suivants :
Domaines régulatoires
Les tableaux suivants reprennent les canaux et domaines régulatoires pour les
LAN sans fil.
Une interface ne peut pas fournir en même temps un serveur et un relais pour des
connexions du même type (régulier ou IPSec).
Remarque : Vous pouvez configurer un serveur DHCP régulier sur une interface seulement
si celle-ci possède une adresse IP statique. Vous pouvez configurer un serveur DHCP
IPSec sur une interface qui possède une adresse IP statique ou dynamique.
Dans le cas où une interface est connectée à de multiples réseaux via des
routeurs, vous pouvez ajouter un serveur DHCP pour chaque réseau. La plage
d’adresses IP pour chaque serveur DHCP doit correspondre à la plage d’adresses
du réseau. Les routeurs doivent être configurés pour les relais DHCP.
Vous pouvez configurer une interface FortiGate comme relais DHCP. L’interface
transfère alors les requêtes DHCP des clients DHCP vers un serveur externe
DHCP, et renvoient ensuite les réponses aux clients. Le serveur DHCP doit avoir
un routage approprié de manière à ce que ses paquets-réponses aux clients
DHCP arrivent au boîtier FortiGate.
Pour en savoir plus sur la configuration d’un relais DHCP, voir « Configuration
d’une interface comme relais DHCP » à la page 101.
Sur les modèles FortiGate 50 et 60, un serveur DHCP est configuré par défaut sur
l’interface Interne, avec les paramètres suivants :
Serveur WINS 1 Ajoutez les adresses IP d’un ou deux serveurs WINS que le
Haute Disponibilité
Cette section fournit une description générale de la Haute Disponibilité FortiGate et
du clustering virtuel HA FortiGate. Les options de configuration et quelques
procédures de configuration et de maintenance de base de la Haute Disponibilité
sont également détaillées dans cette section.
Au sein d’un cluster, les équipements individuels FortiGate sont appelés membres.
Ces membres partagent les informations sur leur état et configuration. Dans le cas
d’une défaillance de l’un des membres, les autres membres du cluster prennent en
charge l’activité du membre en panne. Après la panne, le cluster continue de traiter
le trafic réseau et de fournir les services FortiGate sans interruption du service.
Les membres FortiGate d’un cluster utilisent les interfaces Ethernet pour
communiquer des informations sur la session du cluster, synchroniser la
configuration et la table de routage du cluster et créer des rapports sur les statuts
des membres individuels du cluster. On appelle ces interfaces Ethernet du cluster
les interfaces de heartbeat, et les communications entre les membres du cluster le
heartbeat HA. Grâce à ce dernier, les membres du cluster sont constamment en
train de communiquer sur les statuts du HA pour assurer un bon fonctionnement
du cluster.
1
La Haute Disponibilité ne fournit pas de réplication de sessions pour les services PPPoE, DHCP, PPTP et
P2TP.
Lorsqu’un cluster opère en mode actif-passif , la mention (a-p) apparaît sur les
écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary s’affiche sur l’écran LCD du membre primaire. Les membres
subordonnés affichent sur leur écran LCD la mention slave <priority_id> où
<priority_id> est la place prioritaire du membre subordonné dans le cluster.
Dans l’exemple d’un cluster composé de trois membres, les écrans afficheront :
• primary (a-p)
• slave 1 (a-p)
• slave 2 (a-p)
Le mode HA actif-actif (A-A) équilibre la charge du traitement du trafic vers tous les
membres du cluster. Un cluster HA actif-actif se compose d’un membre primaire et
d’un ou plusieurs membre(s) subordonné(s) qui traitent ensemble tout le trafic. Le
membre primaire utilise un algorithme d’équilibrage de charge pour distribuer le
traitement à tous les membres du cluster.
Lorsqu’un cluster opère en mode actif-actif, la mention (a-a) apparaît sur les
écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary s’affiche sur l’écran LCD du membre primaire. Les membres
subordonnés affichent sur leur écran LCD la mention slave <priority_id> où
<priority_id> est la place prioritaire du membre subordonné dans le cluster.
Dans l’exemple d’un cluster composé de trois membres, les écrans afficheront :
• primary (a-a)
• slave 1 (a-a)
La configuration d’une interface comme serveur DHCP ou relais DHCP n’est pas
affectée par une opération HA. Pour toute information sur les serveurs et relais
DHCP, voir « Système DHCP » à la page 99.
PPTP et L2TP sont supportés en mode HA. Vous pouvez configurer les
paramètres PPTP et L2TP et ajouter des règles pare-feu pour permettre le
passage de PPTP et L2TP. Cependant, lors d’une réplication HA, toutes les
sessions actives PPTP et L2TP sont perdues et doivent être redémarrées après la
réplication.
Cependant, même dans le cas d’un cluster, des points uniques de panne potentiels
restent. Les interfaces de chaque membre du cluster se connectent à un seul
commutateur offrant une seule connexion au réseau. Si le commutateur tombe en
panne ou si la connexion entre le commutateur et le réseau échoue, le service vers
le réseau est interrompu.
Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des
clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mêmes que les
options classiques HA. Toutefois, les clusters virtuels comprennent les options de
partitionnement de domaines virtuels. Les différences entre les options de configuration pour
un HA régulier et pour un clustering virtuel HA sont parcourues ci-dessous.
Pour modifier le nom d’hôte et la priorité des membres subordonnés d’un cluster
en fonction avec des domaines virtuels activés, connectez-vous en tant
qu’administrateur admin, sélectionnez Configuration Globale et allez dans
Système > Configuration > HA pour visualiser la liste des membres du cluster.
Cliquez sur l’icône Editer d’un membre subordonné (ou redondant) pour le
configurer. Voir « Modification du nom d’hôte et de la priorité d’un membre
subordonné » à la page 123.
Options HA
La configuration d’options HA permet d’adjoindre un boîtier FortiGate à un cluster
ou de modifier la configuration d’un cluster opérationnel et d’un de ses membres.
Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilité FortiGate reprend des procédures de configuration globales HA et
donne des exemples détaillés de configuration.
Mode
Sélectionnez un mode HA pour le cluster ou repasser les équipements FortiGate
du cluster au mode stand alone. Lors de la configuration d’un cluster, il est
nécessaire de définir le même mode HA pour tous les membres du cluster HA.
Priorité de l’équipement
Facultativement, il est possible de donner à chaque membre du cluster un ordre de
priorité. De cette manière chaque membre peut être doté d’une priorité différente.
Pendant la négociation HA, le membre avec la plus haute priorité devient le
membre primaire.
La priorité n’est pas synchronisée parmi les membres du cluster. Dans un cluster
en fonction vous modifiez la priorité de l’équipement pour modifier la priorité de
chaque membre du cluster. A chaque modification de la priorité d’un membre du
cluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le
membre primaire.
Lors de la configuration d’un cluster virtuel et dans le cas où vous avez ajouté des
domaines virtuels aux deux clusters virtuels, vous pouvez définir la priorité d’un
membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet à un
membre d’être par exemple le membre primaire du cluster virtuel 1 et le membre
subordonné du cluster virtuel 2. Pour plus d’informations, voir « Exemple de
configuration d’un clustering virtuel » à la page 139 et « Administration de clusters
virtuels » à la page 141.
Nom du groupe
Donnez un nom au cluster. Tous les membres du cluster doivent avoir le même
nom de groupe.
Mot de passe
Entrez un mot de passe pour le cluster. Le mot de passe doit être le même pour
tous les membres du cluster. La longueur maximum du mot de passe est de 15
caractères.
Dans le cas d’un réseau avec plusieurs clusters HA FortiGate, chaque cluster doit
avoir un mot de passe différent.
Dans le cas où cette option est activée, les membres subordonnés maintiennent
des tables de session identiques à celle du membre primaire. Cela permet au
nouveau membre primaire de maintenir toutes les sessions de communication
actives en cas de panne du membre primaire original.
Si vous arrivez à rétablir le flot du trafic à travers l’interface (par exemple si vous
reconnectez un câble déconnecté du réseau) l’interface rejoint alors le cluster.
Il est conseillé de mettre sous surveillance les seules interfaces connectées aux
réseaux. Une réplication pourrait avoir lieu si une interface non connectée est sous
surveillance.
Les interfaces qui sont susceptibles d’être mises sous surveillance apparaissent
dans la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent
être mises sous surveillance, y compris les interfaces redondantes et les interfaces
agrégées 802.3ad.
Pour toute information sur les interfaces redondantes, voir « Création d’une
interface redondante » à la page 67 et « HA et interfaces redondantes » à la page
149.
Pour toute information sur les interfaces agrégées 802.3ad, voir « Création d’une
interface agrégée 802.3ad » à la page 66 et « HA et interfaces redondantes » à la
page 149.
Les interfaces suivantes ne peuvent pas être mises sous surveillance (elles
n’apparaissent d’ailleurs pas dans la liste Port Monitor) :
La communication heartbeat est définie par défaut sur deux interfaces (voir tableau
6). Vous pouvez désactiver le heartbeat HA pour chacune de ces interfaces ou
activer le heartbeat HA pour d’autres interfaces. Dans la plupart des cas, vous
pouvez maintenir la configuration de l’interface de heartbeat par défaut tant que
vous pouvez connecter les interfaces de heartbeat ensemble.
Vous pouvez activer des communications heartbeat pour des interfaces physiques,
mais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des
interfaces redondantes ou des interfaces agrégées 802.3ad. Ces types d’interfaces
n’apparaissent pas dans la liste des interfaces de heartbeat.
Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans
la mesure du possible, il est conseillé d’activer le trafic heartbeat HA sur les
interfaces utilisées uniquement pour le trafic heartbeat HA ou sur des interfaces
connectées à des réseaux moins occupés.
Généralement, les domaines virtuels sont distribués de manière égale entre les
deux clusters virtuels et les priorités configurées de manière à distribuer le trafic
identiquement entre les membres du cluster. Pour plus d’informations, voir
« Exemple de configuration d’un clustering virtuel » à la page 139 et
« Administration de clusters virtuels » à la page 141.
Voir le boîtier FortiGate High Availability Guide - Guide des fonctions de haute
disponibilité FortiGate pour obtenir des exemples de procédures HA et de
configurations détaillées.
Illustration 51 : Exemple d’une liste des membres d’un cluster pour un FortiGate-5001
Pour afficher la liste des membres du cluster virtuel d’un cluster opérationnel,
connectez-vous en tant qu’administrateur admin et sélectionnez Configuration
Globale, ensuite Système > Configuration > HA.
Les flèches haut et bas Permettent de modifier l’ordre dans lequel apparaissent les
membres du cluster. Cela n’affecte pas le fonctionnement du
cluster et de ses membres. Seul l’ordre d’apparition est
modifié.
Membre du cluster Illustrations des panneaux avant des membres du cluster. Si le
port réseau d’une interface apparaît en vert, cela signifie que
l’interface est connectée. Maintenez le curseur de la souris sur
chaque illustration pour visualiser le nom d’hôte, le numéro de
série et le temps depuis lequel le membre est en fonction (up
time). La liste des interfaces sous surveillance est également
affichée.
Nom d’hôte Le nom d’hôte du FortiGate.
• Pour modifier le nom d’hôte du membre primaire,
sélectionnez Système > Statut et cliquez sur Changer à côte
du nom d’hôte actuel.
• Pour modifier le nom d’hôte d’un membre
subordonné, cliquez sur l’icône Editer du membre subordonné.
Rôle Le statut ou le rôle du membre dans le cluster.
• Le rôle est MASTER pour le membre primaire (ou
maître)
• Le rôle est SLAVE pour tous les membres
subordonnés (ou redondants) du cluster
Priorité de l’équipement La priorité du membre du cluster. Chaque membre peut avoir
une priorité différente. Durant la négociation HA, le membre
avec la priorité la plus haute devient le membre primaire.
L’intervalle de la priorité est de 0 à 255. La priorité par défaut
est 128.
Déconnexion du cluster Déconnecte le membre du cluster. Voir « Déconnexion d’un
membre du cluster » à la page 136.
Pour visualiser les statistiques HA, sélectionnez Système > Configuration > HA
et cliquez sur Visualiser les Statistiques HA.
Rafraîchir toutes les Entrez l’intervalle de temps souhaité entre deux mises à jour
des statistiques par l’interface graphique du FortiGate.
Back to HA monitor Ferme la liste des statistiques HA et retourne à la liste des
membres du cluster.
Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par
défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.
Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK,
la connexion du FortiGate risque d’être perdue pendant un moment car le cluster
HA négocie et le FGCP modifie l’adresse MAC des interfaces FortiGate (voir
« Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC
d’administration en effaçant l’entrée du tableau ARP pour votre FortiGate (ou
simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire à arp –d.
8 Mettre le boîtier FortiGate hors tension.
9 Répétez cette procédure pour tous les membres FortiGate du cluster.
Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond
de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire
n’est requise.
Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait être connectée pour que le
cluster puisse opérer. Vous pouvez également connecter les interfaces de
heartbeat à un réseau. Si le cluster ne comporte que deux membres FortiGate,
vous pouvez connecter les interfaces de heartbeat directement à l’aide du câble
croisé. Pour davantage d’informations sur les interfaces de heartbeat, voir
« Interface de Heartbeat » à la page 117, ainsi que le FortiGate High Availability
User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate
5 Facultativement, connectez les autres interfaces de chaque membre du cluster à
un concentrateur ou commutateur connecté aux réseaux.
L’illustration 55 reprend l’exemple d’une configuration réseau pour un cluster HA
comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et
externes sont connectées aux réseaux. Les interfaces HA sont connectées pour
une communication heartbeat HA.
Illustration 55 : Configuration réseau HA
Vous pouvez maintenant configurer le cluster comme s’il s’agissait d’un seul
équipement FortiGate.
Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par
défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.
Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK,
la connexion du FortiGate risque d’être perdue pendant un moment car le cluster
HA négocie et le FGCP modifie l’adresse MAC des interfaces FortiGate (voir
« Adresses MAC d’un cluster virtuel » à la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre à jour la table ARP de votre PC
d’administration en effaçant l’entrée ARP de votre FortiGate (ou simplement en
effaçant toutes les entrées de la table ARP). Pour ce faire, utilisez la commande
CLI similaire à arp –d.
8 Répétez cette procédure pour tous les membres FortiGate du cluster virtuel.
Une fois les deux membres configurés, procédez avec la section « Connecter un
cluster virtuel HA FortiGate ».
L’insertion d’un cluster HA dans votre réseau entraîne une interruption temporaire
des communications réseau puisque de nouvelles connexions physiques sont
créées pour diriger le trafic à travers le cluster. Le démarrage du cluster
occasionne également une interruption du trafic réseau jusqu’à ce que tous les
membres du cluster fonctionnent et que le cluster termine la négociation. La
négociation du cluster est automatique et ne dure normalement que quelques
secondes. Pendant le démarrage et la négociation du système, tout le trafic réseau
est arrêté.
Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond
de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire
n’est requise.
Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait être connectée pour que le
cluster puisse opérer. Vous pouvez également connecter les interfaces de
heartbeat à un réseau. Vous pouvez connecter les interfaces de heartbeat
directement à l’aide du câble croisé. Pour davantage d’informations sur les
interfaces de heartbeat, voir « Interface de Heartbeat » à la page 117, ainsi que le
FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilité FortiGate.
5 Facultativement, connectez les autres interfaces de chaque membre du cluster à
un concentrateur ou commutateur connecté aux réseaux.
L’illustration 56 reprend l’exemple d’une configuration réseau pour un cluster virtuel
comprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtuel
possède deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans le
domaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuel
appelé vdom_1. Le Site 1 est connecté au domaine virtuel root et Site 2 est
connecté au domaine virtuel vdom_2. L’exemple comprend les connexions
réseaux suivantes :
• Les interfaces du port 5 sont connectées ensemble et au réseau Site 1.
• Les interfaces du port 6 sont connectées ensemble et au routeur externe.
• Les interfaces du port 7 sont connectées ensemble et au réseau Site 2.
• Les interfaces du port 8 sont connectées ensemble et au routeur externe.
Vous pouvez maintenant configurer le cluster virtuel comme s’il s’agissait d’un seul
équipement FortiGate.
Remarque : Les étapes suivantes ne sont pas requises si vous utilisez le clustering virtuel
uniquement comme système de réplication. De cette procédure résulte une distribution du
trafic entre les deux membres du cluster dans le cluster virtuel.
Illustration 58 : Exemple d’une liste des membres d’un cluster avec domaines virtuels
distribués entre les deux clusters virtuels.
7 Cliquez sur l’icône Editer du membre primaire du cluster virtuel 1 et cluster virtuel
2.
Le rôle du membre dans le cluster s’affiche sur l’écran LCD (pour les FortiGate qui
en possèdent). La mention primary s’affiche sur l’écran LCD du membre
primaire. Les membres subordonnés affichent sur leur écran LCD la mention
slave <priority_id> où <priority_id> est la place prioritaire du membre
subordonné dans le cluster. Dans l’exemple d’un cluster composé de trois
membres et en mode actif-actif, les écrans afficheront :
• primary (a-a)
• slave 1 (a-a)
• slave 2 (a-a)
Les procédures suivantes s’appliquent aussi bien pour les clusters standard que
pour les clusters virtuels. Pour ces derniers, vous devez néanmoins être connecté
en tant qu’administrateur admin et avoir sélectionné Configuration Globale.
Lors de la déconnexion d’un membre, vous devez affecter à une des interfaces de
ce membre une adresse IP et un masque de réseau. Le membre primaire peut lui
aussi être déconnecté. Dans ce cas, le cluster réagit de la même manière que si le
membre primaire était tombé en panne. Il renégocie et sélectionne un nouveau
membre primaire.
Le membre primaire envoie des paquets ARP libres pour mettre à jour les
commutateurs connectés aux interfaces du cluster avec l’adresse MAC virtuelle.
Les commutateurs mettent à jour leurs tables de relayage MAC avec cette adresse
MAC. Les commutateurs dirigent alors tout le trafic réseau vers le membre
primaire. En fonction de la configuration du cluster, le membre primaire soit traite le
trafic réseau lui-même, soit équilibre la charge du trafic réseau entre tous les
membres du cluster.
00-09-0f-06-<group-id>-<idx>
où
<group-id> est l’ID groupe HA du cluster
<idx> est une combinaison de l’ID du cluster virtuel auquel a été ajoutée
l’interface et l’index de cette interface.
Un FortiGate-5001, opérant en mode HA, avec domaines virtuels activés, dont l’ID
groupe HA a été défini sur 23, les ports 5 et 6 étant dans le vdom root (qui se
trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se
trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes :
Une fois le cluster opérationnel, vous pouvez diviser les domaines virtuels entre les
cluster virtuel 1 et 2 pour qu’ils distribuent le trafic entre eux. Affectez ensuite la
priorité de manière à ce qu’un membre du cluster devienne le membre primaire du
cluster virtuel 1 et que l’autre membre devienne le membre primaire du cluster
virtuel 2. Etant donné que c’est le membre primaire qui traite tout le trafic pour un
domaine virtuel, il en résulte que les deux membres FortiGate du cluster traitent en
définitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour
les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2
traite tout le trafic pour les domaines virtuels du cluster virtuel 2.
A tout moment il est possible de déplacer les domaines virtuels du cluster virtuel 1
au cluster virtuel 2, et ce, pour ajuster l’équilibrage de charge entre les membres
du cluster.
Pour connecter le domaine virtuel root, les interfaces des port5 des deux membres
du cluster sont connectées à un commutateur qui est aussi connecté au réseau du
Site 1. Les interfaces port6 des deux membres du cluster sont connectées à un
commutateur qui est aussi connecté au routeur externe et à Internet.
Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux membres
du cluster sont connectées à un commutateur qui est aussi connecté au réseau du
Site 2. Les interfaces port8 des deux membres du cluster sont connectées à un
commutateur qui est aussi connecté au routeur externe et à Internet.
Les clusters virtuels ont été configurés de manière à ce que FortiGate_A soit le
membre primaire du domaine virtuel root. Dès lors, tout le trafic destiné au
domaine virtuel root est reçu et traité par le boîtier FortiGate_A.
FortiGate_B est le membre primaire de vdom_1. Dès lors, tout le trafic destiné à
vdom_1 est reçu et traité par le boîtier FortiGate_B.
Un des avantages d’une telle configuration est l’équilibrage de charge entre les
membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de
vdom_1. De cette manière la charge de tout le trafic est partagée entre les
membres du cluster.
La liste des membres du cluster diffère selon le membre du cluster. Dans l’exemple
décrit à la page 139 « Exemple de configuration d’un clustering virtuel », si vous
connectez le port5, vous vous connectez au FortiGate_A (FortiGate_A s’affiche
dans la barre de titres de l’interface graphique). Sélectionnez Configuration
Globale et ensuite Système > Configuration > HA. A partir de chaque liste de
membres, vous pouvez sélectionner Editer pour le boîtier FortiGate_A pour
modifier la configuration HA du cluster virtuel et définir les priorités du FortiGate_A
dans le cluster virtuel 1 et dans le cluster virtuel 2. En sélectionnant Editer pour le
boîtier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom d’hôte du
FortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 1. En
sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 2, vous
pouvez modifier le nom d’hôte du FortiGate_B, ainsi que la priorité de FortiGate_B
dans le cluster virtuel 2.
Illustration 63 : Exemple d’un cluster virtuel affichant la liste des membres du cluster
FortiGate_A
Illustration 64 : Exemple d’un cluster virtuel affichant la liste des membres du cluster
FortiGate_B
Remarque : Vous pouvez maintenir la configuration par défaut des options HA restantes et
les modifier plus tard, une fois le cluster opérationnel.
Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK,
la connexion du FortiGate risque d’être perdue pendant un moment car le cluster
HA négocie et le FGCP modifie l’adresse MAC des interfaces FortiGate (voir
« Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC
d’administration en effaçant l’entrée du tableau ARP pour votre FortiGate (ou
simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire à arp –d.
8 Répétez cette procédure pour l’autre membre FortiGate-5001 du cluster.
Les membres FortiGate-5001 négocient pour former un cluster.
Les procédures suivantes décrivent comment ajouter port1 et port2 à une interface
redondante et port3 et port4 à une autre. A partir de la configuration par défaut, il
est nécessaire de supprimer les adresses IP de port1 et port2, ainsi que port2 de la
route par défaut. La procédure suivante ne rentre pas dans les détails et n’explique
pas comment maintenir une connexion à l’interface graphique pendant la
démarche ci-dessous. Il y a plusieurs façons d’accomplir les étapes de la
procédure et cela dépend de votre configuration. Par exemple, vous pouvez utiliser
une connexion console à l’interface de ligne de commande pour configurer une
Remarque : Les interfaces physiques ajoutées à une interface redondante doivent être
ajoutées au même domaine virtuel que l’interface redondante avant même d’être ajoutées à
l’interface redondante.
Un cluster HA avec une interface redondante peut par exemple comprendre deux
boîtiers FortiGate-800 opérant en mode HA et installés entre un serveur réseau et
Internet.
Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface redondante dans un cluster
obtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface physique
qui apparaît dans la configuration de l’interface redondante.
Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface agrégée dans un cluster
obtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface de
l’agrégation.
Si vous devez malgré tout ajouter les deux membres FortiGate à la même
agrégation, vous pouvez empêcher le membre subordonné d’envoyer ou
d’accepter des paquets LACP en définissant le mot-clé CLI config system
interface lacp-ha-slave sur disable. De cette manière, le membre
subordonné ne participe pas à l’agrégation. En cas de réplication, lorsque le
membre subordonné devient le nouveau membre primaire, ce dernier commence à
envoyer et recevoir des paquets LACP et rejoint l’agrégation. La commande lacp-
ha-slave est activée par défaut. Voir le FortiGate CLI Reference pour plus
d’informations sur le mot-clé lacp-ha-slave.
SNMP
Vous pouvez configurer l’agent SNMP FortiGate pour transmettre des rapports sur
les informations du système et envoyer des traps (alarmes et messages sur les
événements) aux superviseurs SNMP. A l’aide de l’un de ces superviseurs, vous
pouvez accéder aux traps et données SNMP à partir de n’importe quelle interface
FortiGate ou sous-interface VLAN configurée pour un accès administratif SNMP.
MIB FortiGate
L’agent SNMP FortiGate supporte les MIB privées FortiGate, ainsi que les MIB
standard des RFC 1213 et RFC 2665. Le support RFC comprend un support pour
les parties de la RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB
II) qui s’appliquent à la configuration du FortiGate.
Les MIB FortiGate, ainsi que les deux MIB RFC sont répertoriées dans le tableau
10. Ces fichiers MIB sont disponibles au Support Technique Fortinet. Pour pouvoir
communiquer avec l’agent SNMP, vous devez compiler toutes ces MIB dans votre
superviseur SNMP.
Il est probable que votre superviseur SNMP contiennent déjà des MIB standard et
privées dans une base de données prête à l’emploi. Il est cependant nécessaire
d’ajouter les MIB privées Fortinet à cette base de données. Dans le cas où les MIB
standard utilisées par l’agent SNMP Fortinet sont déjà compilées dans votre
superviseur SNMP, il n’est pas nécessaire de les recompiler.
Traps FortiGate
L’agent FortiGate peut envoyer des traps aux superviseurs SNMP des
communautés SNMP. La réception des traps ne peut se faire qu’après avoir
chargé et compilé la MIB Fortinet 3.0 sur le superviseur SNMP.
Tous les traps comprennent le message trap ainsi que le numéro de série du
boîtier FortiGate.
Tableau 23 : Options
Champ MIB Description
fnOptIdleTimeout La période d’inactivité en minutes après laquelle un
administrateur doit se réauthentifier.
fnOptAuthTimeout La période d’inactivité en minutes après laquelle un utilisateur
doit se réauthentifier avec un pare-feu.
fnOptLanguage La langue de l’interface d’administration web.
fnOptLcdProtection Dans le cas où un PIN LCD a été envoyé.
Exemple
Ci-dessous un exemple d’une page d’authentification simple qui répond aux
exigences énoncées ci-dessus.
<HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD>
<BODY><H4>You must authenticate to use this service.</H4>
<TR><TH>Username:</TH>
<TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text">
</TD></TR>
<TR><TH>Password:</TH>
<TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password">
</TD></TR>
</TBODY></TABLE></FORM></BODY></HTML>
Administrateurs
Il existe deux types de comptes administrateurs :
• Un administrateur régulier
• Un compte par défaut, admin
Les procédures suivantes prévoient que vous ayez déjà configuré un serveur
RADIUS sur votre réseau avec les noms et mots de passe de vos administrateurs.
Pour plus d’informations sur la configuration d’un serveur RADIUS, reportez-vous à
la documentation de votre serveur RADIUS.
Sélectionnez Système > Admin > Droits d’Accès pour ajouter des profils
d’administration aux administrateurs FortiGate. Chaque compte administrateur
appartient à un profil d’administration. Vous pouvez créer des profils
d’administration qui empêchent ou permettent les droits en lecture uniquement,
droits en écriture uniquement ou les deux : droits en lecture et écriture des
fonctionnalités FortiGate.
Pour éditer des profils d’administration, utilisez un compte admin ou un compte qui
possèdent les droits en lecture et en écriture des utilisateurs admin. Sélectionnez
Système > Admin > Droits d’Accès et cliquez sur Créer Nouveau.
Paramètres FortiManager
Activer Cochez la case Activer pour permettre une communication
sécurisée entre le boîtier FortiGate et le Serveur FortiManager.
Sans quoi, la communication n’est pas sécurisée.
ID Entrez le numéro de série du Serveur FortiManager.
Adresse IP Entrez l’adresse IP du Serveur FortiManager.
Paramètres
Sélectionnez Système > Admin > Settings (Paramètres) pour définir les options
suivantes :
• Les ports pour les accès administratifs HTTP et HTTPS
• Les paramètres des timeouts, y compris le timeout de l’administrateur et le
timeout de l’utilisateur
• La langue de l’interface d’administration web
• Une protection à l’aide d’un PIN pour l’écran LCD et les boutons de
commandes (pour les modèles équipés de ces fonctions uniquement)
Cliquez sur l’icône Administrateurs Connectés pour visualiser les informations sur
les administrateurs connectés à l’interface d’administration web en cours. Une
nouvelle fenêtre s’ouvre affichant la liste des administrateurs connectés à ce
moment-là.
Sauvegarde et Restauration
Pour sauvegarder et restaurer la configuration de votre système, et pour gérer le
microcode, sélectionnez Système > Maintenance > Sauvegarde et
Restauration.
Pour inclure les certificats VPN dans le fichier de sauvegarde, vous devez
permettre le cryptage du fichier de sauvegarde.
Vous devez d’abord enregistrer votre FortiGate sur la page web du support de
Fortinet. Voir « Enregistrement d’un équipement FortiGate » à la page 37.
Pour recevoir des mises à jour programmées, l’équipement FortiGate doit pouvoir
se connecter au FDN via HTTPS sur le port 443. Pour plus d’informations sur la
configuration de programmation de mises à jour, voir « Activer la programmation
de mise à jour» à la page 190.
Vous pouvez également configurer votre FortiGate pour qu’il accepte des mises à
jour forcées. Pour ce faire, le FDN doit être capable d’acheminer des paquets vers
le boîtier FortiGate via UDP port 9443. Pour plus d’informations à ce sujet, voir
« Activer les mises à jour forcées » à la page 191.
Services FortiGuard
Les Points de Service FortiGuard (FortiGuard Service Points) offrent une
couverture mondiale. Fortinet crée des nouveaux Points de Service à chaque fois
que nécessaire.
Pour plus d’informations sur les services FortiGuard, rendez-vous sur la page web
FortiGuard Center.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard Antispam est
offerte à l’achat d’un équipement FortiGate. La gestion de ces licences est suivie
par les serveurs Fortinet. Il n’est pas nécessaire d’entrer un numéro de licence.
Lors de l’activation de FortiGuard-Antispam, le boîtier FortiGate contacte
automatiquement un Point de Service FortiGuard-Antispam. Pour renouveler la
licence après la période d’essai de 30 jours, contactez le Support Technique de
Fortinet.
Service FortiGuard-Web
Le FortiGuard-Web est une solution de filtrage de contenu web de Fortinet. Ce
service trie des centaines de millions de pages web en diverses catégories que les
utilisateurs peuvent accepter, bloquer ou contrôler. Le boîtier FortiGate accède au
Point de Service FortiGuard-Web le plus proche pour déterminer la catégorie de la
page web souhaitée et applique ensuite la règle pare-feu configurée pour cet
utilisateur ou cette interface.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard-Web est offerte
à l’achat d’un équipement FortiGate. La gestion de ces licences est suivie par les
serveurs Fortinet. Il n’est pas nécessaire d’entrer un numéro de licence. Lors de
l’activation du service de blocage des catégories FortiGuard, l’équipement
FortiGate contacte automatiquement un Point de Service FortiGuard. Pour
renouveler la licence FortiGuard après la période d’essai de 30 jours, contactez le
Support Technique de Fortinet.
1 Sélectionnez Système > Statut et cliquez sur Changer à côté de Heure Système
dans la section des Informations sur le système.
2 Assurez-vous que le bon fuseau horaire est sélectionné, dépendant de la
localisation de votre FortiGate.
3 Sélectionnez Système > Maintenance > FortiGuard Center.
4 Cliquez sur Réactualiser. Le boîtier FortiGate tente alors une connexion avec le
FDN. Les résultat du test s’affichent en haut de la page des Mises à jour du
système.
A savoir:
Remarque : La mise à jour des définitions d’antivirus, par l’ajout de nouvelles signatures par
FortiGate dans la base de données, peut entraîner une brève rupture du trafic analysé. Il est
A chaque fois que le boîtier FortiGate procède à une mise à jour, l’action est
enregistrée dans le journal Evénement.
Les équipements FortiGate configurés pour recevoir les mises à jour forcées
envoient un message SETUP au FDN. De cette manière, lorsque les nouvelles
bases de connaissance antivirus et IPS sont créées, le FDN informe tous les
FortiGate configurés pour la mise à jour forcée d’une nouvelle mise à jour
disponible. Dans les 60 secondes après la réception de ce message, les
FortiGates demandent la mise à jour au FDN.
Remarque : Les mises à jour forcées ne sont pas supportées dans le cas de l’utilisation
d’un serveur proxy pour se connecter au FDN. Pour plus d’informations, voir « Activer la
programmation de mises à jour via un serveur proxy » à la page 190.
L’activation des mises à jour forcées comme seul moyen d’obtention des mises à
jour n’est pas recommandée. Il existe toujours un risque que le boîtier FortiGate ne
reçoive pas l’information de la disponibilité de nouvelles mises à jour. De plus une
telle information n’active qu’une seule tentative de connexion au FDN et de
téléchargement des mises à jour.
Remarque : Vous ne pouvez pas recevoir de mise à jour forcée via un serveur NAT si son
adresse IP externe est dynamique (par exemple, via l’utilisation de PPPoE ou DHCP).
Procédure générale
Les procédures suivantes vous guident dans la configuration du serveur NAT
FortiGate et du boîtier FortiGate sur le réseau interne pour la réception des mises
à jour forcées.
Remarque : Avant de clôturer cette procédure, assurez-vous d’avoir enregistré votre réseau
interne du FortiGate de manière à ce qu’il puisse recevoir les mises à jour forcées.
La clé de licence est un code de 32 caractères fournit par Fortinet. Votre numéro
de série est exigé pour générer cette clé de licence.
Sélectionnez Système > Maintenance > Licence pour entrer la clé de licence.
La route statique par défaut configurée à l’origine vous fournit un point de départ
pour configurer la passerelle par défaut. Vous pouvez éditer cette route statique
par défaut et spécifier une passerelle par défaut différente pour le boîtier FortiGate,
ou vous pouvez la supprimer et spécifier votre propre route statique par défaut qui
dirige vers la passerelle par défaut (voir « Route par défaut et passerelle par
défaut » à la page 198).
Les routes statiques sont définies manuellement. Elles contrôlent le trafic sortant
du FortiGate – vous pouvez spécifier l’interface à travers laquelle les paquets
sortent et l’interface vers laquelle ces paquets sont dirigés.
Route Statique
Les routes statiques se configurent en définissant l’adresse IP et le masque de
réseau de destination des paquets que le boîtier FortiGate s’apprête à intercepter
et en spécifiant une adresse IP (de passerelle) pour ces paquets. L’adresse de la
passerelle indique le routeur du prochain saut vers lequel le trafic va être dirigé.
Concepts de routage
Le routage étant un sujet complexe, certains le considèrent comme trop difficile à
maîtriser. Cependant, le boîtier FortiGate étant un appareil dédié à la sécurité sur
le réseau, ce guide développe un certain nombre de concepts de base sur le
routage de manière à ce que la configuration du FortiGate puisse être réalisée
avec efficacité.
Que le réseau à administrer soit grand ou petit, ce module vous aide à comprendre
les fonctions de routage exécutées par un équipement FortiGate.
Dans le cas où l’adresse de destination correspond à une adresse locale (et que la
configuration locale permet la livraison), l’équipement FortiGate livre le paquet au
réseau local. Si le paquet est destiné à un autre réseau, l’équipement FortiGate
transfère le paquet vers le routeur du prochain saut d’après la règle de route
correspondante (voir « Règle de routage » à la page 201) et/ou d’après les
informations disponibles dans la table de relayage FortiGate.
Dans la version 3.0 de FortiOS, il est possible de définir un champ de priorités pour
les routes à partir des commandes CLI. Ce champ ne tient pas compte du numéro
de séquence dans le cas où deux routes ont la même distance administrative – la
route ayant la priorité la plus élevée est le route primaire. Si deux routes ont la
même priorité, il est possible de définir le champ de priorités via la commande CLI
set priority <integer> dans la commande config route static. Pour
plus d’informations, voir le FortiGate CLI Reference. DH – New 3.0, partial fix for
bug.
Lorsqu’une route statique est créée dans la liste de Routes Statiques à partir de
l’interface d’administration web, l’équipement FortiGate lui affecte
automatiquement le prochain numéro de séquence. Par exemple, dans l’illustration
85, deux routes statiques vers une même destination (1.1.1.0/24) ont été créées
pour montrer comment les numéros d’entrée et les numéros de séquence sont
affectés par l’interface graphique. Les deux routes spécifient la même passerelle,
mais dans un cas, le paquet quitte l’équipement FortiGate via l’interface « port1 »
et dans le deuxième cas, via l’interface « port2 ».
Remarque : Il est possible d’afficher les numéros des routes statiques dans la table de
routage à partir de la commande CLI config router static, et tapez ensuite get. Le
numéro d’une route est équivalente à la valeur edit <ID_integer> entrée
précédemment par une commande CLI. Pour plus d’informations, voir config router
static dans le FortiGate CLI Reference.
Lorsque vous ajoutez une route à la liste des Routes Statiques, l’équipement
FortiGate évalue les nouvelles informations pour déterminer si celles représentent
une route différente comparée à toutes les autres routes présentes dans la table
de routage. Si aucune de ces routes ne possèdent la même destination,
l’équipement FortiGate ajoute cette nouvelle route à la table de routage.
Pour visualiser la liste des routes statiques, sélectionnez Routeur > Static >
Route Statique. Pour éditer une entrée de route statique existante, cliquez sur son
icône Editer.
Créer Nouveau Permet d’ajouter une route statique à la liste des Routes
Statiques. Voir « Ajout d’une route statique à la table de
routage » à la page 200.
IP Les adresses IP de destination des paquets interceptés par
l’équipement FortiGate.
Masque Le masque de réseau associé aux adresses IP.
Passerelle Les adresses IP des routeurs du prochain saut vers lequel les
paquets interceptés sont envoyés.
Interface Le nom de l’interface FortiGate à travers laquelle les paquets
interceptés sont reçus et envoyés.
Distance Les distances administratives associées à chaque route. La
valeur représente la distance vers les routeurs du prochain
saut.
Icônes Supprimer et Editer Permet de supprimer ou d’éditer l’entrée dans la liste.
Pour empêcher cela vous pouvez soit éditer la route statique par défaut et spécifier
une passerelle par défaut différente, soit supprimer cette route statique par défaut
et en spécifier une nouvelle qui dirige vers la passerelle par défaut.
Dans cet exemple, pour diriger les paquets sortants du réseau interne vers des
destinations qui ne sont pas sur le réseau 192.168.20.0/24, vous pouvez éditer la
route par défaut et inclure les paramètres suivants :
• IP/Masque de destination : 0.0.0.0/0.0.0.0
• Passerelle : 192.168.10.1
• Interface : Nom de l’interface connectée au réseau 192.168.10.0/24 (par
exemple, external).
• Distance : 10
Dans certains cas, il peut y avoir des routeurs derrière l’équipement FortiGate. Si la
destination d’une adresse IP d’un paquet n’est pas sur le réseau local mais sur un
réseau derrière l’un de ces routeurs, la table de routage de l’équipement FortiGate
doit comprendre une route statique vers ce réseau. Dans l’exemple de l’illustration
88, l’équipement FortiGate doit être configuré avec des route statiques vers les
interfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets
respectivement vers Network_1 et Network_2.
Pour diriger les paquets du Network_1 vers le Network_2, Router_1 doit être
configuré pour utiliser l’interface internal de l’équipement FortiGate comme sa
passerelle par défaut. Vous pourriez, pour cet exemple, créer sur l’équipement
FortiGate une nouvelle route statique avec les paramètres suivants :
• IP/Masque de destination : 192.168.30.0/24
• Passerelle : 192.168.11.1
• Interface : dmz
• Distance : 10
Pour diriger les paquets du Network_2 vers le Network_1, Router_2 doit être
configuré pour utiliser l’interface dmz de l’équipement FortiGate comme sa
passerelle par défaut. Vous pourriez, pour cet exemple, créer sur l’équipement
FortiGate une nouvelle route statique avec les paramètres suivants :
• IP/Masque de destination : 192.168.20.0/24
• Passerelle : 192.168.10.1
• Interface : internal
• Distance : 10
Pour ajouter une entrée de route statique, sélectionnez Routeur > Static > Route
statique et cliquez sur Créer Nouveau.
Lorsque vous ajoutez une route statique à partir de l’interface d’administration web,
l’équipement FortiGate affecte automatiquement le prochain numéro de séquence
à la route et ajoute l’entrée à la liste de Routes Statiques.
Règle de Routage
A chaque fois qu’un paquet arrive sur l’une des interfaces du FortiGate, ce dernier
détermine si le paquet a été reçu par une interface légitime en lançant une
recherche inversée utilisant l’adresse IP source de l’en-tête du paquet. Dans le cas
où le boîtier FortiGate n’arrive pas à communiquer avec l’ordinateur de cette
adresse IP source, le boîtier FortiGate annule le paquet.
Dans le cas où l’adresse de destination correspond à une adresse locale (et que la
configuration locale permet la livraison), l’équipement FortiGate livre le paquet au
réseau local. Si le paquet est destiné à un autre réseau, l’équipement FortiGate
transfère le paquet vers le routeur du prochain saut d’après la règle de route
correspondante et/ou d’après les informations disponibles dans la table de
relayage FortiGate (voir « Concepts de routage » à la page 194).
Lorsque des règles de route existent et qu’un paquet arrive sur l’équipement
FortiGate, ce dernier se réfère à la liste des Règles de Routage et tente de faire
correspondre le paquet avec l’une d’entre elles. Si une correspondance est trouvée
et que la règle contient assez d’informations pour diriger le paquet (l’adresse IP du
routeur du prochain saut doit être spécifiée, ainsi que l’interface FortiGate pour
l’envoi de paquets vers le routeur du prochain saut), l’équipement FortiGate dirige
le paquet en fonction des informations contenues dans la règle de routage. Si
aucune règle de routage correspond au paquet, l’équipement FortiGate dirige le
paquet utilisant la table de routage.
Remarque : Etant donné que la plupart des paramètres des règles sont optionnels, une
règle seule risque de ne pas fournir toute l’information nécessaire au FortiGate pour envoyer
le paquet. L’équipement FortiGate peut se référer à la table de routage dans une tentative
de faire correspondre les informations contenues dans l’en-tête du paquet avec une route
dans la table de routage.
Par exemple, si l’interface sortante est le seul élément repris dans la règle, l’équipement
FortiGate vérifie l’adresse IP du routeur du prochain saut dans la table de routage. Cette
situation pourrait se présenter lorsque les interfaces FortiGate sont dynamiques (l’interface
reçoit son adresse IP via DHCP ou PPPoE) et vous ne désirez pas ou n’arrivez pas à
spécifier une adresse IP du routeur du prochain saut car l’adresse IP change
dynamiquement.
Pour voir la liste des règles de routage, sélectionnez Routeur > Static > Policy
Route. Pour éditer une règle de routage existante, cliquez sur l’icône Editer à côté
de la règle que vous voulez éditer.
Créer Nouveau Permet d’ajouter une règle de routage. Voir « Ajout d’une règle
de routage » à la page 202.
# Les numéros ID des règles de routage configurées. Ces
numéros sont séquentiels, à moins que des règles aient été
modifiées dans la table.
Interface source Les interfaces sur lesquelles les paquets sujets à des règles
de routage ont été reçus.
Interface destination Les interfaces à travers lesquelles les paquets routés par
règles sont dirigés.
Source Les adresses IP source et masques de réseau responsables
de l’application de règles de routage.
Destination Les adresses IP de destination et les masques de réseau
responsables de l’application de règles de routage.
Icône Supprimer Permet de supprimer une règle de routage.
Icône Editer Permet d’éditer une règle de routage.
Icône Déplacer Permet de déplacer une règle de routage vers le haut ou le
bas dans la table de routage. En sélectionnant cette icône, une
nouvelle fenêtre s’affiche dans laquelle vous pouvez spécifier
la nouvelle localisation dans la table de Règles de Routage.
Voir « Déplacer une règles de routage » à la page 203.
Pour ajouter une règle de routage, sélectionnez Routeur > Static > Règle de
routage et cliquez sur Créer Nouveau.
Le choix entre deux routes se présente lorsque celles-ci sont identiques. Prenons
l’exemple suivant de deux routes présentes dans la table de routage :
172.20.0.0/255.255.0.0 et 172.20.120.0/255.255.255.0. Elles peuvent toutes deux
correspondre à 172.20.120.112 mais la deuxième est préférable. Elle devrait donc
être positionnée avant l’autre dans la table de routage.
Remarque : Les options de base de routage RIP, OSPF et BGP peuvent être configurées à
partir de l’interface d’administration web. De nombreuses options supplémentaires peuvent
être configurées à partir de l’interface de ligne de commande uniquement. Des descriptions
et exemples complets sur l’utilisation de commandes CLI pour configurer les paramètres
RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Remarque : Le boîtier FortiGate peut opérer comme un routeur PIM (Protocol Independant
Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes PIM
clairsemé et dense et peuvent servir de serveurs ou receveurs multicast sur le segment
réseau auquel l’interface FortiGate est connectée. PIM peut utiliser des routes statiques,
RIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.
RIP
Le RIP est un protocole de routage à vecteur de distance prévu pour de petits
réseaux relativement homogènes. L’implémentation FortiGate du RIP supporte les
versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).
Remarque : Les options de base de routage peuvent être configurées à partir de l’interface
d’administration web. De nombreuses options supplémentaires peuvent être configurées à
partir de l’interface de ligne de commande uniquement. Des descriptions et exemples
complets sur l’utilisation de commandes CLI pour configurer les paramètres RIP sont
disponibles dans la chapitre Routeur du FortiGate CLI Reference.
La métrique utilisée par RIP utilise le nombre de sauts (hop count) pour choisir la
meilleure route. Un nombre de sauts de 1 représente un réseau connecté
directement à l’équipement FortiGate. Un nombre de sauts de 16 représente un
réseau que l’équipement FortiGate ne peut pas atteindre. Chaque réseau traversé
par un paquet pour atteindre sa destination compte en général pour un saut.
Lorsque l’équipement FortiGate compare deux routes pour une même destination,
la route ayant le nombre de sauts le plus bas est ajoutée à la table de routage.
Par ailleurs, lorsqu’un routage RIP est activé sur une interface, le boîtier FortiGate
envoie régulièrement des réponses RIP aux routeurs voisins. Les annonces
fournissent des informations à propos des routes présentes dans la table de
routage FortiGate en fonction des règles de diffusion spécifiées. Il est possible de
préciser la fréquence à laquelle l’équipement FortiGate envoie ces annonces, le
temps pendant lequel une route est sauvegardée dans la table de routage sans
subir de mise à jour, et encore, pour les routes non mises à jour régulièrement,
combien de temps l’équipement FortiGate diffuse la route comme inatteignable
avant qu’elle soit supprimée de la table de routage.
Pour sélectionnez les options RIP avancées, sélectionnez Routeur > Dynamic >
RIP et dérouler les Options Avancées. Après avoir sélectionné les options, cliquez
sur Appliquer.
Métrique par défaut Entrez le nombre de sauts par défaut que l’équipement
FortiGate devrait affecter aux routes ajoutées à la table de
routage. Ce nombre varie entre 1 et 16.
Cette valeur s’applique également à la Redistribution des
routes à moins que spécifié différemment.
Annoncer la route par Sélectionnez pour générer et annoncer sans restriction une
défaut dans RIP route par défaut vers les réseaux RIP FortiGate. La route
générée peut être basée sur des routes annoncées à partir
d’un protocole de routage dynamique, des routes de la table
de routage ou les deux.
Pour définir les paramètres RIP des interfaces RIP, sélectionnez Routeur >
Dynamic > RIP et cliquez sur Créer Nouveau.
Remarque : Les options de base de routage OSPF peuvent être configurée à partir de
l’interface d’administration web. De nombreuses options supplémentaires peuvent être
configurées uniquement à partir de l’interface de ligne de commande. Pour des descriptions
et exemples complets sur la configuration de paramètres OSPF via l’utilisation des
commandes CLI, voir le chapitre Routeur du FortiGate CLI Reference.
Lorsqu’un équipement FortiGate possède une de ses interfaces dans une aire
OSPF, il peut alors participer aux échanges de communications OSPF. Le boîtier
FortiGate utilise le protocole OSPF Hello pour acquérir des voisins dans une aire.
Tout routeur qui possède une interface dans la même aire que le boîtier FortiGate
est un voisin. Après un contact initial, l’équipement FortiGate échange
régulièrement des paquets Hello avec ses voisins OSPF pour confirmer que ceux-
ci peuvent être joints.
Les routeurs OSPF génèrent des LSA (link-state advertisements) et les envoient à
leurs voisins à chaque changement de statut d’un voisin ou lorsqu’un nouveau
voisin apparaît dans l’aire. Tant que le réseau OSPF est stable, il n’y a pas de LSA
entre les voisins OSPF. Un LSA identifie des interfaces de tous les routeurs d’une
aire et procure des informations qui permettent aux routeurs de sélectionner le
chemin le plus court vers une destination. Tous les échanges LSA entre routeurs
OSPF sont authentifiés.
• les adresses réseaux de l’aire locale OSPF (vers lesquels les paquets sont
envoyés directement).
Définir un AS OSPF
Pour sélectionnez les options OSPF avancées, sélectionnez Routeur > Dynamic
OSPF et dérouler les Options Avancées. Après avoir sélectionné les options,
cliquez sur Appliquer.
Information par défaut Génère ou diffuse une route par défaut (external) vers l’AS
OSPF. La route générée peut être basée sur des routes dont
l’équipement FortiGate a eu connaissance via un protocole de
routage dynamique ou des routes dans la table de routage, ou
les deux.
Aucun Désactive la génération d’une route par défaut.
Regular Génère une route par défaut dans l’AS OSPF et diffuse la
route aux systèmes autonomes voisins seulement si la route
est présente dans la table de routage.
Toujours Génère une route par défaut dans l’AS OSPF et diffuse la
route aux systèmes autonomes voisins inconditionnellement
même si la route est absente de la table de routage.
Redistribution Active ou désactive les LSA OSPF à propos des routes non
diffusées via OSPF. L’équipement FortiGate peut utiliser OSPF
pour redistribuer les routes diffusées à partir de réseaux
connectés directement, de routes statiques, RIP et/ou BGP.
Connecté Sélectionnez cette option pour redistribuer les routes diffusées
à partir de réseaux connectés directement. Si vous désirez
préciser un coût pour ces routes, entrez le coût dans le champ
Métrique. Ce coût peut varier entre 1 et 16 777 214.
Statiques Sélectionnez cette option pour redistribuer les routes diffusées
à partir de routes statiques. Si vous désirez spécifier un coût
pour ces routes, entrez le coût dans le champ Métrique. Ce
coût peut varier entre 1 et 16 777 214.
RIP Sélectionnez cette option pour redistribuer les routes diffusées
à partir de RIP. Si vous désirez spécifier un coût pour ces
routes, entrez le coût dans le champ Métrique. Ce coût peut
varier entre 1 et 16 777 214.
BGP Sélectionnez cette option pour redistribuer les routes diffusées
à partir de BGP. Si vous désirez spécifier un coût pour ces
routes, entrez le coût dans le champ Métrique. Ce coût peut
varier entre 1 et 16 777 214.
Une aire « Regular » comprend plus d’un routeur, chacun ayant au moins une
interface OSPF dans cette aire.
Pour atteindre le backbone OSPF, les routeurs d’une aire stub doivent envoyer les
paquets vers un routeur de bordure de zones. Les routes qui mènent vers des
domaines non-OSPF ne sont pas diffusées aux routeurs des aires stub. Le routeur
de bordure de zones diffuse à l’AS OSPF une seule route par défaut (destination
0.0.0.0) dans l’aire stub, qui assure que tous les paquets OSPF ne correspondant
pas à une route spécifique correspondront à la route par défaut. Tous les routeurs
connectés à une aire stub est considérée comme faisant partie de cette aire.
Dans une aire NSSA (Not-So-Stubby Area), les routes qui sortent de l’aire vers un
domaine non-OSPF sont diffusées à l’AS OSPF. Cependant, l’aire elle-même
continue d’être traitée comme une aire stub par le reste de l’AS.
Les aires Regular et stub (y compris NSSA) sont connectées au backbone OSPF
par l’intermédiaire de routeurs de bordure de zones.
Pour définir une aire OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez
sur Créer Nouveau dans la section Aires. Pour éditer les propriétés d’une aire
OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez sur l’icône Editer dans
la ligne correspondante à l’aire concernée.
Remarque : Si nécessaire, vous pouvez définir un lien virtuel vers une aire qui a perdu sa
connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement être
définis entre deux équipements FortiGate qui agissent en tant que routeurs de bordure de
zones. Pour plus d’informations, voir « config virtual-link » sous la sous-commande OSPF
« config area » dans le FortiGate CLI Reference.
Remarque : Pour affecter un réseau à une aire, voir « Spécification des réseaux OSPF » à
la page 217.
Pour affecter un ID aire OSPF à un réseau, sélectionnez Routeur > Dynamic >
OSPF et cliquez sur Créer Nouveau dans la section Réseaux. Pour éditer cet ID,
sélectionnez Routeur > Dynamic > OSPF et cliquez sur l’icône Editer dans la
ligne correspondant au réseau concerné.
Le protocole OSPF peut être activé sur toutes les interfaces FortiGate dont les
adresses IP correspondent à l’espace réseau OSPF. Par exemple, définissez une
aire 0.0.0.0 et un réseau OSPF défini à 10.0.0.0/16. Définissez ensuite vlan1 à
10.0.1.1.24, vlan2 à 10.0.2.1/24 et vlan3 à 10.0.3.1/24. Ces trois vlans seront
munis d’OSPF dans une aire 0.0.0.0. Pour activer toutes les interfaces, vous
devriez créer un réseau OSPF 0.0.0.0/0 ayant une aire qui corresponde à une
adresse IP spécifique.
Vous pouvez configurer des paramètres OSPF différents pour une même interface
FortiGate lorsque plus d’une adresse IP ont été assignées à l’interface. Par
exemple, une même interface FortiGate pourrait être connectée à deux voisins à
partir de sous-réseaux différents. Vous pourriez alors configurer une définition de
l’interface OSPF comprenant un ensemble de paramètres Hello et dead-interval
pour la compatibilité avec les paramètres d’un voisin, et configurer une deuxième
définition de cette même interface pour assurer la compatibilité avec les
paramètres du deuxième voisin.
BGP
BGP est un protocole de routage Internet généralement utilisé par les Fournisseurs
d’Accès Internet (FAI) pour échanger des informations de routage entre différents
réseaux FAI. Par exemple, BGP permet le partage de chemins de réseaux entre le
réseau DAI et un système autonome (AS) qui utilise RIP et/ou OSPF pour
acheminer les paquets dans l’AS. L’implémentation FortiGate du BGP supporte
BGP-4 et est conforme à la RFC 1771.
Fonctionnement de BGP
Lorsque BGP est activé, l’équipement FortiGate envoie des mises à jour de la table
de routage aux systèmes autonomes voisins à chaque modification de la table de
routage. Chaque AS, y compris celui dont l’équipement FortiGate est membre, est
associé à un numéro AS. Ce numéro fait référence à une destination particulière
sur le réseau.
Les mises à jour BGP diffusent le meilleur chemin vers une destination du réseau.
Lors de la réception de mises à jour, le boîtier FortiGate examine les propriétés du
discriminant multi-sorties (MED – Multi-Exit Discriminator) des routes potentielles
pour déterminer le meilleur chemin vers une destination du réseau avant
d’enregistrer ce chemin dans sa table de routage.
Pour visualiser et éditer les paramètres BGP, sélectionnez Routeur > Dynamic >
BGP. L’interface d’administration web offre une interface simplifiée pour configurer
les options de base BGP. De nombreuses options avancées BGP peuvent être
configurées à partir de l’interface de ligne de commande. Pour plus d’informations,
voir le chapitre Routeur du FortiGate CLI Reference.
Multicast
Un équipement FortiGate peut opérer comme routeur Multicast PIM (Protocol
Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les
modes clairsemé (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et
récepteurs multicast sur le segment réseau auquel est connectée une interface
FortiGate.
Les applications serveurs multicast utilisent une adresse multicast (Class D) pour
envoyer une copie du paquet à un groupe de receveurs. Les routeurs PIM à
travers le réseau assurent que seule une copie du paquet est envoyée à travers le
réseau jusqu’à ce qu’elle atteigne sa destination finale. A destination, des copies
du paquet sont créées seulement s’il est nécessaire de livrer les informations aux
applications clients multicast qui nécessitent le trafic destiné à l’adresse multicast.
Remarque : Toutes les applications envoi/réception et tous les routeurs PIM connectés
entre doivent valider le protocole PIM version 2 en vue de supporter les communications
PIM. PIM utilise des routes statiques, RIP, OSPF ou BGP pour transférer des paquets
multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source à
leur point de destination, soit le mode clairsemé (ou épars), soit le mode dense doit être
activé sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsemé ne peuvent
pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un
équipement FortiGate est localisé entre une source et un routeur PIM, ou entre deux
routeurs PIM ou encore est connecté directement à un receveur, vous devez créer une règle
pare-feu manuellement pour passer les paquets (multicast) encapsulés ou les données
décapsulées (trafic IP) entre la source et la destination.
Un domaine PIM est une aire logique comprenant un nombre de réseaux contigus.
Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsemé
est activé le domaine comprend également plusieurs Points de Rendez-vous (RP)
Pour visualiser ou éditer les paramètres PIM, sélectionnez Routeur > Dynamic >
Multicast. L’interface d’administration web offre une interface simplifiée pour
configurer les options de base PIM. Les options PIM avancées peuvent être
configurées à partir de l’interface de ligne de commande. Pour plus d’informations,
voir le chapitre Routeur du FortiGate CLI Reference.
Activer le Routage Multicast Sélectionnez pour activer le routage PIM version 2. Une
règle pare-feu doit être créée sur les interfaces PIM
pour laisser passer les paquets encapsulés et les
données décapsulées entre leur source et leur
destination.
Add Static RP (+) Ajouter une adresse RP. Si nécessaire en mode
clairsemé, entrez l’adresse IP d’un Point de Rendez-
vous (RP) qui peut être utilisé comme racine de l’arbre
de distribution d’un paquet pour un groupe multicast.
Les join messages du groupe multicast et les données
de la source sont envoyés au RP.
Si un RP du groupe multicast de l’IP spécifié est déjà
connu par le Boot Strap Router, ce RP est utilisé et
l’adresse RP statique spécifiée ignorée.
Appliquer Permet de sauvegarder les adresses RP statiques
entrées.
Créer Nouveau Sélectionnez pour créer une nouvelle entrée multicast
pour une interface. Cela vous permettra de régler
Pour afficher les routes de la table de routage, sélectionnez Routeur > Table de
routage.
Si vous désirez lancer une recherche dans la table de routage en fonction des
types et limiter un peu plus l’affichage en fonction de réseau ou passerelle, toutes
les valeurs des critères de recherche doivent correspondre aux valeurs de la
même entrée de la table de routage pour que cette entrée soit affichée (la
condition implicite « ET » est appliquée à tous les paramètres de recherches
spécifiés).
Remarque : Toutes les valeurs des critères de recherche doivent correspondre aux valeurs
de la même entrée de la table de routage pour que cette entrée soit affichée.
Chaque règle peut être configurée pour diriger les connexions ou appliquer le
service de translation d’adresse réseau (NAT – network address translation) pour
translater les adresses IP et ports source et de destination. Vous pouvez ajouter
des pools IP pour une utilisation NAT dynamique lorsque le pare-feu translate les
adresses sources. Vous pouvez utiliser des règles pour configurer la translation
d’adresse port (PAT – port address translation) à travers le boîtier FortiGate.
Le pare-feu lance une recherche sur des règles en partant du haut de la liste et
descendant jusqu’à ce qu’il trouve la première correspondance. Il est donc
essentiel de hiérarchiser les règles dans la liste de la plus spécifique à la plus
générale. Par exemple, la règle par défaut est une règle très générale car elle
correspond à toutes les tentatives de connexion. Les exceptions à cette règle sont
ajoutées à la liste de règles au-dessus de la règle par défaut. Une règle qui devrait
être placée en dessous de la règle par défaut ne représentera jamais une
correspondance.
Les règles générales sont des règles qui peuvent accepter des connexions avec
de multiples adresses sources et de destination, ainsi qu’avec des intervalles
d’adresses. Elles peuvent également accepter des connexions de multiples ports
service ou avoir des horaires très ouverts. Si vous désirez ajouter des règles qui
sont des exceptions aux règles générales, ces exceptions doivent être ajoutées au-
dessus des règles générales. dans la liste de règles
Par exemple, vous pouvez avoir une règle générale permettant à tous les
utilisateurs de votre réseau interne d’accéder à tous les services Internet. Si vous
désirez bloquer l’accès aux serveurs FTP sur Internet, vous devriez ajouter au-
dessus de la règle générale une règle qui bloque les connexions FTP. La règle de
déni bloque les connexions FTP mais les tentatives de connexion de tous les
autres types de services ne correspondent pas à la règle FTP mais correspondent
à la règle générale. De ce fait, la pare-feu accepte toutes les connexions du réseau
interne vers Internet, à l’exception des connexions FTP.
La disposition des règles de cryptage pare-feu est importante pour assurer qu’elles
prennent effet comme prévu – les règles de cryptage pare-feu doivent être
évaluées avant des règles pare-feu régulières.
Déplacer une règle dans la liste ne modifie pas son numéro ID.
Pour ajouter ou éditer une règle pare-feu, sélectionnez Pare-feu > Règle.
Vous pouvez ajouter des règles ACCEPT pour accepter des sessions de
communication. Une telle règle permet d’appliquer des fonctionnalités FortiGate
telles qu’une analyse des virus et une authentification de la session de
communication acceptée par cette règle. Une règle ACCEPT peut également
permettre le trafic VPN IPSec en mode interface si la source ou la destination est
une interface virtuelle IPSec. Pour plus d’informations, voir « Aperçu sur le mode
interface IPSec » à la page 294.
Vous pouvez ajouter des règles DENY pour interdire des sessions de
communication.
Vous pouvez également ajouter des règles de cryptage IPSec pour permettre le
trafic VPN en mode tunnel IPSec et des règles de cryptage VPN SSL pour
permettre le trafic VPN SSL. Des règles de cryptage pare-feu déterminent quels
types de trafic IP seront permis pendant une session IPSec ou VPN SSL. Si permis
par une règles de cryptage pare-feu, un tunnel peut être initié automatiquement à
chaque fois qu’un paquet IP du type sélectionné arrive à l’interface FortiGate vers
le réseau privé local. Pour plus d’informations, voir « Options des règles pare-feu
IPSec » à la page 242 et « Options des règles pare-feu VPN SSL » à la page 243.
Le champ Service correspond à la règle pare-feu avec le service utilisé par une
session de communication.
Le champ Action définit le traitement du trafic par le boîtier FortiGate. Spécifiez une
action pour accepter ou bloquer le trafic ou configurez une règle de cryptage pare-
feu.
Les options des règles pare-feu peuvent être sélectionnées pour définir des
fonctionnalités additionnelles : NAT, Profil de Protection, Log Allowed Traffic, Log
Violation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut être
appliqué aux règles qui bloquent le trafic. Des services supplémentaires différents
sont configurables à partir de l’interface de ligne de commande (voir le chapitre
« firewall » du FortiGate CLI Reference).
Remarque : Pour permettre au boîtier FortiGate d’authentifier à partir d’un serveur Active
Directory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active
Directory Domain Controller. Le FSAE est disponible auprès du Support Technique Fortinet.
Pour que les utilisateurs puissent s’authentifier à partir d’autres services (par
exemple POP3 ou IMAP), créez un groupe de services qui comprend les services
pour lesquels une authentification est requise, de même que HTTP, Telnet et FTP.
Ainsi, les utilisateurs peuvent s’authentifier avec la règle via HTTP, Telnet ou FTP
avant d’utiliser un autre service.
Dans la plupart des cas, assurez-vous que les utilisateurs puissent utiliser DNS à
travers le pare-feu sans authentification. Si DNS n’est pas disponible, les
utilisateurs ne peuvent pas se connecter à un serveur web, FTP ou Telnet avec un
nom de domaine.
Remarque : Les règles qui nécessitent une authentification doivent être placées, dans la
liste, au-dessus des règles correspondantes qui n’en nécessitent pas. Sinon, la règle qui ne
nécessite pas d’authentification est choisie en premier.
L’option de priorité de trafic est disponible pour les règles ACCEPT, IPSEC et VPN
SSL, ainsi que pour tous les services supportés, y compris H.323, TCP, UDP,
ICMP et ESP. Elle sera disponible pour SIP dans les versions futures.
La bande passante utilisée pour le trafic contrôlé par une règle sert au contrôle et
aux sessions de données du trafic dans les deux directions. Par exemple, si la
bande passante garantie est appliquée à une règle FTP interne et externe,
lorsqu’un utilisateur d’un réseau interne utilise FTP pour placer et recevoir des
fichiers, les sessions de réception et d’envoi partagent la bande passante
disponible au trafic contrôler par cette règle.
La bande passante garantie et maximum disponible pour une règle est la bande
passante totale disponible pour tout le trafic contrôlé par cette règle. Si différents
utilisateurs commencent plusieurs sessions de communication avec la même
règle, toutes ces sessions de communication doivent se partager la bande
passante disponible pour cette règle.
Priorité du trafic
Fixer une priorité permet de gérer les priorités relatives des différents types de
trafic. Les trafics importants devraient avoir un haut niveau de priorité. Les trafics
moins importants devraient se voir attribuer un niveau plus bas de priorité.
Par exemple, vous pouvez ajouter des règles qui garantissent de la bande
passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une
haute priorité à la règle qui contrôle le trafic « voix » et une priorité medium à la
règle qui contrôle le trafic e-commerce. Aux heures de pointe, lorsque les deux
trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic
voice sera transmis avant le trafic e-commerce puisqu’il a la plus haute priorité.
Un exemple de priorité de trafic de base serait de définir une priorité pour certains
flux de trafic au détriment d’autres trafics qui ne seront alors pas pris en compte.
Si, par exemple, vous appliquez une limitation de la bande passante à certains
flux, vous devez accepter le fait que ces sessions peuvent être limitées.
La priorité de trafic appliquée à une règle pare-feu est renforcée pour le trafic qui
peut circuler dans chaque direction. Dès lors une session mise en place par un
hôte interne vers un hôte externe, via une règle Interne -> Externe, subira la
priorité de trafic appliquée même si le flot de données provient alors d’Externe ->
Interne. Ce sera par exemple le cas pour un fichier FTP « reçu » ou un serveur
SMTP se connectant à un serveur externe dans le but de récupérer des emails.
La priorité de trafic est efficace pour un trafic IP normal à des taux réguliers. Elle
n’est pas efficace durant des situations extrêmes de trafic dense alors que le trafic
dépasse la capacité du boîtier FortiGate. Les paquets doivent être reçus par le
boîtier FortiGate avant qu’ils soient sujets à la priorité de trafic. Si le boîtier
FortiGate n’arrive pas à traiter tout le trafic reçu, le risque de paquets abandonnés,
retardés ou latents augmente.
• Activer la priorité de trafic sur toutes les règles pare-feu. Si vous n’appliquez
une priorité de trafic qu’à une seule règle, cette dernière est définie par défaut
comme hautement prioritaire.
• Affectez à chaque règle pare-feu une des trois priorités (low, medium et high).
Remarque : Les tunnels IPSec en mode route (mode interface) ne sont pas configurés de la
même manière que les tunnels IPSec en mode tunnel : au lieu de définir une règle de
cryptage pare-feu (en mode tunnel « IPSEC ») qui permet les connexions VPN et le contrôle
du trafic IP à travers le tunnel, celui-ci lie un tunnel VPN en mode route à une interface
Pour plus d’informations, voir le chapitre « Définition d’une règle de cryptage pare-
feu » du Guide Utilisateur VPN IPSec FortiGate – FortiGate IPSec VPN User
Guide.
Remarque : L’option VPN SSL est disponible à partir de la liste Action après qu’un ou
plusieurs groupes d’utilisateurs aient été créés. Pour créer des comptes utilisateurs et des
groupes d’utilisateurs VPN SSL, voir « Configuration des options des groupes d’utilisateurs
VPN SSL » à la page 335.
Certificat Client SSL Autorise le trafic généré par des titulaires d’un certificat de
Restrictive groupe (partagé). Ces titulaires doivent être des membres d’un
groupe d’utilisateurs VPN SSL, et le nom de ce groupe doit
être présent dans le champ « Allowed », « Autorisé ».
Pour plus d’informations sur comment créer une règle de cryptage pare-feu pour
les utilisateurs VPN SSL, voir le chapitre « SSL VPN administration tasks » du
FortiGate SSL VPN User Guide.
Pour simplifier la création de règles, il est conseillé d’organiser les adresses ayant
un lien entre elles en groupes d’adresses.
Une adresse pare-feu peut être configurée avec un nom, une adresse IP et un
masque de réseau ou un nom et une plage d’adresses. Il peut également s’agir
d’un FQDN (Fully Qualified Domain Name).
Entrez une adresse IP et un masque de réseau en utilisant les formats suivants :
Vous pouvez ajouter des adresses à la liste et éditer des adresses existantes. Le
boîtier FortiGate est configuré avec l’adresse par défaut « All » qui représente
n’importe quelle adresse IP sur le réseau. Les adresses dans la liste sont triées par
type : IP/Masque, Plage IP et FQDN.
Attention : L’utilisation d’un FQDN dans une règle pare-feu peut, malgré sa
commodité, présenter des risques de sécurité. Soyez très prudents lors de
l’utilisation de cette fonction.
Sélectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage
d’adresses ou un FQDN.
Pour visualiser la liste des groupes d’adresses, sélectionnez Pare-feu > Adresse
> Groupe.
Remarque : Si un groupe d’adresses est compris dans une règle, il ne peut pas être
supprimer à moins qu’il soit d’abord retirer de la règle.
Vous pouvez ajouter un service personnalisé pour créer une règle pour un service
qui ne se trouve pas dans la liste des services prédéfinis.
Pour faciliter l’ajout de règles, vous pouvez créer des groupes de services et
ensuite ajouter une règle qui autorise ou bloque l’accès à tous les services d’un
groupe. Un groupe de service peut comprendre des services prédéfinis et
personnalisés. Un groupe de services ne peut pas être ajouté à un autre groupe de
services.
Pour visualiser la liste des groupes de services, sélectionnez Pare-feu > Service >
Groupe.
Vous pouvez créer une plage horaire ponctuelle qui active ou désactive une règle
pour une période de temps spécifiée. Par exemple, un pare-feu peut être configuré
avec une règle par défaut qui permet l’accès à tous les services Internet à tout
moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet
accès à Internet pendant une période de congé.
Pour visualiser la liste des plages horaires ponctuelles, sélectionnez Pare-feu >
Plage horaire > Ponctuelle.
Pour ajouter une plage horaire ponctuelle, sélectionnez Pare-feu > Plage horaire
> Ponctuelle.
Pour une plage horaire active tout au long de la journée, affectez 00 aux dates et
heures de départ et de fin. Les plages horaires ponctuelles utilisent une horloge de
24 heures (et non pas 12).
Vous pouvez créer une plage horaire récurrente qui active ou désactive une règle
à des moments de la journée ou lors de certains jours de la semaine spécifiés. Par
exemple, empêcher les jeux pendant les heures de travail en créant une plage
horaire récurrente.
Remarque : Une plage horaire récurrente avec une heure de fin qui a lieu avant l’heure de
début commence à l’heure de début et finit à l’heure de fin de la journée suivante. Cette
technique permet de créer des plages horaires qui passent du jour au lendemain. Pour créer
une plage horaire qui fonctionne 24 heures, affectez la même heure aux heures de début et
de fin.
Pour visualiser la liste des plages horaires récurrentes, sélectionnez Pare-feu >
Plage horaire > Récurrente.
Pour ajouter une plage horaire récurrente, sélectionnez Pare-feu > Plage horaire
> Récurrente.
Les plages horaires récurrentes utilisent une horloge de 24 heures (et non pas 12).
IP virtuelles
Les adresses IP virtuelles sont utilisées pour permettre des connexions à travers le
boîtier FortiGate en utilisant des règles pare-feu NAT (Network Address
Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au boîtier
FortiGate de répondre aux requêtes ARP sur le réseau pour un serveur installé sur
un autre réseau. Proxy ARP est défini par la RFC 1027.
Par exemple, vous pouvez ajouter une adresse IP virtuelle à une interface externe
FortiGate de manière à ce que cette interface puisse répondre aux requêtes de
connexion des utilisateurs en réalité connectés à un serveur du réseau DMZ ou du
réseau interne.
Les paquets envoyés par l’ordinateur client ont une adresse IP source
192.168.37.55 et une adresse IP de destination 192.168.37.4. Le boîtier FortiGate
reçoit ces paquets sur son interface externe. Les paramètres de l’adresse IP
Vous remarquerez que l’adresse de l’ordinateur client n’apparaît pas dans les
paquets reçus par le serveur. En effet, après que le boîtier FortiGate ait translaté
les adresses réseaux, il n’y a plus de référence faite au réseau de l’ordinateur
client. Le serveur n’a pas d’indication sur l’existence d’un autre réseau. Pour lui,
toutes les communications viennent directement du boîtier FortiGate.
L’adresse du serveur n’apparaît pas dans les paquets que le client reçoit. En effet,
après que le boîtier FortiGate ait translaté les adresses réseaux, il n’y a plus de
référence faite au réseau du serveur. Le client n’a pas d’indication sur l’existence
du réseau privé du serveur. Pour lui, le boîtier FortiGate est le serveur web.
Une adresse IP virtuelle peut être une seule adresse IP ou une plage d’adresses
IP limitée à une interface FortiGate. Lorsque vous faites correspondre une adresse
IP ou une plage d’adresses IP à une interface FortiGate fonctionnant avec une
adresse IP virtuelle, l’interface répond aux requêtes ARP pour l’adresse IP ou pour
la plage d’adresses IP correspondante.
Les plages d’adresses IP virtuelles peuvent être de presque n’importe quelle taille
et peuvent translater les adresses vers différents sous-réseaux. Les plages
d’adresses IP virtuelles ont les restrictions suivantes :
Vous pouvez créer cinq différents types d’adresses IP virtuelles, chacun pouvant
être utilisé pour une variation de DNAT.
Vous devez ajouter l’adresse IP virtuelle à une règle pare-feu NAT pour réellement
implémenter la translation configurée dans l’adresse IP virtuelle. Pour ajouter une
règle pare-feu qui translate des adresses sur un réseau externe vers un réseau
interne, vous ajoutez une règle pare-feu de l’externe vers l’interne et ajoutez
l’adresse IP virtuelle dans le champ de l’adresse de destination de la règle.
Par exemple, si l’ordinateur muni d’un serveur web est localisé sur le réseau
interne, il pourrait avoir une adresse IP privée telle que 10.10.10.42. Pour recevoir
des paquets d’Internet vers le serveur web, il doit y avoir une adresse externe du
serveur web sur Internet. Ajoutez une adresse IP virtuelle au pare-feu qui translate
l’adresse externe IP du serveur web sur Internet vers l’adresse actuelle du serveur
web du réseau interne. Pour autoriser des connexions d’Internet vers le serveur
Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de
manière à ce que lorsque des utilisateurs sur Internet tentent de se connecter à
l’adresse IP du serveur web, les paquets passent à travers le boîtier FortiGate de
l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate l’adresse de
destination de ces paquets de l’IP externe vers l’adresse IP du réseau DMZ du
serveur web.
Nom Port_fwd_NAT_VIP
Interface externe wan1
Type NAT statique
External IP L’adresse IP Internet du serveur web.
Address/Range L’adresse IP externe doit être une adresse IP statique obtenue
par votre FAI pour votre serveur web. Cette adresse doit
également être une adresse IP unique qui n’est pas utilisée
par un autre hôte et ne peut pas être la même que l’adresse IP
de l’interface externe que l’adresse IP virtuelle va utiliser.
Cependant, l’adresse IP externe doit être routée vers
l’interface sélectionnée. L’adresse IP virtuelle et l’adresse IP
externe peuvent être sur des sous-réseaux différents. Lorsque
vous ajoutez l’adresse IP virtuelle, l’interface externe répond
aux requêtes ARP pour l’adresse IP externe.
Map to IP/IP Range L’adresse IP du serveur sur le réseau interne. Puisqu’il n’y a
qu’une adresse IP, laissez le deuxième champ vide.
Port forwarding Sélectionné
Protocole TCP
Port externe Le port utilisé par le trafic provenant d’Internet. Pour un
serveur web, il s’agit généralement du port 80.
Illustration 137 : Options des adresses IP virtuelles : Relayage de port d’une adresse
IP virtuelle de translation à une seule adresse IP et un seul port
Ajout d’un relayage de port de translation à une plage d’adresses IP et une plage
de ports
Les ports 80 à 83 des adresses 192.168.37.4 à 192.168.37.7 sur Internet sont
translatées aux ports 8000 à 8003 des adresses 10.10.10.42 à 10.10.10.44 sur un
réseau privé. Les tentatives de communication vers 192.168.37.5, port 82
d’Internet par exemple, sont translatées et envoyées vers 10.10.10.43, port 8002
par le boîtier FortiGate. Les ordinateurs sur Internet n’ayant pas connaissance de
cette translation ne voient qu’un seul ordinateur au 192.168.37.5 au lieu d’un
boîtier FortiGate avec un réseau privé derrière.
Nom Port_fwd_NAT_VIP_port_range
Interface externe wan1
Type NAT statique
External IP L’adresse IP Internet du serveur web.
Address/Range Les adresses IP externes doivent être des adresses IP
statiques obtenues par votre FAI. Ces adresses doivent
également être uniques et inutilisées par un autre hôte et ne
peuvent pas être identiques à l’adresse IP de l’interface
externe que l’adresse IP virtuelle va utiliser. Cependant, les
adresses IP externes doivent être routées vers l’interface
sélectionnée. Les adresses IP virtuelles et l’adresse IP externe
peuvent être sur des sous-réseaux différents. Lorsque vous
ajoutez l’adresse IP virtuelle, l’interface externe répond aux
requêtes ARP pour les adresses IP externes.
Map to IP/IP Range Les adresses IP du serveur sur le réseau interne. Définissez la
plage en entrant la première adresse de cette plage dans le
premier champ et la dernière adresse dans le deuxième
champ.
Port forwarding Sélectionné
Protocole TCP
Port externe Les ports utilisés par le trafic provenant d’Internet. Pour un
serveur web, il s’agit généralement du port 80.
Port réel Les ports sur lesquels le serveur attend le trafic. Définissez la
plage en entrant le premier port de cette plage dans le premier
champ et le dernier port dans le deuxième champ. S’il n’y a
qu’un seul port, laissez le deuxième champ vide.
Illustration 142 : Exemple d’IP virtuelle relayage de ports équilibrage de charge à une
plage d’adresses IP et une plage de ports
Illustration 144 : Ajout d’une nouvelle translation d’IP virtuelle – le relayage de port
dynamique
Plages IP
Vous pouvez utiliser des plages IP pour ajouter des règles NAT qui translatent les
adresses sources en adresses sélectionnées arbitrairement dans la plage IP au
lieu d’être limité à l’adresse IP de l’interface de destination.
Une plage IP définit une adresse ou une plage d’adresses IP dont chacune répond
aux requêtes ARP sur l’interface à laquelle la plage IP est ajoutée.
Lors de la configuration d’une règle pare-feu, cochez la case Pool d’adresses pour
translater l’adresse source de paquets sortants en une adresse sélectionnée
arbitrairement dans la plage IP. Une liste de plages IP apparaît lorsque l’interface
de destination de la règle est la même que l’interface de plage IP.
Avec une plage IP ajoutée à l’interface interne, vous pouvez sélectionner une
plage IP dynamique pour les règles avec l’interface interne comme destination.
Une seule adresse IP est entrée normalement. Par exemple, 192.168.110.100 est
une adresse de plage IP valide. Si une plage d’adresses IP est nécessaire, entrez
l’un des formats suivants :
• x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120
• x.x.x.[x-x], par exemple 192.168.110.[100-120]
Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette
plage d’adresses à une plage IP pour l’interface externe. Sélectionnez ensuite Pool
d’adresses pour toutes les règles qui ont l’interface externe comme destination.
Pour chaque connexion, le pare-feu sélectionne dynamiquement une adresse IP
de la plage d’adresses qui servira d’adresse source à la connexion. Les
connexions vers Internet semblent alors provenir de n’importe quelle adresse IP de
la plage IP.
Pour visualiser la liste des plages IP, sélectionnez Pare-feu > IP virtuelle > Plage
IP.
• configurer une protection antivirus aux règles HTTP, FTP, IMAP, POP3, SMTP
et IM.
• configurer un filtrage de contenu web pour les règles HTTP.
• configurer un filtrage par catégorie du contenu web pour les règles HTTP.
• configurer un filtrage anti-spam pour les règles IMAP, POP3 et SMTP.
• activer l’IPS pour tous les services.
• configurer un archivage de contenu pour les règles HTTP, FTP, IMAP, POP3,
SMTP et IM.
• configurer un filtrage IM et un contrôle d’accès pour les messageries
instantanées AIM, ICQ, MSN et Yahoo.
• configurer un contrôle d’accès et de la bande passante P2P pour les clients
peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa, Skype et WinNY.
• configurer les profils de protection à journaliser.
Par exemple, alors que le trafic entre les adresses interne et externe nécessitent
probablement une protection stricte, le trafic entre des adresses internes de
confiance nécessitent quant à lui une protection modérée. Il est conseillé de
configurer des règles pour des services de trafics différents qui utiliseront des
profils de protection identiques ou différents.
Remarque : Un profil de protection ne peut pas être supprimé s’il est repris dans une règle
pare-feu ou compris dans un groupe d’utilisateurs.
Remarque : Si les fonctionnalités Virus Scan et File Block sont toutes deux activées, le
boîtier FortiGate bloque les fichiers correspondant aux types de fichiers activés avant de
procéder à une analyse antivirus.
Remarque : Les options NNTP ne peuvent pas être sélectionnées. Le support sera ajouté
dans une version ultérieure.
Les options antivirus suivantes sont disponibles dans les profils de protection.
Transmettre les mails Activez ou désactivez les emails fragmentés pour les
fragmentés protocoles de mail (IMAP, POP3, SMTP). Les mails
fragmentés ne peuvent pas subir une analyse virus.
Comfort Clients Activez ou désactivez cette option pour les trafics HTTP et
FTP. Cette option fournit le statut des fichiers mis en réserve
(buffer) pour téléchargement via HTTP ou FTP. Les utilisateurs
peuvent observer les pages web ou fichiers en cours de
téléchargement. Si désactivée, les utilisateurs n’ont aucune
indication quant à la mise en réserve du téléchargement et
peuvent annuler le transfert pensant qu’il a échoué.
Interval Le temps en secondes avant que l’option
Comfort Client démarre après que le
téléchargement ait commencé. Il s’agit
Les options de filtrage Web suivantes sont disponibles dans les profils de
protection.
Filtrage Web par Activez ou désactivez le blocage de pages web pour le trafic
mots clefs HTTP basé sur les critères de blocage de contenu dans la liste
de blocage de contenu.
Liste déroulante de blocage de contenu : Permet de
sélectionner une liste de blocage de contenu à utiliser avec ce
Fournir les détails pour les Affiche un message de remplacement pour les
erreurs bloquées HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si l’erreur est
(HTTP uniquement) autorisée, des sites malintentionnés peuvent utiliser
ces pages d’erreurs pour passer outre le blocage par
catégorie web.
Evaluer les images par URL Bloque les images qui ont été évaluées par
(les images bloquées seront FortiGuard. Les images bloquées sont remplacées
remplacées par des blancs) sur les pages web par des blancs.
(HTTP uniquement) Les types d’image qui sont évalués sont GIF, JPEG,
PNG, BMP et TIFF.
Autoriser les sites web lors Autorise les pages web qui renvoient une erreur
d’une erreur d’évaluation d’évaluation du service de filtrage web.
(HTTP uniquement)
Blocage strict Lorsque cette option est activée, l’accès au site web
Evaluer les URL par Lorsque cette option est activée, elle envoie l’URL et
domaines et adresses IP l’adresse IP du site requis pour contrôle, fournissant
ainsi une sécurité additionnelle contre les tentatives
de contournements du système FortiGuard.
Voir « Filtrage Web FortiGuard» à la page 378 pour plus d’options de configuration
du blocage de catégories.
Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté
dans une version ultérieure.
Les options de filtrage antispam suivantes sont disponibles dans les profils de
protection.
Return e-mail DNS check Activez ou désactivez cette option qui contrôle si le
domaine spécifié dans les champs Reply to
(Répondre à) et From Address (A partir de l’adresse)
possède un enregistrement DNS A ou MX.
Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en
fonction de leur en-tête MIME. Contrôlez les paramètres de votre mail client avant de définir
comment baliser les spams.
Les options suivantes sont disponibles pour l’IPS à travers le profil de protection.
Voir « Protection contre les intrusions » à la page 352 pour des options de
configuration IPS supplémentaires.
Remarque : Les options NNTP et d’archivage de fichiers ne peuvent pas être sélectionnés.
Un support sera ajouté dans une version ultérieure.
Options IM et P2P
Illustration 155 : Options IM et P2P pour un profil de protection
Les options suivantes d’archivage de contenu sont disponibles dans les profils de
protection.
Les changements apportés aux options des profils de protection IM, alors que des
utilisateurs sont connectés, ne prendront effet qu’à leur prochaine connexion.
Activer le blocage de connexion, par exemple, ne peut pas être utilisé pour
déconnecter les utilisateurs qui ont une connexion en cours.
Options de la journalisation
Illustration 156 : Options de connexion du profil de protection
Si les domaines virtuels sont activés sur le boîtier FortiGate, les profils de
protection doivent être ajoutés aux règles dans chaque domaine virtuel. Pour
accéder à une règle, sélectionnez un domaine virtuel dans le menu principal.
Une interface virtuelle IPSec est considérée comme active (up) lorsqu’elle peut
établir une connexion phase 1 avec un client ou paire VPN. Cependant, l’interface
virtuelle IPSec ne peut pas être utilisée pour envoyer du trafic tant qu’elle n’est pas
liée à une définition de tunnel phase 2.
Les liens des interfaces virtuelles IPSec sont affichés sur la page Système >
Réseau > Interface. Les noms de tous les tunnels liés aux interfaces physiques
sont affichés sous l’interface physique associée dans la colonne Nom. Pour plus
d’informations sur la page Interface, voir « Interface » à la page 61.
Après qu’une interface virtuelle IPSec ait été liée à un tunnel, le trafic peut être
routé vers l’interface utilisant des métriques spécifiques pour les routes statiques et
de règles. De plus, vous pouvez créer une règle pare-feu ayant l’interface virtuelle
IPSec comme interface source ou de destination.
Pour les flux en sortie, le boîtier FortiGate exécute une recherche de route pour
trouver l’interface à travers laquelle il doit transférer le trafic en vue d’atteindre le
routeur du prochain saut. Si la route trouvée passe par une interface virtuelle liée à
un tunnel VPN spécifique, le trafic est crypté et envoyé à travers le tunnel VPN.
Pour les flux en entrée, le boîtier FortiGate identifie un tunnel VPN en utilisant
l’adresse IP de destination et le SPI (Security Parameter Index) du datagramme
ESP pour identifier la SA (security association) de la phase 2 correspondante. Si
une SA correspondante est trouvée, le datagramme est décrypté et le trafic IP
associé est redirigé à travers l’interface virtuelle IPSec.
Auto Key
Deux paires VPN (ou un serveur dialup FortiGate et un client VPN) peuvent être
configurés pour générer des clés uniques IKE (Internet Key Exchange)
automatiquement durant les échanges IPSec en phases 1 et 2.
Pour configurer le boîtier FortiGate pour qu’il génère des clés uniques
automatiquement en phases 1 et 2, sélectionnez VPN > IPSEC > Auto Key (IKE).
Pour définir les paramètres de base de la phase 1 IPSec, sélectionnez VPN >
IPSEC > Auto Key (IKE) et cliquez sur Créer Phase 1.
Pour modifier les paramètres avancés de la phase 1 IPSec, sélectionnez VPN >
IPSEC > Auto Key (IKE), cliquez sur Créer Phase 1 et ensuite sur Avancé.
Pour configurer les paramètres de la phase 2, sélectionnez VPN > IPSEC > Auto
Key (IKE) et cliquez sur Créer Phase 2.
Activer l’option« Perfect Activer ou désactiver PFS. Cette option améliore la sécurité
forward secrecy » (PFS) en forçant un nouvel échange Diffie-Hellman à chaque fois
qu’une durée de vie d’une clé expire.
Groupe DH Sélectionnez un groupe Diffie-Hellman (1, 2 ou 5). Le paire
distant ou client dialup doit être configuré pour utiliser le même
groupe.
Durée de vie Sélectionnez la méthode pour déterminer quand la clé
Tunnel toujours actif de la phase 2 expire : Secondes, Koctets ou les deux. Si vous
sélectionnez les deux, la clé expire soit quand la période de
temps s’est écoulée, soit lorsque le nombre de Ko a été traité.
Les intervalles s’étendent de 120 à 172800 secondes ou de
5120 à 2147483648 Ko. Activez l’option tunnel toujours actif si
vous désirez que le tunnel reste actif lorsque aucune donnée
n’est traitée.
DHCP-IPSec Activez cette option si le boîtier FortiGate agit comme serveur
dialup et qu’un relais DHCP FortiGate sera utilisé pour affecter
des adresses VIP aux clients dialup FortiClient. N’activez pas
cette option sur les boîtiers FortiGate qui agissent comme
clients dialup. Les paramètres du relais DHCP doivent être
configurés séparément. Pour plus d’informations, voir
« Système > DHCP » à la page 99.
Si le boîtier FortiGate agit comme serveur dialup et vous
affectez manuellement les adresses VIP des clients dialup
FortiClient qui correspondent au réseau derrière le serveur
dialup, sélectionnez Activer pour que le boîtier FortiGate
agisse comme proxy pour ses clients dialup.
Ceci n’est disponible que pour les configurations phase 2 en
mode tunnel associées à une configuration phase 1 dialup.
Quick Mode Selector Facultativement, vous pouvez spécifier les adresses IP source
et de destination à utiliser comme sélecteurs pour des
négociations IKE. Si le boîtier FortiGate est un serveur dialup,
la valeur par défaut 0.0.0.0/0 devrait être maintenue à moins
qu’il soit nécessaire de contourner des problèmes causés par
des adresses IP ambiguës entre un ou plusieurs réseaux
privés constituant le VPN. Vous pouvez spécifier une seule
adresse IP hôte, une plage d’adresses IP ou une adresse
réseau. Vous pouvez en option spécifier les numéros de ports
source et de destination et/ou un numéro de protocole.
Si vous éditez une configuration de tunnel phase 2
existante, les champs Adresse Source et Adresse
Remarque : Vous pouvez permettre aux utilisateurs VPN de naviguer sur Internet à travers
le boîtier FortiGate. Pour ce faire, configurez une règle pare-feu IPSec supplémentaire avec
comme interface source et de destination l’interface publique FortiGate, l’adresse source all,
l’adresse de destination le réseau à distance et la translation en entrée activée. Pour plus
d’informations sur les règles pare-feu, voir « Configuration de règles pare-feu » à la page
232.
Clé Manuelle
Si nécessaire, vous pouvez définir manuellement des clés de cryptographie pour
l’établissement d’un tunnel VPN IPSec. Des clés manuelles peuvent être définies
dans les cas suivants :
• Une connaissance antérieure de la clé de cryptage et/ou d’authentification est
nécessaire (c’est-à-dire lorsque l’un des paires VPN requiert une clé spécifique
de cryptage et/ou d’authentification).
Remarque : Il y a toujours un risque dans la définition de clés manuelles car il faut compter
sur les administrateurs réseaux pour garder les clés confidentielles et la propagation
sécurisée de changements aux paires VPN à distance risque d’être difficile.
Chaque SPI identifie un SA (Security Association). La valeur est placée dans des
datagrammes ESP pour lier les datagrammes au SA. Lorsqu’un datagramme est
reçu, le destinataire se réfère au SPI pour déterminer quel SA s’applique au
datagramme. Un SPI doit être spécifié manuellement pour chaque SA. Etant donné
qu’un SA s’applique à la communication dans une seule direction, vous devez
spécifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les
communications bidirectionnelles entre deux équipements VPN.
Attention : Si vous n’êtes pas familier avec les règles de sécurité, SA, sélecteurs et bases
de données SA, ne tentez pas la procédure suivante sans assistance qualifiée.
Pour spécifier des clés manuelles pour la création d’un tunnel, sélectionnez VPN >
IPSEC > Clef Manuelle et cliquez sur Créer Nouveau.
Concentrateur
Dans une configuration « hub-and-spoke », les connexions à plusieurs paires
distants partent d’un seul boîtier FortiGate central. Les connexions site à site entre
les paires à distance n’existent pas ; cependant, des tunnels VPN entre deux des
paires à distance peuvent être établis à travers un hub FortiGate.
Dans un réseau « hub-and-spoke », tous les tunnels VPN se terminent au hub. Les
paires qui se connectent au hub sont connus sous le nom de « spokes ». Le hub
fonctionne comme un concentrateur sur le réseau, gérant toutes les connexions
VPN entre les « spokes ». Le trafic VPN passe d’un tunnel à un autre à travers le
hub.
Pour visualiser les tunnels actifs, sélectionnez VPN > IPSEC > Tunnels actifs.
La liste des tunnels dialup fournit des informations sur le statut des tunnels établis
pour les clients dialup. La liste reprend les adresses IP de clients dialup et les
noms de tous les tunnels actifs. Le nombre de tunnels affichés dans la liste se
modifie quand un client dialup se connecte ou se déconnecte.
Icône Flush dialup tunnels Permet d’arrêter tous les tunnels dialup et le trafic passant à
travers tous les tunnels dialup. Les utilisateurs dialup auront
peut-être à se reconnecter pour établir des nouvelles sessions
VPN.
Icône Page suivante et Affiche la page suivante et précédente de la liste des
Page précédente statuts des tunnels dialup.
Nom Les noms de tunnels configurés.
Passerelle distante Lorsqu’un client dialup FortiClient établit un tunnel, le champ
Passerelle Distante affiche soit l’adresse IP publique et le port
UDP de la machine de l’hôte distant (sur lequel l’application
FortiClient Host Security est installée), soit, dans le cas où un
serveur NAT existe à l’avant de l’hôte distant, l’adresse IP
publique et le port UDP de l’hôte distant.
Lorsqu’un client dialup FortiGate établit un tunnel, le champ
Passerelle Distante affiche l’adresse IP publique et le port UDP
du client dialup FortiGate.
Compte utilisateur L’ID du paire, le nom du certificat ou le nom utilisateur XAuth
du client dialup ( dans le cas où ces éléments ont été affectés
au client dialup dans le but d’une authentification).
Timeout La période de temps avant le prochain échange de clés de la
phase 2. Ce temps est calculé en soustrayant le temps passé
depuis le dernier échange de clés de la durée de vie de la clé.
Lorsque la clé de la phase 2 expire, une nouvelle clé est
générée sans interruption de service.
ID Proxy Source Les adresses IP des hôtes, serveurs ou réseaux privés situés
derrière le boîtier FortiGate. Une plage de réseau s’affiche si
l’adresse source de la règle pare-feu de chiffrement a été
exprimée sous forme de plage d’adresses IP.
Plage PPTP
Vous pouvez spécifier une plage d’adresses PPTP sur la page Plage PPTP. La
plage d’adresses PPTP est une plage d’adresses réservée aux clients PPTP
distants. Lorsqu’un client PPTP distant se connecte, le boîtier FortiGate affecte une
adresse IP d’une plage d’adresses IP réservées à l’interface PPTP du client. Le
client PPTP utilise l’adresse IP affectée comme adresse source pendant la durée
de la connexion.
Pour activer PPTP et spécifier la plage d’adresses PPTP, sélectionnez VPN >
PPTP > Plage PPTP, sélectionnez les options requises et cliquez ensuite sur
Appliquer.
Activer PPTP Avant de pouvoir sélectionner cette option, vous devez ajouter
un groupe d’utilisateurs. Voir « Groupe d’utilisateurs » à la
page 330.
IP début de plage Entrez l’adresse de départ de la plage d’adresses IP
réservées.
IP fin de plage Entrez l’adresse de fin de la plage d’adresses IP réservées.
Groupe Utilisateur Sélectionnez le nom du groupe d’utilisateurs PPTP que vous
avez défini.
Désactiver PPTP Désactive le support PPTP.
Configuration
La page Config comporte les paramètres de base VPN SSL y compris des valeurs
timeout et des préférences de cryptage SSL. Si nécessaire, vous pouvez
également activer l’utilisation de certificats digitaux pour l’authentification des
clients distants.
Remarque : Si nécessaire, vous pouvez activer le cryptage SSL version 2 (compatible avec
des navigateurs plus anciens) à partir de l’interface de ligne de commande. Pour plus
d’informations, voir « SSL Settings » dans le chapitre « VPN » du FortiGate CLI Reference.
Sélectionnez VPN > SSL > Config pour un affichage des paramètres de
configuration SSL en cours.
Nécessite une longueur Sélectionnez cette option pour le navigateur web d’un
de clé>=128bit(défaut) client distant capable de correspondre à une suite de
chiffres de 128 bits et plus.
Nécessite une longueur Si le navigateur web d’un client distant est capable
de clé>128bit(haute) de correspondre à un haut niveau de cryptage SSL,
sélectionnez cette option pour activer des suites de
chiffres utilisant plus de 128 bits pour crypter les données.
Nécessite une longueur Si vous n’êtes pas certain du niveau de cryptage SSL
de clé>=64bit(basse) que supporte le navigateur web du client distant,
sélectionnez cette option pour activer une suite de chiffres
de 64 bits et plus.
Idle Timeout Timeout d’inactivité : Entrez la période de temps (en
secondes) pendant laquelle la connexion peut rester
inactive avant de forcer l’utilisateur à se reconnecter.
L’intervalle varie entre 10 et 28800 secondes. Ce
paramètre s’applique à la session VPN SSL. La connexion
ne se coupe pas tant que des sessions d’application web
ou des tunnels sont activés.
Message du portail Facultativement, entrez le message personnalisé que
vous désirez voir apparaître sur le portail.
Avancé (Serveurs DNS et WINS)
Serveur DNS #1 Entrez jusqu’à deux Serveurs DNS fournis pour une
Serveur DNS #2 utilisation clients.
Serveur WINS #1 Entrez jusqu’à deux Serveurs WINS fournis pour une
Serveur WINS #2 utilisation clients.
Pour visualiser la liste des sessions actives VPN SSL, sélectionnez VPN > SSL >
Monitor.
Certificat locaux
Les requêtes de certificat et les certificats serveurs installés sont affichés dans la
liste des Certificats Locaux. Après avoir soumis une requête à une autorité de
certification (AC), cette dernière vérifie les informations et enregistre les
informations de contact sur un certificat digital qui contient un numéro de série, une
date d’expiration et la clé publique de l’autorité de certification. L’AC va ensuite
signer et vous envoyer le certificat à installer sur votre boîtier FortiGate.
Pour visualiser des requêtes de certificat et/ou importer des certificats de serveur
signés, sélectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les
détails du certificat, sélectionnez l’icône Voir les Détails du Certificat du certificat
concerné.
Pour des informations détaillées et des procédures pas à pas pour l’obtention et
l’installation des certificats digitaux, voir le FortiGate Certificate Management User
Guide.
Pour compléter une requête de certificat, sélectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Générer. Pour télécharger et transférer une
requête de certificat, voir « Téléchargement et soumission d’une requête de
certificat » à la page 318.
Pour installer le certificat serveur signé, sélectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Importer. Installez le certificat à partir de la boîte
de dialogue de téléchargement du certificat local en haut de la page. Le fichier du
certificat peut se trouver sous le format PEM ou DER. Les autres boîtes de
dialogue servent à importer des certificats exportés précédemment et leurs clés
privées.
Certifier avec un fichier clé Entrez le chemin complet et le nom du fichier du fichier
PKCS12 exporté précédemment.
Browse Alternativement, accédez au fichier PKCS12 sauvegardé sur
l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.
Mot de passe Entrez le mot de passe requis pour télécharger le fichier
PKCS12.
Certificats CA
Lorsque vous appliquez pour un certificat personnel (administratif) ou de groupe à
installer sur des clients distants, vous devez obtenir le certificat racine
correspondant et la liste de révocation (CRL) de votre autorité de certification.
Les certificats CA installés sont affichés dans la liste de Certificats CA. Pour
visualiser des certificats racines AC installés ou pour en importer,sélectionnez VPN
Pour des informations détaillées et des procédures pas à pas pour l’obtention et
l’installation de certificats digitaux, se référer au FortiGate Certificate Management
User Guide.
Pour importer un certificat racine CA, sélectionnez VPN > Certificats > Certificats
CA et cliquez sur Importer.
CRL
Une liste de Révocation de Certificat (CRL) est une liste de souscripteurs de
certificat CA et des informations sur le statut du certificat. Les CRL installés sont
affichés dans la liste CRL. Le boîtier FortiGate utilise des CRL pour s’assurer de la
validité des certificats appartenant à des AC et à des clients distants.
Pour visualiser des CRL installés ou un CRL importé/mis à jour, sélectionnez VPN
> Certificats > CRL.
Pour importer une liste de révocation de certificat, sélectionnez VPN > Certificats
> CRL et cliquez sur Importer.
Le système affecte un nom unique à chaque CRL. Les noms sont numérotés
consécutivement (CRL_1, CRL_2, CRL_3, etc.).
Serveurs RADIUS
Si vous avez configuré un support RADIUS et qu’un utilisateur doit s’authentifier à
l’aide d’un serveur RADIUS, le boîtier FortiGate contacte ce serveur pour
authentification. Sélectionnez Utilisateur > RADIUS pour configurer les serveurs
RADIUS.
Le port par défaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS
utilise le port 1645, vous pouvez modifier le port RADIUS par défaut à partir de
l’interface de ligne de commande. Pour plus d’informations,voir la commande
config system global dans le FortiGate CLI Reference.
Le support FortiGate LDAP ne couvre pas les fonctionnalités « privées », telle que
la notification de la date d’expiration d’un mot de passe, qui est parfois disponible
sur certains serveurs LDAP.
Le support FortiGate LDAP ne fournit pas d’informations à l’utilisateur sur les
raisons de l’échec de l’authentification.
Serveurs Windows AD
Sur les réseaux utilisant des serveurs Windows Active Directory (AD) pour
l’authentification, les boîtiers FortiGate peuvent authentifier les utilisateurs de
manière transparente, sans avoir à leur demander leur compte utilisateur et mot de
passe. Vous devez pour cela installer le Fortinet Server Authentication Extensions
(FSAE) sur le réseau et configurer le boîtier FortiGate pour retrouver les
informations du serveur Windows AD. Pour plus d’informations sur le FSAE, voir la
FSAE Technical Note.
Vous pouvez configurer les groupes d’utilisateurs pour fournir un accès authentifié
à:
• des règles pare-feu qui requièrent une authentification
Voir « Ajout d’une authentification aux règles pare-feu » à la page 238.
• des VPN SSL sur le boîtier FortiGate
Voir « Options des règles pare-feu VPN SSL » à la page 243.
• des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup.
Voir « Création d’une nouvelle configuration phase 1 » à la page 296.
• de XAuth pour les configurations Phase 1 VNP IPSec
Voir XAUTH dans « Définition des paramètres avancés de la phase 1 » à la
page 299.
• de la configuration PPTP FortiGate
Voir « Plage PPTP » à la page 312.
• de la configuration L2TP FortiGate
Configurable uniquement à partir de la commande CLI config vpn 12tp.
Voir le FortiGate CLI Reference.
• d’une connexion administrateur via une authentification RADIUS
Voir « Configuration d’une authentification RADIUS des administrateurs » à la
page 169.
• des groupes override du Filtrage Web FortiGuard
Voir « Filtrage Web FortiGuard » à la page 378.
Un groupe d’utilisateurs pare-feu peut être utilisé pour fournir des privilèges
d’override pour le filtrage web FortiGuard. Voir « Configuration des options override
FortiGuard pour un groupe d’utilisateurs » à la page 334. Pour des informations
détaillées sur FortiGuard Web Filter, voir « Filtrage Web FortiGuard » à la page
378.
Un groupe d’utilisateurs Active Directory fournit un accès à une règle pare-feu qui
requiert une authentification de type Active Directory et comprend le groupe
d’utilisateurs parmi les groupes autorisés. Les membres du groupe d’utilisateurs
sont des groupes Active Directory que vous sélectionnez dans une liste que le
boîtier FortiGate reçoit des serveurs Windows AD que vous avez configurés. Voir
« Serveurs Windows AD » à la page 328.
Un groupe d’utilisateurs VPN SSL peut également fournir un accès aux utilisateurs
dialup VPN IPSec. Dans ce cas, la configuration phase 1 VPN IPSec utilise
l’identifiant du paire à accepter configuré dans l’option du groupe de paires. Le
client VPN de l’utilisateur est configuré avec comme compte utilisateur l’IP du paire
et comme mot de passe, la clé partagée. L’utilisateur arrive à se connecter au VPN
IPSec uniquement si le compte utilisateur est membre d’un groupe d’utilisateurs
autorisé et que le mot de passe corresponde à un mot de passe stocké sur le
boîtier FortiGate. Un groupe d’utilisateurs ne peut pas être un groupe dialup si l’un
des membres est authentifié à partir d’un serveur RADIUS ou LDAP. Pour plus
d’informations, voir « Création d‘une nouvelle configuration phase 1 » à la page
296.
Remarque : Si vous tentez d’ajouter des serveurs LDAP ou des utilisateurs locaux à un
groupe configuré pour une authentification d’administrateurs, un message d’erreur s’affiche.
Pour des instructions détaillées sur la configuration en mode web et mode tunnel,
voir le FortiGate SSL VPN User Guide.
Activer Web Application Activez le portail web pour fournir un accès aux application
web. Ceci n’est pas disponible en mode Transparent.
Activer Cache Clean Enlève tous les fichiers temporaires Internet créés sur
l’ordinateur client entre la connexion et la déconnexion. Ceci
s’effectue grâce à un contrôle ActiveX téléchargé et fonctionne
uniquement avec Internet Explorer sur Windows 2000 et
Windows XP.
• Antivirus
• Modèles de Fichier
• Mise en Quarantaine
• Configuration
• Configuration de l’Antivirus à partir de l’interface de ligne de commande
Antivirus
Le traitement Antivirus comprend des modules et des appliances variés exécutant
des tâches séparées. Le boîtier FortiGate procède aux traitements antivirus dans
l’ordre d’apparition des fonctionnalités dans le menu de l’interface d’administration
web : modèle de fichier, analyse antivirus, et grayware, suivis par heuristique,
configurable uniquement à partir de l’interface de ligne de commande.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Alors que des paramètres antivirus sont configurés pour une utilisation globale, des
paramètres spécifiques peuvent être implémentés pour chaque profil. Le tableau
34 compare les options antivirus des profils de protection et les paramètres du
menu antivirus.
Modèles de Fichier
La configuration de modèles de fichier (File Pattern) permet de bloquer tous les
fichiers potentiellement menaçants et empêcher les attaques et virus. Les fichiers
peuvent être bloqués sur base du nom, de l’extension ou tout autre caractéristique.
Le blocage de modèles de nom de fichier offre la flexibilité de bloquer des
contenus potentiellement dangereux.
Remarque : Les entrées de modèles de fichier ne sont pas sensibles à la casse des
caractères (lettre majuscule/minuscule). Par exemple, ajouter *.exe à une liste de modèles
de fichier entraîne un blocage de tous les fichiers se terminant par .EXE.
Si File Pattern et Virus Scan sont tout deux activés, le boîtier FortiGate bloque les
fichiers correspondants aux modèles de fichier activés et ne procède pas à une
analyse des virus.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Remarque : Le catalogue des listes de Modèles de Fichier par défaut s’appelle builtin-
patterns.
Sélectionnez les listes de modèles de fichier dans les profils de protection. Pour
plus d’informations, voir « Options Antivirus » à la page 282.
Illustration 195 : Liste des modèles de fichier par défaut pour les modèles FortiGate-
500 et moins
Pour visualiser la liste des modèles de fichier sur les modèles FortiGate-800 et
plus, sélectionnez Antivirus > File Pattern et cliquez sur l’icône Editer de la liste à
visualiser.
Sur les modèles FortiGate-500 et moins, la liste des modèles de fichier est
préconfigurée avec les modèles par défaut suivants :
Les modèles de fichier sont activés dans les profils de protection. Pour plus
d’information, voir « Options Antivirus » à la page 282.
Pour ajouter un nouveau modèle de fichier, cliquez sur Créer Nouveau. Pour éditer
un modèle de fichier existant, cliquez sur l’icône Editer associée au modèle.
Mise en Quarantaine
Les boîtiers FortiGate munis d’un disque local peuvent placer en quarantaine des
fichiers bloqués ou infectés. Vous pouvez visualiser le nom du fichier et ses statuts
dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des
fichiers spécifiques et d’ajouter des modèles de fichier à la liste de soumission
automatique pour un téléchargement automatique vers Fortinet pour analyse.
Les boîtiers FortiGate non munis d’un disque local peuvent placer en quarantaine
des fichiers bloqués ou infectés sur un boîtier FortiAnalyzer. Les fichiers stockés
sur un FortiAnalyzer peuvent êtres récupérés pour visualisation. Pour configurer un
boîtier FortiAnalyzer, sélectionnez Journaux/Alertes > Configuration >
Configuration du Journal.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Pour visualiser la liste des Fichiers mis en quarantaine, sélectionnez Antivirus >
Mise en Quarantaine > Fichiers en quarantaine.
Remarque : Les duplicatas de fichiers (basés sur la somme de vérification) ne sont pas
stockés, seulement comptés. La valeur TTL et le comptage de duplicata sont mis à jour à
chaque fois qu’un fichier est trouvé.
Cette option est disponible uniquement sur les boîtiers FortiGate munis d’un disque
local.
Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté
dans l’avenir.
Âge limite Le temps limite en heures pendant lequel les fichiers sont
maintenus en quarantaine. Cette limite est utilisée pour
formuler la valeur dans le colonne TTL de la liste des fichiers
mis en quarantaine. Lorsque la limite est atteinte, la colonne
TTL affiche EXP. et le fichier est supprimé (bien qu’un
enregistrement est maintenu dans la liste des fichiers mis en
Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Une
quarantaine taille maximum trop haute pourrait impacter la performance.
Espace disque faible Sélectionnez l’action à prendre lorsque le disque local est
complet : Ecraser les plus vieux fichiers ou Ne pas mettre en
quarantaine les nouveaux fichiers.
FortiAnalyzer Sélectionnez pour activer le stockage des fichiers bloqués ou
en quarantaine sur un boîtier FortiAnalyzer. Voir
« Journaux/Alertes » à la page 409 pour plus d’informations
sur la configuration d’un boîtier FortiAnalyzer.
Activer le téléchargement Active la fonctionnalité de soumission automatique.
automatique Sélectionnez une ou les deux options ci-dessous :
Utiliser les filtres de nom : Active le téléchargement
automatique des fichiers correspondants aux modèles de
fichier dans la liste de soumission automatique.
Utiliser le statut des fichiers : Active le téléchargement
automatique de fichiers en quarantaine selon leur statut.
Sélectionnez soit Heuristique, soit Nom filtré.
Heuristique est configurable à partir de l’interface de ligne de
commande uniquement. Voir « Configuration de l’Antivirus à
partir de l’interface de ligne de commande » à la page 350.
Appliquer Enregistre la configuration.
Configuration
La page Config affiche une liste des virus actuels bloqués par le boîtier FortiGate. Il
est également possible de configurer des limites de tailles de fichiers et de mails,
et de bloquer des graywares.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
La liste FortiGuard des définitions de virus est mise à jour à chaque réception
d’une nouvelle version FortiGuard des définitions AV par le boîtier FortiGate.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Pour visualiser la liste Grayware, sélectionnez Antivirus > Config > Grayware.
Pour plus d’informations, voir l’article Antivirus failopen and optimization sur le site
de la Base de Connaissance Fortinet.
L’engin heuristique est activé par défaut pour laisser passer les fichiers suspects
vers le destinataire et envoyer une copie en quarantaine. Une fois configurée dans
l’interface de ligne de commande, l’analyse heuristique est activée dans un profil
de protection lorsque le Virus Scan est activé.
L’IPS FortiGate correspond au trafic réseau contre les modèles contenus dans les
signatures IPS. La fiabilité de ces signatures protège votre réseau des attaques
connues. L’infrastructure du FortiGuard de Fortinet assure une identification rapide
des nouvelles menaces et le développement de nouvelles signatures IPS.
Vous pouvez créer des signatures IPS personnalisées que le boîtier FortiGate
utilisera en plus de sa vaste liste de signatures IPS prédéfinies. A chaque détection
ou empêchement d’une attaque, un message d’attaque est généré. Vous pouvez
configurer le boîtier FortiGate pour qu’il ajoute le message au Journal des Attaques
et envoie un mail d’alerte aux administrateurs. Définissez alors à quel intervalle le
boîtier FortiGate doit envoyer un mail d’alerte. Vous pouvez réduire le nombre de
messages journalisés et d’alertes en désactivant les signatures pour les attaques
auxquelles le système n’est pas vulnérable, par exemple, les attaques web en
l’absence de fonctionnement du serveur web.
Pour plus d’informations sur la journalisation et les mails d’alertes FortiGate, voir
« Journaux/Alertes » à la page 409.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Le tableau 35 décrit les paramètres IPS et comment y accéder pour les configurer.
Pour accéder aux options IPS des profils de protection, sélectionnez Pare-feu >
Profil de protection, cliquez sur Editer ou Créer Nouveau et sélectionnez IPS.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Signatures personnalisées
Les signatures personnalisée offrent le pouvoir et la flexibilité de personnaliser
l’IPS FortiGate pour des environnements réseaux divers. Les signatures
prédéfinies FortiGate couvrent les attaques les plus courantes. Si une application
inhabituelle ou spécialisée ou encore une plateforme peu commune est utilisée,
vous pouvez ajouter des signatures personnalisées en fonction des alertes de
sécurité publiées par les vendeurs de l’application ou de la plateforme.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Voir les signatures Sélectionnez les filtres et cliquez ensuite sur Go pour
personnalisées avec la sévérité visualiser les signatures personnalisées qui
correspondent à ces critères. Les différents critères sont
<+, =, >= pour Tout, Information, Low, Medium, High ou
Critical.
Icône Réinitialiser aux valeurs Réinitialise les paramètres par défaut à toutes les
par défaut ? signatures personnalisées.
Nom des signatures Le nom des signatures.
Activer L’état de chaque signature personnalisée. Une case
cochée signifie que la signature est activée.
Journaliser Le statut de la journalisation pour chaque signature
personnalisée. Une case cochée signifie que la
journalisation est activée pour cette signature.
Action L’action établie pour chacune des signatures
personnalisées. Les différentes actions sont : Laisser
passer, Rejeter, Réinitialiser, Réinitialiser côté client,
Réinitialiser côté serveur, Rejeter tous les paquets de la
session, Laisser passer la session et Supprimer la
session. Si la journalisation est activée, l’action apparaît
dans le champ Etat du message journalisé généré par
la signature. Voir le tableau 36 pour une description des
actions.
Sévérité Le niveau de sévérité pour chaque signature
personnalisée. Les différents niveaux de sévérité sont :
Information, Low, Medium, High, Critical. Le niveau de
sévérité est défini pour les signatures individuelles.
Icône Supprimer Permet de supprimer une signature personnalisée.
Icône Editer Permet d’éditer les informations suivantes : Nom,
Signature, Action, Packet Log et Sévérité.
Lors de l’ajout de la signature, définissez l’action sur Rejeter tous les paquets de la
session.
Décodeurs de protocoles
L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic réseau qui
tente d’exploiter des failles connues.
La liste de détection des anomalies des protocoles peut uniquement être mise à
jour lors de la mise à jour de l’image logicielle boîtier FortiGate.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas être désactivés. Les
fonctions IM et P2P ont besoin de ces décodeurs pour fonctionner. Cependant, le décodeur
individuel peut être désactivé.
Voir les protocol decoders Sélectionnez les filtres et cliquez ensuite sur OK pour
avec la sévérité visualiser les seuls décodeurs qui correspondent aux critères
des filtres. Les différents filtres sont <=, =, >= pour Tous,
Information, Low, Medium, High ou Critical.
Nom Le nom du décodeur de protocole.
Activer L’état du décodeur de protocole. Une case cochée signifie que
la signature du décodeur est activée.
Journaliser Le statut de la journalisation pour chaque décodeur de
protocole. Une case cochée signifie que la journalisation est
activée pour le décodeur.
Les groupes de décodeurs utilisent un indicateur graphique
pour le statut de la signature dans le groupe. Un cercle vert
signifie que toutes les signatures du groupe sont activées. Un
cercle gris indique qu’aucune signature du groupe n’a été
activée. Un cercle mi-vert, mi-gris signifie que certaines
signatures sont activées et d’autres pas.
Action L’action définie pour chaque décodeur de protocoles : Laisser
passer, Rejeter, Réinitialiser, Réinitialiser côté client,
Réinitialiser côté serveur, Rejeter tous les paquets de la
session, Laisser passer la session et Supprimer la session. Si
la journalisation est activée, l’action apparaît dans le champ
statut du message journalisé généré par le décodeur. Voir le
tableau 36 pour une description des actions.
Sévérité Le niveau de sévérité pour chaque anomalie de protocole. Les
différents niveaux de sévérité sont : Information, Low, Medium,
High, Critical. Le niveau de sévérité est défini pour les
décodeurs individuels.
Icône Configurer Permet d’éditer les attributs du groupe de décodeurs de
protocoles.
Icône Réinitialiser Cette icône s’affiche uniquement lorsqu’un décodeur a été
modifié. Utilisez cette icône pour restaurer les valeurs initiales
des paramètres recommandés.
Pour configurer les anomalies de trafic IPS, sélectionnez Intrusion Protection >
Signature > Protocol Decoder.
Anomalies
L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic réseau ne
correspondant pas aux modèles de trafic connu ou prédéfini.
L’IPS FortiGate identifie quatre types d’anomalies statistiques pour les protocoles
TCP, UDP et ICMP.
Remarque : Il est important de connaître le trafic réseau normal et attendu avant de modifier
les seuils d’anomalie par défaut. Etablir un seuil trop bas pourrait causer des faux positifs, et
à l’inverse, établir un seuil trop élevé pourrait laisser passer des attaques.
Pour configurer un contrôle de la session basé sur les adresses réseau source et
de destination, utilisez les commandes CLI.
La mise à jour de la liste de détection des anomalies de trafic a lieu lors de la mise
à jour de l’image logicielle sur le boîtier FortiGate.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal.
Voir les anomalies de Sélectionnez les filtres et cliquez ensuite sur Go pour afficher
trafic avec la sévérité les anomalies qui correspondent aux critères des filtres : Les
critères sont <=, =, >= pour Tous, Information, Low, Medium,
High, Critical.
Nom Le nom de l’anomalie de trafic.
Activer L’état de l’anomalie de trafic. Une case cochée signifie que la
signature de l’anomalie est activée.
Journaliser L’état de la journalisation pour chaque anomalie de trafic. Une
case cochée signifie que la journalisation de l’anomalie est
activée.
Pour configurer les anomalies de trafic IPS, sélectionnez Intrusion Protection >
Anomaly.
Filtrage Web
Le filtrage web comprend des modules variés qui exécutent des tâches séparées.
Le boîtier FortiGate effectue le filtrage web dans l’ordre d’apparition des filtres dans
le menu de l’interface d’administration web : filtrage par mots-clés, filtre URL et
filtrage par catégorie (FortiGuard-Web). Le filtrage des scripts est effectué en
dernier.
Les tableaux suivants comparent les options de filtrage web dans les profils de
protection et le menu du filtrage web.
Tableau 37 : Filtrage Web et configuration du filtrage par mots-clés à partir des profils
de protection
Options de filtrage web des profils de Paramètres du Filtrage
protection Web
Filtrage par mots-clés Filtrage Web > Filtrage par mots-clés
Activer ou désactiver le blocage de page Ajouter des mots et caractéristiques pour
web en fonction de mots-clés ou bloquer les pages web contenant ces mots
caractéristiques interdits dans la liste de ou caractéristiques.
filtrage par mots-clés pour le trafic HTTP.
Pour accéder aux options de filtrage web des profils de protection, sélectionnez
Pare-feu > Profil de protection, cliquez sur Editer ou Créer Nouveau et
sélectionnez Filtrage Web ou Filtrage par Catégorie Web.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités de filtrage web sont configurées globalement. Pour accéder à ces
fonctionnalités, sélectionnez Configuration Globale dans le menu principal.
Remarque : Les expressions régulières en Perl sont sensibles à la casse des caractères
pour le filtrage par mots-clés. Pour modifier cela et rendre le mot ou la phrase insensible à la
casse des caractères, utilisez l’expression /i. Par exemple, /bad language/i bloque
tous les cas de bad language sans tenir compte de la casse. Les méta-caractères
(wildcards) ne sont pas sensibles à la casse des caractères.
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
sélectionnez Ajouter. Les nouvelles listes sont vides par
défaut.
Nom Les listes de filtrage par mots-clés disponibles.
# d’entrées Le nombre de mots-clés dans chaque liste.
Profils Le profil de protection auquel s’applique chacune des listes.
Commentaire Description facultative de chaque liste de filtrage par mots-
clés.
Icône Supprimer Sélectionnez pour retirer la liste du catalogue. Cette icône est
disponible si la liste n’est pas reprise dans un profil de
protection.
Icône Editer Sélectionnez pour éditer une liste, un nom de liste ou un
commentaire.
Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour
plus d’informations, voir « Options du Filtrage Web » à la page 283.
Pour visualiser la liste de blocage du contenu Web sur les modèles 500 et moins,
sélectionnez Filtrage Web > Filtrage par mots-clefs.
Illustration 218 : Echantillon d’une liste de blocage de contenu Web pour les
FortiGate-500 et moins
Pour visualiser la liste de blocage du contenu Web sur les modèles 800 et plus,
sélectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur l’icône Editer
d’une liste que vous voulez visualiser.
Remarque : Activer Filtrage Web > Web Content Block dans un profil de protection pare-feu
pour activer les paramètres de blocage de contenu.
Illustration 221 : Echantillon d’un catalogue de liste d’exemption des contenus Web
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
sélectionnez Ajouter. Les nouvelles listes sont vides par
défaut.
Nom Les listes d’exemption des contenus Web disponibles.
# d’entrées Le nombre de modèles de contenu dans chaque liste de
blocage de contenu web.
Sélectionnez les listes d’exemption des contenus Web dans les profils de
protection. Pour plus d’informations, voir « Options de filtrage web » à la page 283.
Création d’une nouvelle liste d’exemption des contenus Web (modèles FortiGate-
800 et plus)
Pour ajouter une liste d’exemption des contenus Web au catalogue, sélectionnez
Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur
Créer Nouveau.
Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate-
500 et moins, sélectionnez Filtrage Web > Blocage par mots-clefs > Web
Content Exempt.
Illustration 223 : Echantillon d’une liste d’exemption des contenus Web pour les
modèles FortiGate-500 et moins
Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate-
800 et plus, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content
Exempt et cliquez sur l’icône Editer de la liste à visualiser.
Remarque : Pour activer les paramètres des contenus exemptés, activez Filtrage Web >
Web Content Exempt dans un profil de protection pare-feu.
Filtre URL
Vous pouvez autoriser ou bloquer l’accès à certaines URL en les ajoutant à la liste
de filtre URL. Cela se fait par l’ajout de modèles utilisant du texte et des
expressions régulières (ou des méta-caractères). Le boîtier FortiGate autorise ou
bloque les pages web correspondantes aux URL ou modèles spécifiés et affiche
un message de remplacement à la place de la page.
Remarque : Pour activer les paramètres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.
Remarque : Le blocage d’URL n’empêche pas l’accès aux autres services que les
utilisateurs ont sur leur navigateur web. Par exemple, le blocage d’URL ne bloque pas
l’accès à ftp://ftp.exemple.com. A la place, utilisez des règles pare-feu pour bloquer les
connexions FTP.
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont par défaut vide.
Nom Les listes de filtres URL disponibles.
# d’entrées Le nombre de modèles URL dans chaque liste de filtres URL.
Profils Les profils de protection auxquels s’applique la liste.
Commentaire Description facultative pour chaque liste de filtres URL.
Icône Supprimer Permet de supprimer une liste de filtres URL d’un catalogue.
Cette icône s’affiche si la liste n’est pas reprise dans un profil
de protection.
Icône Editer Permet d’éditer une liste de filtres URL, le nom de la liste ou le
commentaire.
Sélectionnez Listes de filtres URL (URL filter lists) dans les profils de protection.
Pour plus d’informations, voir « Options de filtrage web » à la page 283.
Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, sélectionnez
Filtrage Web > URL Filter et cliquez sur l’icône Editer de la liste à visualiser.
Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, « com »)
pour bloquer l’accès à toutes les URL comprenant ce suffixe.
Pour ajouter une URL à la liste de filtres URL, sélectionnez Filtrage URL > URL
Filter.
Entrez une URL ou une adresse IP de haut niveau pour contrôler l’accès à toutes
les pages d’un site web. Par exemple, www.exemple.com ou 192.168.144.155
contrôle l’accès à toutes les pages de ce site web.
Entrez une URL de haut niveau suivie d’un chemin et d’un nom de fichier pour
contrôler l’accès à une seule page d’un site web. Par exemple,
www.exemple.com/news.html ou 192.168.144.155/news.html contrôle
l’accès à la page News de ce site.
Pour contrôler l’accès à toutes les pages dont l’URL se termine par exemple.com,
ajoutez exemple.com à la liste de filtres. Par exemple, l’ajout de exemple.com
contrôle l’accès à www.exemple.com, mail.exemple.com,
www.finance.exemple.com, etc.
Remarque : Les URL dont l’action est définie sur Exempter ne sont pas soumises
à l’analyse de virus. Si les utilisateurs du réseau téléchargent des fichiers
provenant de sites web de confiance, ajoutez l’URL de ce site à la liste de filtres
URL avec l’action définie sur Exempter pour que le boîtier FortiGate ne procède
pas à l’analyse de virus de ces fichiers.
Remarque : Pour activer les paramètres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.
Pour déplacer une URL dans la liste, sélectionnez l’icône Déplacer à droite de
l’URL à déplacer.
Lorsqu’un utilisateur tente d’accéder à un site bloqué alors que l’override est
activé, un lien vers une page d’authentification apparaît sur la page bloquée.
L’utilisateur doit fournir un nom d’utilisateur et un mot de passe corrects sans quoi
le site web reste bloqué. L’authentification est basée sur des groupes utilisateurs et
peut être effectuée pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus
d’informations sur l’authentification et la configuration de groupes utilisateurs, voir
« Groupe d’utilisateurs » à la page 330.
Pour visualiser la liste d’override, aussi appelée liste des règles d’ignorance,
sélectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Pour créer une évaluation locale, sélectionnez Filtrage Web > FortiGuard-Web
Filter > Local Ratings.
Remarque : Les rapports du filtrage FortiGuard-Web ne sont disponibles que sur les
FortiGate munis d’un disque dur.
Antispam
L’Antispam gère les mails commerciaux non sollicités en détectant les messages
mails spam et identifiant les transmissions spam provenant de serveurs spam
connus ou suspectés. Les filtres spams sont configurés pour une utilisation au
niveau du système, mais sont activés sur base des profils.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les
fonctionnalités de filtrage antispam sont configurées globalement. Pour accéder à ces
fonctionnalités, sélectionnez Configuration Globale dans le menu principal.
Mots bannis
Il vous est possible de contrôler les mails spam contenant des mots ou
expressions spécifiques. Lorsque cette option est activée dans le profil de
protection, le boîtier FortiGate recherche ces mots et expressions dans les mails.
Si des correspondances sont trouvées, les valeurs affectées aux mots sont
totalisées. Si une valeur de seuil définie pour un utilisateur est dépassée, le mail
est marqué comme spam. Si aucune correspondance n’est trouvée, le mail passe
jusqu’au prochain filtre.
Pour ajouter des mots et expressions bannis dans la liste, utilisez des expressions
régulières en Perl ou des méta-caractères.
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont vides par défaut.
Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour
plus d’informations, voir « Options du filtrage antispam » à la page 286.
Illustration 241 : Boîte de dialogue d’une nouvelle liste de mots bannis antispam
Pour visualiser la liste des mots bannis sur les modèles FortiGate-500 et moins,
sélectionnez Anti-spam > Mots Clefs.
Illustration 242 : Echantillon d’une liste de mots bannis pour les modèles FortiGate-
500 et moins
Illustration 243 : Echantillon d’une liste de mots bannis pour les modèles FortiGate-
800 et plus
Dans le cas d’un mot simple, le boîtier FortiGate bloque tous les mails contenant
ce mot. Dans le cas d’une phrase, le boîtier FortiGate bloque tous les mails
contenant la phrase exacte. Pour entraîner le blocage à chaque apparition d’un
mot de la phrase, utilisez les expressions régulières en Perl.
Pour ajouter ou éditer un mot banni, sélectionnez Anti-spam > Mots Clefs.
Lors d’une vérification à partir d’une liste d’adresses mails, le boîtier FortiGate
compare successivement l’adresse mail de l’émetteur du message à sa liste
d’adresses mails. Lorsqu’une correspondance est trouvée, l’action associée avec
l’adresse mail est enclenchée. Dans le cas où aucun correspondance n’a été
trouvée, le mail est envoyé vers le prochain filtre antispam activé.
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides.
Nom Les listes d’adresses IP antispam disponibles.
# d’entrées Le nombre d’entrées dans chaque liste.
Profils Les profils de protection appliqués à chaque liste.
Commentaire Description facultative de chaque liste.
Icône Supprimer Permet de supprimer une liste du catalogue. Cette icône est
disponible si la liste n’est pas reprise dans un profil de
protection.
Icône Editer Permet d’éditer les informations suivantes : la liste, le nom de
la liste ou le commentaire.
Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour
plus d’informations, voir « Options du filtrage antispam » à la page 286.
Illustration 247 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-500
et moins
Illustration 248 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-800
et plus
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides.
Nom Les listes d’adresses mail antispam disponibles.
# d’entrées Le nombre d’entrées dans chaque liste.
Profils Les profils de protection appliqués à chaque liste.
Commentaire Description facultative de chaque liste.
Icône Supprimer Permet de supprimer une liste du catalogue. Cette icône est
disponible si la liste n’est pas reprise dans un profil de
protection.
Icône Editer Permet d’éditer les informations suivantes : la liste, le nom de
la liste ou le commentaire.
Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour
plus d’informations, voir « Options du filtrage antispam » à la page 286.
Illustration 251 : Boîte de dialogue d’une nouvelle liste d’adresses mail antispam
Pour visualiser la liste d’adresses mail sur les modèles FortiGate-500 et moins,
sélectionnez Anti-spam > Black/White List > Adresse Mail
Illustration 253 : Echantillon d’une liste d’adresses mail pour les modèles FortiGate-
800 et plus
Les en-têtes MIME (Multipurpose Internet Mail Extensions) sont ajoutés aux mails
pour décrire le type et le codage de contenu, tels que le type de texte dans le corps
du mail ou le programme qui a généré le mail. Quelques exemples d’en-têtes
MIME comprennent :
• X-mailer : outgluck
• X-Distribution : bulk
• Content_Type : text/html
• Content_Type : image/jpg
Certains spammeurs utilisent des serveurs SMTP tiers insécurisés pour envoyer
des mails non sollicités. L’utilisation de DNSBL et ORDBL est un moyen efficace
de baliser (tag) ou rejeter les spams lors de leur entrée sur le réseau. Ces listes
agissent comme des serveurs de nom de domaine identique au domaine d’un mail
entrant d’une liste d’adresses IP connues pour envoyer des spams ou autoriser
des spams à passer au travers.
Remarque : Etant donné que le boîtier FortiGate utilise le nom de domaine du serveur pour
se connecter au serveur DNSBL ou ORDBL, il doit être capable de chercher ce nom sur le
Exemples
Statistiques
Les administrateurs peuvent obtenir des statistiques sur les messageries
instantanées et les communications « point to point » afin de connaître l’utilisation
de ces deux protocoles sur le réseau. Des statistiques d’ensemble sont fournies
pour tous les protocoles IM et P2P. Des statistiques détaillées et individuelles
existent pour chaque protocole IM.
Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions
IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale
dans le menu principal.
Pour visualiser ces statistiques, sélectionnez IM/P2P > Statistics > Protocol.
Utilisateur
Après que les utilisateurs IM se soient connectés à travers le pare-feu, le boîtier
FortiGate affiche les utilisateurs connectés dans la liste Current Users. Les
administrateurs réseaux peuvent alors analyser la liste et décider quels utilisateurs
accepter et quels utilisateurs rejeter. Une règle peut être configurée pour traiter le
cas des utilisateurs inconnus.
Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions
IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale
dans le menu principal.
Pour visualiser les utilisateurs en cours, sélectionnez IM/P2P > Users > Current
Users.
Des utilisateurs peuvent être ajoutés en cliquant sur Créer Nouveau ou à partir de
la liste temporaire d’utilisateurs.
Pour visualiser la liste des utilisateurs, sélectionnez IM/P2P > Users > User List.
Sélectionnez IM/P2P > User > User List et cliquez sur Créer Nouveau.
Pour configurer une politique IM, sélectionnez IM/P2P > User > Config.
Journalisation FortiGate
Les boîtiers FortiGate peuvent journaliser de nombreuses activités réseaux et trafic
y compris :
• tout trafic réseau
• des événements liés au système dont les redémarrages système, la Haute
Disponibilité et l’activité VPN.
• infection et blocage antivirus
• filtrage web, blocage de contenu URL et HTTP
• signatures et prévention contre les attaques et anomalies
• filtrage antispam
• trafic de Messageries Instantanées et Peer-to-Peer
Vous pouvez fixer le niveau auquel le boîtier FortiGate journalise ces événements
et leur lieu de stockage. Le boîtier FortiGate peut journaliser des événements du
système et des intrusions sur la mémoire du boîtier. Cependant, étant donné la
nature limitée de cette mémoire, les messages les plus anciens ne sont pas
sauvegardés et le trafic réseau n’est pas journalisé sur la mémoire en raison du
gros volume des messages journalisés.
Le boîtier FortiGate peut également envoyer des journaux vers un serveur Syslog
ou WebTrends dans un but de stockage et d’archivage. Le boîtier FortiAnalyzer
peut également être configuré pour envoyer les messages journalisés vers son
disque dur si disponible sur le boîtier.
Afin de vous permettre de revenir sur les activités se produisant sur votre réseau et
à travers le boîtier FortiGate, ce dernier vous permet de visualiser les messages
journalisés disponibles en mémoire, sur un boîtier FortiAnalyzer muni du
microcode version 3.0 ou plus ou sur un disque dur si disponible sur le boîtier. Des
filtres personnalisables vous permettent de localiser facilement des informations
spécifiques dans les fichiers de journalisation.
Remarque : Pour plus de détails sur la sauvegarde de journaux sur le disque dur du
FortiGate, si disponible, voir le FortiGate CLI Reference.
Voir le FortiGate Log Message Reference pour plus de détails sur les messages et
formats des journaux.
Configurer un boîtier FortiGate pour qu’il envoie les journaux vers un boîtier
FortiAnalyzer
Remarque : Le boîtier FortiGate peut se connecter jusqu’à trois boîtiers FortiAnalyzer. Il leur
envoie à tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une
réelle protection de sauvegarde en temps réel dans le cas où l’un des trois FortiAnalyzer
Tester la connexion
Exemple
Pour plus de détails sur le paramétrage des options pour les types de journaux à
envoyer vers WebTrends, voir le chapitre sur les Journaux dans le FortiGate CLI
Reference.
Une connexion sécurisée via un tunnel VPN IPSec entre un boîtier FortiAnalyzer et
un cluster HA est en réalité une connexion entre ce boîtier et le membre primaire
du cluster HA.
Remarque : Vous devez avant tout commencer par configurer les destinations de
sauvegarde des fichiers journaux. Pour plus de détails, voir « Stockage de Journaux » à la
page 411.
Journal Trafic
Le journal Trafic enregistre tout le trafic vers et passant à travers les interfaces du
FortiGate. Vous pouvez configurer la journalisation du trafic contrôlé par des règles
pare-feu, ainsi que la journalisation du trafic entre toute adresse source et de
destination. Vous pouvez appliquer les filtres suivants :
Trafic autorisé Le boîtier FortiGate journalise tout le trafic autorisé par les
paramètres de la règle pare-feu.
Remarque : Afin d’enregistrer les messages journalisés du trafic, vous devez paramétrer le
niveau de sévérité sur Notification lors de la configuration de la destination de journalisation.
Journal Evénement
Le journal Evénement enregistre les événements d’administration et d’activités,
tels que lors d’un changement de configuration ou de l’apparition d’un événement
VPN ou Haute Disponibilité.
Signature des attaques Le boîtier FortiGate journalise toutes les intrusions détectées
et bloquées basées sur la signature de l’attaque, ainsi que les
actions prises par le boîtier FortiGate.
Remarque : Vous devez vous assurer de l’activation des paramètres de journalisation des
signatures des attaques et anomalies. Les options de journalisation pour les signatures
présentes sur le boîtier FortiGate sont définies par défaut. Veillez à ce que toutes les
signatures personnalisées aient l’option de journalisation activée. Pour plus de détails, voir
« Protection contre les intrusions » à la page 352.
Journal Antispam
Le Journal Antispam enregistre les blocages d’adresses mails et de contenu des
trafics SMTP, IMAP et POP3.
Journal IM / P2P
Le Journal des Messageries Instantanées et Peer-to-Peer enregistre les textes des
messages instantanés, les communications audio, les tentatives de transferts de
fichiers par les utilisateurs, le temps d’essai de la transmission, le type
d’application IM utilisé et le contenu de la transmission.
Au sein de l’afficheur de journaux, vous pouvez lancer une recherche et filtrer des
messages journalisés. Pour les journaux stockés sur un FortiAnalyzer, vous
pouvez également supprimer des fichiers journaux, retirer des messages
journalisés des fichiers et télécharger le fichier journal soit en format texte, soit en
format CSV.
Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celui-ci doit être muni du
microcode version 3.0 ou plus.
Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celui-ci doit être muni du
microcode version 3.0 ou plus.
Illustration 266 : Paramètres des colonnes pour l’affichage des messages journalisés
Remarque : Vous devez être en affichage Formatage pour accéder aux filtres.
Rapports
Le boîtier FortiGate offre deux formes de rapports, vous permettant de visualiser
les informations sur le trafic circulant sur votre réseau :
• Rapports de base sur le trafic – Le boîtier FortiGate utilise les informations des
journaux stockés en mémoire pour soumettre, sous format graphique, des
informations de base sur le trafic. Les rapports comprennent la bande
passante par service et les protocoles par volume.
• Rapports FortiAnalyzer – lorsqu’il est connecté à un FortiAnalyzer, le boîtier
FortiGate peut accéder à tous les rapports générés par le FortiAnalyzer à partir
de ses journaux. Vous pouvez également personnaliser un rapport par défaut
pour le boîtier FortiGate.
Remarque : Les données utilisées pour les graphiques sont stockées en mémoire. Lors
d’un redémarrage ou d’une réinitialisation du boîtier FortiGate, les données sont effacées.
Le rapport n’est pas mis à jour en temps réel. Pour rafraîchir le rapport,
sélectionnez Journaux/Alertes > Report Access.
Remarque : Il s’agit de rapports simplifiés. Un boîtier FortiAnalyzer peut fournir des rapports
plus détaillés ou spécifiques. La fonction d’un FortiAnalyzer est de rassembler des
messages journalisés et de générer des rapports. Il peut générer plus de 140 rapports
différents, vous offrant ainsi des informations historiques et mises à jour, des tendances sur
votre réseau pour les activités mail, IM et générales. Ceci vous aide dans l’identification de
problèmes de sécurité et dans la réduction des mauvais usages et abus du réseau.
Remarque : Les rapports FortiAnalyzer n’apparaissent pas tant que vous ne configurez pas
le boîtier FortiGate pour qu’il se connecte à un FortiAnalyzer, ou si le FortiAnalyzer n’est pas
muni du microcode version 3.0 ou plus.
Résoudre les noms Permet l’affichage des noms d’hôtes par un nom
d’hôtes reconnaissable à la place des adresses IP. Pour toute
information sur la configuration d’adresse IP de noms d’hôtes,
voir le FortiAnalyzer Administration Guide.
Résoudre les noms Permet l’affichage des noms des services réseaux à la place
de services des numéros de port. Par exemple, HTTP au lieu de port 80.
Dans les « rapports Pour certains types de rapports, vous pouvez définir
classés » montrer le top les éléments supérieurs. Ces rapports ont le mot « Top » dans
leur nom et afficheront uniquement les n entrées supérieures.
Par exemple, le rapport des clients mail les plus actifs dans
l’organisation (au lieu de tous les clients mail).
Les rapports qui ne comprennent pas le mot « Top » dans leur
nom afficheront quant à eux toutes les informations. Les
rapports ne seront pas affectés par un changement des
valeurs du champ « Top ».
Lors de la configuration du FortiAnalyzer pour l’envoi par mail des rapports, vous
devez configurer le serveur mail sur le FortiAnalyzer. Pour toute information à ce
sujet, voir le FortiAnalyzer Administration Guide.
Remarque : Si vous envoyez par mail des rapports HTML à un utilisateur et que son client
email ne supporte pas HTML, il verra le code HTML de chaque rapport dans le corps du
message.
Mail d’alerte
La fonctionnalité de mail d’alerte permet au boîtier FortiGate de surveiller les
journaux de messages journalisés ayant un certain niveau de sévérité. Si le
message apparaît dans les journaux, le boîtier FortiGate envoie un mail aux
destinataires prédéfinis du message journalisé en question.
S V
serveur override VLAN
ajout, 190 en mode NAT/Route, 85
serveurs LDAP, 327 en mode Transparent, 88
serveurs RADIUS, 326 introduction, 84
serveurs Windows AD, 328 VPN IPSec, 294
service clientèle et support technique, 28 auto key, 295
snmp clé manuelle, 305
configuration, 153 concentrateur, 308
SNMP, 152 création d’une phase 1, 296
configuration d’une communauté, 154 création d’une phase 2 \r, 302
statistiques tunnels actifs, 309–10
visualisation, 57 VPN PPTP, 312
statuts du système, 47 plage PPTP, 312
informations, 48 VPN SSL, 313
page des statuts, 47 configuration, 313
ressources, 49 monitor, 314–15
statistiques, 50
Syslog
journalisation, 414 W
système sans fil
domaines régulatoires, 92 Web Trends
filtrage des MAC, 96 journalisation, 415
interface LAN sans fil FortiWiFi, 92 wireless
numéros des canaux IEEE 802.11x, 92 voir Système sans fil, 92
paramètres du système, 94
surveillance du module, 97 Z
zone, 75
T liste des zones, 75
table de routage, 225 paramètres d'une zone, 76
affichage des informations, 225