Palo Alto Networks Guide de L'administrateur

Palo Alto Networks
Guide de l'administrateur
Version 5.0
7/9/13 Version définitive - Palo Alto Networks

CONFIDENTIEL
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007-2013 Palo Alto Networks. Tous droits réservés.
Palo Alto Networks, PAN-OS et Panorama sont des marques commerciales de Palo Alto Networks, Inc. Toutes les
autres marques commerciales sont la propriété de leurs détenteurs respectifs.
Réf. 810-000135-00B
juillet 9, 2013 - Palo Alto Networks - CONFIDENTIEL
Table des matières

Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
À propos de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Conventions typographiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Remarques et précautions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Documentation connexe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Chapitre 1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Vue d'ensemble du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Fonctionnalités et avantages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Interfaces de gestion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Chapitre 2
Mise en route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Préparation du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Paramétrage du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Utilisation de l'interface Web du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 23
Validation des modifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Accès aux pages de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Utilisation des tableaux des pages de configuration . . . . . . . . . . . . . . . . . . . . . . 27
Champs obligatoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
Verrouillage des transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Navigateurs pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Obtention d'aide sur la configuration du pare-feu . . . . . . . . . . . . . . . . . . . 29
Obtention d'informations supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Support technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Chapitre 3
Gestion des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Paramétrage du système, configuration et gestion des licences . . . . . . . . . 32

Définition des paramètres de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Définition des paramètres des opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Définition des paramètres des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Palo Alto Networks • 3

Définition des paramètres d'ID de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Définition des paramètres de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Service statistiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Comparaison des fichiers de configuration. . . . . . . . . . . . . . . . . . . . . . . . . . 52
Installation d'une licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Mise à niveau vers une version ultérieure/
antérieure du logiciel PAN-OS 53
Mise à niveau de PAN-OS dans une configuration haute disponibilité . . . . . . . . . 55
Mise à niveau vers une version antérieure du logiciel PAN-OS . . . . . . . . . . . . . . 56
Mise à niveau vers une version de maintenance antérieure . . . . . . . . . . . . . . 57
Mise à niveau vers une version des fonctions antérieure. . . . . . . . . . . . . . . . . 57
Mise à jour des définitions des menaces et des applications . . . . . . . . . . . . 59
Rôles, profils et comptes Administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Exigences relatives au nom d'utilisateur et au mot de passe . . . . . . . . . . . . . 61
Définition des rôles Administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Définition des profils de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Création de comptes administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Précision des domaines d'accès des administrateurs. . . . . . . . . . . . . . . . . . . . 66
Profils d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Paramétrage de profils d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Création d'une base de données d'utilisateurs locale . . . . . . . . . . . . . . . . . . . 69
Configuration des paramètres du serveur RADIUS . . . . . . . . . . . . . . . . . . . . . 70
Configuration des paramètres du serveur LDAP . . . . . . . . . . . . . . . . . . . . . . . 71
Configuration des paramètres de Kerberos
(authentification Active Directory native). . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Séquence d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Paramétrage de séquences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . 73
Journaux du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Configuration de la journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Exportation programmée des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Définition des paramètres du journal de configuration. . . . . . . . . . . . . . . . . . 78
Définition des paramètres du journal système . . . . . . . . . . . . . . . . . . . . . . . . 79
Définition des paramètres du journal de correspondance HIP . . . . . . . . . . . . 80
Définition des paramètres du journal des alarmes . . . . . . . . . . . . . . . . . . . . . 80
Gestion des paramètres du journal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Configuration des destinations de pièges SNMP . . . . . . . . . . . . . . . . . . . . . 82
Configuration des serveurs Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Descriptions des champs Syslog personnalisés . . . . . . . . . . . . . . . . . . . . . . . . 84
Configuration des paramètres de notification
par courrier électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Affichage des alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Configuration des paramètres de Netflow. . . . . . . . . . . . . . . . . . . . . . . . . . 92
Importation, exportation et génération de certificats de sécurité . . . . . . . . 93
Certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Autorités de certification de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Profil du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Répondeur OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Cryptage de clés privées et de mots de passe sur le pare-feu . . . . . . . . . . . . . . 98
Paramètres de clé principale et de diagnostics . . . . . . . . . . . . . . . . . . . . . . . 98
Mise à jour des clés principales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
4 • Palo Alto Networks

Haute disponibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
HD Active/Passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
HD Active/Active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Flux de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Options de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Remarques sur NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Paramétrage de la HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Activation de la HD sur le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Communications entre les systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Passerelles partagées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Définition des systèmes virtuels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Configuration des passerelles partagées. . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Définition des pages de réponse personnalisées . . . . . . . . . . . . . . . . . . . . 124
Affichage des informations de support. . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Chapitre 4
Configuration du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Déploiement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Déploiements d'un câble virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Déploiements de couche 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Déploiements de couche 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Déploiements en mode Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Définition de câbles virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Modification du contenu d'un paquet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Interfaces du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Affichage des interfaces actives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Configuration des interfaces de couche 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Configuration des sous-interfaces de couche 2 . . . . . . . . . . . . . . . . . . . . . . 136
Configuration des interfaces de couche 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Configuration des sous-interfaces de couche 3 . . . . . . . . . . . . . . . . . . . . . . 141
Configuration des interfaces de câble virtuel . . . . . . . . . . . . . . . . . . . . . . . 146
Configuration des sous-interfaces de câble virtuel . . . . . . . . . . . . . . . . . . . 147
Configuration des groupes d'interfaces agrégés. . . . . . . . . . . . . . . . . . . . . 149
Configuration des interfaces Ethernet agrégées . . . . . . . . . . . . . . . . . . . . . 151
Configuration des interfaces VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Configuration des interfaces en boucle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Configuration des interfaces de tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Configuration des interfaces Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Configuration des interfaces HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Zones de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Définition de zones de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Prise en charge de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Routeurs virtuels et protocoles de routage . . . . . . . . . . . . . . . . . . . . . . . . . 162
Protocole RIP (Routing Information Protocol) . . . . . . . . . . . . . . . . . . . . . . . . 163
Protocole OSPF (Open Shortest Path First). . . . . . . . . . . . . . . . . . . . . . . . . . 163
Protocole BGP (Border Gateway Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . 163
Routage multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Définition des routeurs virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Serveur et relais DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Profils réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Définition des profils de gestion de l'interface . . . . . . . . . . . . . . . . . . . . . . . 189
Définition des profils de surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Définitions des profils de protection de zone . . . . . . . . . . . . . . . . . . . . . . . . 191
Chapitre 5
Politiques et profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Directives de définition des politiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Précision des utilisateurs et des applications des politiques . . . . . . . . . . . . . 200
Politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Définition de politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Politiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Détermination de la configuration de zone dans la
politique NAT et de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Options des règles NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Définition des politiques de traduction des adresses réseau . . . . . . . . . . . . 209
Exemples de politiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Politiques de transfert basé sur une politique . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Politiques de déchiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Politiques de contrôle prioritaire sur l'application . . . . . . . . . . . . . . . . . . . . . . . . 221
Définition d'applications personnalisées avec
contrôle prioritaire sur l'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Définition de politiques de contrôle prioritaire sur l'application. . . . . . . . . . 221
Politiques de portail captif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Définition de politiques de portail captif . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Politiques de protection DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Définition de politiques DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Profils antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Profils antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Profils de protection contre les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Profils de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Profils de blocage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Profils de filtrage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Profils DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Autres objets de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Adresses et groupes d'adresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Définition des plages d'adresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Définition des groupes d'adresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Définition des régions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Applications et groupes d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Définition des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Applications personnalisées avec signatures. . . . . . . . . . . . . . . . . . . . . . . . . 255
Définition des groupes d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Filtres d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Groupes de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Modèles de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

Catégories d'URL personnalisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Listes d'interdiction dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Signatures contre les logiciels espions et les vulnérabilités personnalisées . . . . . 263
Définition des modèles de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Définition des signatures contre les logiciels
espions et les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Groupes de profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Transfert des journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Profils de déchiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Calendriers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Chapitre 6
Rapports et journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Utilisation du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Utilisation du centre de commande de l'application. . . . . . . . . . . . . . . . . . 275
Utilisation d'App-Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Rapport de récapitulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Rapport de surveillance des modifications . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Rapport de surveillance des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Rapport de la carte des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Rapport de surveillance du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Rapport de la carte du trafic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Affichage des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Affichage des informations de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Utilisation des rapports du Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Configuration d'un rapport du Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Gestions des rapports du Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Gestion de rapports de récapitulation au format PDF. . . . . . . . . . . . . . . . 293
Gestion des rapports d'activité des utilisateurs . . . . . . . . . . . . . . . . . . . . . 295
Gestion des groupes de rapports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Planification des rapports pour la distribution
par courrier électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Affichage des rapports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Génération de rapports personnalisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Identification des applications inconnues et prise de mesures . . . . . . . . . . 300
Actions à appliquer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Demande d'un App-ID à Palo Alto Networks . . . . . . . . . . . . . . . . . . . . . . . . 302
Autre trafic inconnu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Prise de captures de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Chapitre 7
Configuration du pare-feu pour l'identification utilisateur . . . . . . . . . . . 305
Présentation de l'identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 305

Fonctionnement de l'identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Identification des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Interaction des composants d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Agent d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Mappage d'utilisateur PAN-OS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Agent Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Requête de groupe LAP PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Agents d'identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Portails captifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Configuration du pare-feu pour l'identification utilisateur . . . . . . . . . . . . . . 310
Configuration du mappage d'utilisateur PAN-OS . . . . . . . . . . . . . . . . . . . 317
Configuration du mappage d'utilisateur PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . 317
Configuration d'un pare-feu pour le partage des
données de mappage d'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Paramétrage de l'agent d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Installation de l'agent d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Configuration de l'agent d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Détection des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
Surveillance du fonctionnement de l'agent d'ID utilisateur . . . . . . . . . . . . . . 327
Désinstallation et mise à niveau de l'agent d'ID utilisateur . . . . . . . . . . . . . . 327
Paramétrage de l'agent Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . 328
Installation ou mise à niveau de l'agent
Terminal Server sur le serveur de terminaux . . . . . . . . . . . . . . . . . . . . . . . 328
Configuration de l'agent Terminal Server sur le serveur de terminaux . . . . 329
Désinstallation de l'agent Terminal Server sur le serveur de terminaux . . . . 333
Chapitre 8
Configuration des tunnels IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Réseaux privés virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336

Tunnels VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
IPSec et IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Profils crypto IPSec et IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Paramétrage des VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Définitions des passerelles IKE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Paramétrage des tunnels IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Définition des profils crypto IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Définition des profils crypto IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Affichage du statut du tunnel IPSec sur le pare-feu . . . . . . . . . . . . . . . . . . . 347
Exemple de configuration VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Topologie existante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Nouvelle topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Configuration de la connexion VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Dépannage de la connectivité VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Déploiement d'un VPN à grande échelle avec GlobalProtect . . . . . . . . . . 351
Vue d'ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Déploiement d'un réseau VPN à grande échelle . . . . . . . . . . . . . . . . . . . . . . . . 352
Certificats et répondeur OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Configuration de la passerelle GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . 356
Configuration du portail GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Configuration du satellite GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Protocoles de routage dynamique et VPN à grande échelle . . . . . . . . . . . . . . . 362
Sauvegarde du portail GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362

Chapitre 9
Configuration de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Authentification GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Paramétrage de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Paramétrage et activation de l'agent de GlobalProtect . . . . . . . . . . . . . . 383
Paramétrage de l'agent de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Chapitre 10
Configuration de la qualité de service. . . . . . . . . . . . . . . . . . . . . . . . . . 387
Prise en charge du pare-feu pour la QoS . . . . . . . . . . . . . . . . . . . . . . . . . 387

Configuration de la QoS pour les interfaces du pare-feu . . . . . . . . . . . . . . . . . . 388
Définition des profils de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Définition des politiques de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Affichage des statistiques de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Chapitre 11
Configuration d'un Pare-feu série VM . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Configuration système requise et limitations. . . . . . . . . . . . . . . . . . . . . . . . 398
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Licence du Pare-feu série VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Installation du Pare-feu série VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Chapitre 12
Paramétrage de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Paramétrage de Panorama en tant qu'appareil virtuel. . . . . . . . . . . . . . . 406
Installation de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Configuration de l'interface réseau de Panorama . . . . . . . . . . . . . . . . . . . . . . . 407
Extension de la capacité de stockage des journaux . . . . . . . . . . . . . . . . . . . . . . 408
Ajout d'un disque virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Paramétrage des partitions de stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Paramétrage de Panorama sur un appareil série M . . . . . . . . . . . . . . . . . 410
Exécution du paramétrage initial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Connexion à Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Modification du mot de passe par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Configuration de la haute disponibilité (HD) . . . . . . . . . . . . . . . . . . . . . . . 411
Changement de la priorité de journalisation dans une paire HD . . . . . . . . . . . . 414

Chapitre 13
Gestion centralisée des périphériques à l'aide de Panorama . . . . . . . . 417
Accès à l'interface Web de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

Utilisation de l'interface de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Onglet Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Ajout de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Définition des groupes de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Rôles, profils et comptes Administrateur de Panorama . . . . . . . . . . . . . . . 425
Définition des rôles Administrateur de Panorama . . . . . . . . . . . . . . . . . . . . . . . . 426
Création de comptes Panorama administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Précision des domaines d'accès Panorama des administrateurs. . . . . . . . . 430
Groupes de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Utilisation de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Utilisation d'objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Utilisation de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Opération de validation dans Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Rétrocompatibilité de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Modèles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Configuration des modèles de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Ajout d'un nouveau modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Configuration d'un modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Contrôle prioritaire sur les paramètres du modèle . . . . . . . . . . . . . . . . . . . . 441
Suppression de modèles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Journalisation et génération de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Génération de rapports d'activité des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . 443
Utilisation de Panorama pour la consignation de l'ensemble . . . . . . . . . . . . . . . 443
Déploiement d'une consignation de l'ensemble distribuée . . . . . . . . . . . . . . 444
Gestion des collecteurs de journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Définition des groupes de collecteurs de journaux . . . . . . . . . . . . . . . . . . . . 451
Affichage des informations de déploiement du pare-feu . . . . . . . . . . . . . 456
Sauvegarde des configurations du pare-feu . . . . . . . . . . . . . . . . . . . . . . . 457
Planification de l'exportation de la configuration . . . . . . . . . . . . . . . . . . . 457
Mise à niveau du logiciel Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Chapitre 14
Configuration de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
A propos de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

Paramétrage de WildFire sur le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 463
Configuration des paramètres WildFire sur le pare-feu . . . . . . . . . . . . . . . . . . 463
Configuration du transfert de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Journal de filtrage des données WildFire . . . . . . . . . . . . . . . . . . . . . . . . . 465
Utilisation du portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Configuration des paramètres sur le portail WildFire . . . . . . . . . . . . . . . . . . . . 467
Affichage des rapports WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Annexe A

Pages personnalisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Page de réponse antivirus par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Page de blocage des applications par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Page de blocage des fichiers par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Page de réponse de filtrage des URL par défaut . . . . . . . . . . . . . . . . . . . . . . . . 472
Page de réponse de téléchargement d'antispyware par défaut . . . . . . . . . . . . 473
Page de réponse d'exclusion de décryptage par défaut . . . . . . . . . . . . . . . . . . 473
Page Confort du portail captif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Page de maintien et de forçage du filtrage des URL . . . . . . . . . . . . . . . . . . . . . 474
Page de connexion VPN SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Page de notification de révocation des certificats SSL . . . . . . . . . . . . . . . . . . . . 476
Annexe B
Catégories, sous-catégories, technologies et
caractéristiques d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Catégories et sous-catégories d'applications . . . . . . . . . . . . . . . . . . . . . . . 477

Technologies d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Caractéristiques d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Annexe C
Prise en charge des normes FIPS
(Federal Information Processing Standards). . . . . . . . . . . . . . . . . . . . . . 481
Annexe D
Licences libres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
Licence artistique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
Licence publique générale GNU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Licence publique générale limitée GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
Index. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503

juillet 9, 2013 - Palo Alto Networks - CONFIDENTIEL
Préface
Cette préface contient les sections suivantes :
• « À propos de ce guide » dans la section suivante
• « Organisation » à la page 13
• « Conventions typographiques » à la page 15
• « Remarques et précautions » à la page 15
• « Documentation connexe » à la page 15
À propos de ce guide
Ce guide explique comment gérer le pare-feu Palo Alto Networks à l'aide de l'interface Web
d'un périphérique.
Ce guide s'adresse aux administrateurs systèmes chargés du déploiement, de l'utilisation et de
la gestion du pare-feu.
Organisation
Ce guide est organisé de la manière suivante :
• Chapitre 1, « Introduction » - Fournit une vue d'ensemble du pare-feu.
• Chapitre 2, « Mise en route » - Explique comment installer le pare-feu.
• Chapitre 3, « Gestion des périphériques » - Explique comment effectuer la configuration

de base d'un système et assurer la maintenance du pare-feu, notamment configurer la
disponibilité élevée d'une paire de pare-feux, définir des comptes utilisateurs, mettre à
jour le logiciel et gérer les configurations.
• Chapitre 4, « Configuration du réseau » - Explique comment configurer le pare-feu pour

votre réseau, notamment la configuration du routage.
• Chapitre 5, « Politiques et profils de sécurité » - Explique comment configurer les

politiques de sécurité et des profils par zone, utilisateur, adresse source/de destination et
application.
• Chapitre 6, « Rapports et journaux » - Explique comment consulter les rapports et les

journaux fournis avec le pare-feu.
Palo Alto Networks Préface • 13

Organisation
• Chapitre 7, « Configuration du pare-feu pour l'identification utilisateur » - Explique

comment configurer le pare-feu afin d'identifier les utilisateurs essayant d'accéder au
réseau.
• Chapitre 8, « Configuration des tunnels IPSec » - Explique comment configurer les

tunnels IPSec (IP Security) sur le pare-feu.
• Chapitre 9, « Configuration de GlobalProtect » - Explique comment configurer

GlobalProtect, qui permet de se connecter en toute sécurité à partir de systèmes clients
implantés aux quatre coins du monde.
• Chapitre 10, « Configuration de la qualité de service » - Explique comment configurer la

qualité de service (QoS) sur le pare-feu.
• Chapitre 12, « Paramétrage de Panorama » - Explique comment installer le système de

gestion centralisé du pare-feu Palo Alto Networks.
• Chapitre 13, « Gestion centralisée des périphériques à l'aide de Panorama » - Explique

comment utiliser Panorama pour gérer plusieurs pare-feux.
• Chapitre 14, « Configuration de WildFire » - Explique comment utiliser WildFire pour

analyser et créer des rapports concernant des logiciels malveillants qui traversent le
pare-feu.
• Annexe A, « Pages personnalisées » - Fournit le code HTML pour les pages de réponse
personnalisées afin d'informer les utilisateurs finaux de violations de politiques ou de
conditions d'accès spéciales.
• Annexe B, « Catégories, sous-catégories, technologies et caractéristiques

d'applications » - Contient une liste descatégories d'applications définies par Palo Alto
Networks.
• Annexe C, « Prise en charge des normes FIPS (Federal Information Processing

Standards) » - Explique la prise en charge des normes FIPS (Federal Information
Processing Standards) 140-2 pour le pare-feu.
• Annexe D, « Licences libres » - Contient des informations relatives aux licences Open
Source applicables.
14 • Préface Palo Alto Networks

Conventions typographiques
Conventions typographiques
Ce guide utilise les conventions typographiques suivantes pour des termes et instructions
spécifiques.
Convention Signification Exemple

gras Noms des commandes, mots clés et Cliquez sur Sécurité pour ouvrir la page
éléments pouvant être sélectionnés Règles de sécurité.
dans l'interface Web.
italique Noms des paramètres, fichiers, L'adresse de la page d'accueil Palo Alto
répertoires ou URL (Uniform Networks est
Resource Locators). http://www.paloaltonetworks.com
police Exemples de codage et texte saisi Saisissez la commande suivante :
courier dans l'invite de commande. set deviceconfig system dns-
settings
Clic Clic sur le bouton gauche de la Cliquez sur Administrateurs sous
souris. l'onglet Périphériques.
Clic droit Clic sur le bouton droit de la souris. Cliquez avec le bouton droit de la souris
sur le numéro d'une règle que vous
voulez copier et sélectionnez la règle
Cloner.
Remarques et précautions
Ce guide utilise les symboles suivants pour les remarques et les précautions.
Symbole Description
REMARQUE
Indique des suggestions utiles ou des informations complémentaires.
PRÉCAUTION
Signale des actions susceptibles d'entraîner la perte de données.
Documentation connexe
Les documentations complémentaires suivantes sont fournies avec le pare-feu :
• Démarrage rapide
• Contrat de licence et garantie de Palo Alto Networks
Des documents connexes complémentaires sont disponibles à l'adresse suivante :

https://live.paloaltonetworks.com/community/documentation.
Palo Alto Networks Préface • 15

Documentation connexe
16 • Préface Palo Alto Networks

Chapitre 1
Introduction
Ce chapitre fournit une vue d'ensemble du pare-feu :

• « Vue d'ensemble du pare-feu » dans la section suivante
• « Fonctionnalités et avantages » à la page 17
• « Interfaces de gestion » à la page 19
Vue d'ensemble du pare-feu

Le pare-feu Palo Alto Networks vous permet de spécifier des politiques de sécurité basées sur
l'identification précise de chaque application souhaitant accéder à votre réseau.
Contrairement aux pare-feux classiques qui identifient les applications uniquement par
protocole et numéro de port, le pare-feu utilise l'inspection de paquets et une bibliothèque de
signatures d'applications pour différencier les applications ayant le même protocole et le
même port et identifier les applications potentiellement malicieuses utilisant des ports non
standard.
Par exemple, vous pouvez définir des politiques de sécurité pour des applications spécifiques,
au lieu de vous appuyer sur une politique unique pour toutes les connexions au port 80. Pour
chaque application identifiée, vous pouvez spécifier une politique de sécurité afin de bloquer
ou d'autoriser le trafic en fonction des zones et des adresses (IPv4 et IPv6) sources et de
destination. Chaque politique de sécurité peut aussi spécifier des profils de sécurité afin de se
protéger des virus, des logiciels espions et d'autres menaces.
Fonctionnalités et avantages
Le pare-feu assure un contrôle granulaire du trafic autorisé à accéder à votre réseau. Les
fonctionnalités et avantages principaux incluent :
• Mise en œuvre d'une politique basée sur une application - Le contrôle des accès par
application est beaucoup plus efficace lorsque l'identification d'une application ne se base
pas uniquement sur le protocole et le numéro de port. Des applications présentant des
Palo Alto Networks Introduction • 17

Fonctionnalités et avantages
risques élevés peuvent être bloquées, ainsi que des comportements à risques élevés,
comme le partage de fichiers. Le trafic crypté à l'aide du protocole SSL (Secure Socket
Layer) peut être décrypté et inspecté.
• Identification de l'utilisateur (User-ID ) - Permet aux administrateurs de configurer et

d'appliquer des politiques de pare-feu basées sur des utilisateurs et des groupes
d'utilisateurs, à la place de ou en plus des zones et adresses réseaux. Le pare-feu peut
communiquer avec plusieurs serveurs d'annuaire, comme Microsoft Active Directory,
eDirectory, SunOne, OpenLDAP et la plupart des autres serveurs d'annuaire basés sur le
protocole LDAP afin de fournir au pare-feu des informations concernant un utilisateur et
un groupe. Ces informations constituent alors une méthode précieuse de mise en œuvre
sécurisée d'une application pouvant être définie par utilisateur ou par groupe. Par
exemple, l'administrateur peut autoriser une organisation à utiliser une application Web,
mais aucune autre organisation de l'entreprise ne pourra l'utiliser. Vous pouvez
également configurer le contrôle granulaire de certains composants d'une application en
fonction des utilisateurs et des groupes. Consultez la section « Configuration du pare-feu
pour l'identification utilisateur » à la page 305.
• Prévention des menaces - Les services de prévention des menaces qui protègent le réseau
des virus, des vers, des logiciels espions et d'autres trafics malveillants peuvent varier
selon la source de l'application et du trafic (voir la section « Profils de sécurité » à la
page 226).
• Filtrage des URL - Les connexions sortantes peuvent être filtrées pour empêcher l'accès à
des sites Web inappropriés (voir la section « Profils de filtrage des URL » à la page 234).
• Visibilité du trafic - Les rapports, journaux et mécanismes de notification étendus

fournissent une visibilité détaillée dans le trafic des applications réseaux et des
événements de sécurité. Le Centre de commande de l'application (ACC) de l'interface
Web identifie les applications dont le trafic est le plus dense et les risques de sécurité les
plus élevés (voir la section « Rapports et journaux » à la page 273).
• Versatilité et vitesse du réseau - Le pare-feu peut développer ou remplacer votre pare-feu

existant et peut être installé de façon transparente dans n'importe quel réseau ou
configuré de sorte à prendre en charge un environnement ayant fait l'objet d'un
basculement ou d'un routage. Des vitesses pouvant atteindre plusieurs gigabits et une
architecture à accès unique permettent d'assurer la mise à disposition de tous les services
avec peu, voire aucun impact sur les délais d'attente du réseau.
• GlobalProtect - GlobalProtect sécurise les systèmes clients, tels que les ordinateurs
portables, qui sont utilisés sur le terrain, grâce à une connexion simple et sécurisée où que
vous soyez.
• Fonctionnement à sécurité intégrée - Un support hautement disponible assure un

basculement automatique en cas de défaillance matérielle ou logicielle (voir la section
« Activation de la HD sur le pare-feu » à la page 110).
• Analyses de logiciels malveillants et création de rapports - WildFire fournit une analyse

détaillée et crée un rapport concernant les logiciels malveillants qui traversent le pare-feu.
• Pare-feu VM-Series - Fournit une instance virtuelle de PAN-OS pouvant être utilisée
dans un environnement de centre de données virtualisé. Elle est particulièrement bien
adaptée aux déploiements de clouds privés et publics. Elle peut être installée sur
n'importe quel périphérique x86 capable d'exécuter VMware ESXi sans avoir à déployer
le matériel de Palo Alto Networks.
18 • Introduction Palo Alto Networks

Interfaces de gestion
• Gestion et Panorama - Chaque pare-feu est géré via une interface Web intuitive ou une
interface de ligne de commande (CLI) ou tous les périphériques peuvent être gérés de
façon centralisée via le système de gestion centralisé de Panorama qui dispose d'une
interface Web très similaire à celle du périphérique.
Le pare-feu prend en charge les interfaces de gestion suivantes. Pour obtenir une liste des
navigateurs pris en charge, consultez la section « Navigateurs pris en charge » à la page 28.
• Interface Web - Configuration et surveillance du protocole HTTP ou HTTPS à partir d'un
navigateur Web.
• CLI - Configuration en mode texte et surveillance des protocoles Telnet, SSH (Secure
Shell) ou du port de la console (consultez le Guide de référence de l'interface de ligne de
commande PAN-OS).
• Panorama - Produit de Palo Alto Networks assurant la gestion Web, la création de

rapports et la journalisation de plusieurs pare-feux. L'interface de Panorama ressemble à
celle du périphérique et contient des fonctions de gestion supplémentaires. Pour obtenir
des instructions concernant l'installation de Panorama, consultez la section « Paramétrage
de Panorama » à la page 405 et pour obtenir des informations sur son utilisation,
consultez la section « Gestion centralisée des périphériques à l'aide de Panorama » à la
page 417.
• Protocole SNMP (Simple Network Management Protocol) - Prend en charge RFC 1213
(MIB-II) et RFC 2665 (interfaces Ethernet) pour une surveillance à distance et génère des
pièges SNMP pour un ou plusieurs récepteurs de pièges (voir la section « Configuration
des destinations de pièges SNMP » à la page 82).
• Syslog - Génère des messages pour un ou plusieurs serveurs syslog distants (voir la
section « Configuration des serveurs Syslog » à la page 83).
• API XML - Fournit une interface REST (Representational State Transfer) permettant
d'accéder à la configuration, au statut opérationnel, aux rapports et aux captures de
paquets d'un périphérique à partir du pare-feu. Ce dernier contient un navigateur API
disponible à l'adresse suivante : https://<pare-feu>/api, où <pare-feu> correspond au nom
d'hôte ou à l'adresse IP du pare-feu. Ce lien fournit une aide concernant les paramètres
requis pour chaque type d'appel API. Un guide d'utilisation de l'API XML est disponible
dans la communauté en ligne de DevCenter à l'adresse suivante :
http://live.paloaltonetworks.com.
Palo Alto Networks Introduction • 19

20 • Introduction Palo Alto Networks

Chapitre 2
Mise en route
Ce chapitre explique comment paramétrer et commencer à utiliser le pare-feu :

• « Préparation du pare-feu » dans la section suivante
• « Paramétrage du pare-feu » à la page 22
• « Utilisation de l'interface Web du pare-feu » à la page 23
• « Obtention d'aide sur la configuration du pare-feu » à la page 29
Remarque : Pour obtenir des instructions concernant l'installation du système de

gestion centralisé Panorama, consultez la section « Paramétrage de Panorama » à
la page 405.
Préparation du pare-feu
Procédez comme suit pour préparer le paramétrage du pare-feu :
1. Montez le pare-feu sur une baie et mettez-la sous tension comme décrit dans le Guide de
référence du matériel.
2. Enregistrez votre pare-feu à l'adresse suivante : https://support.paloaltonetworks.com pour

obtenir les dernières mises à jour logicielles et App-ID, mais aussi pour activer le support
ou des abonnements à l'aide des codes d'autorisation qui vous ont été envoyés par
courrier électronique.
3. Procurez-vous une adresse IP auprès de votre administrateur réseau pour configurer le

port de gestion sur le pare-feu.
Palo Alto Networks Mise en route • 21

Paramétrage du pare-feu
Paramétrage du pare-feu
Pour effectuer le paramétrage initial du pare-feu :
1. Connectez votre ordinateur au port de gestion (MGT) du pare-feu à l'aide d'un câble
Ethernet RJ-45.
2. Mettez votre ordinateur sous tension. Assignez une adresse IP statique à votre ordinateur
sur le réseau 192.168.1.0 (par exemple : 192.168.1.5) avec un masque réseau de
255.255.255.0.
3. Lancez un navigateur Web compatible et saisissez https://192.168.1.1.
Le navigateur ouvre automatiquement la page de connexion à Palo Alto Networks.
4. Saisissez admin dans les champs Nom et Mot de passe, puis cliquez sur Se connecter. Le
système affiche un avertissement vous invitant à modifier le mot de passe par défaut.
Cliquez sur OK pour continuer.
5. Dans l'onglet Périphérique, sélectionnez Paramétrer et configurez les éléments suivants

(pour obtenir des instructions générales sur la configuration des paramètres dans
l'interface Web, consultez la section « Utilisation de l'interface Web du pare-feu » à la
page 23) :
– Dans l'onglet Gestion sous Paramètres de l'interface de gestion, saisissez l'adresse IP,
le masque réseau et la passerelle par défaut du pare-feu.
– Dans l'onglet Services, saisissez l'adresse IP du serveur DNS (Domain Name System).
Saisissez l'adresse IP ou le nom d'hôte et de domaine du serveur NTP (Network Time
Protocol) et sélectionnez votre fuseau horaire.
– Cliquez sur Support dans le menu latéral.

S'il s'agit du premier pare-feu Palo Alto Networks que vous installez pour votre
entreprise, cliquez sur Enregistrer le périphérique pour enregistrer le pare-feu (si
vous avez déjà enregistré un pare-feu, un nom d'utilisateur et un mot de passe vous
ont été envoyés).
Cliquez sur le lien Activer le support à l'aide des codes d'autorisation et saisissez les
codes d'autorisation qui vous ont été envoyés par courrier électronique pour n'importe
quelle fonctionnalité facultative. Utilisez un espace pour séparer plusieurs codes
d'autorisation.
6. Cliquez sur Administrateurs sous l'onglet Périphériques.
7. Cliquez sur admin.
8. Dans les champs Nouveau mot de passe et Confirmer le nouveau mot de passe, saisissez
et confirmez un mot de passe sensible à la casse (15 caractères maximum).
9. Cliquez sur OK pour soumettre le nouveau mot de passe.
22 • Mise en route Palo Alto Networks

Utilisation de l'interface Web du pare-feu
10. Validez la configuration pour activer ces paramètres. Une fois les modifications validées,
le pare-feu sera accessible via l'adresse IP assignée à l'Etape 5. Pour plus d'informations
sur la validation de modifications, consultez la section « Validation des modifications » à
la page 26.
Remarque : La configuration par défaut du pare-feu à sa sortie d'usine, ou après

une réinitialisation des paramètres d'usine, correspond à un câble virtuel entre les
ports Ethernet 1 et 2 dont la politique par défaut est de refuser tout trafic entrant et
d'autoriser tout trafic sortant.

Les conventions suivantes s'appliquent lors de l'utilisation de l'interface du pare-feu.
• Pour afficher les éléments du menu d'une catégorie fonctionnelle générale, cliquez sur un
onglet, comme Objets ou Périphérique, en haut de la fenêtre du navigateur.
• Cliquez sur un élément du menu latéral pour afficher un panneau.
• Pour afficher les éléments du sous-menu, cliquez sur l'icône située à gauche d'un
élément. Pour masquer les éléments du sous-menu, cliquez sur l'icône située à gauche
d'un élément.
• Dans la plupart des pages de configuration, vous pouvez cliquer sur Ajouter pour créer
un nouvel élément.

• Pour supprimer un ou plusieurs éléments, cochez la case correspondante et cliquez sur

Supprimer. Le système vous invite généralement à confirmer la suppression en cliquant
sur OK ou à l'annuler en cliquant sur Annuler.
• Dans certaines pages de configuration, vous pouvez cocher la case correspondant à un

élément et cliquer sur Cloner pour créer un nouvel élément contenant les mêmes
informations que l'élément sélectionné.
• Pour modifier un élément, cliquez sur son lien souligné.
• Pour afficher des informations d'aide sur une page, cliquez sur l'icône Aide située en haut
à droite de la page.
• Pour afficher la liste active des tâches, cliquez sur l'icône Tâches située dans le coin
inférieur droit de la page. La fenêtre Gestionnaire de tâches s'ouvre pour afficher la liste
des tâches, leur statut, l'heure de leur démarrage, les messages et actions associés. Utilisez
la liste déroulante Afficher pour filtrer la liste des tâches.
• Si une préférence linguistique spécifique n'a pas été définie, la langue de l'interface Web
est contrôlée par la langue actuellement utilisée par l'ordinateur qui gère le périphérique.
Par exemple, si les paramètres régionaux de l'ordinateur que vous utilisez pour gérer le
pare-feu sont en langue espagnole, lorsque vous vous connectez au pare-feu, l'interface
Web va s'afficher en espagnol.
Pour spécifier une langue qui sera toujours utilisée pour un compte donné quels que
soient les paramètres régionaux de l'ordinateur, cliquez sur l'icône Langue située dans le
coin inférieur droit de la page et la fenêtre Préférences linguistiques s'ouvre. Cliquez sur

la liste déroulante pour sélectionner la langue souhaitée, puis cliquez sur OK pour
enregistrer votre modification.
Remarque : À l'heure actuelle, le système d'aide intégré est uniquement

disponible en anglais. Pour afficher l'ensemble du contenu de l'aide dans d'autres
langues, consultez le Guide de l'administrateur Palo Alto Networks disponible à
l'adresse suivante : https://live.paloaltonetworks.com/community/documentation.
• Dans les pages affichant des informations modifiables (par exemple : la page Paramétrer
de l'onglet Périphériques), cliquez sur l'icône située dans le coin supérieur droit d'une
section pour modifier les paramètres.
• Une fois les paramètres configurés, vous devez cliquer sur OK ou Enregistrer pour
enregistrer ces modifications. Lorsque vous cliquez sur OK, la configuration « candidate »
active est mise à jour.

Validation des modifications

Cliquez sur Valider en haut de l'interface Web pour ouvrir la boîte de dialogue de validation.
Les options suivantes sont disponibles dans la boîte de dialogue de validation. Cliquez
sur le lien Avancé, le cas échéant, pour afficher les options suivantes :
– Inclure la configuration des réseaux et périphériques - Incluez les modifications de la

configuration de réseaux et de périphériques dans l'opération de validation.
– Inclure la configuration des objets partagés - (uniquement les pare-feux de systèmes

virtuels multiples) Incluez les modifications de la configuration d'objets partagés dans
l'opération de validation.
– Inclure les politiques et objets - (uniquement les pare-feux de systèmes virtuels

multiples) Incluez les modifications de la configuration des politiques et objets dans
l'opération de validation.
– Inclure la configuration des systèmes virtuels - Incluez tous les systèmes virtuels ou
choisissez Sélectionner un ou plusieurs systèmes virtuels.
Pour plus d'informations sur la validation de modifications, consultez la section

« Définition des paramètres des opérations » à la page 39.
– Prévisualiser les modifications - Cliquez sur ce bouton pour faire apparaître une
fenêtre composée de deux volets qui compare les modifications proposées dans la
configuration candidate à la configuration actuellement active. Vous pouvez choisir le
nombre de lignes de contexte à afficher ou visualiser toutes les lignes. Les
modifications sont codifiées par couleur selon que les éléments ont été ajoutés,
modifiés ou supprimés.
L'action de la fonctionnalité Périphérique > Configuration de l'audit est identique,
voir « Comparaison des fichiers de configuration » à la page 52.

Accès aux pages de configuration

Chaque section de configuration de ce guide indique le chemin d'accès au menu de la page de
configuration. Par exemple, pour accéder à la page Protection contre les vulnérabilités,
cliquez sur l'onglet Objets, puis sélectionnez Protection contre les vulnérabilités sous Profils
de sécurité dans le menu latéral. Cette action correspond au chemin d'accès suivant indiqué
dans le présent guide :
Objets > Profils de sécurité > Protection contre les vulnérabilités
Utilisation des tableaux des pages de configuration

Les tableaux des pages de configuration incluent des options permettant de trier et de
sélectionner des colonnes. Pour trier une colonne, cliquez sur son en-tête, puis cliquez dessus
une nouvelle-fois pour changer l'ordre de tri. Cliquez sur la flèche située à droite d'une
colonne et cochez les cases correspondant aux colonnes que vous souhaitez afficher.
Champs obligatoires
Les champs obligatoires ont un arrière-plan de couleur jaune clair. Un message indiquant
qu'un champ est obligatoire apparaît lorsque vous passez la souris dessus ou que vous cliquez
dans la zone de saisie du champ.
Verrouillage des transactions

L'interface Web fournit un support à plusieurs administrateurs en autorisant un
administrateur à verrouiller un ensemble actif de transactions. Ainsi, aucun autre
administrateur ne peut modifier la configuration ou valider des opérations jusqu'à
suppression de ce verrou. Les types de verrous suivants sont pris en charge :
• Verrou de configuration - Empêche d'autres administrateurs de modifier la
configuration. Ce type de verrou peut être défini globalement ou pour un système virtuel.
Seul l'administrateur l'ayant défini ou un super utilisateur du système peut le supprimer.

• Verrou de validation - Empêche d'autres administrateurs de valider des modifications

jusqu'à suppression de l'ensemble des verrous. Ce type de verrou évite des collisions
pouvant se produire lorsque deux administrateurs apportent simultanément des
modifications et que le premier administrateur termine et valide des modifications avant
que le second n'ait terminé. Le verrou est supprimé lorsque des modifications actuelles
sont validées par l'administrateur ayant appliqué le verrou. Il peut aussi être supprimé
manuellement.
N'importe quel administrateur peut ouvrir la fenêtre de verrouillage pour afficher les
transactions actuellement verrouillées, ainsi que leur horodatage respectif.
Pour verrouiller une transaction, cliquez sur l'icône déverrouillée dans la barre d'outils du
haut pour ouvrir la boîte de dialogue Verrous. Cliquez sur Utiliser un verrou, sélectionnez
son étendue dans la liste déroulante, puis cliquez sur OK. Ajoutez des verrous
supplémentaires, le cas échéant, puis cliquez sur Fermer pour fermer la boîte de dialogue
Verrous.
La transaction est verrouillée et l'icône située dans la barre d'outils du haut affiche un verrou
fermé et indique le nombre d'éléments verrouillés entre parenthèses.
Pour déverrouiller une transaction, cliquez sur l'icône affichant un verrou fermé dans la
barre d'outils du haut pour ouvrir la fenêtre Verrous. Cliquez sur l'icône du verrou que
vous voulez supprimer, puis cliquez sur Oui pour confirmer. Cliquez sur Fermer pour fermer
la boîte de dialogue Verrous.
Vous pouvez automatiquement acquérir un verrou de validation en cochant la case Acquérir
automatiquement un verrou de validation dans le champ Gestion de la page Paramétrage du
périphérique. Consultez la section « Paramétrage du système, configuration et gestion des
licences » à la page 32.
Navigateurs pris en charge

Les navigateurs Web suivants sont pris en charge pour accéder à l'interface Web du pare-feu :
• Internet Explorer 7+
• Firefox 3.6+
• Safari 5+
• Chrome 11+

Obtention d'aide sur la configuration du pare-feu

Les informations de cette section permettent d'obtenir de l'aide sur l'utilisation du pare-feu.
Obtention d'informations supplémentaires

Pour obtenir plus d'informations sur le pare-feu, consultez les éléments suivants :
• Informations générales - Visitez l'adresse suivante : http://www.paloaltonetworks.com.
• Aide en ligne - Cliquez sur Aide dans le coin supérieur droit de l'interface Web pour
accéder au système d'aide en ligne.
• Zone de collaboration d'une interaction client/partenaire pour partager des conseils,

des scripts et des signatures - Visitez l'adresse suivante : https://live.paloaltonetworks.com/
community/devcenter.
Support technique
Pour contacter le support technique, procédez comme suit :
• Visitez la communauté de support en ligne KnowledgePoint à l'adresse suivante :
http://live.paloaltonetworks.com.
• Visitez l'adresse suivante : https://support.paloaltonetworks.com.


Chapitre 3
Gestion des périphériques
Ce chapitre décrit comment procéder à la configuration et à la maintenance de base du

système du pare-feu et inclut des présentations des systèmes virtuels, de la haute disponibilité
et de la journalisation :
• « Paramétrage du système, configuration et gestion des licences » dans la section suivante
• « Comparaison des fichiers de configuration » à la page 52
• « Installation d'une licence » à la page 53
• « Mise à niveau vers une version ultérieure/antérieure du logiciel PAN-OS » à la page 53
• « Mise à jour des définitions des menaces et des applications » à la page 59
• « Rôles, profils et comptes Administrateur » à la page 60
• « Profils d'authentification » à la page 67
• « Séquence d'authentification » à la page 73
• « Profil du certificat » à la page 96
• « Journaux du pare-feu » à la page 74
• « Configuration des destinations de pièges SNMP » à la page 82
• « Configuration des serveurs Syslog » à la page 83
• « Configuration des paramètres de notification par courrier électronique » à la page 90
• « Affichage des alarmes » à la page 92
• « Configuration des paramètres de Netflow » à la page 92
• « Importation, exportation et génération de certificats de sécurité » à la page 93
• « Haute disponibilité » à la page 101
• « Systèmes virtuels » à la page 118
• « Définition des pages de réponse personnalisées » à la page 124
• « Affichage des informations de support » à la page 126
Palo Alto Networks Gestion des périphériques • 31

Paramétrage du système, configuration et gestion des licences
Paramétrage du système, configuration et gestion des

licences
Les sections suivantes décrivent comment définir les paramètres du réseau et gérer les
configurations du pare-feu :
• « Définition des paramètres de gestion » dans la section suivante
• « Définition des paramètres des opérations » à la page 39
• « Définition des paramètres des services » à la page 43
• « Définition des paramètres d'ID de contenu » à la page 46
• « Définition des paramètres de session » à la page 48
• « SNMP » à la page 50
• « Service statistiques » à la page 51
• « Installation d'une licence » à la page 53
Remarque : Reportez-vous à « Configuration de WildFire » à la page 461 pour

plus d'informations sur la configuration des paramètres de l'onglet WildFire.
Définition des paramètres de gestion

Périphérique > Configuration > Gestion
La page Configuration vous permet de configurer le pare-feu pour la gestion, les opérations,
les services, l'identification du contenu, l'analyse et la génération de rapports du logiciel
malveillant WildFire et pour le comportement de la session.
Si vous ne souhaitez pas utiliser le port de gestion, vous pouvez définir une interface en
boucle et gérer le pare-feu via l'adresse IP de l'interface en boucle (reportez-vous à
« Configuration des interfaces en boucle » à la page 155).
Exécutez l'une des opérations suivantes sur cette page :
• Pour modifier le nom d'hôte ou des paramètres du réseau, cliquez sur Modifier dans le
premier tableau de la page, puis précisez les informations suivantes.
32 • Gestion des périphériques Palo Alto Networks

Tableau 1. Paramètres de gestion

Elément Description
Paramètres généraux
Nom d'hôte Saisissez un nom d'hôte (31 caractères maximum). Le nom est sensible à
la casse et doit être unique. N'utilisez que des lettres, chiffres, espaces,
traits d'union et traits de soulignement.
Domaine Saisissez le nom de domaine complet (FQDN) du pare-feu (31 caractères
maximum).
Bannière de connexion Saisissez le texte personnalisé qui sera affiché sur la page de connexion du
pare-feu. Le texte apparaît sous les champs Nom et Mot de passe.
Fuseau horaire Sélectionnez le fuseau horaire du pare-feu.
Paramètres régionaux Sélectionnez la langue des rapports PDF dans la liste déroulante.
Reportez-vous à « Gestion de rapports de récapitulation au format PDF »
à la page 293.
Si une préférence de langue spécifique est définie pour l'interface Web, les
rapports PDF utiliseront la langue précisée dans ce paramètre régional.
Reportez-vous à la préférence de langue dans « Utilisation de l'interface
Web du pare-feu » à la page 23.
Heure Pour définir la date et l'heure sur le pare-feu, cliquez sur Définir l'heure.
Saisissez la date du jour au format (AAAA/MM/JJ) ou cliquez sur l'icône
du calendrier pour sélectionner le mois et le jour. Saisissez l'heure en
cours au format 24 heures (HH:MM:SS). Vous pouvez également définir
un serveur NTP via Périphérique > Paramétrage > Services.
Numéro de série (Panorama uniquement) Saisissez le numéro de série du pare-feu.
Emplacement Saisissez la latitude (-90,0 à 90,0) et la longitude (-180,0 à 180,0) du pare-
géographique feu.
Appliquer Appliquez automatiquement un verrou de validation lors de la
automatiquement un modification de la configuration candidate. Pour plus d'informations,
verrou de validation reportez-vous à « Verrouillage des transactions » à la page 27.
Vérification de la date Configurez le pare-feu pour qu'il renvoie des messages d'avertissement
d'expiration du certificat lors des certificats inclus sont proches de leurs dates d'expiration.
Fonction de systèmes Pour autoriser l'utilisation de plusieurs systèmes virtuels (si le modèle du
virtuels multiples pare-feu le permet), cliquez sur Modifier en regard de Fonction de
systèmes virtuels multiples en haut de la page Paramétrage. Cochez la
case, puis cliquez sur OK. Pour plus d'informations sur les systèmes
virtuels, reportez-vous à « Systèmes virtuels » à la page 118.
Paramètres
d'authentification
Profil d'authentification Sélectionnez le profil d'authentification à utiliser pour l'accès
administrateur au pare-feu. Pour obtenir des instructions sur la
configuration de profils d'authentification, reportez-vous à « Paramétrage
de profils d'authentification » à la page 67.
Profil du certificat Sélectionnez le profil du certificat à utiliser pour l'accès administrateur au
pare-feu. Pour obtenir des instructions sur la configuration de profils du
certificat, reportez-vous à « Profil du certificat » à la page 96.

Tableau 1. Paramètres de gestion (suite)

Saisissez le délai (1 à 1 440 minutes). Une valeur de 0 signifie que la
Délai d'inactivité
session de gestion, Web ou de CLI n'expire pas.
Saisissez le nombre d'échecs de tentatives de connexion autorisés pour
Tentatives échouées (n°) l'interface Web et la CLI avant le verrouillage du compte. (1 à 10, 0 par
défaut). 0 signifie qu'il n'y a aucune limite.
Saisissez le nombre de minutes pendant lesquelles un utilisateur est
verrouillé (0 à 60 minutes) si le nombre d'échecs de tentatives est atteint.
Durée de verrouillage
La valeur par défaut 0 signifie qu'il n'y a aucune limite quant au nombre
de tentatives.
Paramètres de
Panorama
Serveur Panorama Saisissez l'adresse IP de Panorama, le système de gestion centralisée de
Palo Alto Networks (le cas échéant). L'adresse du serveur est nécessaire
pour gérer le périphérique via Panorama.
Remarque : Pour supprimer des politiques distribuées par Panorama aux pare-
feux gérés, cliquez sur le lien Désactiver les politiques et objets Panorama.
Pour conserver une copie locale des politiques et objets sur votre périphérique
avant de les supprimer des Panorama, cochez la case Importer les politiques et
objets Panorama avant la désactivation dans la boîte de dialogue qui
s'affiche. Cliquez sur OK.
Remarque : lorsque vous cochez la case d'importation, les politiques et objets

sont copiés dans la configuration candidate en cours. Si vous validez cette
configuration, les politiques et objets sont inclus à votre configuration et ne sont
plus gérés par Panorama.
Pour supprimer des modèles des périphériques et réseaux, cliquez sur le lien
Désactiver les modèles des périphériques et réseaux. Pour conserver une
copie locale des modèles des périphériques et réseaux, cochez la case
Importer les modèles des périphériques et réseaux avant la désactivation
dans la boîte de dialogue qui s'affiche, puis cliquez sur OK.
Lorsque vous cochez la case d'importation, la configuration définie dans les
modèles des périphériques et réseaux est copiée dans la configuration
candidate en cours. Si vous validez cette configuration, ces éléments sont
inclus à votre configuration et ne sont plus gérés par Panorama. Les modèles
ne sont plus acceptés sur le périphérique jusqu'à ce que vous cliquiez sur
Activer les modèles des périphériques et réseaux.
Serveur 2 de Panorama Si Panorama fonctionne en mode haute disponibilité (HD), précisez le
second système Panorama inclus dans la configuration HD.
Délai d'attente en Saisissez le délai de réception des messages TCP de Panorama (1 à
réception pour 120 secondes, par défaut 20).
connexion au
périphérique
Délai d'attente à l'envoi Saisissez le délai d'envoi des communications TCP à Panorama (1 à
pour la connexion à 120 secondes, par défaut 20).
Panorama
Nombre de relances Saisissez le nombre de tentatives d'envoi de messages SSL à Panorama
pour les envois SSL à (1 à 64, par défaut 25).
Panorama


Partager les objets Cochez cette case pour partager tous les objets partagés et les objets
d'adresse et de service spécifiques à un groupe de périphériques Panorama avec les
non utilisés avec les périphériques gérés. Lorsque cette option est désactivée, les politiques
périphériques Panorama sont vérifiées pour rechercher des objets d'adresse, de groupe
(Panorama uniquement) d'adresses, de services ou de groupes de services, et les objets non
référencés ne sont pas partagés. Cette option garantit que seuls les objets
nécessaires sont envoyés aux périphériques gérés afin de limiter le
nombre total d'objets.
Priorité des objets Cochez cette case pour préciser que des objets partagés sont prioritaires
partagés sur les objets du groupe de périphériques. Cette option est un paramètre à
(Panorama uniquement) l'échelle du système et est désactivée par défaut. Lorsque cette option est
désactivée, les groupes de périphériques remplacent les objets
correspondants de même nom. Si l'option est activée (cochée), les objets
du groupe de périphériques ne peuvent pas remplacer les objets
correspondants de même nom à partir d'un emplacement partagé et tout
objet du groupe de périphériques portant le même nom d'un objet
partagé est ignoré.
Paramètres de
l'interface de gestion
Vitesse de l'interface de Configurez un débit de données et une option de duplex pour l'interface
gestion de gestion. Les choix possibles sont : 10 Mbits/s, 100 Mbits/s et 1 Gbit/s
en duplex intégral ou semi-duplex. Utilisez le paramètre de négociation
automatique par défaut pour que le pare-feu détermine la vitesse de
l'interface.
Ce paramètre doit correspondre aux paramètres de port de l'équipement
réseau voisin.
Adresse IP de l'interface Saisissez l'adresse IP du port de gestion. Vous pouvez également utiliser
de gestion l'adresse IP d'une interface en boucle pour la gestion des périphériques.
Cette adresse constitue l'adresse source de la journalisation à distance.
Masque réseau Saisissez le masque réseau de l'adresse IP, 255.255.255.0 par exemple.
Passerelle par défaut Saisissez l'adresse IP du routeur par défaut (il doit se trouver sur le même
sous-réseau que le port de gestion).
Adresse IPv6 de (Facultatif) Saisissez l'adresse IPv6 du port de gestion. Un préfixe IPv6 est
l'interface de gestion requis pour indiquer le masque réseau, par exemple 2001:400:f00::1/64.
Passerelle IPv6 par Saisissez l'adresse IPv6 du routeur par défaut (il doit se trouver sur le
défaut même sous-réseau que le port de gestion), si vous avez attribuez une
adresse IPv6 au port de gestion.
Services de l'interface de Sélectionnez les services activés sur l'adresse de l'interface de gestion
gestion précisée : HTTP, HTTPS, Telnet, Secure Shell (SSH) et/ou ping.
IP autorisée Saisissez la liste des adresses IP à partir desquelles la gestion est
autorisée.


Paramètres de
journalisation et de
génération de
rapports
Stockage du journal Précisez le pourcentage d'espace alloué à chaque type de journal sur le
disque dur.
Lorsque vous modifiez la valeur en pourcentage, l'allocation du disque
associée change automatiquement. Si le total de toutes les valeurs est
supérieur à 100 %, un message s'affiche en rouge sur la page et un
message d'erreur s'affiche lorsque vous tentez de sauvegarder les
paramètres. Dans ce cas, réajustez les pourcentages afin que le total soit
inférieur ou égal à 100 %.
Cliquez sur OK pour sauvegarder les paramètres et sur Rétablir les
valeurs par défaut pour rétablir tous les paramètres par défaut.
Remarque : Lorsqu'un journal atteint sa taille maximale, il est alors écrasé en
commençant par les entrées les plus anciennes. Si vous redimensionnez un
journal existant afin qu'il soit inférieur à sa taille actuelle, le pare-feu réduit
immédiatement le journal lorsque vous validez les modifications, en supprimant
les journaux les plus anciens en premier.
Nombre max. de lignes Saisissez le nombre maximum de ligne pris en charge pour les rapports
dans le rapport d'activité d'activité des utilisateurs détaillés (1 à 1 048 576, par défaut 65 535).
des utilisateurs
Saisissez le nombre maximum de lignes qui s'affichent dans les rapports
Nombre max. de lignes
CSV générés en cliquant sur l'icône Exporter vers un fichier CSV dans la
exportées au format CSV
vue des journaux de trafic (1 à 1 048 576, par défaut 65 535).
Nombre de versions Saisissez le nombre de versions d'audit de configuration à sauvegarder
pour l'audit de avant de supprimer les plus anciennes (par défaut 100).
configuration
Nombre de versions (Panorama uniquement) Saisissez le nombre de sauvegardes de
pour les sauvegardes de configuration à enregistrer avant de supprimer les plus anciennes (par
configuration défaut 100).


Durée de navigation Configurez cette variable afin de régler le calcul de la durée de navigation
moyenne (sec) dans le rapport d'activité des utilisateurs.
Le calcul ignore les sites classés comme des publicités Web et des réseaux
de distribution de contenu. Le calcul de la durée de navigation est basé
sur les pages de conteneur consignées dans les journaux de filtrage des
URL. Les pages de conteneur servent de base au calcul car de nombreux
sites chargent du contenu de sites externes qui ne doit pas être pris en
compte. Pour plus d'informations sur la page de conteneur, reportez-vous
à « Pages de conteneur » à la page 47.
Le paramètre de durée de navigation moyenne correspond à la durée
moyenne jugée nécessaire par l'administrateur à la navigation d'une page
Web par un utilisateur. Toute requête formulée une fois la durée de
navigation moyenne écoulée sera considérée comme une nouvelle activité
de navigation. Le calcul ignore les nouvelles pages Web chargées entre la
première requête (heure de début) et la durée de navigation moyenne. Ce
comportement a été conçu afin d'exclure des sites externes et chargés
depuis la page Web consultée.
Exemple : si la durée de navigation moyenne est définie sur 2 minutes et
qu'un utilisateur ouvre une page Web et la consulte pendant 5 minutes, la
durée de navigation de cette page sera toujours de 2 minutes. Ceci est dû
au fait qu'il est impossible de déterminer la durée de consultation d'une
page donnée par un utilisateur.
(0 à 300 secondes, par défaut 60 secondes)
Seuil de chargement de Configurez cette variable afin de régler le calcul de la durée de navigation
page (sec) dans le rapport d'activité des utilisateurs.
Cette option vous permet de régler la durée supposée de chargement des
éléments sur la page. Toute requête formulée entre le premier chargement
de page et le seuil de chargement de page est considérée comme des
éléments de la page. Toute requête formulée en dehors du seuil de
chargement de page est supposée correspondre à un clic de l'utilisateur
sur un lien dans la page.
(0 à 60 secondes, par défaut 20 secondes)
Envoyer le nom d'hôte Cochez cette case pour indiquer le nom d'hôte du périphérique dans les
(hostname) dans Syslog messages syslog.
Lorsque cette option est activée, l'en-tête des messages syslog indique le
nom d'hôte du pare-feu.
Cochez cette case si vous souhaitez que le travail via le pare-feu soit arrêté
Arrêter le trafic lorsque
lorsque la base de données des journaux est saturée (désactivée par
LogDb est saturé
défaut).
Cochez cette case si vous souhaitez qu'une entrée du journal système soit
Activer le journal sur la
générée si la charge sur le périphérique est extrêmement élevée
charge DP élevée
(désactivée par défaut).


Complexité minimale
des mots de passe
Activé Activez les exigences minimales des mots de passe pour les comptes
locaux. Cette fonction garantit que les comptes d'administrateur locaux
sur le pare-feu sont conformes à un ensemble d'exigences des mots de
passe.
Vous pouvez également créer un profil de mot de passe contenant un
sous-ensemble de ces options qui remplaceront ces paramètres et qui peut
être appliqué à des comptes spécifiques. Pour plus d'informations,
reportez-vous à « Définition des profils de mot de passe » à la page 63 et
à « Exigences relatives au nom d'utilisateur et au mot de passe » à
la page 61 pour connaître les caractères autorisés pouvant être
utilisés dans les comptes.
Remarque : la longueur maximale du mot de passe est de 31 caractères.
Lors de la définition des exigences, veillez à ne pas créer une combinaison
qui ne sera pas acceptée. Par exemple, vous ne pouvez pas définir une
exigence constituée de 10 majuscules, 10 minuscules, 10 chiffres et de
10 caractères spéciaux, alors supérieure à la longueur maximale de
31 caractères.
Remarque : si la haute disponibilité (HD) est configurée, utilisez

toujours le périphérique principal lors de la configuration des options de
complexité des mots de passe et validez immédiatement après l'apport de
modifications.
Longueur minimale La longueur minimale requise est comprise entre 1 et 15 caractères.
Nombre minimum de Le nombre minimum de lettres en majuscules est compris entre 0 et
lettres en majuscules 15 caractères.
Nombre minimum de Le nombre minimum de lettres en minuscules est compris entre 0 et
lettres en minuscule 15 caractères.
Nombre minimum de Le nombre minimum de chiffres est compris entre 0 et 15 chiffres.
chiffres
Nombre minimum de Le nombre minimum de caractères spéciaux (non alphanumériques) est

caractères spéciaux compris entre 0 et 15 caractères.
Bloquer les caractères N'autorisez pas la répétition des caractères en fonction de la valeur
récurrents spécifiée. Exemple : si la valeur est définie sur 4, le mot de passe test 2222
ne sera pas accepté mais test222 le sera (plage de 2 à 15).
Bloquer l'intégration du Cochez cette case pour empêcher l'utilisation du nom d'utilisateur du
nom d'utilisateur compte (ou une version inversée du nom) dans le mot de passe.
(inversé inclus)
Les caractères du Lorsque les administrateurs changent leurs mots de passe, les caractères
nouveau mot de passe doivent être différents de la valeur spécifiée.
sont différents
Changement de mot de Cochez cette case pour demander aux administrateurs de changer leurs
passe exigé à la première mots de passe à la prochaine connexion au périphérique.
ouverture de session


Désactiver la limite de Demandez à ce qu'un mot de passe précédent ne soit pas réutilisé en fonction
réutilisation du mot de du nombre spécifié. Exemple : si la valeur est définie sur 4, vous ne pouvez
passe pas réutiliser l'un des 4 derniers mots de passe (plage de 0 à 50).
Blocage de la période de L'utilisateur ne peut pas changer son mot de passe avant le nombre de
modification du mot de jours spécifié (0 à 365 jours).
passe (jours)
Période de modification Demandez aux administrateurs de modifier régulièrement leurs mots de
du mot de passe requise passe en fonction du nombre de jours défini, de 0 à 365 jours. Exemple : si
(jours) la valeur est définie sur 90, les administrateurs sont invités à modifier
leurs mots de passe tous les 90 jours.
Vous pouvez également définir un message d'avertissement d'expiration
de 0 à 30 jours et préciser une période de grâce.
Avertissement avant la Si une période de modification du mot de passe requise est définie, ce
date d'expiration (jours) paramètre peut être utilisé pour demander à l'utilisateur de modifier son
mot de passe à chaque connexion à mesure que la date de modification du
mot de passe requise approche (0 à 30 jours).
Connexion admin Autorisez l'administrateur à se connecter le nombre de fois indiqué une
expirée autorisée fois le compte arrivé à expiration. Exemple : si la valeur est définie sur 3 et
(nombre) que le compte a expiré, il peut se connecter 3 autres fois avant que le
compte ne soit verrouillé (0 à 3 connexions).
Période de grâce après Autorisez l'administrateur à se connecter le nombre de jours indiqué une
expiration (jours) fois le compte arrivé à expiration (0 à 30 jours).
Définition des paramètres des opérations

Périphérique > Configuration > Opérations
Lorsque vous modifiez un paramètre de configuration et que vous cliquez sur OK, la
configuration « candidate » est mise à jour, et non la configuration active. Cliquez sur Valider
en haut de la page pour appliquer la configuration candidate à la configuration active, ce qui
permet également d'activer toutes les modifications apportées à la configuration depuis la
dernière validation.
Cette méthode vous permet de passer en revue la configuration avant de l'activer. L'activation
simultanée de plusieurs modifications permet d'empêcher les états de configuration incorrects
possibles lorsque les modifications sont appliquées en temps réel.
Vous pouvez sauvegarder et répéter (restaurer) la configuration candidate aussi souvent que
vous le souhaitez et charger, valider, importer et exporter des configurations. Appuyez sur
Enregistrer pour créer une copie de la configuration candidate en cours ou choisissez Valider
pour mettre à jour la configuration active avec le contenu de la configuration candidate.
Remarque : Il est préférable de sauvegarder régulièrement les paramètres de configuration

entrés en cliquant sur le lien Enregistrer situé dans l'angle supérieur droit de l'écran.

Pour gérer les configurations, sélectionnez les fonctions de gestion de la configuration

appropriées, comme décrit dans le tableau suivant.
Tableau 2. Fonctions de gestion de la configuration

Fonction Description
Gestion de la
configuration
Valider la configuration Recherche des erreurs dans la configuration candidate.
candidate
Rétablir la dernière Restaure la dernière configuration candidate sauvegardée de la mémoire
configuration flash. La configuration candidate en cours est remplacée. Une erreur se
sauvegardée produit si la configuration candidate n'a pas été sauvegardée.
Revenir à la Restaure la dernière configuration en cours d'exécution. La configuration
configuration en cours en cours d'exécution actuelle est remplacée.
d'exécution
Sauvegarder le cliché de Enregistrer la configuration candidate dans un fichier. Saisissez un nom
la configuration de fichier ou sélectionnez un fichier existant à remplacer. Notez que le
nommée fichier de la configuration active en cours (running-config.xml) ne peut pas
être remplacé.
Sauvegarder la Enregistre la configuration candidate dans la mémoire flash (identique à
configuration candidate un clic sur Enregistrer en haut de la page).
Charger l'instantané de Charge une configuration candidate de la configuration active (running-
la configuration config.xml) ou d'une configuration précédemment importée ou
sauvegardée. Sélectionnez le fichier de configuration à charger. La
configuration candidate en cours est remplacée.
Charger la version de la Charge une version spécifiée de la configuration.
configuration
Exporter l'instantané de Exporte la configuration active (running-config.xml) ou une configuration
la configuration précédemment sauvegardée ou importée. Sélectionnez le fichier de
configuration à exporter. Vous pouvez ouvrir le fichier et/ou le
sauvegarder dans un emplacement réseau.
Exporter la version de la Exporte une version spécifiée de la configuration.
configuration

Tableau 2. Fonctions de gestion de la configuration (suite)

Exporter l'état du Cette fonction permet d'exporter la configuration et des informations
périphérique dynamiques d'un pare-feu configuré en tant que portail GlobalProtect
avec la fonction de VPN à grande échelle activée. En cas de problème sur
le portail, le fichier d'exportation peut être importé afin de restaurer la
configuration et les informations dynamiques du portail.
L'exportation contient la liste de tous les périphériques satellites gérés par
le portail, la configuration en cours d'exécution lors de l'exportation, ainsi
que toutes les informations relatives aux certificats (AC racine, serveur et
satellite).
Important : vous pouvez exécuter manuellement l'exportation de l'état du
périphérique ou créer un script d'API XML planifié afin d'exporter le
fichier sur un serveur distant. Ceci peut être exécuté régulièrement étant
donné que les certificats du satellite peuvent souvent changer.
Pour créer le fichier d'état du périphérique à partir de la CLI, en mode de
configuration, exécutez la commande save device state.
Le fichier est nommé device_state_cfg.tgz et stocké dans /opt/pancfg/
mgmt/device-state. La commande opérationnelle d'exportation du fichier
d'état du périphérique est la suivante : scp export device-state
(vous pouvez également utiliser la commande tftp export device-
state).
Pour plus d'informations sur l'utilisation de l'API XML, reportez-vous au
« PAN-OS XML-Based Rest API Usage Guide » (Guide d'utilisation de
l'API Rest XML PAN-OS » à l'adresse https://live.paloaltonetworks.com/
community/documentation.
Reportez-vous à « Déploiement d'un VPN à grande échelle avec
GlobalProtect » à la page 351.
Importer l'instantané de Importe un fichier de configuration d'un emplacement réseau. Cliquez
la configuration sur Parcourir et sélectionnez le fichier de configuration à importer.
Importer l'état du Importez les informations relatives à l'état du périphérique qui ont été
périphérique exportées à l'aide de l'option Exporter l'état du périphérique. Elles
incluent la configuration en cours d'exécution actuelle, les modèles
Panorama et les politiques partagées. Si le périphérique est un portail
GlobalProtect, l'exportation inclut les informations relatives à l'autorité de
certification (AC) ainsi que la liste des périphériques satellites et leurs
informations d'authentification.
Opérations
périphérique
Redémarrer le Pour redémarrer le pare-feu, cliquez sur Redémarrer le périphérique.
périphérique Vous êtes déconnecté et le logiciel PAN-OS et la configuration active sont
rechargés. Les sessions en cours sont également fermées et consignées, et
une entrée indiquant le nom de l'administrateur à l'origine de l'arrêt est
créée dans le journal système. Toutes les modifications apportées à la
configuration et non sauvegardées ou validées sont perdues (reportez-
vous à « Définition des paramètres des opérations » à la page 39).
Remarque : Si l'interface Web n'est pas disponible, utilisez la commande de la
CLI request restart system. Reportez-vous au Guide de référence de
l'interface de ligne de commande PAN-OS pour plus de détails.


Arrêter le périphérique Pour procéder à un arrêt progressif du pare-feu, cliquez sur Arrêter le
périphérique, puis sur Oui dans la fenêtre de confirmation. Toutes les
modifications apportées à la configuration et non sauvegardées ou
validées sont perdues. Tous les administrateurs sont déconnectés et le
processus suivant se produit :
• Toutes les sessions de connexion sont fermées.
• Les interfaces sont désactivées.
• Tous les processus du système sont arrêtés.
• Les sessions en cours sont fermées et consignées.
• Des journaux système indiquant le nom de d'administrateur à l'origine
de l'arrêt sont créés. Si cette entrée du journal ne peut pas être écrite, un
avertissement s'affiche et le système n'est pas arrêté.
• Les lecteurs de disques sont démontés de manière appropriée et le
périphérique est mis hors tension.
Vous devez débrancher la source d'alimentation puis la rebrancher avant
de remettre le périphérique sous tension.
Remarque : si l'interface Web n'est pas disponible, utilisez la commande de la
CLI request shutdown system . Reportez-vous au Guide de référence de
l'interface de ligne de commande PAN-OS pour plus de détails.
Redémarrer le panneau Pour relancer les fonctions de données du pare-feu sans redémarrer,
de données cliquez sur Redémarrer le panneau de données. Cette option n'est pas
disponible sur le modèle PA-200.
Remarque : Si l'interface Web n'est pas disponible, utilisez la commande de la
CLI request restart dataplane. Reportez-vous au Guide de référence
de l'interface de ligne de commande PAN-OS pour plus de détails.
Divers
Personnaliser les logos Utilisez cette option pour personnaliser les éléments suivants :
• Image de l'arrière-plan de l'écran de connexion
• Image de l'en-tête de l'interface utilisateur principale
• Image de la page de titre du rapport PDF. Reportez-vous à « Gestion de
rapports de récapitulation au format PDF » à la page 293.
• Image du pied de page du rapport PDF
Cliquez sur pour charger un fichier image, sur pour afficher un
aperçu ou sur pour supprimer une image précédemment chargée.
Notez les points suivants :
• Les types de fichier pris en charge sont png, gif et jpg.
• Pour rétablir le logo par défaut, supprimez votre entrée et validez.
• La taille maximale d'image d'un logo est de 128 Ko.
• Pour les options de l'écran de connexion et de l'interface utilisateur
principale, lorsque vous cliquez sur ,l''image correspond à ce qu'elle
sera réellement. Si nécessaire, l'image est automatiquement rognée.
Pour les rapports PDF, les images sont redimensionnées
automatiquement sans rognage. Dans tous les cas de figure, l'aperçu
indique les dimensions recommandées pour l'image.
Pour plus d'informations sur la génération de rapports PDF, reportez-
vous à « Gestion de rapports de récapitulation au format PDF » à la
page 293.


Réglage SNMP Précisez les paramètres SNMP. Reportez-vous à « SNMP » à la page 50.
Paramétrage du service Précisez les paramètres du service statistique. Reportez-vous à « Service
statistique statistiques » à la page 51.
Remarque : Lorsque vous cliquez sur Valider ou que vous saisissez une commande
commit de la CLI, toutes les modifications apportées via l'interface Web et la CLI
depuis la dernière validation sont activées. Pour éviter un conflit, utilisez les fonctions
de verrouillage des transactions comme décrit dans « Verrouillage des transactions » à
la page 27.
Définition des paramètres des services

Périphérique > Configuration > Services
Utilisez l'onglet Services pour définir les paramètres DNS (Domain Name System), NTP
(Network Time Protocol), des serveurs de mises à jour, serveurs proxy et de configuration de
l'itinéraire de service.
Tableau 3. Paramètres des services

Sélectionnez le type de service DNS. Ce paramètre est utilisé pour toutes
DNS les requêtes DNS provenant du pare-feu afin de prendre en charge des
objets d'adresse FQDN, la journalisation et la gestion des périphériques.
Les options incluent les suivantes :
• Serveurs DNS principal et secondaire pour la résolution du nom de
domaine
• Proxy DNS configuré sur le pare-feu
Saisissez l'adresse IP ou le nom d'hôte du serveur DNS principal. Le
Serveur DNS principal
serveur est utilisée pour les requêtes DNS provenant du pare-feu, pour
rechercher le serveur de mises à jour, résoudre des entrées DNS dans les
journaux ou pour les objets d'adresse basée sur FDQN par exemple.
Saisissez l'adresse IP ou le nom d'hôte d'un serveur DNS secondaire à
Serveur DNS secondaire
utiliser si le serveur principal n'est pas disponible (facultatif).
Saisissez l'adresse IP ou le nom d'hôte du serveur NTP principal (le cas
Serveur NTP principal échéant). Si vous n'utilisez pas de serveur NTP, vous pouvez définir
l'heure du périphérique manuellement.
Saisissez l'adresse IP ou le nom d'hôte de serveurs NTP secondaires à
Serveur NTP secondaire
utiliser si le serveur principal n'est pas disponible (facultatif).
Ce paramètre correspond à l'adresse IP ou au nom d'hôte du serveur
utilisé pour télécharger les mises à jour de Palo Alto Networks. La valeur
Serveur de mises à jour
actuelle est updates.paloaltonetworks.com. Ne modifiez le nom du
serveur que si le support technique vous demande de le faire.
Si le périphérique doit utiliser un serveur proxy pour accéder aux services
Serveur de proxy
de mises à jour Palo Alto Networks, saisissez l'adresse IP ou le nom
sécurisé
d'hôte du serveur.

Tableau 3. Paramètres des services (suite)

Port de proxy sécurisé Si vous indiquez un serveur proxy, saisissez le port.
Utilisateur de proxy Si vous indiquez un serveur proxy, saisissez le nom d'utilisateur d'accès
sécurisé au serveur.
Mot de passe de proxy Si vous indiquez un serveur proxy, saisissez et confirmer le mot de passe
sécurisé de l'utilisateur d'accès au serveur.
Confirmer le mot de
passe de proxy sécurisé
Configuration de Précisez comment le pare-feu communiquera avec les autres serveurs/
l'itinéraire de service périphériques pour la distribution des services, le DNS, la messagerie, les
mises à jour Palo Alto et NTP par exemple.
Vous pouvez sélectionner l'option « Utiliser l'interface de gestion pour tous »
pour utiliser le port de gestion intégré (MGT) pour toutes les
communications, ou définir une adresse IP source spécifique afin d'utiliser
différentes interfaces pour contrôler chaque service. Par exemple, vous
pouvez configurer l'adresse IP source spécifique d'une interface pour la
messagerie entre le pare-feu et un serveur de messagerie et utiliser une autre
adresse IP/interface source pour les mises à jour Palo Alto.
Cliquez sur Configuration de l'itinéraire de service et configurez les
options suivantes :
• Utiliser l'interface de gestion pour tous : cette option force toutes les
communications de services du pare-feu avec des serveurs externes via
l'interface de gestion (MGT). Si cette option est sélectionnée, vous devez
configurer l'interface MGT pour qu'elle permette les communications
entre le pare-feu et les serveurs/périphériques qui proposent des
services. Pour configurer l'interface MGT, accédez à Périphérique >
Configuration > Gestion et modifiez « Paramètres de l'interface de
gestion ».
• Sélectionner : choisissez cette option pour configurer le contrôle des
communications de services. Un tableau répertoriant les services
disponibles et une liste déroulante permettent de sélectionner une
adresse source s'affichent. Sélectionnez le service souhaité, puis
sélectionnez la source dans la liste déroulante Adresse source. L'adresse
source correspond à l'adresse IP attribuée à une interface qui
constituera la source du trafic. Vous n'avez pas besoin de définir
l'adresse de destination puisque celle-ci est configurée lors de la
configuration du service. Par exemple, lorsque vous définissez vos
serveurs DNS via Périphérique > Configuration > Services puis
Services, la destination des requêtes DNS est définie.

Tableau 3. Paramètres des services (suite)

Configuration de • Champs Destination et Adresse source : si un service que vous
l'itinéraire de service souhaitez acheminer n'apparaît pas dans la colonne Service, vous
(suite) pouvez utiliser les champs Destination et Adresse source pour définir
des itinéraires qui seront utilisés par d'autres services. Les services non
répertoriés incluent notamment les communications Kerberos, LDAP et
du collecteur de journaux Panorama. Vous n'avez pas besoin de saisir le
sous-réseau de l'adresse de destination.
Dans les environnements partagés, des itinéraires de service basés sur
une adresse IP de destination sont requis lorsque des services communs
nécessitent une adresse source différente. Lorsque deux utilisateurs
doivent utiliser RADIUS par exemple.
Le routage et les politiques de l'interface utilisée pour acheminer le service
doivent être configurés de manière appropriée. Par exemple, pour
acheminer des requêtes d'authentification Kerberos sur une interface autre
que le port MGT, vous devez configurer la destination et l'adresse source
dans la section à droite de la fenêtre Configuration de l'itinéraire de service
car Kerberos n'apparaît pas dans la colonne Service par défaut. Vous
pouvez, par exemple, disposer de l'adresse IP source 192.168.2.1 sur
Ethernet1/3 et la destination 10.0.0.240 pour un serveur Kerberos. Vous
devrez ajouter Ethernet1/3 à un routeur virtuel existant disposant d'un
itinéraire par défaut ou créer un nouveau routeur virtuel via Réseau >
Routeurs virtuels et ajouter des itinéraires statiques si nécessaire.
L'ensemble du trafic sur l'interface sera alors acheminé via le routeur
virtuel pour parvenir aux destinations appropriées. Dans ce cas, l'adresse
de destination est 10.0.0.240 et l'adresse IP source de l'interface Ethernet1/3
est 192.168.2.1/24.
La destination et l'adresse source obtenues de la CLI sont semblables à ce
qui suit :
PA-200-Test# show route
destination {
10.0.0.240 {
source address 192.168.2.1/24
}
Dans cette configuration, l'ensemble du trafic sur l'interface Ethernet1/3
utilise l'itinéraire par défaut défini dans le routeur virtuel et est envoyé à
l'adresse 10.0.0.240.

Définition des paramètres d'ID de contenu

Périphérique > Configuration > ID du contenu
Utilisez l'onglet ID du contenu pour définir des paramètres de filtrage des URL, de protection
des données et de pages de conteneur.
Tableau 4. Paramètres d'ID de contenu

Filtrage des URL
Délai de mise en cache Cliquez sur Modifier et saisissez le délai (en heures). Cette valeur est
de l'URL dynamique utilisée dans le filtrage des URL dynamiques afin de déterminer la durée
de conservation d'une entrée dans le cache avant d'être renvoyée du
service de filtrage des URL. Cette option s'applique au filtrage des URL
via la base de données BrightCloud uniquement. Pour plus
d'informations sur le filtrage des URL, reportez-vous à « Profils de
filtrage des URL » à la page 234.
Délai de maintien des Précisez la durée suite à une action Continuer de l'utilisateur avant que
URL celui-ci ne doive de nouveau appuyer sur Continuer pour des URL de
même catégorie (1 à 86 400 minutes, 15 minutes par défaut).
Délai de contrôle Précisez la durée suite à la saisie du mot de passe de contrôle prioritaire
prioritaire sur l'URL par administratif de l'utilisateur avant que celui-ci ne doive de nouveau saisir
l'administrateur le mot de passe de contrôle prioritaire administratif pour des URL de
même catégorie (1 à 86 400 minutes, 900 minutes par défaut).
Délai de verrouillage de Précisez la durée de verrouillage d'un utilisateur qui l'empêche d'utiliser
l'URL par le mot de passe de contrôle prioritaire administratif des URL après trois
l'administrateur échecs (1 à 86 400 minutes, 1 800 minutes par défaut).
x-forwarded-for Insérez l'en-tête X-Forwarded-For qui inclut l'adresse IP source. Lorsque
cette option est sélectionnée, le pare-feu recherche l'en-tête X-Forwarded-
For dans les en-têtes HTTP, qu'un proxy peut utiliser pour stocker
l'adresse IP source de l'utilisateur d'origine.
Le système prend la valeur et ajoute Src: x.x.x.x dans le champ Utilisateur
source des journaux des URL (où x.x.x.x correspond à l'adresse IP lue
dans l'en-tête).
Enlever x-forwarded-for Supprimez l'en-tête X-Forwarded-For qui inclut l'adresse IP source.
Lorsque cette option est sélectionnée, le pare-feu réinitialise la valeur de
l'en-tête avant de transférer la requête, et les paquets transférés ne
contiennent aucune information sur l'adresse IP source interne.
Autoriser le transfert du Cochez cette case pour permettre au pare-feu de transférer du contenu
contenu décrypté décrypté à un service externe. Par exemple, lorsque cette option est
définie, le pare-feu peut envoyer du contenu décrypté à WildFire pour
analyse. Dans les configurations à plusieurs VSYS, cette option est définie
par VSYS.

Tableau 4. Paramètres d'ID de contenu (suite)

Forçage de l'URL par
l'administrateur
Paramètres de Forçage Précisez les paramètres utilisés lorsqu'une page est bloquée par le profil
de l'URL par de filtrage des URL et que l'action Contrôle prioritaire est définie.
l'administrateur Reportez-vous à « Profils de filtrage des URL » à la page 234.
Cliquez sur Ajouter et configurez les paramètres suivants pour chaque
système virtuel que vous souhaitez configurer pour le forçage de l'URL
par l'administrateur.
• Emplacement : sélectionnez le système virtuel dans la liste déroulante
(périphériques à plusieurs VSYS uniquement).
• Mot de passe/Confirmer le mot de passe : saisissez le mot de passe que
l'utilisateur doit entrer pour contrôler la page de blocage.
• Certificat du serveur : sélectionnez le certificat du serveur à utiliser
avec les communications SSL lors de la redirection via le serveur
spécifié.
• Mode : déterminez si la page de blocage est distribuée de manière
transparente (elle semble provenir du site Web bloqué) ou si elle est
redirigée vers l'utilisateur sur le serveur spécifié. Si vous choisissez
Rediriger, saisissez l'adresse IP de redirection.
Cliquez sur pour supprimer une entrée.
Gérer la protection des Ajoutez une protection supplémentaire à l'accès aux journaux pouvant
données contenir des informations sensibles, des numéros de carte de crédit ou de
sécurité sociale par exemple.
Cliquez sur Gérer la protection des données et configurez les options
suivantes :
• Pour définir un nouveau mot de passe si un mot de passe est déjà défini,
cliquez sur Définir le mot de passe. Saisissez et confirmez le mot de
passe.
• Pour modifier le mot de passe, cliquez sur Modifier le mot de passe.
Saisissez l'ancien mot de passe, puis saisissez et confirmez le nouveau
mot de passe.
• Pour supprimer le mot de passe et les données protégées, cliquez sur
Supprimer le mot de passe.
Pages de conteneur Utilisez ces paramètres pour préciser les types d'URL qui seront suivis ou
consignés par le pare-feu en fonction du type de contenu, application/
pdf, application/soap+xml, application/xhtml+, texte/html, texte/brut
et texte/xml par exemple. Les pages de conteneur sont définies par
système virtuel que vous sélectionnez dans la liste déroulante
Emplacement. Si une page de conteneur n'est pas explicitement définie
pour un système virtuel, les types de contenu par défaut sont utilisés.
Cliquez sur Ajouter et saisissez ou sélectionnez un type de contenu.
L'ajout de nouveaux types de contenu pour un système virtuel remplace
la liste des types de contenu par défaut. Si aucun type de contenu n'est
associé à un système virtuel, la liste des types de contenu par défaut est
utilisée.

Définition des paramètres de session

Périphérique > Configuration > Session
L'onglet Session vous permet de configurer des paramètres de délai d'expiration de session et
des paramètres de session généraux tels que la protection par pare-feu du trafic IPv6 et la
revérification de la politique de sécurité sur les sessions en cours en cas de changement de la
politique.
Tableau 5. Paramètres de la session

Champ Description
Paramètres de la
session
Revérifier les sessions Cliquez sur Modifier et cochez la case Revérifier toutes les sessions après
modification de la politique de configuration.
Par exemple, supposons que Telnet a été autorisé puis défini sur Refuser
lors de la dernière validation. Le comportement par défaut s'applique à
toutes les sessions Telnet démarrées avant la validation à revérifier et à
bloquer.
ICMPv6, jeton - Taille Saisissez la taille du jeton pour la limitation des messages d'erreur
du compartiment ICMPv6. La taille du jeton est un paramètre de l'algorithme du jeton qui
contrôle la distribution en paquets des erreurs ICMPv6 (10 à
65 535 paquets, 100 par défaut).
Erreur ICMPv6 - Débit Saisisse le nombre moyen de paquets d'erreur ICMPv6 par seconde
du paquet autorisés globalement (10 à 65 535 paquets/sec, 100 par défaut). Cette
valeur s'applique à toutes les interfaces.
Jumbo frame Sélectionnez cette option pour activer la prise en charge de jumbo frame.
MTU Jumbo frame Les jumbo frames disposent d'un MTU maximum de 9 192 et sont
disponibles sur certaines plate-formes uniquement. Reportez-vous à la
fiche technique de votre modèle de pare-feu, disponible à l'adresse
http://www.paloaltonetworks.com.
Activer le pare-feu Pour activer les fonctions du pare-feu pour IPv6, cliquez sur Modifier et
IPv6 cochez la case Pare-feu IPv6.
Toutes les configurations basées sur IPv6 sont ignorées si l'option IPv6 est
désactivée.
MTU IPv6 min. pour le Vous permet de modifier le paramètre de MTU global pour le trafic traduit
réseau NAT64 en IPv6 (1 280 par défaut). La valeur par défaut est basée sur le MTU
minimum standard pour le trafic IPv6.
Vieillissement accéléré Permet d'accélérer le vieillissement des sessions inactives.
Cochez cette case pour activer le vieillissement accéléré et préciser le seuil
(en %) et le facteur d'échelle.
Lorsque la table de la session atteint le Seuil du vieillissement accéléré
(% saturé), le Facteur d'échelle du vieillissement accéléré est appliqué aux
calculs de vieillissement de toutes les sessions. La durée d'inactivité de la
session correspond à la durée d'inactivité réelle multipliée par le facteur
d'échelle. Par exemple, si un facteur d'échelle de 10 est utilisé, une session
expire normalement au bout de 3 600 secondes et non au bout de
360 secondes.

Tableau 5. Paramètres de la session (suite)

Champ Description
Délais d'expiration
de session
Délais d'expiration Précisez les détails d'expiration, en secondes, de chaque catégorie. Les
plages et valeurs par défaut sont indiquées.
Caractéristiques de
la session
Paramètres de Sélectionnez pour configurer les options de gestion des certificats du
révocation du certificat pare-feu.
de décryptage
Activer Cochez cette case pour utiliser des listes de révocation du certificat (CRL)
afin de vérifier la validité des certificats SSL.
Chaque autorité de certification (AC) de confiance gère les CRL afin de
déterminer si un certificat SSL valide (non révoqué) pour le cryptage SSL.
Le protocole OCSP (Online Certificate Status Protocol) peut également être
utilisé pour vérifier de manière dynamique l'état de révocation d'un
certificat. Pour plus d'informations sur le décryptage SSL, reportez-vous à
« Politiques de déchiffrement » à la page 218.
Délai d'attente en Précisez la durée après laquelle la requête CRL expire et l'état est considéré
réception comme inconnu (1 à 60 secondes).
Activer OCSP Cochez cette case pour utiliser OCSP afin de vérifier la validité des
certificats SSL.
Délai d'attente en Précisez la durée après laquelle les requêtes OCSP expirent et l'état est
réception considéré comme inconnu (1 à 60 secondes).
Bloquer une session si Cochez cette case si vous souhaitez bloquer les certificats ne pouvant pas
le statut du certificat être validés.
est inconnu
Bloquer une session à Cochez cette case si vous souhaitez bloquer des certificats lorsque la
l'expiration de la requête des informations du certificat arrive à expiration.
vérification du statut
du certificat
Délai d'expiration du Précisez la durée après laquelle les requêtes d'état du certificat expirent
statut du certificat (1 à 60 secondes).

SNMP
Utilisez cette page pour définir l'accès aux MIB (bases de gestion) SNMP pour SNMPv2c et
SNMPv3. Cliquez sur Réglage SNMP dans la page Configuration, puis précisez les
paramètres suivants.
Un module MIB définit tous les pièges SNMP générés par le système. Chaque journal des
événements du système est défini comme un piège SNMP indépendant avec un identifiant
d'objet (OID) propre, et les champs d'un journal des événements sont définis comme une liste
de liaison variable (varbind).
Tableau 6. Réglage SNMP

Champ Description
Emplacement physique Précisez l'emplacement physique du pare-feu.
Contact Saisissez le nom ou l'adresse de courrier électronique de la personne en
charge de la gestion du pare-feu. Ce paramètre est rapporté dans le MID
d'informations du système standard.
Utiliser les définitions Cochez cette case pour utiliser un OID unique pour chaque piège SNMP en
des pièges spécifiques fonction du type d'événement (OID par défaut sélectionné).
Version Sélectionnez la version de SNMP (V2c ou V3). Ce paramètre contrôle
l'accès aux informations MIB. V2c est sélectionné par défaut avec la chaîne
de communauté « public ».
Pour V2c, configurez le paramètre suivant :
• Chaîne de communauté SNMP : saisissez la chaîne de communauté
SNMP d'accès au pare-feu (public par défaut).
Pour V3, configurez les paramètres suivants :

• Vues : cliquez sur Ajouter et configurez les paramètres suivants :
– Nom : donnez un nom à un groupe de vues.
– Vue : donnez un nom à une vue.
– OID : précisez l'identifiant d'objet (OID) (1.2.3.4 par exemple).
– Option : choisissez si l'OID doit être inclus ou exclus de la vue.
– Masque : précisez une valeur de masque pour un filtre sur l'OID au
format hexadécimal (par exemple, 0xf0).
• Utilisateurs : cliquez sur Ajouter et configurez les paramètres suivants :
– Utilisateurs : précisez un nom d'utilisateur.
– Vue : précisez le groupe de vues de l'utilisateur.
– Mot de passe d'authentification : précisez le mot de passe
d'authentification de l'utilisateur (8 caractères minimum,
256 caractères maximum et sans restriction de caractère). Tous les
caractères sont autorisés). Seul l'algorithme SHA (Secure Hash
Algorithm) est pris en charge.
– Mot de passe privé : précisez le mot de passe de cryptage de
l'utilisateur (8 caractères minimum, 256 caractères maximum et sans
restriction de caractère). Seule la norme AES (Advanced Encryption
Standard) est prise en charge.

Service statistiques
La fonction Service statistiques permet au pare-feu d'envoyer des informations anonymes sur
l'application, la menace et la panne à l'équipe de recherche Palo Alto Networks. Les
informations ainsi collectées permettent à l'équipe de recherche d'améliorer les performances
des produits Palo Alto Networks grâce à des informations réelles. Ce service est désactivé par
défaut et, lorsqu'il est activé, les informations sont chargées toutes les 4 heures.
Vous pouvez permettre au pare-feu d'envoyer les types d'informations suivants :

• Rapports de menaces et d'applications
• Rapports d'applications inconnues
• Rapports des URL
• Traces des pannes du périphérique
Pour consulter un exemple de contenu d'un rapport statistique à envoyer, cliquez sur l'icône
de rapport .L'onglet Exemple de rapport s'affiche et présente le code du rapport. Pour
afficher un rapport, cochez la case en regard du rapport souhaité, puis cliquez sur l'onglet
Exemple de rapport.

Comparaison des fichiers de configuration
Comparaison des fichiers de configuration

Périphérique > Audit de configuration
Vous pouvez afficher et comparer des fichiers de configuration à l'aide de la page Audit de
configuration. Dans les listes déroulantes, sélectionnez les configurations à comparer.
Sélectionnez le nombre de lignes que vous souhaitez inclure comme contexte, puis cliquez
sur OK.
Le système présente les configurations et met en évidence les différences, comme dans la
figure suivante.
La page inclut également les boutons et en regard des listes déroulantes et qui sont
activés lors de la comparaison de deux versions de configuration consécutives. Cliquez
sur pour modifier les configurations comparées avec les ensembles de configurations
stockées précédents et sur pour modifier les configurations comparées avec les ensembles
de configurations stockées suivants.
Figure 1. Comparaison des configurations
Panorama sauvegarde automatiquement tous les fichiers de configuration validés sur chaque
pare-feu géré, que les modifications soient apportées via l'interface Panorama ou localement
sur le pare-feu.

Installation d'une licence
Installation d'une licence

Périphérique > Licences
Lorsque vous souscrivez à un abonnement auprès de Palo Alto Networks, vous recevez un
code d'autorisation pour activer une ou plusieurs clés de licence.
Pour activer une licence de fournisseur d'URL pour le filtrage des URL, vous devez installer la
licence, télécharger la base de données, puis cliquer sur Activer.
Les fonctions suivantes sont disponibles dans la page Licences :
• Pour activer des licences pour le filtrage des URL, cliquez sur Activer.
• Pour activer des abonnements souscrits qui requièrent un code d'autorisation et qui ont
été activés sur le portail de support, cliquez sur Récupérer les clés de licence auprès du
serveur de licences.
• Pour activer des abonnements souscrits qui requièrent un code d'autorisation et qui ont
été précédemment activés sur le portail de support, cliquez sur Activer la fonction à
l'aide du code d'autorisation. Saisissez votre code d'autorisation, puis cliquez sur OK.
• Si le pare-feu ne parvient pas à se connecter au serveur de licences et que vous charger

manuellement des clés de licence, procédez comme suit :
a. Obtenez un fichier de clés de licence à l'adresse http://support.paloaltonetworks.com.
b. Enregistrez localement le fichier de clés de licence.
c. Cliquez sur Clé de licence téléchargée manuellement, sur Parcourir, sélectionnez le

fichier, puis cliquez sur OK.
Informations importantes à prendre en compte lors de l'installation d'une licence

Si vous ne parvenez pas à activer le filtre des URL à l'aide de l'interface Web, des commandes
de la CLI sont possibles. Reportez-vous au Guide de référence de l'interface de ligne de commande
PAN-OS pour plus d'informations.
Mise à niveau vers une version ultérieure/antérieure du

logiciel PAN-OS
Périphérique > Logiciel
Pour mettre à niveau vers une nouvelle version du logiciel PAN-OS, vous devez consulter les
dernières versions du logiciel PAN-OS disponibles auprès de Palo Alto Networks, lire les
notes de version de chaque version, puis sélectionner la version que vous souhaitez
télécharger et installer (une licence est requise).
Exécutez l'une des opérations suivantes sur la page Logiciel :
• Cliquez sur Rafraîchir pour connaître les dernières versions logicielles disponibles auprès
de Palo Alto Networks.

Mise à niveau vers une version ultérieure/antérieure du logiciel PAN-OS
• Cliquez sur Notes de version pour consulter une description des modifications apportées
dans une version et pour connaître le chemin de migration pour l'installation du logiciel.
Vous ne pouvez pas ignorer une version de fonctions et une image de base doit être
téléchargée avant de mettre à niveau d'une version de fonctions vers une version de
maintenance d'une version de fonctions supérieure. Ceci est dû au fait que la version de
maintenance ne contient pas le build logiciel complet mais uniquement les modifications
apportées depuis la version d'image de base. L'image de base est donc nécessaire pour
pouvoir mettre à niveau. Par exemple, si vous mettez à niveau de 4.0.12 vers 4.1.7, vous
devez télécharger l'image de base 4.1.0 (sans l'installer). La mise à niveau de la version de
maintenance 4.1.7 pourra alors accéder aux fichiers de l'image de base 4.1.0. Si vous
souhaitez mettre à niveau d'une version vers deux versions de fonctions supérieures,
vous devez mettre à niveau vers chaque version de fonctions. Par exemple, si vous
souhaitez mettre à niveau de 4.0 vers 5.0, vous devez mettre à niveau de 4.0 vers 4.1, puis
de 4.1 vers 5.0.
Vous pouvez supprimer les fichiers de l'image de base une fois la mise à niveau terminée,
mais ceci n'est pas recommandé car vous aurez besoin de l'image de base lors de la mise à
niveau vers la version de maintenance suivante. Vous ne souhaiterez peut-être supprimer
que l'image de base de versions antérieures pour lesquelles une mise à niveau ne sera pas
nécessaire. Par exemple, si vous utilisez la version 4.1, vous n'avez probablement pas
besoin des images de base des versions 3.1 et 4.0 sauf si vous envisagez d'effectuer une
mise à niveau antérieure vers ces versions.
• Cliquez sur Télécharger pour installer une nouvelle version à partir du site de
téléchargement. Une fois le téléchargement terminé, une coche s'affiche dans la colonne
Téléchargé. Pour installer une version téléchargée, cliquez sur Installer en regard de la
version.
Pendant l'installation, il vous êtes demandé de redémarrer une fois l'installation terminée.
Une fois l'installation terminée, vous êtes déconnecté lorsque le pare-feu est redémarré.
Le pare-feu est redémarré si cette option a été sélectionnée.
Lors d'une mise à niveau vers une version de fonctions (dans laquelle le premier ou le
second chiffre de la version PAN-OS change, par exemple 4.0 vers 4.1 ou 4.1 vers 5.0), un
message indiquant que vous êtes sur le point de procéder à une mise à niveau de version
de fonctions s'affiche lorsque vous cliquez sur Installer. Veillez à sauvegarder votre
configuration en cours puisqu'une version de fonctions peut migrer certaines
configurations afin d'accueillir de nouvelles fonctions. Reportez-vous à « Mise à niveau
vers une version antérieure du logiciel PAN-OS » à la page 56.
• Cliquez sur Charger pour installer une version préalablement stockée sur votre PC.
Recherchez et sélectionnez le module logiciel, puis cliquez sur Installer depuis le fichier.
Choisissez le fichier que vous venez de sélectionner dans la liste déroulante, puis cliquez
sur OK pour installer l'image.
• Cliquez sur l'icône Supprimer pour supprimer une version obsolète.
Points importants relatifs à la mise à niveau du logiciel PAN-OS

• Lors d'une mise à niveau depuis une version antérieure de PAN-OS, suivez le chemin
recommandé pour accéder à la dernière version, comme décrit dans les notes de version.
• Lors de la mise à niveau d'une paire Haute disponibilité (HD) vers une version de
fonctions (dans laquelle le premier ou le second chiffre de la version PAN-OS change, par
exemple 4.0 vers 4.1 ou 4.1 vers 5.0), la configuration peut être migrée pour accueillir de

nouvelles fonctions. Si la synchronisation de la session est activée, les sessions ne sont pas
synchronisées si un périphérique du cluster comporte une autre version de fonctions de
PAN-OS.
• Les paramètres de date et d'heure du pare-feu doivent être à jour. Le logiciel PAN-OS est
signé numériquement et la signature est vérifiée par le périphérique avant l'installation
d'une nouvelle version. Si le paramètre de la date du pare-feu n'est pas à jour, le
périphérique peut interpréter que la signature du logiciel est incorrecte et affiche le
message suivant :
Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into
PAN software manager.
Mise à niveau de PAN-OS dans une configuration haute

disponibilité
Cette section fournit des informations sur la mise à niveau du logiciel PAN-OS dans une
configuration haute disponibilité (HD) en mode active/passive et active/active.
Si la synchronisation de la session est activée, les sessions ne sont pas synchronisées si un
périphérique du cluster comporte une autre version de fonctions de PAN-OS. Si une
continuité de la session est requise, vous devez autoriser temporairement non-syn-tcp lors de
la régénération de la table de la session.
Pour plus d'informations sur les configurations Haute disponibilité (HD), reportez-vous à
« Haute disponibilité » à la page 101. Pour connaître l'état général de votre configuration HD,
accédez à l'onglet Tableau de bord et affichez le widget Haute disponibilité. Si le widget
n'apparaît pas, cliquez sur la liste déroulante de liens Widgets et sélectionnez Système >
Haute disponibilité.
La procédure suivante suppose que vous procéder à une mise à niveau vers une nouvelle
version de fonctions. Les mêmes procédures peuvent être utilisées pour une version de
maintenance mais, dans ce cas, si la synchronisation de la session est activée, ce processus
n'est pas interrompu lorsque les deux périphériques sont opérationnels. De plus, la version de
maintenance de révision supérieure dans la paire ne devient pas inopérationnelle comme c'est
le cas pour une version de fonctions.
Pour mettre à niveau une paire HD vers une nouvelle version de fonctions :
Remarque : Les modes active/passive et active/active s'appliquent indifféremment

dans la procédure suivante, seule la terminologie varie. En mode active/passive,
vous disposez d'un périphérique actif et d'un périphérique passif. En mode active/
active, vous disposez d'un périphérique actif principal et d'un périphérique actif
secondaire, et les deux périphériques transmettent du trafic lorsque le cluster est
opérationnel.
1. Lisez « Mise à niveau vers une version ultérieure/antérieure du logiciel PAN-OS » à la

page 53 pour obtenir des informations générales et des remarques importantes sur le
processus de mise à niveau.
2. Effectuez une sauvegarde du fichier de configuration actuel sur les deux périphériques en
accédant à Périphérique > Configuration > Opérations et en sélectionnant Exporter
l'instantané de la configuration, sélectionnez le fichier running-config.xml, puis cliquez
sur OK pour sauvegarder le fichier de configuration sur votre ordinateur.

3. Mettez à niveau le pare-feu passif/actif secondaire (périphérique B) vers la nouvelle

version de fonctions de PAN-OS, puis redémarrez pour terminer l'installation. Une fois
redémarré, le périphérique est opérationnel tant que le périphérique A (actif/actif
principal) est suspendu.
Si la synchronisation de la session est activée, vous pouvez exécuter la commande
opérationnelle set session tcp-reject-non-syn no. La table de la session est alors
régénérée et les sessions actives avant la mise à niveau continuent. Lorsque les deux
périphériques comportent la même version de fonctions, exécutez la commande set
session tcp-reject-non-syn yes pour activer cette option.
En mode active/passive, si l'option Préemptif est configurée, le périphérique passif actuel
redevient actif une fois la synchronisation de l'état terminée.
4. Suspendez le pare-feu actif/actif principal (périphérique A), le pare-feu passif/actif

secondaire (périphérique B) devient alors opérationnel. A ce stade, la synchronisation de
la session s'arrête car les deux périphériques ne comportent pas la même version de
fonctions de PAN-OS. Vérifiez que le périphérique B est opérationnel et qu'il transmet du
trafic avant de poursuivre la mise à niveau sur le périphérique A.
5. Mettez à niveau le périphérique A vers la nouvelle version de PAN-OS, puis redémarrez

le périphérique pour terminer l'installation. Une fois le périphérique A restauré, toutes les
fonctions HD doivent reprendre, notamment la synchronisation de la session.
Si vous n'autorisez pas non-syn-tcp comme indiqué dans Etape 3, rétablissez en exécutant
la commande set session tcp-reject-non-syn yes.
6. Vérifiez que le périphérique actif transmet du trafic en accédant à Surveillance > Navigateur
de session ou en exécutant la commande show session all à partir de la CLI.
Vous pouvez également vérifier l'état de la HD sur le périphérique en exécutant la commande
show high-availability all | match reason. S'il s'agit d'une configuration active/
active, vérifiez que les deux périphériques transmettent du trafic.
Pour vérifier la synchronisation de la session, exécutez la commande show high-
availability interface ha2. Dans la table « Hardware Interface counters read from
CPU », vérifiez que les compteurs sont incrémentés. Dans une configuration active/passive,
seul le périphérique actif affiche les paquets transmis, le périphérique passif affiche les
paquets reçus. En mode active/active, les paquets reçus et les paquets transmis s'affichent sur
les deux périphériques.
Mise à niveau vers une version antérieure du logiciel PAN-OS

Si vous devez mettre à niveau le logiciel PAN-OS vers une version antérieure, suivez une
procédure différente en fonction du type de version de PAN-OS (fonctions ou maintenance).
Dans une version de fonctions (dans laquelle le premier ou le second chiffre de la version
PAN-OS change, par exemple 4.0 vers 4.1 ou 4.1 vers 5.0), la configuration peut être migrée
pour accueillir de nouvelles fonctions. Vous ne devez donc mettre à niveau vers une version
antérieure que si vous restaurez également la configuration de la version précédente. Il est
possible de mettre à niveau vers une version de maintenance antérieure sans restaurer la
configuration.
• « Mise à niveau vers une version de maintenance antérieure » dans la section suivante
• « Mise à niveau vers une version des fonctions antérieure » à la page 57

ATTENTION : Il est recommandé de mettre à niveau vers une version

antérieure dans une configuration correspondant à la version du logiciel.
Un logiciel et des configurations différents peuvent entraîner un échec de la
mise à niveau vers une version antérieure, voire le passage du système en
mode de maintenance. Ceci s'applique uniquement à une mise à niveau
antérieure d'une version de fonctions vers une autre, et non entre des
versions de maintenance.
Si vous rencontrez des problèmes lors d'une mise à niveau antérieure, vous
devrez peut-être passer en mode de maintenance et rétablir les paramètres
d'usine par défaut du périphérique, puis restaurer la configuration à l'aide
du fichier de configuration d'origine exporté avant la mise à niveau.
Mise à niveau vers une version de maintenance antérieure

Une version de maintenance se distingue par un changement du troisième chiffre dans le
numéro de version (4.1.4 vers 4.1.5 ou 5.0.0 vers 5.0.1). Lorsque vous mettez à niveau d'une
version de maintenance vers une autre, aucune fonction ne change et vous ne devez donc pas
restaurer la configuration pendant la mise à niveau antérieure.
Pour mettre à niveau vers une version de maintenance antérieure :

1. Effectuez une sauvegarde du fichier de configuration actuel en accédant à Périphérique >
Configuration > Opérations et en sélectionnant Exporter l'instantané de la
configuration, sélectionnez le fichier running-config.xml, puis cliquez sur OK pour
sauvegarder le fichier de configuration. Cette sauvegarde peut être utilisée pour restaurer
la configuration en cas de problème pendant la mise à niveau antérieure et si vous devez
procéder à une réinitialisation.
2. Accédez à Périphérique > Logiciel. La page des logiciels répertoriant toutes les versions
de PAN-OS pouvant être téléchargées ou déjà téléchargées s'affiche.
3. Pour mettre à niveau vers une version de maintenance antérieure, cliquez sur Installer
dans la colonne Action de la version souhaitée. Si la version que vous souhaitez utiliser
indique Télécharger, cliquez sur le lien Télécharger pour récupérer le module logiciel,
puis cliquez sur Installer.
4. Une fois PAN-OS mis à niveau vers une version antérieure, cliquez sur OK pour
redémarrer le périphérique afin d'activer la nouvelle version.
Mise à niveau vers une version des fonctions antérieure

Une version de fonctions se distingue par un changement du premier ou du deuxième chiffre
dans le numéro de version (4.0 vers 4.1 ou 4.1 vers 5.0). Lorsque vous mettez à niveau d'une
version de fonctions vers une autre, la configuration peut changer pour accueillir les nouvelles
fonctions. Vous devrez alors restaurer la sauvegarde de votre configuration créée avant la
mise à niveau vers une version de fonctions du périphérique. Depuis PAN-OS 4.1, cette
sauvegarde est automatiquement créée lorsque d'une mise à niveau vers une version de
fonctions.

Pour mettre à niveau vers une version de fonctions antérieure :

Remarque : Notez que cette procédure restaure la configuration du
périphérique active avant la mise à niveau vers une version de fonctions.
Toutes les modifications apportées depuis cette mise à niveau seront
perdues. Il convient donc de sauvegarder votre configuration actuelle au
cas où vous souhaiteriez restaurer ces modifications dans la dernière
version.
1. Effectuez une sauvegarde du fichier de configuration actuel en accédant à Périphérique >

Configuration > Opérations et en sélectionnant Exporter l'instantané de la
configuration, sélectionnez le fichier running-config.xml, puis cliquez sur OK pour
sauvegarder le fichier de configuration. Cette sauvegarde peut être utilisée pour restaurer
la configuration en cas de problème pendant la mise à niveau antérieure et si vous devez
procéder à une réinitialisation.
2. Pour mettre à niveau vers une version de fonctions antérieure, vous devez rechercher la
version de fonctions précédente en accédant à Périphérique > Logiciel et en parcourant la
page qui contient la version. Reportez-vous à Figure 2.
3. Cliquez sur Installer dans la colonne Action de la version de fonctions. Si la version que
vous souhaitez utiliser indique Télécharger, cliquez sur le lien Télécharger pour
récupérer le module logiciel, puis cliquez sur Installer.
4. Une invite vous permettant de sélectionner une configuration qui sera utilisée après le
redémarrage du périphérique s'affiche. Dans la plupart des cas, et s'agissant d'une mise à
niveau vers une version de fonctions antérieure, vous souhaiterez sélectionner la
configuration sauvegardée automatiquement créée lors de la mise à niveau vers la
version de fonctions suivantes du périphérique. Par exemple, si vous exécutez PAN-OS
5.0 et que vous souhaitez mettre à niveau vers la version antérieure PAN-OS 4.1, cliquez
sur Installer dans la colonne Action puis, dans la liste déroulante Sélectionner un fichier
de configuration à déclasser, sélectionnez autosave-4.1.0 comme illustré dans la Figure 2.
Figure 2. Mise à niveau vers une version de fonctions antérieure

Mise à jour des définitions des menaces et des applications
5. Une fois PAN-OS installé, cliquez sur OK pour redémarrer le périphérique afin d'activer
la nouvelle version. La version de fonction sélectionnée de PAN-OS et la configuration
sont alors activées.
Remarque : Pour les versions antérieures à 4.1, vous devrez peut-être procéder à
une réinitialisation et restaurer le périphérique. Par exemple, une mise à niveau
antérieure de 4.0 vers 3.1.
Mise à jour des définitions des menaces et des

applications
Périphérique > Mises à jour dynamiques
Palo Alto Networks publie régulièrement des mises à jour avec des définitions d'applications
nouvelles ou révisées, des informations sur les dernières menaces de sécurité telles que des
signatures antivirus (licence de protection contre les menaces requise), des critères de filtrage
des URL, des mises à jour de données GlobalProtect et des signatures WildFire (abonnement à
WildFire requis). Vous pouvez consulter les dernières mises à jour, lire les notes de version de
chaque mise à jour, puis sélectionner la mise à jour que vous souhaitez télécharger et installer.
Vous pouvez également rétablir la version précédemment installée d'une mise à jour.
Exécutez l'une des fonctions suivantes sur cette page :

• Cliquez sur Vérifier maintenant pour obtenir les dernières informations de Palo Alto
Networks.
• Cliquez sur Installer dans la colonne Action pour mettre à jour vers cette version.
• Cliquez sur Rétablir en regard d'une version pour revenir à cette version.
• Cliquez sur Notes de version pour consulter une description d'une mise à jour.
• Cliquez sur Charger pour installer un fichier préalablement stocké sur votre PC.
Recherchez et sélectionnez le fichier, puis cliquez sur Installer depuis le fichier.
Choisissez le fichier que vous venez de sélectionner dans la liste déroulante, puis cliquez
sur OK pour installer.
• Cliquez sur le lien Calendrier pour planifier des mises à jour automatiques. Précisez la
fréquence et la durée des mises à jour, et si la mise à jour sera téléchargée et installée ou
téléchargée uniquement. Si vous sélectionnez Télécharger uniquement, vous pouvez
installer la mise à jour téléchargée en cliquant sur le lien Installer dans la colonne Action
de la page Mises à jour dynamiques. Lorsque vous cliquez sur OK, la mise à jour est
planifiée. Aucune validation n'est requise. Vous pouvez également préciser la persistance
du contenu (en heures) pour l'action à exécuter et si le chargement doit être synchronisé
avec des pare-feux homologues.

Rôles, profils et comptes Administrateur

Le pare-feu prend en charge les options suivantes pour authentifier des utilisateurs
administrateurs qui tentent de se connecter au périphérique :
• Base de données locale : les informations de connexion et de mot de passe utilisateur sont
saisies directement dans la base de données du pare-feu.
• RADIUS : les serveurs Remote Authentication Dial In User Service (RADIUS) existants
sont utilisés pour authentifier les utilisateurs.
• LDAP : les serveurs Lightweight Directory Access Protocol (LDAP) existants sont utilisés
pour authentifier les utilisateurs.
• Kerberos : les serveurs Kerberos existants sont utilisés pour authentifier les utilisateurs.
• Certificat du client : les certificats du client existants sont utilisés pour authentifier les
utilisateurs.
Lorsque vous créez un compte administratif, vous précisez l'authentification locale ou le

certificat du client (pas de profil d'authentification) ou un profil d'authentification (RADIUS,
LDAP, Kerberos ou base de données locale). Ce paramètre détermine comment
l'authentification de l'administrateur est vérifiée.
Les rôles administrateur déterminent les fonctions que l'administrateur est autorisé à exécuter
après sa connexion. Vous pouvez attribuer des rôles à un compte d'administrateur
directement ou définir des profils du rôle qui précisent des privilèges détaillés, puis les
attribuer aux comptes d'administrateur.
Reportez-vous aux sections suivantes pour plus d'informations :
• Pour obtenir des instructions sur la configuration des profils d'authentification, reportez-
vous à « Paramétrage de profils d'authentification » à la page 67.
• Pour obtenir des instructions sur la configuration des profils de rôle, reportez-vous à
« Définition des rôles Administrateur » à la page 62.
• Pour obtenir des instructions sur la configuration des comptes d'administrateur, reportez-
vous à « Création de comptes administratifs » à la page 64.
• Pour plus d'informations sur les réseaux privés virtuels (VPN) SSL, reportez-vous à
« Configuration de GlobalProtect » à la page 365.
• Pour obtenir des instructions sur la définition de domaines de système virtuel pour les
administrateurs, reportez-vous à « Précision des domaines d'accès des administrateurs »
à la page 66.
• Pour obtenir des instructions sur la définition de profils du certificat pour les
administrateurs, reportez-vous à « Profil du certificat » à la page 96.

Exigences relatives au nom d'utilisateur et au mot de passe

Le tableau suivant répertorie les caractères valides pouvant être utilisés dans les noms
d'utilisateurs et les mots de passe des comptes PAN-OS et Panorama.
Remarque : Les restrictions suivantes s'appliquent à PAN-OS 3.1 et
ultérieures.
Tableau 7 Caractères valides des noms d'utilisateurs et mots de passe

Type de compte Restrictions
Jeu de caractères Aucune restriction ne s'applique aux jeux de caractères des mots de passe.
du mot de passe
Admin distant, Les caractères suivants ne sont pas autorisés dans le nom d'utilisateur :
VPN SSL ou portail • Apostrophe inversée (`)
captif
• Symbole inférieur et supérieur (< et >)
• Perluète (&)
• Astérisque (*)
• a commercial (@)
• Point d'interrogation (?)
• Barre verticale (|)
• Barre oblique inverse (\)
• Point-virgule (;)
• Guillemet droit (")
• Dollar ($)
• Parenthèses ( '(' et ')' )
• Point (':')
Comptes Les caractères suivants sont autorisés dans les noms d'utilisateurs locaux :
d'administrateur • A commercial (@)
locaux
• Caret (^)
• Crochet ouvrant ([)
• Minuscules (a-z)
• Majuscules (A-Z)
• Chiffres (0-9)
• Trait de soulignement (_)
• Point (.)
• Trait d'union (-)
• Crochet fermant (])
• Plus (+)
• Dollar ($)

Remarque : Le système n'applique aucune restriction au jeu de caractères des

pages de réponse.
Définition des rôles Administrateur

Périphérique > Rôles admin
Utilisez la page Rôles admin pour définir des profils de rôle qui déterminent l'accès et les
responsabilités disponibles pour les utilisateurs administrateurs. Pour obtenir des instructions
sur l'ajout de comptes d'administrateur, reportez-vous à « Création de comptes
administratifs » à la page 64.
Il existe également trois rôles d'administrateur prédéfinis que vous pouvez utiliser pour
disposer de critères communs. Vous utilisez tout d'abord le rôle Super utilisateur pour la
configuration initiale du périphérique et pour créer les comptes d'administrateur de
l'administrateur de sécurité, de l'administrateur d'audit et de l'administrateur
cryptographique. Une fois les comptes créés et les critères communs aux rôles
d'administrateurs appropriés appliqués, vous pouvez alors vous connecter à l'aide de ces
comptes. Le compte Super utilisateur par défaut en mode FIPS ou CC est admin avec le mot
de passe par défaut paloalto. En mode d'utilisation standard, le compte par défaut est admin
et le mot de passe admin. Les rôles d'administrateurs prédéfinis sont créés sans fonction de
chevauchement, à l'exception près qu'ils disposent tous d'un accès en lecture seule à la piste
de vérification (sauf l'administrateur d'audit qui dispose d'un accès en lecture/suppression
complet). Ces rôles d'administrateurs ne peuvent pas être modifiés et sont définis comme
suit :
• auditadmin : l'administrateur d'audit est responsable de la révision régulière des données
d'audit du pare-feu.
• cryptoadmin : l'administrateur cryptographique est responsable de la configuration et de

la maintenance des éléments cryptographiques liés à l'établissement de connexions
sécurisées avec le pare-feu.
• securityadmin : l'administrateur de la sécurité est responsable de toutes les autres tâches

administratives (la création de la politique de sécurité du pare-feu par exemple) non
exécutées par les deux autres rôles d'administrateurs.

Tableau 8. Paramètres du rôle d'administrateur

Champ Description
Nom Donnez un nom pour identifier ce rôle administrateur (31 caractères
maximum). Le nom est sensible à la casse et doit être unique. N'utilisez
que des lettres, chiffres, espaces, traits d'union et traits de soulignement.
Description Saisissez une description du rôle (facultatif) (255 caractères maximum).
Rôle Sélectionnez la portée générale de la responsabilité administrative dans la
liste déroulante.
Webui Cliquez sur les icônes des zones précisées pour indiquer le type d'accès
autorisé
pour l'interface Web :
• Accès en lecture/écriture à la page indiquée.
• Accès en lecture seule à la page indiquée.
• Pas d'accès à la page indiquée.
Rôle CLI Sélectionnez le type du rôle d'accès de la CLI :
• Désactiver : l'accès à la CLI du périphérique n'est pas autorisé.
• Super utilisateur : accès complet au périphérique actuel.
• Super lecteur : accès en lecture seule au périphérique actuel.
• Deviceadmin : accès complet à un périphérique sélectionné, sauf pour
la définition de nouveaux comptes ou systèmes virtuels.
• Devicereader : accès en lecture seule à un périphérique sélectionné.
Définition des profils de mot de passe

Périphérique > Profils de mot de passe
Les profils de mot de passe vous permettent de définir des exigences relatives aux mots de
passe de base pour un compte local. Si vous activez le paramètre Complexité minimale des
mots de passe, qui fournit des exigences de mot de passe pour tous les comptes locaux, ce
profil de mot de passe remplace ces paramètres. Reportez-vous à « Complexité minimale des
mots de passe » à la page 38 pour plus d'informations et à « Exigences relatives au nom
d'utilisateur et au mot de passe » à la page 61 pour connaître les caractères autorisés pouvant
être utilisés dans les comptes.
Pour appliquer un profil de mot de passe à un compte, accédez à Périphérique >
Administrateurs, sélectionnez un compte, puis choisissez le profil dans la liste déroulante
Profil de mot de passe.

Tableau 9 Paramètres du profil de mot de passe

Champ Description
Donnez un nom pour identifier le profil de mot de passe (31 caractères
Nom maximum). Le nom est sensible à la casse et doit être unique. N'utilisez que
des lettres, chiffres, espaces, traits d'union et traits de soulignement.
Demandez aux administrateurs de modifier régulièrement leurs mots de passe
Période de en fonction du nombre de jours défini, de 0 à 365 jours. Exemple : si la valeur
modification du est définie sur 90, les administrateurs sont invités à modifier leurs mots de
mot de passe passe tous les 90 jours.
requise (jours) Vous pouvez également définir un message d'avertissement d'expiration de 0
à 30 jours et préciser une période de grâce.
Si une période de modification du mot de passe requise est définie, ce
Avertissement
paramètre peut être utilisé pour demander à l'utilisateur de modifier son mot
avant la date
de passe à chaque connexion à mesure que la date de modification du mot de
d'expiration (jours)
passe requise approche (0 à 30 jours).
Période de grâce Autorisez l'administrateur à se connecter le nombre de jours indiqué une fois
après expiration son compte arrivé à expiration (0 à 30 jours).
(jours)
Autorisez l'administrateur à se connecter le nombre de fois indiqué une fois
Connexion admin
son compte arrivé à expiration. Exemple : si la valeur est définie sur 3 et que le
expirée autorisée
compte a expiré, il peut se connecter 3 autres fois avant que le compte ne soit
(nombre)
verrouillé (0 à 3 connexions).
Création de comptes administratifs

Périphérique > Administrateurs
Les comptes d'administrateur contrôlent l'accès au pare-feu. Chaque administrateur peut

disposer d'un accès complet ou en lecture seule à un périphérique ou à un système virtuel
d'un périphérique. Le compte admin prédéfini dispose d'un accès complet.
Les options d'authentification suivantes sont prises en charge :
• Authentification par mot de passe : l'utilisateur saisit un nom d'utilisateur et un mot de
passe pour se connecter. Aucun certificat n'est requis.
• Authentification du certificat du client (Web) : si vous cochez cette case, un nom

d'utilisateur et un mot de passe ne sont pas requis ; le certificat suffit pour authentifier
l'accès au pare-feu.
• Authentification des clés publiques (SSH) : l'utilisateur peut générer une paire de clés
publique/privée sur la machine qui doit accéder au pare-feu, puis charger la clé publique
sur le pare-feu pour permettre un accès sécurisé sans que l'utilisateur ne saisisse un nom
d'utilisateur et un mot de passe.
Remarque : Pour garantir la sécurité de l'interface de gestion des périphériques, il

est recommandé que l'administrateur change son mot de passe régulièrement en
utilisant des lettres en minuscules, en majuscules et des chiffres. Vous pouvez
également activer le paramètre Complexité minimale des mots de passe dans
Configuration > Gestion.

Tableau 10. Paramètres du compte d'administrateur

Champ Description
Nom Donnez un nom de connexion à l'utilisateur (15 caractères
maximum). Le nom est sensible à la casse et doit être unique.
N'utilisez que des lettres, chiffres, traits d'union et traits de
soulignement.
Profil d'authentification Sélectionnez un profil d'authentification pour l'authentification de
l'administrateur en fonction des paramètres du profil
d'authentification spécifié. Ce paramètre peut être utilisé pour
l'authentification RADIUS, LDAP, Kerberos ou de base de données
locale.
Pour obtenir des instructions sur la configuration des profils
d'authentification, reportez-vous à « Paramétrage de profils
d'authentification » à la page 67.
Utiliser uniquement Cochez cette case pour utiliser l'authentification du certificat du
l'authentification du certificat client pour l'accès au Web. Si vous cochez cette case, un nom
client (Web) d'utilisateur et un mot de passe ne sont pas requis ; le certificat suffit
pour authentifier l'accès au pare-feu.
Nouveau mot de passe Saisissez et confirmez un mot de passe sensible à la casse pour
Confirmer le nouveau mot de l'utilisateur (15 caractères maximum). Vous pouvez également
passe activer le paramètre Complexité minimale des mots de passe dans
Utiliser l'authentification à Cochez cette case pour utiliser l'authentification de clé publique
clef publique (SSH) SSH. Cliquez sur Importer la clé et recherchez le fichier de clé
publique à sélectionner. La clé chargée s'affiche dans la zone de
texte en lecture seule.
Les formats de fichier de clé pris en charge sont IETF SECSH et
OpenSSH. Les algorithmes de clé pris en charge sont DSA
(1 024 bits) et RSA
(768 à 4 096 bits).
Remarque : En cas d'échec de l'authentification de clé publique, une
invite de nom d'utilisateur et de mot de passe est présentée à l'utilisateur.

Tableau 10. Paramètres du compte d'administrateur (suite)

Champ Description
Rôle Sélectionnez une option d'attribution d'un rôle à cet utilisateur. Le
rôle détermine les éléments que l'utilisateur peut consulter et
modifier.
Si vous choisissez Dynamique, vous pouvez sélectionner l'un des
rôles prédéfinis suivants dans la liste déroulante :
• Super utilisateur (lecture seule) : accès en lecture seule au
périphérique actuel.
• Deviceadmin : accès complet à un périphérique sélectionné, sauf
pour la définition de nouveaux comptes ou systèmes virtuels.
• Administrateur du périphérique (lecture seule) : accès en lecture
seule à un périphérique sélectionné.
• Vsys : accès complet à un système virtuel sélectionné sur un
périphérique spécifique (si plusieurs systèmes virtuels sont
activés).
• Vsys (lecture seule) : accès en lecture seule à un système virtuel
sélectionné sur un périphérique spécifique.
• A base de rôles : accès basés sur les rôles attribués, tels que définis
dans « Définition des rôles Administrateur » à la page 62.
Si vous choisissez A base de rôles, sélectionnez un profil de rôle
prédéfini dans la liste déroulante. Pour obtenir des instructions sur
la définition de profils de rôle, reportez-vous à « Définition des
rôles Administrateur » à la page 62.
Système virtuel Sélectionnez les systèmes virtuels auxquels l'administrateur a accès,
puis cliquez sur Ajouter pour les déplacer de la zone Disponibles
dans la zone Sélectionnés.
Remarque : Dans la page Administrateurs du Super utilisateur, une icône de

verrouillage s'affiche dans la colonne de droite si un compte est verrouillé.
L'administrateur peut cliquer sur l'icône pour déverrouiller le compte.
Précision des domaines d'accès des administrateurs

Périphérique > Domaine
Utilisez la page Domaine pour préciser les domaines d'accès administrateur au pare-feu. Le
domaine d'accès est lié aux attributs spécifiques au fournisseur (VSA) RADIUS et n'est pris en
charge que si un serveur RADIUS est utilisé pour l'authentification de l'administrateur. Pour
plus d'informations sur la configuration de RADIUS, reportez-vous à « Configuration des
paramètres du serveur RADIUS » à la page 70.
Lorsqu'un administrateur tente de se connecter au pare-feu, ce dernier interroge le serveur
RADIUS pour connaître le domaine d'accès de l'administrateur. Si un domaine est associé sur
le serveur RADIUS, il est renvoyé et l'administrateur est limité aux systèmes virtuels définis
dans le domaine d'accès nommé sur le périphérique. Si RADIUS n'est pas utilisé, les

Profils d'authentification
paramètres du domaine d'accès de cette page sont ignorés. Pour plus d'informations sur les
domaines d'accès de Panorama, reportez-vous à « Précision des domaines d'accès Panorama
des administrateurs » à la page 429.
Tableau 11. Paramètres du domaine d'accès

Champ Description
Nom Donnez un nom au domaine d'accès (31 caractères maximum). Le
nom est sensible à la casse et doit être unique. N'utilisez que des
lettres, chiffres, traits d'union et traits de soulignement.
Systèmes virtuels Sélectionnez des systèmes virtuels dans la colonne Disponibles et
cliquez sur Ajouter pour les sélectionner.
Remarque : Les domaines d'accès ne sont pris en charge que sur les
périphériques prenant en charge des systèmes virtuels.
Les profils d'authentification précisent les paramètres de la base de données locale, RADIUS,
LDAP ou Kerberos, et peuvent être associés à des comptes d'administrateur, à l'accès VPN
SSL et au portail captif. Lorsqu'un administrateur tente de se connecter au pare-feu
directement ou via un VPN SSL ou un portail captif, le pare-feu vérifie le profil
d'authentification associé au compte et authentifie l'utilisateur en fonction des paramètres
d'authentification.
Si l'utilisateur ne dispose pas d'un compte d'administrateur local, le profil d'authentification
spécifié dans la page Configuration du périphérique détermine comment l'utilisateur est
authentifié (reportez-vous à « Définition des paramètres de gestion » à la page 32):
• Si vous précisez des paramètres d'authentification RADIUS dans la page Configuration
et que l'utilisateur ne dispose pas d'un compte local sur le pare-feu, ce dernier demande
alors les informations d'authentification de l'utilisateur (notamment le rôle) au serveur
RADIUS. Le fichier de dictionnaire RADIUS de Palo Alto Networks contenant les
attributs des différents rôles est disponible sur le site de support à l'adresse
https://live.paloaltonetworks.com/docs/DOC-3189.
• Si Aucun est spécifié pour le profil d'authentification dans la page Paramètres,

l'utilisateur doit être authentifié localement par le pare-feu en fonction du profil
d'authentification défini pour l'utilisateur.

Paramétrage de profils d'authentification

Périphérique > Profil d'authentification
Utilisez la page Profil d'authentification pour configurer des paramètres d'authentification

pouvant être appliqués aux comptes pour gérer l'accès au pare-feu.
Tableau 12. Paramètres de profil d'authentification

Champ Description
Nom Donnez un nom pour identifier le profil (31 caractères maximum). Le nom
est sensible à la casse et doit être unique. N'utilisez que des lettres, chiffres,
espaces, traits d'union et traits de soulignement.
Partagé Si le périphérique est en mode Systèmes virtuels multiples, cochez cette
case pour autoriser le partage du profil entre tous les systèmes virtuels.
Durée de verrouillage Saisissez le nombre de minutes pendant lesquelles un utilisateur est
verrouillé si le nombre d'échecs de tentatives est atteint (0 à 60 minutes,
0 par défaut). 0 signifie que le verrouillage s'applique jusqu'à ce qu'il soit
déverrouillé manuellement.
Tentatives échouées Saisissez le nombre d'échecs de tentatives de connexion autorisés avant le
verrouillage du compte (1 à 10, 0 par défaut). 0 signifie qu'il n'y a aucune
limite.
Liste d'autorisation Précisez les utilisateurs et les groupes explicitement autorisés à
s'authentifier. Cliquez sur Modifier la liste d'autorisation et effectuez
l'une des actions suivantes :
• Cochez la case en regard de l'utilisateur ou du groupe d'utilisateurs
approprié dans la colonne Disponibles, puis cliquez sur Ajouter pour
ajouter votre sélection à la colonne Sélectionnés.
• Cochez la case Tous pour appliquer à tous les utilisateurs.
• Saisissez les premiers caractères d'un nom dans le champ Rechercher
pour répertorier tous les utilisateurs et groupes d'utilisateurs
commençant par ces caractères. La sélection d'un élément dans la liste
l'insère dans la colonne Disponibles. Répétez cette procédure autant que
nécessaire, puis cliquez sur Ajouter.
• Pour supprimer des utilisateurs ou des groupes d'utilisateurs, cochez les
cases appropriées dans la colonne Sélectionnés, puis cliquez sur
Supprimer, ou sélectionnez Indifférent pour supprimer tous les
utilisateurs.
Authentification Choisissez le type d'authentification :
• Aucun(e) : n'utilisez aucune authentification sur le pare-feu.
• Base de données locale : utilisez la base de données d'authentification
sur le pare-feu.
• RADIUS : utilisez un serveur RADIUS pour l'authentification.
• LDAP : utilisez LDAP comme méthode d'authentification.
• Kerberos : utilisez Kerberos comme méthode d'authentification.

Tableau 12. Paramètres de profil d'authentification (suite)

Champ Description
Profil de serveur Si vous sélectionnez RADIUS, LDAP ou Kerberos comme méthode
d'authentification, choisissez le serveur d'authentification dans la liste
déroulante. Les serveurs sont configurés sur les pages Serveur. Reportez-
vous à « Configuration des paramètres du serveur RADIUS » à la page 70,
à « Configuration des paramètres du serveur LDAP » à la page 71 et à
« Configuration des paramètres de Kerberos (authentification Active
Directory native) » à la page 72.
Attributs connexion Si vous avez sélectionné LDAP comme méthode d'authentification,
saisissez l'attribut de répertoire LDAP qui identifie l'utilisateur de manière
unique.
Avertissement pour Si vous avez sélectionné LDAP comme méthode d'authentification,
l'expiration du mot de saisissez le nombre de jours avant l'expiration du mot de passe pour l'envoi
passe d'un message automatisé à l'utilisateur. Si ce champ n'est pas renseigné,
aucun avertissement n'est renvoyé. Ceci s'applique aux bases de données
suivantes : Active Directory, eDirectory et Sun ONE Directory.
Ce paramètre est utilisé pour un VPN SSL. Pour plus d'informations,
reportez-vous à « Configuration de GlobalProtect » à la page 365.
Vous pouvez personnaliser le message d'avertissement d'expiration dans
la page de connexion au VPN SSL en modifiant le script
<SCRIPT>
function getPassWarnHTML(expdays)
{
var str = "Votre mot de passe expirera dans " + expdays
+ " jours";
return str;
}
</SCRIPT>
La modification de la valeur de la variable str entraîne une modification

dans le message affiché.
Création d'une base de données d'utilisateurs locale

Vous pouvez paramétrer une base de données locale sur le pare-feu pour stocker des
informations sur les utilisateurs à accès distant, les administrateurs des périphériques et les
utilisateurs du portail captif. Aucun serveur d'authentification externe n'est requis dans cette
configuration et l'ensemble de la gestion des comptes est donc effectuée sur le périphérique ou
à partir de Panorama.
Lors de la configuration du portail captif, vous créez tout d'abord le compte local, vous
l'ajoutez à un groupe d'utilisateurs et vous créez un profil d'authentification à l'aide du
nouveau groupe. Vous activez ensuite le portail captif via Périphérique > Authentification >
Portail captif, puis vous sélectionnez le profil d'authentification. Une fois celui-ci configuré,
vous créez une politique via Politiques > Portail captif. Pour plus d'informations, reportez-
vous à « Portails captifs » à la page 310.
Ajout d'utilisateurs locaux

Périphérique > Base de données des utilisateurs locaux > Utilisateurs
Utilisez la page Utilisateurs locaux pour ajouter des informations d'utilisateurs à la base de
données locale.

Tableau 13. Paramètres d'utilisateur local

Champ Description
Nom d'utilisateur local Donnez un nom pour identifier l'utilisateur (31 caractères maximum). Le
nom est sensible à la casse et doit être unique. N'utilisez que des lettres,
chiffres, espaces, traits d'union et traits de soulignement.
Emplacement Choisissez un système virtuel ou Partagé pour que le certificat soit
accessible à tous les systèmes virtuels.
Mode Utilisez ce champ pour préciser l'option d'authentification :
• Mot de passe : saisissez et confirmez un mot de passe pour l'utilisateur.
• Hachage du mot de passe : saisissez une chaîne de mot de passe haché.
Activer Cochez cette case pour activer le compte d'utilisateur.
Ajout de groupes d'utilisateurs locaux

Périphérique > Base de données des utilisateurs locaux > Groupes d'utilisateurs
Utilisez la page Groupes d'utilisateurs locaux pour ajouter des informations de groupes
d'utilisateurs à la base de données locale.
Tableau 14. Paramètres de groupe d'utilisateurs locaux

Champ Description
Nom de groupe Donnez un nom pour identifier le groupe (31 caractères maximum). Le
d'utilisateurs locaux nom est sensible à la casse et doit être unique. N'utilisez que des lettres,
Tous les utilisateurs Cliquez sur Ajouter pour sélectionner les utilisateurs que vous souhaitez
locaux ajouter au groupe.
Configuration des paramètres du serveur RADIUS

Périphérique > Profils de serveur > RADIUS
Utilisez la page RADIUS pour configurer des paramètres pour les serveurs RADIUS
identifiés dans les profils d'authentification. Reportez-vous à « Profils d'authentification » à la
page 67.
Tableau 15. Paramètres de serveur RADIUS

Champ Description
Nom Donnez un nom pour identifier le serveur (31 caractères maximum). Le
Emplacement Choisissez un système virtuel ou Partagé pour que le profil soit accessible à
tous les systèmes virtuels.
Pour les Utilisez ce profil de serveur pour l'authentification d'administrateur
administrateurs uniquement.
uniquement

Tableau 15. Paramètres de serveur RADIUS (suite)

Champ Description
Domaine Saisissez le domaine du serveur RADIUS. Le paramètre du domaine est
utilisé si l'utilisateur ne précise pas de domaine lors de la connexion.
Délai avant expiration Saisissez une durée après laquelle une requête d'authentification arrive à
expiration (1 à 30 secondes, 3 secondes par défaut).
Relances Saisissez le nombre de relances automatiques entre le délai d'expiration et
l'échec de la requête (1 à 5, 3 par défaut).
Récupérer le groupe Cochez cette case pour utiliser des VSA RADIUS afin de définir le groupe
d'utilisateurs ayant accès au pare-feu.
Serveurs Configurez les informations de chaque serveur dans l'ordre indiqué.
• Nom : saisissez un nom pour identifier le serveur.
• Adresse IP : saisissez l'adresse IP du serveur.
• Port : saisissez le port du serveur pour les requêtes d'authentification.
• Secret/Confirmer le secret : saisissez et confirmez une clé pour vérifier et
crypter la connexion entre le pare-feu et le serveur RADIUS.
Configuration des paramètres du serveur LDAP

Périphérique > Profils de serveur > LDAP
Utilisez la page LDAP pour configurer des paramètres pour les serveurs LDAP à utiliser pour
l'authentification à l'aide de profils d'authentification. Reportez-vous à « Profils
Tableau 16. Paramètres du serveur LDAP

Champ Description
uniquement
Serveurs Précisez les noms d'hôte, les adresses IP et les ports pour trois serveurs
LDAP maximum.
Domaine Saisissez le nom de domaine du serveur. Ce nom de domaine doit être le
nom NetBIOS du domaine et sera ajouté au nom d'utilisateur lors de
l'authentification. Par exemple, si votre domaine est paloaltonetworks.com,
saisissez simplement paloaltonetworks.
Type Choisissez le type de serveur dans la liste déroulante.
Base Précisez le contexte racine dans le serveur d'annuaires afin d'affiner la
recherche d'informations d'utilisateur ou de groupe.
Nom distinctif Bind Précisez le nom de connexion (nom distinctif) du serveur d'annuaires.

Tableau 16. Paramètres du serveur LDAP (suite)

Champ Description
Mot de passe Bind/ Précisez le mot de passe du compte bind. L'agent enregistre le mot de passe
Confirmer le mot de crypté dans le fichier de configuration.
passe Bind
SSL Choisissez d'utiliser des communications SSL ou TLS (Transport Layer
Security) sécurisées entre le périphérique Palo Alto Networks et le serveur
d'annuaires.
Heure limite Précisez l'heure limite imposée lors de recherches d'annuaires (0 à
60 secondes, 30 secondes par défaut).
Durée limite Bind Précisez l'heure limite imposée lors de la connexion au serveur d'annuaires
(0 à 60 secondes, 30 secondes par défaut).
Intervalle de relance Précisez la durée après laquelle le système tente de se connecter au serveur
LDAP après un échec précédent (1 à 3 600 secondes).
Configuration des paramètres de Kerberos (authentification Active Directory

native)
Périphérique > Profils de serveur > Kerberos
Utilisez la page Kerberos pour configurer l'authentification Active Directory sans que les
clients ne doivent démarrer IAS (Internet Authentication Service) pour la prise en charge de
RADIUS. La configuration d'un serveur Kerberos permet aux utilisateurs de s'authentifier de
manière native auprès d'un contrôleur de domaine.
Une fois les paramètres Kerberos configurés, Kerberos est disponible en option lors de la
définition de profils d'authentification. Reportez-vous à « Profils d'authentification » à la
page 67.
Vous pouvez configurer les paramètres Kerberos pour reconnaître un compte d'utilisateur
dans l'un des formats suivants, où le domaine et la partition sont spécifiés dans la
configuration du serveur Kerberos :
• domaine\nomutilisateur
• nomutilisateur@partition
• nomutilisateur
Tableau 17. Paramètres du serveur Kerberos

Champ Description
uniquement

Séquence d'authentification
Tableau 17. Paramètres du serveur Kerberos (suite)

Champ Description
Partition Précisez la partie dans le nom d'hôte du nom de connexion de l'utilisateur
(127 caractères maximum)
Exemple : Le nom de compte d'utilisateur utilisateur@exemple.local
comporte la partition exemple.local.
Domaine Précisez le domaine du compte d'utilisateur (31 caractères maximum).
Serveurs Pour chaque serveur Kerberos, cliquez sur Ajouter et précisez les
paramètres suivants :
• Serveur : saisissez l'adresse IP du serveur.
• Hôte : saisissez le FQDN du serveur.
• Port : saisissez un numéro de port (facultatif) pour les communications
avec le serveur.
Séquence d'authentification
Dans certains environnements, les comptes d'utilisateurs se trouvent dans plusieurs
répertoires. Des comptes d'invités ou autres peuvent également être stockés dans différents
répertoires. Une séquence d'authentification est un ensemble de profils d'authentification
appliqués dans un ordre précis lorsqu'un utilisateur tente de se connecter au pare-feu. Le
pare-feu commence toujours par la base de données locale, puis tente chaque profil dans
l'ordre jusqu'à ce que l'utilisateur soit identifié. L'accès au pare-feu est refusé uniquement en
cas d'échec de l'authentification pour l'un des profils de la séquence d'authentification.
Par exemple, une fois la base de données locale vérifiée, vous pouvez configurer une séquence
d'authentification pour tenter ensuite une authentification RADIUS, puis une authentification
LDAP.
Paramétrage de séquences d'authentification

Périphérique > Séquence d'authentification
Utilisez la page Séquence d'authentification pour configurer des ensembles de profils

d'authentification qui sont vérifiés dans un ordre précise lorsqu'un utilisateur tente d'accéder
au pare-feu. L'accès est accordé à l'utilisateur si l'authentification aboutit à l'aide de l'un des
profils d'authentification de la séquence. Pour plus d'informations, reportez-vous à « Profils

Journaux du pare-feu
Tableau 18. Paramètres de séquence d'authentification

Champ Description
Nom de profil Donnez un nom pour identifier le profil (31 caractères maximum). Le nom
case pour autoriser le partage entre tous les systèmes virtuels.
Durée de verrouillage Saisissez le nombre de minutes pendant lesquelles un utilisateur est
verrouillé si le nombre d'échecs de tentatives est atteint (0 à 60 minutes,
0 par défaut). 0 signifie que le verrouillage s'applique jusqu'à ce qu'il soit
déverrouillé manuellement.
Tentatives échouées Saisissez le nombre d'échecs de tentatives de connexion autorisés avant le
verrouillage du compte (1 à 10, 0 par défaut). 0 signifie qu'il n'y a aucune
limite.
Liste de profils Choisissez les profils d'authentification à inclure dans la séquence
d'authentification. Pour changer l'ordre de la liste, sélectionnez une entrée,
puis cliquez sur Déplacer en haut ou sur Déplacer en bas.
Surveillance > Journaux
Le pare-feu fournit des journaux qui enregistrent les modifications apportées à la

configuration, les événements système, les menaces de sécurité et les flux de trafic. Pour
chaque journal, vous pouvez activer la journalisation à distance vers un serveur Panorama, et
générer des pièges SNMP, des messages syslog et des notifications par courrier électronique.
Le tableau suivant décrit les journaux et les options de journalisation.
Tableau 19 Types et paramètres des journaux

Journal Description
Alarmes Le journal des alarmes enregistre des informations détaillées sur les alarmes
générées par le système. Les informations contenues dans ce journal
apparaissent également dans la fenêtre Alarmes. Reportez-vous à « Affichage
des alarmes » à la page 92.
Configuration Le journal de configuration enregistre chaque modification apportée à la
configuration, notamment la date et l'heure, le nom d'utilisateur de
l'administrateur et si la modification a abouti ou a échoué.
Toutes les entrées du journal de configuration peuvent être envoyées aux
serveurs Panorama, syslog et de messagerie, mais ils ne permettent pas de
générer des pièges SNMP.
Pour afficher de plus amples détails sur les entrées du journal de
configuration, déplacez le curseur sur la colonne Avant les modifications ou
Après modification et cliquez sur le symbole . Une fenêtre contextuelle
indiquant les détails complets de l'entrée s'affiche.

Tableau 19 Types et paramètres des journaux (suite)

Journal Description
Filtrage des Le journal de filtrage des données enregistre des informations sur les
données politiques de sécurité qui permettent d'empêcher que les informations
sensibles telles que les numéros de carte de crédit ou de sécurité sociale ne
quittent la zone protégée par le pare-feu (reportez-vous à « Profils de filtrage
des données » à la page 240.
Si vous configurez un profil de blocage des fichiers pour bloquer des types de
fichiers spécifiques, le type et le nom du fichier apparaissent dans le journal de
blocage des données. Vous pouvez ainsi connaître les éléments bloqués.
Correspondance Le journal de correspondance HIP répertorie les requêtes de correspondance
HIP du profil d'informations sur l'hôte (HIP) pour GlobalProtect. Reportez-vous à
« Configuration de GlobalProtect » à la page 365.
Système Le journal système enregistre chaque événement système tel que les échecs
HD, les changements de statut de ligne et les connexions et déconnexions
d'administrateurs. Chaque entrée inclut la date et l'heure, la gravité de
l'événement et une description de l'événement.
Les entrées du journal système peuvent être consignées par niveau de gravité.
Par exemple, vous pouvez générer des pièges SNMP et des notifications par
courrier électronique pour les événements critiques et de niveau supérieur
uniquement.
Menace Le journal des menaces enregistre chaque alarme de sécurité générée par le
pare-feu. Chaque entrée inclut la date et l'heure, le type de menace tel qu'une
violation du filtrage des virus ou logiciels espions/vulnérabilités, les zones
source et de destination, les adresses et les ports, le nom de l'application ainsi
que l'action et la gravité.
Les entrées du journal des menaces peuvent être consignées à distance par
niveau de gravité en définissant des profils de transfert des journaux et en
associant les profils à des règles de sécurité (reportez-vous à « Politiques de
sécurité » à la page 201). Les menaces sont consignées à distance pour le trafic
correspondant aux règles de sécurité uniquement lorsqu'un profil de
journalisation est associé.
Les journaux des menaces sont utilisés dans la génération des rapports et dans
le Centre de commande de l'application (reportez-vous à « Rapports et
journaux » à la page 273).
Trafic Le journal de trafic permet d'enregistrer une entrée du début et de la fin de
chaque session. Chaque entrée inclut la date et l'heure, les zones source et de
destination, les adresses et les ports, le nom de l'application, la règle de
sécurité appliquée à la session, l'action de la règle (autoriser, refuser ou
abandonner), l'interface d'entrée et de sortie, ainsi que le nombre d'octets.
Chaque règle de sécurité précise si le début et/ou la fin de chaque session est
consigné localement pour le trafic correspondant à la règle. Le profil de
transfert des journaux associé à la règle détermine si les entrées consignées
localement sont également consignées à distance.
Les journaux de trafic sont utilisés dans la génération des rapports et dans le
Centre de commande de l'application (reportez-vous à « Rapports et
journaux » à la page 273).

Tableau 19 Types et paramètres des journaux (suite)

Journal Description
Filtrage des URL Le journal de filtrage des URL enregistre des entrées sur les filtres des URL qui
bloquent l'accès à des sites Web et à des catégories de sites Web spécifiques ou
qui génèrent une alerte lorsqu'un utilisateur accède à un site Web interdit.
Si vous utilisez PAN-DB et que vous souhaitez changer de catégorie URL pour
un site Web, ouvrez les détails de l'entrée souhaitée dans le journal de filtrage
des URL et cliquez sur Demander un changement de catégorisation.
Sélectionnez la catégorie suggérée dans le menu déroulant, saisissez votre
adresse électronique (facultatif) et des commentaires (facultatif), puis cliquez
sur Envoyer.
Si vous utilisez la base de données BrightCloud, cliquez sur Demander un
changement de catégorisation. Vous êtes alors redirigé vers la page de
support de BrightCloud dans laquelle vous pouvez soumettre votre requête.
(Reportez-vous à « Profils de filtrage des URL » à la page 234.)
WildFire Les journaux WildFire indiquent le résultat des fichiers analysés par WildFire.
Les champs affichés incluent les suivants : Nom du fichier, Zone source, Zone
de destination, Pirate, Victime et Application.
Remarque : Un abonnement à WildFire est requis pour la journalisation intégrée. Si
vous ne disposez pas d'un abonnement, vous pouvez consulter les informations du
journal via le portail WildFire à l'adresse https://wildfire.paloaltonetworks.com.
(Reportez-vous à « A propos de WildFire » à la page 461 et à « Utilisation du

portail WildFire » à la page 466)
Configuration de la journalisation
Vous pouvez configurer le pare-feu de sorte qu'il envoie les entrées de journal à un système de
gestion centralisée Panorama, des récepteurs de pièges SNMP, des serveurs syslog et des
adresses électroniques.
Le tableau suivant décrit les destinations des journaux à distance.
Tableau 20 Destinations des journaux à distance

Destination Description
Panorama Toutes les entrées de journal peuvent être transférées à un système de gestion
centralisée Panorama. Pour préciser l'adresse du serveur Panorama, reportez-
vous à « Définition des paramètres de gestion » à la page 32.
Piège SNMP Des pièges SNMP peuvent être générés par niveau de gravité pour les entrées
des journaux système, des menaces et de trafic, mais pas pour les entrées du
journal de configuration. Pour définir les destinations des pièges SNMP,
reportez-vous à « Configuration des destinations de pièges SNMP » à la
page 82.

Tableau 20 Destinations des journaux à distance (suite)

Destination Description
Syslog Des messages syslog peuvent être générés par niveau de gravité pour les
entrées des journaux système, des menaces et de trafic, et pour toutes les
entrées du journal de configuration. Pour définir les destinations syslog,
reportez-vous à « Configuration des serveurs Syslog » à la page 83.
E-mail Des courriers électroniques peuvent être générés par niveau de gravité pour
les entrées des journaux système, des menaces et de trafic, et pour toutes les
entrées du journal de configuration. Pour définir les adresses électroniques et
les serveurs de messagerie, reportez-vous à « Vous pouvez configurer un
format de journal personnalisé dans un Profil de serveur Syslog en
sélectionnant l'onglet Format de journal personnalisé dans Périphérique >
Profils de serveur > Syslog. Cliquez sur le type de journal souhaité
(configuration, système, menaces, trafic ou correspondance HIP), puis sur les
champs que vous souhaitez afficher dans les journaux. Les tableaux suivants
décrivent chaque champ pour chaque type de journal. » à la page 84.
Exportation programmée des journaux

Périphérique > Exportation programmée des journaux
Vous pouvez planifier des exportations des journaux et les enregistrer sur un serveur FTP
(File Transfer Protocol) au format CSV ou utilisez la fonction SCP (Secure Copy) pour
transférer des données en toute sécurité entre le périphérique et un hôte distant. Les profils
des journaux contiennent les informations relatives à la planification et au serveur FTP. Par
exemple, un profil peut déterminer que les journaux du jour précédent sont collectés chaque
jour à 15 heures et stockés sur un serveur FTP spécifique.
Lorsque vous cliquez sur OK après la création d'une entrée, le nouveau profil est ajouté à la
page Exportation programmée des journaux. Vous devez valider la modification pour que
l'exportation soit exécutée. Si vous utilisez la fonction SCP, vous devez cliquer sur le bouton
Tester la connexion au serveur SCP pour tester la connectivité entre le pare-feu et le serveur
SCP, et vous devez vérifier et accepter la clé d'hôte du serveur SCP.
Tableau 21. Paramètres d'exportation programmée des journaux

Champ Description
Une fois le profil créé, vous ne pouvez pas modifier le nom.
Description Saisissez une description (facultatif) (255 caractères maximum).
Activé Cochez cette case pour activer la planification des exportations des
journaux.
Type de journal Sélectionnez le type de journal (trafic, menaces, URL, données ou
correspondance HIP). La valeur par défaut est trafic.
Heure (quotidienne) de Saisissez l'heure du jour (hh:mm) de démarrage de l'exportation à l'aide du
début de l'exportation format d'horloge 24 heures (00:00 - 23:59).
programmée

Tableau 21. Paramètres d'exportation programmée des journaux (suite)

Champ Description
Protocole Sélectionnez le protocole à utiliser pour l'exportation des journaux entre le
pare-feu et un hôte distant. Vous pouvez utiliser le protocole SCP pour
exporter les journaux en toute sécurité ou le protocole non sécurisé FTP.
Nom d'hôte Saisissez l'adresse IP ou le nom d'hôte du serveur FTP utilisé pour
l'exportation.
Port Saisissez le numéro de port utilisé par le serveur FTP. La valeur par défaut
est 21.
Chemin Précisez le chemin sur le serveur FTP qui sera utilisé pour stocker les
informations exportées.
Activer le mode passif Cochez cette case pour utiliser le mode passif pour l'exportation. Cette
FTP option est cochée par défaut.
Nom d'utilisateur Saisissez le nom d'utilisateur d'accès au serveur FTP. La valeur par défaut
est anonyme.
Mot de passe Saisissez le mot de passe d'accès au serveur FTP. Le mot de passe n'est pas
nécessaire si l'utilisateur est anonyme.
Définition des paramètres du journal de configuration

Périphérique > Paramètres des journaux > Config.
Les paramètres du journal de configuration définissent les entrées du journal de configuration

qui sont consignées à distance avec Panorama, puis envoyés sous forme de messages syslog
et/ou de notifications par courrier électronique.
Tableau 22. Paramètres du journal de configuration

Champ Description
Panorama Cochez cette case pour activer l'envoi des entrées du journal de
configuration au système de gestion centralisée Panorama.
Piège SNMP Pour générer des pièges SNMP pour les entrées du journal de
configuration, sélectionnez le nom du piège. Pour préciser de nouvelles
destinations des pièges SNMP, reportez-vous à « Configuration des
destinations de pièges SNMP » à la page 82.
E-mail Pour générer des notifications par courrier électronique pour les entrées
du journal de configuration, sélectionnez un profil de messagerie dans le
menu déroulant. Pour préciser un nouveau profil de messagerie,
reportez-vous à « Configuration des paramètres de notification par
courrier électronique » à la page 90.
Syslog Pour générer des messages syslog pour les entrées du journal de
configuration, sélectionnez le nom du serveur syslog. Pour préciser de
nouveaux serveurs syslog, reportez-vous à « Configuration des serveurs
Syslog » à la page 83.

Définition des paramètres du journal système

Périphérique > Paramètres des journaux > Système
Les paramètres du journal système définissent le niveau de gravité des entrées du journal
système qui sont consignées à distance avec Panorama, puis envoyés sous forme de pièges
SNMP, de messages syslog et/ou de notifications par courrier électronique. Le journal
système répertorie des événements système tels que les échecs HD, les changements de statut
de ligne et les connexions et déconnexions d'administrateurs.
Tableau 23. Paramètres du journal système

Champ Description
Panorama Cochez cette case pour chaque niveau de gravité des entrées du journal
système à envoyer au système de gestion centralisée Panorama. Pour
préciser l'adresse du serveur Panorama, reportez-vous à « Définition des
paramètres de gestion » à la page 32.
Les niveaux de gravité sont les suivants :
• Critique : défaillances matérielles, notamment les basculements HD et
les échecs de liaison.
• Elevé : problèmes graves, notamment les connexions abandonnées avec
des périphériques externes tels que les serveurs syslog et RADIUS.
• Moyen(ne) : notifications de niveau intermédiaires telles que les mises à
niveau du module antivirus.
• Faible : notifications de gravité mineure telles que les changements de
mot de passe utilisateur.
• Informations : connexion/déconnexion, changement du nom ou du
mot de passe administrateur, toute modification apportée à la
configuration et tous les autres événements non couverts par les autres
niveaux de gravité.
Piège SNMP Sous chaque niveau de gravité, sélectionnez les paramètres SNMP, syslog
E-mail et/ou de messagerie pour préciser d'autres destinations auxquelles les
Syslog entrées du journal système sont envoyées. Pour définir de nouvelles
destinations, reportez-vous à :
• « Configuration des destinations de pièges SNMP » à la page 82.
• « Configuration des serveurs Syslog » à la page 83.
• « Configuration des paramètres de notification par courrier
électronique » à la page 90.

Définition des paramètres du journal de correspondance HIP

Périphériques > Paramètres des journaux > Correspondance HIP
Les paramètres du journal de correspondance du profil d'informations sur l'hôte sont utilisés
pour fournir des informations sur les politiques de sécurité appliquées aux clients
GlobalProtect. Pour plus d'informations, reportez-vous à « Présentation » à la page 365.
Tableau 24. Paramètres du journal de correspondance HIP

Champ Description
Panorama Cochez cette case pour activer l'envoi des entrées du journal de
configuration au système de gestion centralisée Panorama.
Piège SNMP Pour générer des pièges SNMP pour les entrées du journal de
correspondance HIP, sélectionnez le nom du piège Pour préciser de
nouvelles destinations des pièges SNMP, reportez-vous à « Configuration
des destinations de pièges SNMP » à la page 82.
E-mail Pour générer des notifications par courrier électronique pour des entrées
du journal de configuration, sélectionnez le nom des paramètres de
messagerie qui définissent les adresses électroniques appropriées. Pour
préciser de nouveaux paramètres de messagerie, reportez-vous à « Vous
pouvez configurer un format de journal personnalisé dans un Profil de
serveur Syslog en sélectionnant l'onglet Format de journal personnalisé
dans Périphérique > Profils de serveur > Syslog. Cliquez sur le type de
journal souhaité (configuration, système, menaces, trafic ou
correspondance HIP), puis sur les champs que vous souhaitez afficher
dans les journaux. Les tableaux suivants décrivent chaque champ pour
chaque type de journal. » à la page 84.
Syslog Pour générer des messages syslog pour les entrées du journal de
configuration, sélectionnez le nom du serveur syslog. Pour préciser de
nouveaux serveurs syslog, reportez-vous à « Configuration des serveurs
Syslog » à la page 83.
Définition des paramètres du journal des alarmes

Périphérique > Paramètres des journaux > Alarmes
Utilisez la page Alarmes pour configurer des notifications lorsqu'une règle de sécurité (ou un
groupe de règles) a été mis plusieurs fois en correspondance pendant une période donnée.
Tableau 25. Paramètres du journal des alarmes

Champ Description
Activer les alarmes Activez les alarmes en fonction des événements répertoriés sur cette page.
Activer les notifications Activez les notifications d'alarme CLI lorsque des alarmes se produisent.
d'alarme CLI
Activer les notifications Ouvrez une fenêtre pour afficher les alarmes de sessions utilisateur,
d'alarme Web notamment lorsqu'elles se produisent et si elles sont reçues.
Activer les alarmes Le pare-feu émet une alarme sonore en continu en cas d'alarmes non
sonores reçues dans l'interface Web ou la CLI.
Seuil d'échec du Précisez le nombre d'échecs de cryptage/décryptage après lequel une
cryptage/décryptage alarme est déclenchée.

Tableau 25. Paramètres du journal des alarmes (suite)

Champ Description
Seuil d'alerte des bases Générez une alarme lorsqu'une base de données de journaux atteint le
de données de journaux pourcentage de taille maximale indiqué.
(% atteint)
Limites de la politique Une alarme est générée si une adresse IP ou un port spécifique
de sécurité correspond à une règle de refus le nombre de fois spécifié dans le
paramètre Seuil des violations de sécurité sur la période (en secondes)
indiquée dans le paramètre Intervalle temporel des violations de
sécurité.
Limites du groupe de Une alarme est générée si l'ensemble de règles atteint le nombre de limites
règles de sécurité de violations de règle spécifié dans le champ Seuil des violations de
sécurité sur la période indiquée dans le champ Intervalle temporel des
violations de sécurité. Les violations sont comptabilisées lorsqu'une
session correspond à une politique de refus.
Utilisez des étiquettes de politique de sécurité pour préciser les
étiquettes pour lesquelles les seuils de violations génèreront des alarmes.
Ces étiquettes peuvent être précisées lors de la définition des politiques
de sécurité.
Audit sélectif Remarque : Ces paramètres s'affichent dans la page Alarmes en mode Critères
communs uniquement.
Précisez les paramètres suivants :

• Journalisation spécifique CC : active la journalisation verbose requise
pour la conformité aux Critères communs (CC).
• Journalisation des réussites d'ouverture de session : consigne la
réussite des connexions administrateur au pare-feu.
• Journalisation des échecs d'ouverture de session : consigne l'échec des
connexions administrateur au pare-feu.
• Administrateurs interdits : ne génère pas de journaux pour les
modifications apportées à la configuration du pare-feu par les
administrateurs répertoriés.
Gestion des paramètres du journal

Périphérique > Paramètres des journaux > Gérer les journaux
Cliquez sur les liens de cette page pour effacer les journaux indiqués.

Configuration des destinations de pièges SNMP
Configuration des destinations de pièges SNMP

Périphérique > Profils de serveur > Piège SNMP
Pour générer des pièges SNMP pour les journaux système, de trafic ou des menaces, vous
devez préciser une ou plusieurs destinations des pièges SNMP. Une fois les destinations des
pièges définies, vous pouvez les utiliser pour les entrées du journal système (reportez-vous à
« Définition des paramètres du journal système » à la page 79).
Tableau 26. Paramètres de destination de pièges SNMP

Champ Description
Nom Donnez un nom au profil SNMP (31 caractères maximum). Le nom est
sensible à la casse et doit être unique. N'utilisez que des lettres, chiffres,
Version Choisissez la version SNMP ou de désactiver SNMP. La valeur par défaut
est désactivé.
V2c Si vous choisissez V2c, configurez les paramètres suivants :
• Serveur : donnez un nom à la destination de pièges SNMP
(31 caractères maximum).
• Gestionnaire : précisez l'adresse IP de la destination des pièges.
• Communauté : précisez la chaîne de communauté nécessaire pour
envoyer les pièges à la destination spécifiée (public par défaut).
V3 Si vous choisissez V3, configurez les paramètres suivants :
• Serveur : donnez un nom à la destination de pièges SNMP
• Gestionnaire : précisez l'adresse IP de la destination des pièges.
• Utilisateur : précisez l'utilisateur SNMP.
• ID du moteur : précisez l'ID du moteur du pare-feu. Il s'agit d'une
chaîne au format hexadécimal. L'ID du moteur est un nombre compris
entre 5 et 64 octets. Lorsqu'il est représenté sous forme de chaîne
hexadécimale comprenant entre 10 et 128 caractères (2 caractères pour
chaque octet) avec deux caractères supplémentaires pour 0x que vous
devez utiliser comme préfixe de la chaîne.
Chaque pare-feu dispose d'un ID du moteur unique que vous pouvez
obtenir à l'aide d'un navigateur MIB en exécutant une commande GET
pour l'identifiant d'objet (OID) 1.3.6.1.6.3.10.2.1.1.0.
• Mot de passe d'authentification : précisez le mot de passe
d'authentification de l'utilisateur (8 caractères minimum, 256 caractères
maximum et sans restriction de caractère. Tous les caractères sont
autorisés). Seul l'algorithme SHA (Secure Hash Algorithm) est pris en
charge.
• Mot de passe privé : précisez le mot de passe de cryptage de
l'utilisateur (8 caractères minimum, 256 caractères maximum et sans
restriction de caractère). Seule la norme AES (Advanced Encryption
Standard) est prise en charge.

Configuration des serveurs Syslog
Remarque : Ne supprimez pas une destination utilisée dans des paramètres du

journal système ou un profil de journalisation.
MIB SNMP
Le pare-feu prend en charge les MIB SNMP suivants :
• SNMPv2-MIB
• DISMAN-EVENT-MIB
• IF-MIB
• HOST-RESOURCES-MIB
• ENTITY-SENSOR-MIB
• PAN-COMMON-MIB
• PAN-TRAPS-MIB
L'ensemble complet de modules MIB Enterprise est disponible dans la section Technical
Documentation (Documentation technique) du site Palo Alto Networks à l'adresse

Périphérique > Profils de serveur > Syslog
Pour générer des messages syslog pour des journaux système, de configuration, de trafic, des
menaces ou de correspondance HIP, vous devez préciser un ou plusieurs serveurs syslog. Une fois
les serveurs syslog définis, vous pouvez les utiliser pour les entrées du journal système et de
configuration (reportez-vous à « Définition des paramètres du journal système » à la page 79).
Tableau 27. Nouveau serveur Syslog

Champ Description
Nom Donnez un nom au profil syslog (31 caractères maximum). Le nom est
Onglet Serveurs
Nom Cliquez sur Ajouter et donnez un nom au serveur syslog (31 caractères
Serveur Saisissez l'adresse IP du serveur syslog.
Port Saisissez le numéro de port du serveur syslog (le port par défaut est 514).
Site Choisissez un niveau dans la liste déroulante.

Tableau 27. Nouveau serveur Syslog (suite)

Champ Description
Onglet Format de
journal personnalisé
Type de journal Cliquez sur le type de journal pour ouvrir une boîte de dialogue dans
laquelle vous pouvez préciser un format de journal personnalisé. Dans la
boîte de dialogue, cliquez sur un champ pour l'ajouter à la zone du format
de journal. D'autres chaînes de texte peuvent être modifiées directement
dans la zone du format de journal. Cliquez sur OK pour sauvegarder les
paramètres.
Pour plus de détails sur les champs pouvant être utilisés pour les
journaux personnalisés, reportez-vous à « Descriptions des champs
Syslog personnalisés » à la page 84.
Echappement Précisez des séquences d'échappement. Utilisez la zone Caractères
d'échappement pour répertorier tous les caractères d'échappement sans
espaces.
Remarque : Vous ne pouvez pas supprimer un serveur utilisé dans des

paramètres du journal système ou de configuration, ou des profils de
journalisation.
Descriptions des champs Syslog personnalisés

Vous pouvez configurer un format de journal personnalisé dans un Profil de serveur Syslog
en sélectionnant l'onglet Format de journal personnalisé dans Périphérique > Profils de
serveur > Syslog. Cliquez sur le type de journal souhaité (configuration, système, menaces,
trafic ou correspondance HIP), puis sur les champs que vous souhaitez afficher dans les
journaux. Les tableaux suivants décrivent chaque champ pour chaque type de journal.
Tableau 28 Champs Config.

Champ Description
actionflags Champ de bits indiquant si le journal a été transféré à Panorama.
Disponible dans PAN-OS 4.0.0 et version ultérieure.
admin Nom d'utilisateur de l'administrateur procédant à la
configuration.
after-change-detail Détails de la configuration après l'apport d'une modification.
before-change-detail Détails de la configuration avant l'apport d'une modification.
formtted-receive_time Heure de réception du journal dans le panneau de gestion,
affichée au format d'heure CEF.
cef-formatted-time_generated Heure de génération du journal, affichée au format d'heure CEF.
client Client utilisé par l'administrateur. Les valeurs possibles sont Web
et CLI.
cmd Commande exécutée par l'administrateur. Les valeurs possibles
sont add, clone, commit, delete, edit, move, rename, set, validate.
host Nom d'hôte ou adresse IP de la machine client.

Tableau 28 Champs Config. (suite)

Champ Description
path Chemin d'accès à la commande de configuration exécutée.
512 octets maximum.
receive_time Heure de réception du journal dans le panneau de gestion.
result Résultat de l'action de configuration. Les valeurs possibles sont
Soumis, Réussi, Echec et Non autorisé.
seqno Identificateur d'entrée de journal 64 bits incrémenté de manière
séquentielle. Chaque type de journal dispose d'un espace de
numéros unique. Disponible dans PAN-OS 4.0.0 et version
ultérieure.
serial Numéro de série du périphérique ayant généré le journal.
subtype Sous-type du journal de configuration ; non utilisé.
time_generated Heure de réception du journal dans le panneau de données.
type Précise le type de journal. Les valeurs possibles sont traffic,
threat, config, system et hip-match.
vsys Système virtuel associé au journal de configuration.
Tableau 29 Champs Système

Champ Description
cef-formatted-receive_time Heure de réception du journal dans le panneau de gestion,
eventid Chaîne indiquant le nom de l'événement.
fmt Description détaillée de l'événement. 512 octets maximum.
module Ce champ s'applique uniquement lorsque la valeur du champ
Sous-type est general (grand public). Il fournit des informations
supplémentaires sur le sous-système générant le journal. Les
valeurs possibles sont general, management, auth, ha, upgrade,
chassis.
number-of-severity Niveau de gravité sous forme d'entier : informational-1, low-2,
medium-3, high-4, critical-5.
object Nom de l'objet associé au journal système.
opaque Description détaillée de l'événement. 512 octets maximum.
ultérieure.

Tableau 29 Champs Système (suite)

Champ Description
severity Gravité associée à l'événement. Les valeurs possibles sont
informational, low, medium, high, critical.
subtype Sous-type du journal système. Fait référence au démon système
générant le journal. Les valeurs possibles sont crypto, dhcp,
dnsproxy, dos, general, global-protect, ha, hw, nat, ntpd, pbf,
port, pppoe, ras, routing, satd, sslmgr, sslvpn, userid, url-
filtering, vpn.
time_generated Heure de réception du journal dans le panneau de données.
vsys Système virtuel associé à l'événement système.
Tableau 30 Champs Menaces

Champ Description
action Action prise pour la session. Les valeurs possibles sont alert,
allow, deny, drop, drop-all-packets, reset-client, reset-server,
reset-both, block-url. Reportez-vous au tableau de champs
Action ci-dessous pour une description de chaque valeur.
app Application associée à la session.
category Pour le sous-type URL, il s'agit de la catégorie d'URL. Pour le
sous-type WildFire, il s'agit du verdict sur le fichier et sa valeur
est malicious ou benign. Pour les autres sous-types, la valeur est
any.
contenttype Type de contenu des données de la réponse HTTP. 32 octets
maximum. S'applique uniquement lorsque le sous-type est URL.
direction Indique le sens de l'attaque, client-to-server ou server-to-client.
dport Port de destination utilisé par la session.
dst Adresse IP de destination de la session d'origine.
dstloc Pays ou région de destination pour les adresses privées. 32 octets
maximum. Disponible dans PAN-OS 4.0.0 et version ultérieure.
dstuser Nom de l'utilisateur auquel la session est destinée.
flags Champ 32 bits fournissant des détails sur la session. Reportez-
vous au tableau de champs Indicateurs pour une description de
chaque valeur.
from Zone d'origine de la session.
inbound_if Interface d'origine de la session.

Tableau 30 Champs Menaces (suite)

Champ Description
logset Profil de transfert des journaux appliqué à la session.
misc L'URI lorsque le sous-type est URL, le nom ou le type du fichier
lorsque le sous-type est file, le nom de fichier lorsque le sous-type
est virus et le nom de fichier lorsque le sous-type est wildfire.
63 caractères maximum dans les versions de PAN-OS antérieures
à la version 4.0. A partir de la version 4.0, la longueur est variable
avec un maximum de 1 023 caractères.
natdport Port de destination post-NAT.
natdst En cas de NAT de destination, il s'agit de l'adresse IP de
destination post-NAT.
natsport Port source post-NAT.
natsrc En cas de NAT source, il s'agit de l'adresse IP source post-NAT.
number-of-severity Niveau de gravité sous forme d'entier : informational-1, low-2,
medium-3, high-4, critical-5.
outbound_if Interface à laquelle la session est destinée.
proto Protocole IP associé à la session.
repeatcnt Nombre de journaux avec les mêmes adresses IP source et de
destination et ID de menace constatés sur une période de
5 secondes. S'applique à tous les sous-types sauf URL.
rule Nom de la règle à laquelle la session correspond.
ultérieure.
sessionid Identificateur numérique interne appliqué à chaque session.
severity Gravité associée à la menace. Les valeurs possibles sont
informational, low, medium, high, critical.
sport Port source utilisé par la session.
src Adresse IP source de la session d'origine.
srcloc Pays ou région source pour les adresses privées. 32 octets
srcuser Nom de l'utilisateur ayant ouvert la session.
subtype Sous-type du journal des menaces. Les valeurs possibles sont
URL, virus, spyware, vulnerability, file, scan, flood, data et
wildfire.
threatid Identifiant Palo Alto Networks de la menace. Il s'agit d'une
chaîne de description suivie d'un identifiant numérique entre
parenthèses pour certains sous-types. L'identifiant numérique est
un nombre 64 bits de PAN-OS 5.0 et versions ultérieures.
time_generated Heure de génération du journal dans le panneau de données.

Tableau 30 Champs Menaces (suite)

Champ Description
time_received Heure de réception du journal dans le panneau de données.
to Zone à laquelle la session est destinée.
vsys Système virtuel associé à la session.
wildfire Journaux générés par WildFire.
Tableau 31 Champs Trafic

Champ Description
action Action prise pour la session. Les valeurs possibles sont allow ou
deny. Reportez-vous au tableau de champs Action.
Disponible à partir de PAN-OS 4.0.0.
app Application associée à la session.
bytes Nombre total d'objets (émission et réception) de la session.
bytes_received Nombre d'octets dans le sens serveur/client de la session.
Disponible à partir de PAN-OS 4.1.0 sur tous les modèles sauf la
série PA-4000.
bytes_sent Nombre d'octets dans le sens client/serveur de la session.
Disponible à partir de PAN-OS 4.1.0 sur tous les modèles sauf la
série PA-4000.
category Catégorie d'URL associée à la session (le cas échéant).
dport Port de destination utilisé par la session.
dst Adresse IP de destination de la session d'origine.
dstloc Pays ou région de destination pour les adresses privées. 32 octets
dstuser Nom de l'utilisateur auquel la session est destinée.
elapsed Durée écoulée de la session.
flags Champ 32 bits fournissant des détails sur la session. Reportez-
vous au tableau de champs Indicateurs pour une description de
chaque valeur. Ce champ peut être décodé à l'aide d'une
commande AND-ing sur la valeur enregistrée.
from Zone d'origine de la session.
inbound_if Interface d'origine de la session.
logset Profil de transfert des journaux appliqué à la session.
natdport Port de destination post-NAT.

Tableau 31 Champs Trafic (suite)

Champ Description
natdst En cas de NAT de destination, il s'agit de l'adresse IP de
destination post-NAT.
natsport Port source post-NAT.
natsrc En cas de NAT source, il s'agit de l'adresse IP source post-NAT.
outbound_if Interface à laquelle la session est destinée.
packets Nombre total de paquets (émission et réception) de la session.
pkts_received Nombre de paquets serveur/client de la session. Disponible à
partir de PAN-OS 4.1.0 sur tous les modèles sauf la série
PA-4000.
pkts_sent Nombre de paquets client/serveur de la session. Disponible à
partir de PAN-OS 4.1.0 sur tous les modèles sauf la série PA-
4000.
proto Protocole IP associé à la session.
repeatcnt Nombre de sessions avec les mêmes adresses IP source et de
destination, application et sous-type constatées sur une période
de 5 secondes. Unité pour ICMP uniquement.
rule Nom de la règle à laquelle la session correspond.
ultérieure.
sessionid Identificateur numérique interne appliqué à chaque session.
sport Port source utilisé par la session.
src Adresse IP source de la session d'origine.
srcloc Pays ou région source pour les adresses privées. 32 octets
srcuser Nom de l'utilisateur ayant ouvert la session.
start Heure de début de la session.
subtype Sous-type du journal de trafic. Les valeurs possibles sont start,
end, drop et deny. Reportez-vous au tableau de champs Sous-
type pour une description de chaque valeur.
time_received Heure de réception du journal dans le panneau de données.
to Zone à laquelle la session est destinée.
vsys Système virtuel associé à la session.

Configuration des paramètres de notification par courrier électronique
Tableau 32 Champs Correspondance HIP

Champ Description
machinename Nom de la machine des utilisateurs.
matchname Nom de l'objet ou du profil HIP.
matchtype Précise si le champ HIP représente un objet HIP ou un profil HIP.
repeatcnt Nombre de fois où le profil HIP a correspondu.
ultérieure.
src Adresse IP de l'utilisateur source.
srcuser Nom de l'utilisateur source.
subtype Sous-type du journal de correspondance HIP ; non utilisé.
vsys Système virtuel associé au journal de correspondance HIP.
Configuration des paramètres de notification par

courrier électronique
Périphérique > Profils de serveur > E-mail
Pour générer des courriers électroniques pour les journaux, vous devez configurer un profil
de messagerie. Une fois les paramètres de courrier électronique définis, vous pouvez activer la
notification par courrier électronique pour les entrées du journal système et de configuration
(reportez-vous à « Définition des paramètres du journal système » à la page 79). Pour plus
d'informations sur la planification de la distribution des rapports de messagerie, reportez-
vous à « Planification des rapports pour la distribution par courrier électronique » à la
page 296.

Configuration des paramètres de notification par courrier électronique
Tableau 33. Paramètres de notification par courrier électronique

Champ Description
Nom Donnez un nom au paramètre de courrier électronique (31 caractères
case pour autoriser le partage du profil entre tous les systèmes virtuels.
Onglet Serveurs
Serveur Donnez un nom pour identifier le serveur (1 à 31 caractères). Ce champ
est un simple intitulé et ne doit pas comporter le nom d'hôte d'un serveur
SMTP existant.
Afficher le nom Saisissez le nom indiqué dans le champ De du courrier électronique.
De Saisissez l'adresse électronique source, par exemple
alerte_sécurité@société.com.
A Saisissez l'adresse électronique du destinataire.
Autre(s) destinataire(s) Facultativement, saisissez l'adresse électronique d'un autre destinataire.
Passerelle Saisissez l'adresse IP ou le nom d'hôte du serveur SMTP (Simple Mail
Transport Protocol) utilisé pour envoyer le courrier électronique.
Onglet Format de
journal personnalisé
Type de journal Cliquez sur le type de journal pour ouvrir une boîte de dialogue dans
laquelle vous pouvez préciser un format de journal personnalisé. Dans la
boîte de dialogue, cliquez sur un champ pour l'ajouter à la zone du format
de journal. Cliquez sur OK pour sauvegarder les paramètres.
Echappement Autorisez les caractères d'échappement et précisez le ou les caractères
d'échappement.
Remarque : Vous ne pouvez pas supprimer un paramètre de courrier électronique

utilisé dans des paramètres du journal système ou de configuration, ou des profils
de journalisation.

Affichage des alarmes
Affichage des alarmes

Vous pouvez afficher la liste des alarmes actuelles à tout moment en cliquant sur l'icône
Alarmes dans l'angle inférieur droit de l'interface Web lorsque l'option Alarme est
configurée. Une fenêtre répertoriant les alarmes reçues et non reçues dans le journal des
alarmes s'affiche alors. Pour accuser réception d'alarmes, cochez leurs cases et cliquez sur
Accuser réception. Cette action déplace les alarmes dans la liste Alarmes reçues. La fenêtre
des alarmes inclut également des commandes de pagination, de tri des colonnes et
d'actualisation.
Le bouton Alarmes n'apparaît que lorsque la case Activer les alarmes est cochée dans la page
Périphérique > Paramètres des journaux > Alarmes > Paramètres d'alarme.
Configuration des paramètres de Netflow

Périphérique > Profils de serveur > Netflow
Le pare-feu peut générer et exporter des enregistrements NetFlow Version 9 contenant des
informations sur le flux de trafic IP unidirectionnel vers un collecteur externe. L'exportation
NetFlow peut être activée sur une quelconque interface d'entrée du système. Des
enregistrements de modèles distincts sont définis pour le trafic IPv4, IPv4 avec NAT et IPv6 et
les champs spécifiques à PAN-OS d'ID de l'application ou d'ID de l'utilisateur peuvent
éventuellement être exportés. Cette fonction est disponible sur toutes les plate-formes sauf les
modèles de la série PA-4000.
Le pare-feu prend en charge les modèles NetFlow standard et sélectionne le modèle approprié
en fonction des données à exporter.
Pour configurer des exportations de données NetFlow, définissez un profil de serveur
NetFlow qui détermine la fréquence de l'exportation ainsi que les serveurs NetFlow qui
recevront les données exportées.
Ensuite, lorsque vous associez le profil à une interface de pare-feu existante, l'ensemble du
trafic utilisant cette interface est exporté vers les serveurs spécifiés. Tous les types d'interface
prennent en charge l'association d'un profil NetFlow. Reportez-vous à « Interfaces du pare-
feu » à la page 133 pour plus d'informations sur l'association d'un profil NetFlow à une
interface.
Tableau 34. Paramètres de Netflow

Champ Description
Nom Donnez un nom au paramètre de Netflow (31 caractères maximum). Le
Taux de rafraîchissement Précisez le nombre de minutes ou de paquets après lequel le modèle
du modèle Netflow est actualisé (plage de minutes 1 à 3 600, par défaut 30 min ;
plage de paquets 1 à 600, par défaut 20).
Délai d'activation Précisez la fréquence à laquelle les enregistrements de données sont
exportés pour chaque session (minutes).
Exporter les types de Exportez des champs spécifiques à PAN-OS, tels que l'ID de l'application
fichier propres à PAN-OS et l'ID de l'utilisateur, d'enregistrements Netflow.

Importation, exportation et génération de certificats de sécurité
Tableau 34. Paramètres de Netflow (suite)

Champ Description
Serveurs
Serveur Précisez le nom d'hôte ou l'adresse IP du serveur. Vous pouvez ajouter
deux serveurs maximum par profil.
Port Précisez le numéro de port d'accès au serveur (par défaut 2055).
Importation, exportation et génération de certificats de

sécurité
Certificats
Périphérique > Gestion des certificats > Certificats
La page Certificats vous permet de générer les certificats de sécurité suivants :

• Transférer le certificat sécurisé : ce certificat est présenté aux clients lors du décryptage,
lorsque le serveur auquel ils sont connectés est signé par une AC dans la liste des AC de
confiance du pare-feu. Si un certificat auto-signé est utilisé pour le décryptage du proxy
de transfert, vous devez cliquer sur le nom du certificat dans la page Certificats puis
cocher la case Transférer le certificat sécurisé.
• Transférer le certificat non sécurisé : ce certificat est présenté aux clients lors du
décryptage, lorsque le serveur auquel ils sont connectés est signé par une AC qui ne
figure pas dans la liste des AC de confiance du pare-feu.
• AC racine de confiance : le certificat est désigné comme une AC de confiance pour le

décryptage de transfert.
Lorsque le pare-feu décrypte du trafic, il vérifie le certificat en amont pour savoir s'il a été
généré par une AC de confiance. Si ce n'est pas le cas, il utilise un certificat AC non
sécurisé spécial pour signer le certificat de décryptage. Dans ce cas, l'utilisateur reçoit la
page d'erreur de certificat classique lorsqu'il accède au pare-feu et doit alors ignorer
l'avertissement de connexion.
Le pare-feu dispose d'une liste importante d'AC de confiance. Le certificat AC racine de

confiance s'applique aux autres AC sécurisées pour votre entreprise mais qui ne figurent
pas dans la liste prédéfinie d'AC de confiance.

• Certificat d'exclusion SSL : ce certificat exclut les connexions si elles sont détectées lors
du décryptage du proxy de transfert SSL.
• Certificat pour l'interface Web sécurisée : ce certificat authentifie les utilisateurs pour
l'accès à l'interface Web du pare-feu. Si cette case est cochée pour un certificat, le pare-feu
l'utilisera pour toutes les sessions de gestion Web ultérieures à l'opération de validation
suivante.
Exécutez l'une des opérations suivantes sur la page Certificats :

• Pour révoquer un certificat :
a. Sélectionnez le certificat que vous souhaitez révoquer.

b. Cliquez sur Révoquer. Le certificat passe immédiatement à l'état révoqué. Aucune
validation n'est requise.
Vous pouvez également cliquer sur un certificat, puis sur l'icône Révoquer.
• Pour renouveler un certificat :
a. Sélectionnez le certificat que vous souhaitez renouveler.
b. Cliquez sur Renouveler, définissez le nombre de jours de prolongation du certificat,

puis cliquez sur OK. Un nouveau certificat est généré avec les mêmes attributs mais
avec un nouveau numéro de série. L'ancien certificat est alors remplacé par le
nouveau.
• Pour importer un certificat d'interface Web, d'AC de confiance ou de proxy de transfert

SSL :
a. Cliquez sur Importer.
b. Saisissez un nom pour identifier le certificat.
c. Sélectionnez le fichier du certificat. Si vous importez un certificat PKCS #12 et une clé
privée, le même fichier contiendra les deux objets. Si vous utilisez PEM, il s'agira du
certificat public uniquement.
d. Cochez la case Importer la clé privée pour charger la clé privée et saisissez la phrase
de passe deux fois. Si vous utilisez le certificat PKCS #12, le fichier de clé a été
sélectionné précédemment. Si vous utilisez PEM, recherchez le fichier de clé privée
cryptée (généralement *.key).
e. Sélectionnez le système virtuel dans lequel vous souhaitez importer le certificat dans
la liste déroulante.
• Pour exporter un certificat :
a. Sélectionnez le certificat que vous souhaitez exporter.
b. Cliquez sur Exporter.

c. Choisissez le format de fichier du certificat exporté (.pfx pour PKCS#12 ou .pem).
d. Cochez la case Exporter la clé privée et saisissez la phrase de passe deux fois pour
exporter la clé privée en plus du certificat.

• Cliquez sur Enregistrer et choisissez l'emplacement où copier le fichier sur votre

ordinateur local. Pour générer un certificat :
a. Cliquez sur Générer pour ouvrir la fenêtre Générer le certificat et fournir les
informations décrites dans le tableau suivant.
b. Une fois le certificat généré, cliquez sur le lien du certificat et précisez son type
(Transférer le certificat sécurisé, Transférer le certificat non sécurisé, AC racine de
confiance, Certificat d'exclusion SSL ou Certificat pour l'interface Web sécurisée).
Remarque : Si vous utilisez Panorama, vous pouvez également générer un

certificat auto-signé pour le serveur Panorama. Reportez-vous à « Gestion
centralisée des périphériques à l'aide de Panorama » à la page 417 pour plus
d'informations sur Panorama.
• Pour importer des clés pour la haute disponibilité (HD), cliquez sur Importer la clé HA et
recherchez le fichier de clé à importer. Pour exporter des clés pour HD, cliquez sur
Exporter la clé HD et indiquez l'emplacement où enregistrer le fichier. Les clés HD
doivent être échangées entre les deux pare-feux. En d'autres termes, la clé du pare-feu 1
doit être exportée puis importée sur le pare-feu 2 et vice versa.
Tableau 35. Paramètres de génération d'un certificat

Champ Description
Nom du certificat Donnez un nom pour identifier le certificat (31 caractères maximum). Le
chiffres, espaces, traits d'union et traits de soulignement. Seul le nom est
obligatoire.
Nom commun Saisissez l'adresse IP ou le FQDN qui apparaîtra sur le certificat.

Signés par Choisissez parmi la liste des certificats AC générés sur le pare-feu. Le
certificat sélectionné peut être utilisé pour signer le certificat en cours de
création.
Autorité de certification Désignez ce certificat comme une AC afin de pouvoir l'utiliser pour
signer d'autres certificats sur le pare-feu.
Répondeur OCSP Sélectionnez un profil de répondeur OSCP dans la liste déroulante. Le
profil est configuré dans Périphérique > Gestion des certificats >
Répondeur OCSP. Lors de la génération d'un certificat et de la saisie d'un
répondeur OCSP, le nom d'hôte ou l'adresse IP est recherché afin de
générer une URL de répondeur OCSP qui figurera alors dans cette liste
déroulante.
Nombre de bits Choisissez la longueur de la clé du certificat.
Résumer Choisissez l'algorithme de résumé du certificat.
Expiration (jours) Précisez le nombre de jours de validité du certificat. La valeur par défaut
est 365 jours.
Si vous précisez une Période de validité dans une configuration satellite
du portail GlobalProtect, cette valeur remplacera la valeur saisie dans ce
champ.

Tableau 35. Paramètres de génération d'un certificat (suite)

Champ Description
Pays Fournissez d'autres informations pour identifier le certificat (facultatif).
Etat Pour afficher la liste des définitions des codes pays, cliquez sur le lien
Ville Codes pays ISO 6366.
Organisation
Service
E-mail
Autorités de certification de confiance

Périphérique > Gestion des certificats > Certificats > Autorités de certification de
confiance
Utilisez cette page pour contrôler les autorités de certification (AC) que le pare-feu sécurisera.
Vous pouvez désactiver et activer des AC si nécessaire.
Tableau 36 Paramètres des autorités de certification de confiance

Champ Description
Si vous avez désactivé une AC et que vous souhaitez l'activer,
Activer cochez la case en regard de l'AC concernée, puis cliquez sur
Activer.
Cochez la case en regard de l'AC que vous souhaitez désactiver,
puis cliquez sur Désactiver. Ceci peut être utile si vous souhaitez
Désactiver
sécuriser certaines AC uniquement, ou pour les supprimer toutes
afin de ne sécuriser que votre AC locale.
Cochez la case en regard de l'AC, puis cliquez sur Exporter pour
exporter le certificat AC. Vous pouvez le faire afin de l'importer
Exporter
dans un autre système ou si vous souhaitez consulter le certificat
hors ligne.
Profil du certificat
Périphérique > Gestion des certificats > Profil du certificat
Vous pouvez créer des profils de certificat puis associer un profil à une connexion
administrateur dans la page Configuration ou à une connexion VPN SSL à utiliser pour
l'authentification ou avec des portails captifs. Vous pouvez également créer des profils de
certificat utilisés par les passerelles GlobalProtect à des fins d'authentification. Reportez-vous
à « Définition des paramètres de gestion » à la page 32 et à « Portails captifs » à la page 310.

Tableau 37. Paramètres de profil de certificat

Type de page Description
Nom Donnez un nom pour identifier le profil (31 caractères maximum).
Le nom est sensible à la casse et doit être unique. N'utilisez que des
lettres, chiffres, espaces, traits d'union et traits de soulignement.
Emplacement Si le périphérique est en mode Systèmes virtuels multiples, cochez
cette case pour autoriser le partage entre tous les systèmes virtuels.
Champ Username Choisissez une option de nom d'utilisateur dans la liste déroulante.
Domaine Saisissez le domaine du profil.
Certificats de l'autorité de Choisissez un certificat AC dans la liste déroulante, indiquez l'URL
certification OCSP par défaut, sélectionnez une option de vérification du
certificat AC, puis cliquez sur Ajouter. Répétez pour ajouter
d'autres certificats.
La liste déroulante Certificat AC pour la vérification OCSP est
utilisée si vous disposez d'un répondeur OCSP distinct capable de
vérifier les certificats.
Utiliser CRL Cochez cette case pour utiliser une liste de révocation du certificat
(CRL).
Utiliser OCSP Cochez cette case pour utiliser un serveur OCSP (Online Certificate
Status Protocol). OCSP est prioritaire sur CRL.
Délai d'expiration de la Précisez une durée après laquelle les requêtes CRL arrivent à
réception CRL expiration (1 à 60 secondes).
Délai d'attente en réception Précisez une durée après laquelle les requêtes OCSP arrivent à
OCSP expiration (1 à 60 secondes).
Délai d'expiration du statut Précisez une durée après laquelle les requêtes de statut du certificat
du certificat arrivent à expiration (1 à 60 secondes).
Bloquer une session si le Cochez cette case pour bloquer une session si le statut du certificat
statut du certificat est inconnu est inconnu.
Bloquer une session si le Cochez cette case pour bloquer une session si le statut du certificat
statut du certificat ne peut pas ne peut pas être récupéré avant le délai d'expiration.
être récupéré avant le délai
d'expiration
Répondeur OCSP
Périphérique > Gestion des certificats > Répondeur OCSP
Utilisez la page Répondeur OCSP (répondeur Online Certificate Status Protocol) pour définir
le serveur qui sera utilisé pour vérifier le statut de révocation des certificats générés par le
périphérique PAN-OS. Vous pouvez préciser le répondeur OCSP qui sera utilisé lors de la
génération de nouveaux certificats.
Pour activer OCSP, accédez à Périphérique > Configuration > Sessions puis, sous
Caractéristiques de la session, cliquez sur Paramètres de révocation du certificat de
décryptage.

Tableau 38 Paramètres du répondeur OCSP

Champ Description
Donnez un nom pour identifier le serveur du répondeur OCSP
(31 caractères maximum). Le nom est sensible à la casse et doit
Nom
être unique. N'utilisez que des lettres, chiffres, espaces, traits
d'union et traits de soulignement.
Saisissez le nom d'hôte du serveur du répondeur OCSP qui sera
Nom de l'hôte utilisé pour vérifier le statut de révocation des certificats de vos
périphériques.
Cryptage de clés privées et de mots de passe sur le pare-feu

Périphérique > Clé principale et diagnostics
Utilisez la page Clé principale et diagnostics pour préciser une clé principale pour le
cryptage des clés privées sur le pare-feu. Les clés privées sont stockées sous forme cryptée par
défaut, même si une nouvelle clé principale n'est pas précisée. Si le pare-feu est en mode
Critères communs, plusieurs fonctions de diagnostics cryptographiques sont disponibles. Ces
diagnostics vous permettent d'exécuter des auto-tests cryptographiques planifiés et des auto-
tests à la demande.
Pour créer une clé privée, saisissez une chaîne de 16 caractères dans le champ Nouvelle clé
principale, puis confirmez la clé. Saisissez la durée de vie et une valeur de rappel, puis cliquez
sur OK. Vous devrez mettre à jour la clé principale avant l'expiration. Pour plus
d'informations sur la mise à jour des clés principales, reportez-vous à « Mise à jour des clés
principales » à la page 99.
• « Paramètres de clé principale et de diagnostics » à la page 98
• « Mise à jour des clés principales » à la page 99
Paramètres de clé principale et de diagnostics
Tableau 39. Paramètres de clé principale et de diagnostics

Champ Description
Clé principale Précisez la clé actuellement utilisée pour crypter toutes les clés privées et tous
les mots de passe sur le pare-feu.
Nouvelle clé principale Pour modifier la clé principale, saisissez puis confirmez une nouvelle clé.
Confirmer la clé
principale
Durée de vie Précisez le nombre de jours et d'heures après lequel la clé principale arrive à
expiration (plage de 1 à 730 jours).
Heure de rappel Précisez le nombre de jours et d'heures avant l'expiration lorsque l'utilisateur
est informé de l'expiration imminente (plage de 1 à 365 jours).

Tableau 39. Paramètres de clé principale et de diagnostics (suite)

Champ Description
Critères communs En mode Critères communs, d'autres boutons sont disponibles et vous
permettent d'exécuter un auto-test d'algorithme cryptographique et un auto-
test d'intégrité logicielle. Un calendrier est également inclus pour spécifier les
heures auxquelles les deux auto-tests seront exécutés.
Mise à jour des clés principales

Lorsque vous créez une clé principale, une période d'expiration est définie. Il convient donc
de mettre à jour les clés avant la fin de la période d'expiration. Lorsque vous utilisez une clé
principale dans une configuration haute disponibilité (HD), il convient également que la
même clé principale soit utilisée sur les deux périphériques afin de s'assurer que les clés
privées et les certificats sont cryptés avec la même clé principale. Si les clés principales sont
différentes, la synchronisation de la configuration HD ne fonctionnera pas correctement. La
section suivante décrit comment mettre à jour la clé principale si le fonctionnement n'est pas
correct et des instructions sont proposées dans le cas où elles auraient déjà expiré ou si les clés
principales de chaque périphérique de la paire HD ne sont pas synchronisées.
Dans PAN-OS 5.0, si les clés principales d'une paire HD ne correspondent pas, un journal
système critique est généré.
Motifs de mise à jour de la clé principale :

• Vous pouvez changer la clé principale par défaut ou changer une clé principale que vous
avez créée.
• Les clés principales d'une configuration HD ne sont pas synchronisées.
• La clé principale arrive bientôt à expiration.
Mise à jour de clé principale HD (clés synchronisées mais non arrivées à expiration) :
1. Si vous mettez à jour les clés principales alors qu'elles ne sont pas arrivées à expiration ou
qu'elles ne sont pas synchronisées, avant de mettre à jour les clés, vous devez valider la
configuration et vérifier qu'il n'existe pas de mise à jour de configuration en attente sur les
deux périphériques de la paire HD.
Vous pouvez afficher l'état de validation en cliquant sur le lien Tâches en bas à droite de
l'interface Web de chaque périphérique. A partir de la CLI, exécutez la commande show
jobs all pour afficher tous les travaux en cours d'exécution ou la commande show
jobs pending pour afficher les travaux en attente. Pour vérifier qu'il n'existe aucune
mise à jour en attente, en mode de configuration, exécutez la commande check
pending-changes. Non doit s'afficher.
2. Désactivez la synchronisation de la configuration en accédant à Périphérique > Haute

disponibilité sur les deux périphériques puis, dans l'onglet Général, décochez la case
Activer la synchronisation de la configuration. Validez la configuration sur les deux
périphériques.
3. Mettez à jour la clé principale sur le périphérique A en utilisant 16 caractères et validez la

configuration.
4. Mettez à jour la clé principale sur le périphérique B avec la même clé principale et validez
la configuration.
5. Les clés principales doivent désormais être synchronisées. Consultez les journaux pour
vérifier qu'aucun journal système critère lié à la clé principale n'existe.

6. Activez de nouveau la synchronisation de la configuration en cochant la case Activer la

synchronisation de la configuration, puis validez la configuration.
Mise à jour de clé principale HD (clés non synchronisées ou expirées) :

1. Si les clés principales ne sont pas synchronisées ou si elles ont expiré, des erreurs critiques
sont générées dans le journal système. Dans ce cas de figure, vous devez désactiver
immédiatement la synchronisation de la configuration HD sur les deux périphériques de
la paire HD. Accédez à Périphérique > Haute disponibilité sur les deux périphériques
puis, dans l'onglet Général, décochez la case Activer la synchronisation de la
configuration. Validez la configuration sur les deux périphériques.
2. Vérifiez qu'il n'existe pas de mise à jour de configuration en attente sur les deux
périphériques de la paire HD. S'il existe des modifications en attente, validez la
configuration sur les deux périphériques et patientez jusqu'à ce que toutes les mises à jour
de configuration soient terminées.
Vous pouvez afficher l'état de validation en cliquant sur le lien Tâches en bas à droite de
l'interface Web de chaque périphérique. A partir de la CLI, exécutez la commande show
jobs all pour afficher tous les travaux en cours d'exécution ou la commande show
jobs pending pour afficher les travaux en attente. Pour vérifier qu'il n'existe aucune
mise à jour en attente, en mode de configuration, exécutez la commande check
pending-changes. Non doit s'afficher.
3. Mettez à jour la clé principale sur le périphérique A en utilisant 16 caractères et validez la

configuration.
4. Mettez à jour la clé principale sur le périphérique B avec la même clé principale et validez
la configuration.
5. Activez la synchronisation de la configuration sur les deux périphériques et validez la

configuration.
6. Les clés principales doivent désormais être synchronisées. Consultez les journaux pour
vérifier qu'aucun journal système critère lié à la clé principale n'existe.
7. Activez de nouveau la synchronisation de la configuration en cochant la case Activer la

synchronisation de la configuration, puis validez la configuration. Si les problèmes
persistent, contactez le service de support technique.

Haute disponibilité
PAN-OS prend en charge la haute disponibilité (HD) active/passive et active/active.
Remarque : Dans une paire HD, les deux pare-feux doivent être du même modèle et
disposer des mêmes licences. Si la synchronisation de l'état est activée, les sessions
existantes se poursuivent après un basculement. Les fonctions de protection contre les
menaces sont toutefois arrêtées. La protection contre les menaces s'appliquera aux
nouvelles sessions.
HD Active/Passive
Dans la configuration active/passive, deux périphériques forment un groupe HD pour
permettre une redondance. Les deux pare-feux sont en miroir l'un par rapport à l'autre dans la
configuration. Si le pare-feu actif échoue pour une quelconque raison, le pare-feu passif
devient automatiquement actif sans perte de service. Un basculement est également possible
si les liaisons Ethernet sélectionnées échouent ou si le pare-feu actif ne parvient pas à atteindre
une ou plusieurs des destinations spécifiées. En ce qui concerne le traitement du trafic, au
moins un périphérique reçoit des paquets à la fois.
Les règles suivantes s'appliquent au fonctionnement de HD et au basculement :
• Le pare-feu actif synchronise en permanence ses informations de configuration et de
session avec le pare-feu passif via les interfaces HD.
• En cas d'échec du pare-feu actif, le pare-feu passif détecte la perte des pulsations et
devient automatiquement actif.
• En cas d'échec d'une interface HD, la synchronisation se poursuit sur l'autre interface. Si
la connexion de synchronisation de l'état est perdue, aucune synchronisation de l'état
n'est exécutée. Si la synchronisation de la configuration est perdue, les pulsations le sont
également. Les deux périphériques détectent que l'autre est inactif et deviennent alors
tous les deux actifs.
• Vous pouvez configurer les ports de gestion (MGT) sur les périphériques HD afin
d'indiquer un chemin de sauvegarde des messages de pulsations et Hello. Si vous
configurez HA1 ou une sauvegarde HA1 sur le port de gestion, vous ne devez pas activer
l'option de sauvegarde des pulsations.
HD Active/Active
La haute disponibilité active/active permet aux deux périphériques d'une paire HD de
transmettre simultanément du trafic et est déployée dans des environnements acheminés de
manière asymétrique dans lesquelles la prise en charge de l'ID de l'application et de l'ID de
contenu est requise. L'inspection de la couche 7 de l'ID de l'application et de l'ID de contenu
est exécutée sur un seul périphérique pour chaque session (ce périphérique est désigné
comme le propriétaire de la session). Si nécessaire, PAN-OS utilise le transfert de paquets (via
la liaison HA3) pour envoyer des paquets au propriétaire de la session désigné pour
traitement.
Des périphériques actifs/actifs peuvent être déployés avec des interfaces de couche 3 ou de
câble virtuel. Dans les déploiements à couche 3, les paquets analysés peuvent être directement
transférés par le propriétaire de la session après le traitement. Dans les déploiements à câble

virtuel, les paquets analysés doivent être renvoyés au pare-feu récepteur afin de protéger le
chemin de transfert. La liaison HA3 n'est pas utilisée si le propriétaire de la session reçoit
initialement le paquet. Les sessions qui ne requièrent pas l'ID de l'application et l'ID de
contenu sont directement transférés par le périphérique récepteur (même s'il ne s'agit pas du
propriétaire de la session) afin d'optimiser les performances.
Pour plus de flexibilité, vous pouvez configurer des interfaces de couche 3 de diverses
manières. Notez qu'il convient généralement de configurer des interfaces de couche 3 avec
une adresse IP d'interface statique en plus d'une adresse virtuelle (adresse IP flottante ou
adresse IP de partage de charge ARP).
• IP statique : les interfaces de couche 3 doivent être associées à des adresses IP statiques si
le pare-feu doit utiliser des protocoles de routage dynamiques avec des périphériques à
proximité. Une option de déploiement actif/actif possible utilise des mesures de coût du
protocole de routage dynamique pour forcer un chemin symétrique via la paire HD. Dans
ce cas, l'ensemble du trafic est symétrique et l'efficacité de la paire active/active est
optimisée.
• IP flottante : ce mode est utilisé lorsque la fonction similaire au protocole VRRP (Virtual
Router Redundancy Protocol) est requise, lorsqu'une adresse IP doit être disponible quel
que soit l'état des membres de la paire HD par exemple. Il convient généralement de
configurer deux adresses IP flottantes sur une interface spécifique de telle sorte que
chaque pare-feu dispose d'une adresse propre. La propriété est attribuée à l'ID de
périphérique dont la priorité est la plus élevée. En cas d'échec de l'un des pare-feux,
l'adresse IP flottante est transmise à l'homologue HD.
• Partage de charge ARP : ce mode est utilisé pour répartir la charge du trafic d'hôte entre
les deux pare-feux via le protocole ARP (Address Resolution Protocol).
Pour une description plus détaillée de ces trois options, reportez-vous aux descriptions plus
loin dans cette section.
Flux de paquets
Le flux de paquets se déroule comme suit dans une configuration active/active :
• Le propriétaire de la session est chargé du traitement de tous les paquets correspondants
à l'ID de l'application et à l'ID de contenu. Le propriétaire de la session peut être configuré
pour être (1) le premier périphérique qui reçoit un paquet pour la session, ou (2) le
périphérique principal. Si l'option de configuration est définie sur Périphérique principal,
toutes les sessions sont paramétrées sur le périphérique principal.
Remarque : Les journaux passant par une paire HD active/active s'affichent sur
le périphérique désigné comme étant le propriétaire de la session.

• Un seul périphérique est désigné comme étant le périphérique de paramétrage de session

pour toutes les sessions ultérieures. Ceci est nécessaire pour empêcher des situations de
course possibles dans les environnements acheminés de manière asymétrique. Le
périphérique de paramétrage de session est déterminé selon l'une des méthodes suivantes :
– Modulo IP : utilise une opération de module simple sur l'adresse IP source afin de
déterminer le périphérique de paramétrage de la session. Modulo IP transfère les
responsabilités de paramétrage de la session vers un périphérique HD spécifique en
fonction de la parité de l'adresse IP.
– Périphérique principal : le paramétrage de la session est toujours exécuté sur le

périphérique principal.
– Hacher : le hachage est utilisé pour un processus de sélection du périphérique de

paramétrage plus aléatoire.
• Lorsqu'une nouvelle session démarre, le pare-feu récepteur paramètre la session ou la

transfère à l'homologue HD. L'action exécutée est déterminée par la configuration du
paramétrage de la session décrite précédemment. Simultanément, le propriétaire de la session
(le périphérique chargé de préserver l'état de l'ID de l'application et de l'ID de contenu) est
déterminé en fonction de la configuration.
• Si des paquets parviennent au propriétaire de la session, le paquet est analysé pour

déterminer s'il constitue une menace (si configuré dans la politique de sécurité) puis transféré
en fonction de la configuration du réseau du périphérique. Si des paquets parviennent à
l'homologue HD, une recherche de table de la session détecte que la session est la propriété de
l'autre périphérique et le paquet peut être transféré via HA3 au propriétaire de la session. Si
l'inspection de couche 7 n'est pas nécessaire pour la session, le périphérique récepteur peut
simplement mettre en correspondance la session avec une entrée de la table de session et
transférer le paquet à sa destination finale.
Options de déploiement
La HD active/active prend en charge l'utilisation simultanée des interfaces de câble virtuel et
de couche 3. Toutes les options de déploiement actif/actif sont prises en charge dans les
environnements IPv6, notamment la surveillance des chemins IPv6.
Déploiement à câble virtuel

Les déploiements à câble virtuel prennent en charge le routage asymétrique comme tous les
autres déploiements actif/actif. Il convient de noter que les paquets transférés au propriétaire
de la session pour inspection de l'ID de l'application et de l'ID de contenu doivent être
renvoyés au pare-feu récepteur afin de protéger le chemin de transfert.
Déploiement à couche 3/IP flottante

Cette option de déploiement permet de créer des adresses IP flottantes pouvant être déplacées
entre les périphériques HD en cas d'échec d'une liaison ou d'un périphérique. Le port
disposant de l'adresse IP flottante répond aux requêtes ARP à l'aide d'une adresse MAC
virtuelle. Les adresses IP flottantes sont recommandées lorsqu'une fonction similaire au
protocole VRRP est requise. Des adresses IP flottantes peuvent être utilisées dans des
configurations VPN et NAT (Network Address Translation), permettant ainsi de poursuivre
les connexions en cas d'échec du périphérique proposant ces services.

Remarque : L'adresse IP flottante utilise une autre adresse MAC virtuelle lors du
transfert de l'adresse IP entre les périphériques HD en cas d'échec.
Couche 3/Partage de charge ARP

Le partage de charge ARP permet à la paire HD de partager une adresse IP et de proposer des
services de passerelle. Dans ce scénario, tous les hôtes sont configurés avec une adresse IP de
passerelle unique. Les réponses aux requêtes ARP d'adresse IP de passerelle sont données par
un seul périphérique de la paire en fonction de la source de la requête ARP. L'algorithme de
sélection du périphérique peut être défini pour obtenir une répartition plus uniforme du trafic
d'hôte entre les deux pare-feux. Le partage de charge ARP doit être utilisé lorsque le pare-feu
et les hôtes se trouvent dans le même domaine de diffusion. Les avantages du partage de
charge ARP sont perdus avec une séparation de couche 3.
Remarque : Vous ne pouvez pas exécuter une commande ping ou des services de
gestion sur une adresse IP de partage de charge ARP en mode actif/actif.
Couche 3/Redondance basée sur la route (adresses IP statiques)

La redondance basée sur la route force le trafic à devenir symétrique à l'aide de mesures de
routage telles que les coûts OSPF (Open Shortest Path First) sur les pare-feux et les périphériques à
proximité. Le partage de la charge peut être géré en ajustant les coûts d'acheminement du trafic
sur les deux pare-feux. Dans ce cas, l'adresse IP attribuée à l'interface du périphérique est inversée
et ne bascule pas vers l'homologue HD en cas de basculement.
Remarques sur NAT

En mode actif/actif, il n'est pas nécessaire de définir une liaison de périphérique actif/actif dans
toutes les règles NAT. La liaison de périphérique actif/actif est disponible dans l'interface Web
lorsque le mode HD devient actif/actif. Lorsqu'une nouvelle session est créée, la liaison de
périphérique détermine les règles NAT correspondantes sur le pare-feu (la liaison de périphérique
doit inclure le périphérique propriétaire de la session pour générer une correspondance). Bien que
la correspondance de politique NAT soit exécutée par le périphérique de paramétrage de session,
les règles NAT sont évaluées à partir du propriétaire de la session. La session est traduite en
fonction des règles NAT associées au périphérique propriétaire de la session. En cas de règles
spécifiques au périphérique, un pare-feu ignore toutes les règles NAT associées au propriétaire de
la session lors de la mise en correspondance de la politique NAT.
Par exemple, supposons que le périphérique 1 est le propriétaire de la session et également chargé
du paramétrage de la session. Lorsque le périphérique 1 tente de mettre en correspondance la
session et une règle NAT, il ignore toutes les règles à l'aide d'une liaison de périphérique 0.
Les options de liaison de périphérique NAT incluent les suivantes :
• Périphérique 0 et Périphérique 1 : la traduction est exécutée en fonction des liaisons
spécifiques au périphérique si le propriétaire de la session et l'ID de périphérique dans la
règle NAT correspondent. Les règles NAT spécifiques au périphérique sont généralement
utilisées lorsque les deux pare-feux utilisent des adresses IP publiques uniques pour la
traduction.

• Les deux : cette option permet à l'un ou l'autre périphérique de mettre en correspondance
de nouvelles sessions avec la règle NAT et est généralement utilisée pour le NAT de
destination.
• Principal : cette option permet au périphérique principal actif uniquement de mettre en

correspondance de nouvelles sessions avec la règle NAT. Ce paramètre est principalement
utilisé pour le NAT statique entrant dans lequel un seul pare-feu répond aux requêtes
ARP. Contrairement aux liaisons de périphérique 0/1, une liaison de périphérique
principal peut être déplacée entre les périphériques en cas de transfert du rôle principal.
Les scénarios suivants s'appliquent aux déploiements NAT actif/actif.

Traduction de la source en adresse IP dynamique ou pool d'adresses IP/de ports

dynamiques
Lors de la traduction de la source en adresse IP dynamique ou en pool d'adresses IP/de ports
dynamiques, il convient d'associer des règles NAT à un périphérique spécifique (ID du
périphérique 0 ou 1). Les pools d'adresses IP vers lesquels les périphériques HD sont traduits
ne doivent pas se chevaucher. Lorsqu'une session est établie, l'un ou l'autre périphérique peut
traduire des paquets de retour.
Dans l'exemple suivant, les sessions détenues par le périphérique 0 sont traduites en 1.1.1.1 et
celles détenues par le périphérique 1 sont traduites en 1.1.1.2. En cas d'échec d'un
périphérique, les sessions du périphérique 0 continuent à être traduites en 1.1.1.1 jusqu'à ce
qu'elles soient terminées. Dans cet exemple, il convient d'utiliser des adresses IP flottantes sur
chaque pare-feu si cette fonction est requise.
Routeur ISP
1.1.1.254/24
1.1.1.1/24 1.1.1.2/24
ID du périphérique 1
ID du
périphrique 0
Réseau privé
Figure 3. Configuration de traduction source d'IP dynamique
Tableau 40. Règles de traduction source d'IP dynamique

Paquet d'origine Paquet traduit
Zone Zone de Liaison Active/
Nom Traduction source
source destination Active HD
NAT source L3Trust L3Untrust dynamic-ip-and- 0
périphérique 0 port 1.1.1.1

Traduction source dynamique en adresses IP publiques pour différents fournisseurs

de services Internet (ISP)
Dans ce scénario, les règles NAT sont associées à des périphériques spécifiques (ID du
périphérique 0 ou 1). Toutes les sessions détenues par le périphérique 0 sont traduites en
1.1.1.1 et celles détenues par le périphérique 1 sont traduites en 2.2.2.1. En cas d'échec du
périphérique 0, le périphérique 1 tente de traduire les sessions en cours en fonction de
l'adresse IP d'origine, à savoir 1.1.1.1. Si le second ISP ne parvient pas à acheminer vers ces
adresses, les sessions échouent. Dans cet exemple, les adresses IP d'interface spécifique à un
ISP sont inversées vers un périphérique donné. Une adresse IP flottante ne doit pas être
utilisée dans cette configuration.
Routeur ISP Routeur ISP

1.1.1.254/24 2.2.2.254/24
1.1.1.1/24 2.2.2.1/24
Réseau privé
Figure 4. Configuration de traduction source dynamique en adresse IP publique
Tableau 41. Règles de traduction source dynamique en adresse IP publique

Zone Zone de Liaison Active/Active
Nom Traduction source
source destination HD

Traduction de destination en adresse IP indépendante du fournisseur

Dans ce scénario, les règles NAT sont associées aux deux périphériques. La traduction est
identique quel que le soit le périphérique qui reçoit le premier paquet entrant. Un paquet
destiné à l'adresse 3.3.3.30 est traduit en 10.0.0.200 quel que le soit le périphérique qui reçoit le
paquet.
Routeur ISP Routeur ISP

1.1.1.254/24 2.2.2.254/24
1.1.1.1/24 2.2.2.1/24
ID du
périphrique 0
10.0.0.200 (IP publique 3.3.3.30)
Figure 5. Traduction de destination en adresse IP indépendante du fournisseur
Tableau 42. Règles de traduction source dynamique en adresse IP publique

Zone de Adresse de Traduction de Liaison Active/
Nom Zone source
destination destination destination Active HD
DNAT L3Untrust L3Untrust 3.3.3.30 adresse : les deux
indépendant 10.0.0.200
du
fournisseur
Paramétrage de la HD
Pour paramétrer la HD, procédez comme suit :
1. Utilisez deux pare-feux avec le même numéro de modèle.
2. Montez les deux pare-feux dans un rack à proximité l'un de l'autre, puis mettez-les sous
tension comme décrit dans le Guide de référence du matériel. S'il s'agit d'une installation
existante, nous vous conseillons de procéder à une réinitialisation en mode de
maintenance en sélectionnant l'option Réinitialisation usine dans le menu principal.
Reportez-vous au Guide de référence de l'interface de ligne de commande PAN-OS.
3. Connectez chaque pare-feu à votre réseau et à Internet à l'aide des mêmes ports
physiques.

4. A l'aide de deux câbles Ethernet RJ-45 inverseurs, connectez les ports HA1 et HA2 de
chaque pare-feu aux mêmes ports sur l'autre pare-feu, ou connectez les ports des deux
pare-feux à un commutateur. HA1 correspond à la liaison de contrôle et HA2 à la liaison
de données. Pour les configurations active/active, procédez à une connexion physique
supplémentaire, HA3, entre les deux pare-feux. Des groupes d'agrégation de liaisons sont
recommandés pour la redondance de la liaison sur HA3 lorsque le pare-feu prend en
charge l'interface Ethernet agrégée.
Remarque : Pour les périphériques ne disposant pas d'interfaces HD dédiées, vous

pouvez utiliser les interfaces de trafic pour HD. Par exemple, connectez les interfaces
1/15 Ethernet l'une à l'autre et les interfaces 1/16 Ethernet l'une à l'autre.
5. Ouvrez l'onglet Réseau et vérifiez que les liaisons HD sont actives. Configurez chaque
liaison sur le type HD.
Figure 6. Vérification des interfaces HD
6. Configurez des paramètres de HD sur les deux pare-feux. Reportez-vous à « Activation

de la HD sur le pare-feu » à la page 110.
Point important relatif au paramétrage de la HD

Des câbles inverseurs sont recommandés lorsque les liaisons HD sont connectées directement.

Activation de la HD sur le pare-feu

Périphérique > Haute disponibilité
Une fois la HD paramétrée comme décrit dans « Paramétrage de la HD » à la page 108, vous
pouvez activer la HD sur les pare-feux actif et passif. Pour chaque section de la page Haute
disponibilité, cliquez sur Modifier dans l'en-tête et fournissez les informations
correspondantes décrites dans le tableau suivant.
Tableau 43. Paramètres de HD

Champ Description
Onglet Général
Configuration Précisez les paramètres suivants :
• Activer HD : activez la fonction HD.
• ID du groupe : saisissez un numéro pour identifier la paire active/passive (1 à 63).
Permet à plusieurs paires de pare-feux actif/passif de se trouver sur le même
réseau. L'ID doit être unique lorsqu'une plusieurs paires de haute disponibilité se
trouvent sur un réseau de couche 2.
• Description : saisissez une description de la paire active/passive (facultatif).
• Mode : choisissez active-active ou active-passive.
• Adresse IP des HD homologues : saisissez l'adresse IP de l'interface HA1
spécifiée dans la section Liaison de contrôle de l'autre pare-feu.
• Adresse IP de l'homologue HD de secours : saisissez l'adresse IP de la liaison de
contrôle de secours de l'homologue.
• Activer la synchronisation de la configuration : synchronisez le système
homologue.
• Vitesse de liaison : sélectionnez la vitesse de la liaison de données entre les pare-
feux actif et passif (pare-feux dotés de ports HD dédiés).
• Mode duplex de la liaison : sélectionnez une option de duplex de la liaison de
données entre les pare-feux actif et passif (pare-feux dotés de ports HD dédiés).

Tableau 43. Paramètres de HD (suite)

Champ Description
Paramètres de Précisez les paramètres suivants :
sélection • Priorité du périphérique : saisissez une valeur de priorité pour identifier le
pare-feu actif. Le pare-feu avec la valeur la plus faible (priorité supérieure)
devient le pare-feu actif (plage de 0 à 255).
• Sauvegarde de pulsation : utilise les ports de gestion des périphériques HD
afin d'indiquer un chemin de sauvegarde des messages de pulsations et Hello.
L'adresse IP du port de gestion est partagée avec l'homologue HD via la liaison
de contrôle HA1. Aucune configuration supplémentaire n'est requise.
• Préemptif : activez le pare-feu prioritaire pour qu'il reprenne l'opération active
après une récupération d'un échec. Si ce paramètre est désactivé, le pare-feu de
priorité inférieure reste actif même si le pare-feu prioritaire récupère d'un
échec.
• Délai de maintien de préemption : saisissez la durée d'attente d'un
périphérique passif ou actif secondaire avant de prendre l'état de périphérique
actif ou actif principal (plage de 1 à 60 minutes, par défaut 1 minute).
• Délai de maintien de promotion : saisissez la durée d'attente du périphérique
passif (en mode active/passive) ou du périphérique actif secondaire (en mode
active/active) avant de prendre l'état de périphérique actif ou actif principal
après la perte de la communication avec l'homologue HD. Ce délai de
maintien démarre après la déclaration de l'échec de l'homologue uniquement.
• Intervalle Hello : saisissez le nombre de millisecondes entre l'envoi des
paquets hello et la vérification que le programme HD sur l'autre pare-feu est
opérationnel. La plage est comprise entre 8 000 et 60 000 ms avec une valeur
par défaut de 8 000 ms sur toutes les plate-formes.
• Intervalle de pulsation : précisez la fréquence de l'échange de messages de
pulsations entre les homologues HD sous la forme d'une commande ping
ICMP (plage de 1 000 à 60 000 ms, par défaut 1 000 ms).
• Nombre maximum de battements : un battement est comptabilisé lorsque le
pare-feu n'est plus à l'état actif pendant 15 minutes après son dernier état actif.
Vous pouvez préciser le nombre maximum de battements autorisés avant que
le pare-feu ne soit considéré comme suspendu et que le pare-feu passif ne
prenne le relais (plage de 0 à 16, par défaut 3). La valeur 0 signifie qu'il n'y a
pas de valeur maximum (nombre infini de battements avant que le pare-feu ne
devienne actif).
• Temps d'attente actif après l'échec de la surveillance (ms) : précisez la durée
pendant laquelle le pare-feu reste actif après un échec de surveillance des
chemins ou des liaisons. Ce paramètre est recommandé pour empêcher un
basculement HD dû au battement occasionnel de périphériques à proximité
(plage de 0 à 60 000 ms, par défaut 0 ms).
• Temps d'attente actif principal supplémentaire (ms) : cette durée s'applique
au même événement que le Temps d'attente actif après l'échec de la
surveillance (plage de 0 à 60 000 ms, par défaut 500 ms). Cette durée
supplémentaire s'applique uniquement au périphérique actif en mode active/
passive et au périphérique actif principal en mode active/active. Ce délai est
recommandé pour empêcher un basculement lorsque les deux périphériques
rencontrent le même échec de surveillance des liaisons/chemins
simultanément.


Champ Description
Liaison de La configuration recommandée de la connexion de la liaison de contrôle HD
contrôle (HA1)/ consiste à utiliser la liaison HA1 dédiée entre les deux périphériques et à utiliser le
Liaison de port de gestion comme interface Liaison de contrôle (HA de secours). Dans ce cas,
contrôle (HA1 de vous n'avez pas besoin d'activer l'option Sauvegarde de pulsation dans la page
secours) Paramètres de sélection. Si vous utilisez un port HA1 physique pour la liaison
Liaison de contrôle HA et un port de données comme Liaison de contrôle (HA de
secours), il est recommandé d'activer l'option Sauvegarde de pulsation.
Pour les périphériques ne disposant pas d'un port HD dédié, le PA-200 par exemple,
vous devez configurer le port de gestion pour la connexion Liaison de contrôle HD
et une interface de port de données doit être définie sur le type HD pour la
connexion Liaison de contrôle HA1 de secours. Le port de gestion étant alors utilisé,
vous n'avez pas besoin d'activer l'option Sauvegarde de pulsation dans la page
Paramètres de sélection car les sauvegardes des pulsations sont déjà exécutées via la
connexion de l'interface de gestion.
Remarque : Lorsque vous utilisez un port de données pour la liaison de contrôle
HD, sachez que les messages de contrôle doivent être transférés entre le panneau de
données et le panneau de gestion. Ainsi, en cas d'échec dans le panneau de données,
les informations relatives à la liaison de contrôle HD ne peuvent pas être
communiquées entre les périphériques et un basculement se produit. Il convient
d'utiliser les ports HD dédiés ou, sur les périphériques ne disposant pas d'un port
HD dédié, d'utiliser le port de gestion.
Précisez les paramètres suivants pour les liaisons de contrôle HD principale et de
secours :
• Port : sélectionnez le port HD des interfaces HA1 principale et de secours. Le
paramètre de secours est facultatif.
Remarque : Le port de gestion peut également être utilisé comme liaison de contrôle.
• Adresse IPv4/6 : saisissez l'adresse IPv4 ou IPv6 des interfaces HA1 principale et
de secours. Le paramètre de secours est facultatif.
• Masque réseau : saisissez le masque réseau de l'adresse IP (255.255.255.0 par
exemple) des interfaces HA1 principale et de secours. Le paramètre de secours est
facultatif.
• Passerelle : saisissez l'adresse IP de la passerelle par défaut des interfaces HA1
principale et de secours. Le paramètre de secours est facultatif.
• Vitesse de liaison (modèles dotés de ports HD dédiés uniquement) :
sélectionnez la vitesse de la liaison de contrôle entre les pare-feux pour le port
HA1 dédié.
• Mode duplex de la liaison (modèles dotés de ports HD dédiés uniquement) :
sélectionnez une option de duplex pour la liaison de contrôle entre les pare-feux
pour le port HA1 dédié.
• Cryptage activé : activez le cryptage après l'exportation de la clé HD de
l'homologue HD et son importation sur ce périphérique. La clé HD de ce
périphérique doit également être exportée de ce périphérique et importée sur
l'homologue HD. Configurez ce paramètre pour l'interface HA1 principale.
L'importation/exportation de la clé est exécutée sur la page Certificats. Reportez-
vous à « Importation, exportation et génération de certificats de sécurité » à la
page 60.
• Temps d'attente pour la surveillance (ms) : saisissez la durée d'attente (en
millisecondes) du pare-feu avant de déclarer un échec d'homologue dû à l'échec
d'une liaison de contrôle (1 000 à 60 000 ms, par défaut 3 000 ms). Cette option
surveille l'état de la liaison physique du ou des ports HA1.


Champ Description
Liaison de Précisez les paramètres suivants pour les liaisons de données principale et de
données (HA2) secours :
• Port : sélectionnez le port HD. Configurez ce paramètre pour les interfaces HA2
principale et de secours. Le paramètre de secours est facultatif.
• Adresse IP : précisez l'adresse IPv4 ou IPv6 des interfaces HA2 principale et de
secours. Le paramètre de secours est facultatif.
• Masque réseau : précisez le masque réseau des interfaces HA2 principale et de
secours. Le paramètre de secours est facultatif.
• Passerelle : précisez la passerelle par défaut des interfaces HA2 principale et de
secours. Le paramètre de secours est facultatif. Si les adresses IP HA2 des pare-
feux de la paire HD se trouvent dans le même sous-réseau, le champ Passerelle ne
doit pas être renseigné.
• Activer la synchronisation de la session : activez la synchronisation des informa-
tions relatives à la session avec le pare-feu passif, puis choisissez une option de
transport.
• Transport : choisissez l'une des options de transport suivantes :
– Ethernet : utilisez cette option lorsque les pare-feux sont connectés dos-à-dos
ou via un commutateur (Ethertype 0x7261).
– IP : utilisez cette option lorsque le transport de couche 3 est nécessaire
(protocole IP n°99).
– UDP : utilisez cette option pour que la somme de contrôle soit calculée sur
l'ensemble du paquet et non sur l'en-tête comme avec l'option IP (port
UDP n°29281).
• Vitesse de liaison (modèles dotés de ports HD dédiés uniquement) : sélec-
tionnez la vitesse de la liaison de contrôle entre les pare-feux actif et passif pour le
port HA2 dédié.
• Mode duplex de la liaison (modèles dotés de ports HD dédiés uniquement) :
sélectionnez une option de duplex pour la liaison de contrôle entre les pare-feux
actif et passif pour le port HA2 dédié.
• HA2 persistante : cochez cette case pour activer la surveillance sur la liaison de
données HA2 entre les homologues HD. En cas d'échec basé sur le seuil défini,
l'action spécifiée est exécutée (log ou split data-path). L'option est désactivée par
défaut.
Vous pouvez configurer l'option de persistance HA2 sur les deux périphériques
ou sur un seul périphérique de la paire HD. Si l'option est définie sur un seul péri-
phérique, il sera le seul à envoyer les messages de persistance. L'autre périphé-
rique sera informé en cas d'échec et passera en mode de fractionnement du chemin
de données si cette action est sélectionnée.
– Action : sélectionnez l'action à exécuter en cas d'échec de messages de surveil-
lance dû au paramètre de seuil.
› log-only : sélectionnez cette action pour générer un message de journal
système critique en cas d'échec HA2 basé sur le paramètre de seuil. Un
journal d'informations est généré en cas de récupération du chemin
HA2.
Dans une configuration active/passive, vous devez utiliser cette action
puisque, étant donné qu'un seul périphérique est actif à la fois, vous
n'avez pas besoin de fractionner les données.
› split data-path : cette action est conçue pour une configuration HD
active/active. Dans une configuration active/active, si la synchroni-
sation de la session est désactivée par l'administrateur ou par un échec
de surveillance, la propriété et le paramétrage de la session sont définis
sur le périphérique locale et les nouvelles sessions sont traitées
localement pendant leur durée de vie.


Champ Description
› Seuil (ms) : la durée pendant laquelle les messages de
persistance ont échoué avant le déclenchement de l'une des
actions ci-dessus (plage de 5 000 à 60 000 ms, par défaut
10 000 ms).
Remarque : Lorsqu'une liaison de secours HA2 est configurée, un basculement vers la
liaison de secours se produit en cas d'échec d'une liaison physique. Lorsque l'option
HA2 persistante est activée, le basculement se produit également en cas d'échec des
messages de persistance HD dû au seuil défini.
Onglet Surveillance des chemins et des liaisons

Surveillance des Précisez les paramètres suivants :
chemins • Activé : activez la surveillance des chemins. La surveillance des chemins
permet au pare-feu de surveiller les adresses IP de destination précisées en
envoyant des messages ping ICMP afin de vérifier qu'elles répondent. Utilisez
la surveillance des chemins pour les configurations à câble virtuel, couche 2 ou
couche 3 dans lesquelles la surveillance des autres périphériques du réseau est
requise pour le basculement mais où la surveillance des liaisons seule ne suffit
pas.
• Condition d'échec : sélectionnez cette option en cas de basculement lorsqu'un
ou tous les groupes de chemins surveillés ne répondent pas.
Groupe de Définissez un ou plusieurs groupes de chemins afin de surveiller des adresses de
chemins destination spécifiques. Pour ajouter un groupe de chemins, cliquez sur Ajouter
pour le type d'interface (Câble virtuel, VLAN ou Routeur virtuel) et précisez les
• Nom : saisissez un nom pour identifier le groupe.
• Activé : activez le groupe de chemins.
• Condition d'échec : sélectionnez cette option en cas d'échec lorsqu'une ou
toutes les adresses de destination précisées ne répondent pas.
• IP source : pour les interfaces câble virtuel et VLAN, saisissez l'adresse IP
source utilisée dans les paquets à analyser envoyés au routeur du saut suivant
(adresse IP de destination). Le routeur local doit être en mesure de transmettre
l'adresse au pare-feu. L'adresse IP source de groupes de chemins associés aux
routeurs virtuels sont automatiquement configurées en tant qu'adresse IP de
l'interface indiquée dans la table de routage comme interface d'entrée de
l'adresse IP de destination spécifiée.
• IP de destination : saisissez une ou plusieurs adresses de destination (séparées
par des virgules) à surveiller.
• Intervalle des pings : précisez l'intervalle entre les requêtes ping envoyées à
l'adresse de destination (plage de 200 à 60 000 millisecondes, 200 millisecondes
par défaut).
• Nombre de pings : précisez le nombre d'échecs de requêtes ping avant de
déclarer un échec (plage de 3 à 10 pings, 10 pings par défaut).


Champ Description
Surveillance des Précisez les paramètres suivants :
liaisons • Activé : activez la surveillance des liaisons. La surveillance des liaisons permet
de déclencher un basculement en cas d'échec d'une liaison physique ou d'un
groupe de liaisons physiques.
• Condition d'échec : sélectionnez cette option en cas de basculement lorsqu'un
ou tous les groupes de liaisons surveillés ne répondent pas.
Groupe de Définissez un ou plusieurs groupes de liaisons afin de surveiller des liaisons
liaisons Ethernet spécifiques. Pour ajouter un groupe de liaisons, précisez les
informations suivantes, puis cliquez sur Ajouter :
• Nom : donnez un nom au groupe de liaisons.
• Activé : activez le groupe de liaisons.
• Condition d'échec : sélectionnez cette option en cas de basculement lorsqu'une
ou toutes les liaisons sélectionnées ne répondent pas.
• Interfaces : sélectionnez une ou plusieurs interfaces Ethernet à surveiller.
Onglet Actif/Passif
Etat de liaison Choisissez parmi les options suivantes :
passif • Auto : l'état de la liaison reflète la connectivité physique mais ignore tous les
paquets reçus. Cette option permet de maintenir l'état de la liaison de
l'interface jusqu'à ce qu'un basculement se produise, réduisant ainsi la durée
nécessaire de basculement du périphérique passif.
Cette option est prise en charge en mode couche 2, couche 3 et câble virtuel.
L'option Auto doit être privilégiée si votre réseau le permet.
• Arrêter : force l'arrêt de la liaison de l'interface. Il s'agit de l'option par défaut
qui garantit qu'aucune boucle n'est créée dans le réseau.
Temps d'attente Précisez la durée (en minutes) d'un pare-feu à l'état non fonctionnel avant de
inactif après devenir passif. Ce délai est utilisé uniquement lorsque la raison de l'échec est un
l'échec de la échec de la surveillance des liaisons ou des chemins (plage de 1 à 60, par défaut 1).
surveillance
Onglet Configuration Active/Active

Transfert des Cochez cette case pour activer le transfert des paquets via la liaison HA3. Ceci
paquets est nécessaire pour les sessions acheminées de manière asymétrique qui
requièrent une inspection de couche 7 de l'ID de l'application et de l'ID de
contenu.
Interface HA3 Choisissez l'interface de transfert des paquets entre les homologues HD en mode
de configuration active/active.
Sync VR Forcez la synchronisation de tous les routeurs virtuels configurés sur les
périphériques HD.
La synchronisation du routeur virtuel peut être utilisée lorsque le routeur virtuel
n'utilise pas de protocoles de routage dynamiques. Les deux périphériques
doivent être connectés au même routeur de saut suivant via un réseau commuté
et utiliser un routage statique uniquement.
Synchronisation Synchronisez la sélection du profil de qualité de service (QoS) sur toutes les
QoS interfaces physiques. Utilisez cette option lorsque les périphériques disposent de
vitesses de liaison similaires et que les mêmes profils QoS sont requis sur toutes
les interfaces physiques. Ce paramètre s'applique à la synchronisation des
paramètres de QoS de l'onglet Réseau. La politique de QoS est synchronisée
quel que soit ce paramètre.


Champ Description
Sélection du Précisez l'une des options suivantes pour la sélection du propriétaire de la
propriétaire de la session :
session • Périphérique principal : sélectionnez cette option pour que le pare-feu actif/
principal gère l'inspection de couche 7 de toutes les sessions. Ce paramètre est
principalement recommandé pour les opérations de dépannage.
• Premier paquet : sélectionnez cette option pour que le pare-feu qui reçoit le
premier paquet de la session soit chargé de l'inspection de couche 7 dans la
prise en charge de l'ID de l'application et de l'ID de contenu. Il s'agit de la
configuration recommandée pour minimiser l'utilisation la liaison de transfert
des paquets HA3.
Configuration de Choisissez la méthode de configuration initiale de la session.
la session • Modulo IP : sélectionne un pare-feu en fonction de la parité de l'adresse IP
source.
• Périphérique principal : garantit que toutes les sessions sont configurées sur
le pare-feu principal.
• Hachage IP : détermine le pare-feu de configuration à l'aide d'un hachage de
l'adresse IP source ou de l'adresse IP source et de destination, ainsi qu'une
valeur de départ pour le hachage si une opération plus aléatoire est souhaitée.
Adresse virtuelle Cliquez sur Ajouter, sélectionnez l'onglet IPv4 ou IPv6, puis cliquez de nouveau
sur Ajouter pour déterminer des options d'une adresse virtuelle HD qui sera
utilisée par le cluster HD active/active. Vous pouvez sélectionner le type
d'adresse virtuelle sur IP flottante ou Partage de charge ARP. Vous pouvez
également utiliser différents types d'adresse virtuelle dans le cluster, par
exemple, vous pouvez utiliser le partage de charge ARP sur l'interface LAN et
une adresse IP flottante sur l'interface WAN. Pour plus d'informations sur les
types de déploiement, reportez-vous à « Options de déploiement » à la page 103.
• IP flottante : saisissez une adresse IP qui se déplacera entre les périphériques
HD en cas d'échec d'une liaison ou d'un périphérique. Vous devez configurer
deux adresses IP flottantes sur l'interface de sorte que chaque pare-feu dispose
d'une adresse propre, puis définir la priorité. En cas d'échec de l'un des pare-
feux, l'adresse IP flottante est transmise à l'homologue HD.
– Priorité périphérique 0 : définissez la priorité afin de déterminer le
périphérique disposant de l'adresse IP flottante. Le périphérique avec la
valeur la plus faible dispose de la priorité la plus élevée.
– Priorité périphérique 1 : définissez la priorité afin de déterminer le
périphérique disposant de l'adresse IP flottante. Le périphérique avec la
valeur la plus faible dispose de la priorité la plus élevée.
– Adresse de basculement si l'état des liaisons est inactif : utilisez l'adresse de
basculement lorsque l'état des liaisons est inactif sur l'interface.
• Partage de charge ARP : saisissez une adresse IP qui sera partagée par la paire
HD et qui fournira des services de passerelle aux hôtes. Cette option doit être
utilisée lorsque le pare-feu et les hôtes se trouvent dans le même domaine de
diffusion uniquement. Sélectionnez l'algorithme de sélection du
périphérique :
– Modulo IP : si cette option est sélectionnée, le pare-feu qui répondra aux
requêtes ARP sera sélectionné en fonction de la parité de l'adresse IP des
demandeurs ARP.
– Hachage IP : si cette option est sélectionnée, le pare-feu qui répondra aux
requêtes ARP sera sélectionné en fonction de l'un hachage de l'adresse IP
des demandeurs ARP.


Champ Description
Commandes opérationnelles
Suspendre le Placez le périphérique HD en mode de suspension, qui désactive
périphérique local temporairement la fonction HD sur le pare-feu. Si vous suspendez le pare-feu
actif en cours, le pare-feu secondaire prend le relais.
Informations importantes à prendre en compte lors de la configuration de la HD

• Le pare-feu auquel est attribuée la valeur de priorité de périphérique la plus faible
dispose de la priorité la plus élevée et devient le pare-feu actif d'une paire HD lorsque la
préemption est activée sur les deux pare-feux de la paire.
• L'option de préemption doit être activée sur les deux périphériques pour que le pare-feu
prioritaire puisse reprendre l'état actif après la récupération d'un échec.
• Le sous-réseau utilisé pour l'adresse IP locale et d'homologue ne doit pas être réutilisée
sur le routeur virtuel.
• Les versions OS et Contenu doivent être identiques sur les deux périphériques. Une
discordance peut empêcher la synchronisation des périphériques dans le cluster.
• Les voyants sont verts sur les ports HD du pare-feu actif et orange sur le pare-feu passif.
• Pour tester le basculement, tirez sur un câble du périphérique actif ou suspendez le

périphérique actif en exécutant la commande de la CLI request high-availability state
suspend. Vous pouvez également suspendre le périphérique actif en cliquant sur le lien
Suspendre dans l'angle supérieur droit de la page de configuration Haute disponibilité dans
l'onglet Périphérique.
• Pour remettre un périphérique suspendu à l'état fonctionne, utilisez la commande de la CLI

request high-availability state functional.
• Pour afficher les informations de HD détaillées sur le pare-feu local, utilisez la commande de
la CLI show high-availability all.
• Pour comparer la configuration des pare-feux local et homologue, utilisez la commande de

la CLI
show high-availability state sur l'un ou l'autre périphérique. Vous pouvez également
comparer les configurations sur les pare-feux local et homologue à l'aide de l'outil Audit de
configuration de l'onglet Périphérique en sélectionnant la configuration locale souhaitée
dans la zone de sélection de gauche et la configuration de l'homologue dans la zone de
sélection de droite.
• Synchronisez les pare-feux via l'interface Web en cliquant sur le bouton Diffuser la
configuration situé dans le widget HD de l'onglet Tableau de bord. Notez que la
configuration du périphérique duquel vous diffusez la configuration remplace celle présente
sur le périphérique homologue. Pour synchroniser les pare-feux à partir de la CLI du
périphérique actif, utilisez la commande request high-availability sync-to-remote
running-config.
• Pour suivre l'état de la charge, utilisez la commande de la CLI show jobs processed.

Systèmes virtuels
HA Lite
Les pare-feux PA-200 et de la série VM prennent en charge une version « lite » de la HD active/
passive qui n'inclut pas la synchronisation de la session. HA Lite permet la synchronisation de la
configuration et la synchronisation de certains éléments d'exécution. Il prend également en charge
le basculement des tunnels IPSec (les sessions doivent être rétablies), les informations de bail du
serveur DHCP, les informations de bail du client DHCP, les informations de bail PPPoE ainsi que
la table de transfert du pare-feu en mode de configuration couche 3.
Systèmes virtuels
Un système virtuel représente un ensemble d'interfaces de pare-feux physiques et logiques
(notamment les VLAN et câbles virtuels) et des zones de sécurité. (Pour plus d'informations sur les
zones de sécurité, reportez-vous à « Définition de zones de sécurité » à la page 161.) Les systèmes
virtuels vous permettent de segmenter l'administration de toutes les politiques (sécurité, NAT,
QoS, etc.) ainsi que les fonctions de génération de rapports et de visibilité proposées par le pare-
feu.
Les systèmes virtuels concernent généralement la fonction de sécurité du pare-feu. Les fonctions
réseau telles que le routage statique et dynamique, ne sont pas contrôlées par les systèmes virtuels.
Si vous souhaitez disposer d'une segmentation du routage sur chaque système virtuel, vous devez
créer un routeur virtuel supplémentaire.
Remarque : Les pare-feux des séries PA-4000 et PA-5000 prennent en charge

plusieurs systèmes virtuels. Les pare-feux des séries PA-2000 et PA-3000 peuvent
prendre en charge plusieurs systèmes virtuels si la licence appropriée est installée.
Les pare-feux des séries PA-500 et PA-200 ne prennent en charge les systèmes
virtuels.
Par exemple, si vous souhaitez personnaliser les fonctions de sécurité du trafic associé à votre
service financier, vous pouvez définir un système virtuel Finance et définir des politiques de
sécurité applicables à ce service uniquement.

Systèmes virtuels
La Figure 7 illustre la relation entre les politiques et les systèmes virtuels dans le pare-feu. Des
politiques sont associées à chaque système virtuel contrairement aux fonctions de niveau
périphérique et réseau qui s'appliquent à l'ensemble du pare-feu.
Internet
Deviceadmin
Service 1 Service 2 Service 3 Service 4

VSYS VSYS VSYS VSYS
Politiques Politiques Politiques Politiques
Vsys Vsys Vsys Vsys
Figure 7. Systèmes virtuels et politiques
Pour optimiser l'administration des politiques, vous pouvez créer des comptes
d'administrateur de système virtuel permettant d'accéder à chaque système virtuel tout en
conservant des comptes d'administrateur distinct pour les fonctions au niveau du
périphérique et du réseau. Par exemple, un administrateur de système virtuel du service
Finance peut être désigné pour gérer les politiques de sécurité de ce service uniquement.
Toutes les interfaces, zones et politiques appartiennent initialement au système virtuel par
défaut (vsys1).
Lorsque vous activez plusieurs systèmes virtuels, notez les points suivants :
• Tous les éléments nécessaires aux politiques sont créés et gérés par un administrateur de
système virtuel.
• Les zones sont des objets de systèmes virtuels. Avant de définir une politique ou un objet
de politique, sélectionnez le système virtuel dans la liste déroulante Système virtuel dans
l'onglet Politiques ou Objets.
• Des interfaces, VLAN, câbles virtuels et routeurs virtuels peuvent être attribués aux
systèmes virtuels. Reportez-vous à « Définition des systèmes virtuels » à la page 122.
• Des destinations de journalisation à distance (SNMP, syslog et e-mail), ainsi que des
applications, services et profils, peuvent être partagés par tous les systèmes virtuels ou
être limités à un système virtuel sélectionné.
Communications entre les systèmes virtuels

Les systèmes virtuels du pare-feu sont considérés comme des entités distinctes. Pour prendre en
charge les flux de trafic interne entre les systèmes virtuels, vous devez indiquer les systèmes
virtuels capables de communiquer entre eux. Vous procédez ainsi lors de la configuration d'un
système virtuel en désignant les systèmes virtuels visibles pour celui-ci. Lorsque les systèmes
virtuels sont visibles les uns par rapport aux autres, créez des zones de type externe et précisez les

Systèmes virtuels
systèmes virtuels correspondants à chaque zone externe. Dans l'exemple suivant, Service 1 VSYS
doit disposer d'une zone externe faisant référence à Service 2 VSYS utilisé dans toutes les
politiques affectant le trafic entre les systèmes virtuels. Les entrées du journal de trafic sont
enregistrées sur les deux systèmes virtuels pour le trafic entre VSYS.
Chaque système virtuel doit disposer de politiques d'envoi et de réception de trafic. Par exemple,
le fait d'autoriser Service 1 VSYS de communiquer avec Service 2 VSYS requiert une politique dans
Service 1 VSYS autorisant le trafic vers Service 2 VSYS et une politique dans Service 2 VSYS
acceptant le trafic entrant de Service 1 VSYS.
Internet

VSYS VSYS VSYS VSYS
Politiques Politiques Politiques Politiques
Figure 8. Communications entre les systèmes virtuels

Systèmes virtuels
Passerelles partagées
Dans une configuration d'interface de système virtuel standard, chaque système virtuel utilise
une interface dédiée vers le monde extérieur. Chaque système virtuel est autonome et il
n'existe aucun chemin de communications direct et interne au pare-feu entre les systèmes
virtuels sauf si de telles communications sont explicitement configurées (reportez-vous à
« Communications entre les systèmes virtuels » à la page 119). Chaque système virtuel
disposant d'une adresse IP propre, plusieurs adresses sont nécessaires pour les
communications externes.
Internet
a.a.a.a b.b.b.b c.c.c.c d.d.d.d

VSYS VSYS VSYS VSYS
Figure 9. Systèmes virtuels sans passerelle partagée
Les passerelles partagées permettent aux systèmes virtuels de partager une interface commune
pour les communications externes. Ceci est tout particulièrement utile dans les déploiements où
l'ISP ne fournit qu'une seule adresse IP. Tous les systèmes virtuels communiquent avec le monde
extérieur via l'interface physique à l'aide d'une adresse IP unique (reportez-vous à la Figure 10).
Un routeur virtuel est utilisé pour acheminer le trafic de tous les systèmes virtuels via la passerelle
partagée.
Internet
x.x.x.x
Passerelle partagée
a.a.a.a b.b.b.b c.c.c.c d.d.d.d

VSYS VSYS VSYS VSYS
Figure 10. Systèmes virtuels avec une passerelle partagée

Systèmes virtuels
Toutes les règles de politique sont gérées au niveau du système virtuel. Si nécessaire, vous
pouvez créer des règles de transfert NAT et basé sur des politiques via la passerelle partagée
en sélectionnant la passerelle partagée dans la liste déroulante Système virtuel de l'écran
Politiques.
Définition des systèmes virtuels

Périphérique > Systèmes virtuels
Pour définir des systèmes virtuels, vous devez tout d'abord activer la définition de plusieurs
systèmes virtuels. Pour cela, ouvrez la page Périphérique > Configuration, cliquez sur le lien
Modifier sous Paramètres généraux dans l'onglet Gestion, puis cochez la case Fonction de
systèmes virtuels multiples. Un lien Systèmes virtuels est ainsi ajouté au menu latéral.
Vous pouvez désormais ouvrir la page Systèmes virtuels, cliquer sur Ajouter, puis préciser les
informations suivantes.
Tableau 44. Paramètres de système virtuel

Champ Description
ID Saisissez l'identifiant (entier) du système virtuel. Reportez-vous à la fiche
technique de votre modèle de pare-feu pour plus d'informations sur le
nombre de systèmes virtuels pris en charge.
Nom Donnez un nom pour identifier le système virtuel (31 caractères
Seul le nom est obligatoire.
Onglet Général Sélectionnez un profil de proxy DNS dans la liste déroulante si vous
souhaitez appliquer des règles de proxy DNS à cette interface. Reportez-
vous à « Proxy DNS » à la page 185.
Pour inclure des objets d'un type donné, cochez la case du type (interface,
VLAN, câble virtuel, routeur virtuel ou système virtuel visible). Cliquez
sur Ajouter et choisissez dans la liste déroulante. Vous pouvez ajouter un
ou plusieurs objets d'un quelconque type. Pour supprimer un objet,
sélectionnez-le, puis cliquez sur Supprimer.

Systèmes virtuels
Tableau 44. Paramètres de système virtuel (suite)

Champ Description
Onglet Ressource Définissez les paramètres suivants :
• Limite des sessions : nombre maximum de sessions autorisées pour ce
système virtuel.
• Règles de sécurité : nombre maximum de règles de sécurité autorisées
pour ce système virtuel.
• Règles NAT : nombre maximum de règles NAT autorisées pour ce
système virtuel.
• Règles de décryptage : nombre maximum de règles de décryptage
autorisées pour ce système virtuel.
• Règles QoS : nombre maximum de règles QoS autorisées pour ce
système virtuel.
• Règles de contrôle prioritaire sur l'application : nombre maximum de
règles de contrôle prioritaire sur l'application autorisées pour ce
système virtuel.
• Nombre max. de règles PBF : nombre maximum de règles de transfert
basé sur une politique (PBF) autorisées pour ce système virtuel.
• Nombre max. de règles Cp : nombre maximum de règles de portail
captif (CP) pour ce système virtuel.
• Nombre max. de règles Dos : nombre maximum de règles de déni de
service (DoS) autorisées pour ce système virtuel.
• Tunnels VPN de site à site : nombre maximum de tunnels VPN de site
à site autorisés pour ce système virtuel.
• Utilisateurs en mode tunnel GlobalProtect simultanés : nombre
maximum d'utilisateurs GlobalProtect distants simultanés autorisés
pour ce système virtuel.
Une fois les systèmes virtuels définis, vous pouvez exécutez l'une des tâches supplémentaires
suivantes :
• Pour modifier un système virtuel, cliquez sur le nom du système virtuel ou de l'interface
(VLAN, câble virtuel, routeur virtuel ou systèmes virtuels) que vous souhaitez modifier,
apportez les modifications appropriées, puis cliquez sur OK.
• Pour définir des zones de sécurité pour le nouveau système virtuel, choisissez Réseau >
Zones et définissez des zones de sécurité pour chaque nouveau système virtuel (reportez-
vous à « Définition de zones de sécurité » à la page 161). Lorsque vous définissez une nouvelle
zone, vous pouvez sélectionner un système virtuel.
• Cliquez sur Réseau > Interfaces et vérifiez que chaque interface comporte un système virtuel
et une zone de sécurité.

Définition des pages de réponse personnalisées
Configuration des passerelles partagées

Périphérique > Passerelles partagées
Les passerelles partagées utilisent des interfaces de couche 3, et au moins une interface de couche 3
doit être configurée en tant que passerelle partagée. Reportez-vous à « Configuration des interfaces de
couche 3 » à la page 136.
Tableau 45. Paramètres de passerelle partagée

Champ Description
ID Identifiant de la passerelle (non utilisé par le pare-feu).
Nom Donnez un nom à la passerelle partagée (31 caractères maximum). Le
chiffres, espaces, traits d'union et traits de soulignement. Seul le nom est
obligatoire.
Interfaces Cochez les cases des interfaces que la passerelle partagée utilisera.

Périphérique > Pages de réponse
Les pages de réponse personnalisées correspondent aux pages Web affichées lorsqu'un
utilisateur tente d'accéder à une URL. Vous pouvez définir un message HTML personnalisé
qui est téléchargé et affiché à la place de la page Web ou du fichier demandé.
Chaque système virtuel peut disposer de pages de réponse personnalisées propres.
Le tableau suivant décrit les types de pages de réponse personnalisées prenant en charge des
messages personnalisés.
Remarque : Reportez-vous à Annexe A, « Pages personnalisées » pour obtenir

des exemples de pages de réponse par défaut.
Tableau 46. Types de page de réponse personnalisée

Blocage de l'antivirus Accès bloqué en raison d'une infection par un virus.
Blocage des applications Accès bloqué car l'application est bloquée par une politique de sécurité.
Page destinée aux utilisateurs pour vérifier leurs nom d'utilisateur et
Confort du portail captif
mot de passe de machines ne faisant pas partie du domaine.
Blocage des fichiers Accès bloqué car l'accès au fichier est bloqué.
Poursuite du blocage des Page destinée aux utilisateurs pour confirmer que le téléchargement
fichiers doit se poursuivre. Cette option est disponible uniquement si la
fonction de poursuite est activée dans le profil de sécurité. Reportez-
vous à « Profils de blocage des fichiers » à la page 237.
Page d'aide personnalisée destinée aux utilisateurs de GlobalProtect
Aide du portail GlobalProtect
(accessible depuis le portail).

Tableau 46. Types de page de réponse personnalisée (suite)

Page destinée aux utilisateurs tentant d'accéder au portail
Connexion du portail
GlobalProtect. Pour plus d'informations sur GlobalProtect,
GlobalProtect
reportez-vous à « Présentation » à la page 365.
Page de bienvenue du portail Page de bienvenue destinée aux utilisateurs tentant de se connecter
GlobalProtect au portail GlobalProtect. Pour plus d'informations sur
GlobalProtect, reportez-vous à « Présentation » à la page 365.
Page de notification des Notification indiquant qu'un certificat SSL a été révoqué.
erreurs de certificat SSL
Page d'exclusion de Page d'avertissement utilisateur indiquant que cette session sera
décryptage SSL inspectée.
Page incluant la politique de blocage initiale permettant aux
Page de maintien et de utilisateurs d'ignorer le blocage. Par exemple, un utilisateur qui
forçage du filtrage des URL pense que la page a été bloquée de manière inappropriée peut
cliquer sur le bouton Continuer pour accéder à la page.
Avec la page de forçage, un mot de passe est requis pour que
l'utilisateur puisse contrôler la politique bloquant cette URL.
Reportez-vous à la section « Forçage de l'URL par l'administrateur »
du Tableau 1 pour obtenir des instructions sur la définition du mot
de passe de contrôle prioritaire.
Page de blocage du filtrage et Accès bloqué par un profil de filtrage des URL ou parce que la
des correspondances de catégorie d'URL est bloquée par une politique de sécurité.
catégories des URL
Vous pouvez exécuter l'une des fonctions suivantes sous Pages de réponse.
• Pour importer une page de réponse HTML personnalisée, cliquez sur le lien du type de
page que vous souhaitez modifier, puis cliquez sur Importer/Exporter. Recherchez la
page. Un message indiquant si l'importation a abouti s'affiche. Pour que l'importation
aboutisse, le fichier doit être au format HTML.
• Pour exporter une page de réponse HTML personnalisée, cliquez sur le lien Exporter
pour le type de page. Choisissez d'ouvrir le fichier ou de l'enregistrer sur le disque, puis
cochez la case si vous souhaitez toujours utiliser la même option.
• Pour activer ou désactiver la page Blocage des applications ou les pages d'exclusion de
décryptage SSL, cliquez sur le lien Activer du type de page. Cochez ou décochez la case
Activer.
• Pour utiliser la page de réponse par défaut au lieu d'une page précédemment chargée,
cliquez sur le lien Restaurer la page de blocage du type de page, puis sur Restaurer. Un
message indiquant si la restauration a abouti s'affiche.

Affichage des informations de support
Affichage des informations de support

Périphérique > Support
La page Support vous permet d'accéder aux alertes produit et de sécurité de Palo Alto Networks
en fonction du numéro de série de votre pare-feu. Vous pouvez également consulter une base de
connaissances techniques, et créer et afficher des « tickets » de demandes de support technique.
• Pour afficher les détails d'une alerte, cliquez sur le nom de l'alerte.
• Pour accéder à la page de support de Palo Alto Networks, cliquez sur Support.
• Pour saisir une demande de support technique ou pour afficher l'état de demandes existantes,
cliquez sur Gérer les cas.
• Pour générer un système de fichiers afin de simplifier le support technique de Palo Alto
Networks lors d'un dépannage, cliquez sur Générer le fichier de support technique. Une fois
le fichier généré, cliquez sur Télécharger le fichier de support technique pour télécharger le
fichier sur votre ordinateur.

Chapitre 4
Configuration du réseau
Ce chapitre explique comment configurer le pare-feu pour prendre en charge votre

architecture réseau :
• « Déploiement du pare-feu » dans la section suivante
• « Interfaces du pare-feu » à la page 133
• « Zones de sécurité » à la page 160
• « Prise en charge de VLAN » à la page 162
• « Routeurs virtuels et protocoles de routage » à la page 162
• « Serveur et relais DHCP » à la page 183
• « Proxy DNS » à la page 185
• « Profils réseaux » à la page 187
Remarque : Pour plus d'informations sur la prise en charge VPN sur le pare-feu,
consultez les sections « Rapports et journaux » à la page 273 et « Rapports et
journaux » à la page 273. Pour plus d'informations sur la prise en charge de la
qualité de service (QoS), consultez la section « Configuration de la qualité de
service » à la page 387.
Palo Alto Networks Configuration du réseau • 127

Déploiement du pare-feu
Le pare-feu peut remplacer votre pare-feu existant lorsqu'il est installé entre un routeur
périphérique (ou un autre périphérique Internet) et un commutateur ou un routeur qui se
connecte à votre réseau interne. Le pare-feu prend en charge un large éventail d'options de
déploiement et de types d'interfaces pouvant être utilisées simultanément sur différentes
interfaces physiques. Leurs descriptions sont disponibles dans les sections suivantes :
• « Déploiements d'un câble virtuel » dans la section suivante
• « Déploiements de couche 2 » à la page 130
• « Déploiements de couche 3 » à la page 131
• « Déploiements en mode Tap » à la page 132
• « Définition de câbles virtuels » à la page 132
• « Modification du contenu d'un paquet » à la page 133
Déploiements d'un câble virtuel

Dans le déploiement d'un câble virtuel, le pare-feu est installé de façon transparente sur un
segment de réseau en reliant deux ports entre eux (Figure 11). Vous pouvez installer le pare-
feu dans n'importe quel environnement de réseau, sans avoir à configurer des périphériques
réseaux. Un câble virtuel peut bloquer ou autoriser le trafic en fonction des valeurs des
étiquettes VLAN (Virtual LAN), le cas échéant. Vous pouvez également créer plusieurs sous-
interfaces et classer le trafic en fonction d'une adresse IP (adresse, plage ou sous-réseau) et/ou
d'un VLAN.
Par défaut, le câble virtuel « câblev-défaut » lie des ports Ethernet 1 et 2 et autorise tout trafic
non étiqueté.
Sélectionnez cette option pour :
• Simplifier l'installation et la configuration.
• Éviter toute modification de configuration dans les périphériques réseaux environnants.
Un câble virtuel correspond à la configuration par défaut et doit être uniquement utilisé
lorsqu'aucun basculement ou routage n'est requis.
Aucun routage ou
basculement exécuté
Réseau utilisateur Internet
Figure 11. Déploiement d'un câble virtuel
Les sous-interfaces de câble virtuel permettent de gérer de façon plus flexible plusieurs
réseaux dans lesquels le trafic doit être séparé et différentes politiques requises. Vous pouvez
utiliser ces sous-interfaces pour classer le trafic en zones et systèmes virtuels différents en
fonction de leur étiquette VLAN et/ou de leur IP (adresse, plage ou sous-réseau). Dans
128 • Configuration du réseau Palo Alto Networks

l'illustration de la Figure 12, un fournisseur de services Internet (ISP) utilise des sous-
interfaces de câble virtuel, ainsi que des classificateurs d'adresses IP pour séparer le trafic de
deux clients différents.
Le flux opérationnel général de la configuration consiste à configurer deux interfaces Ethernet
à l'aide d'un type d'interface de câble virtuel, puis ces interfaces sont ajoutées à un câble
virtuel dans Périphérique > Câbles virtuels. Les interfaces faisant partie du câble virtuel sont
ensuite configurées avec des sous-interfaces définies pour séparer le trafic du ClientA et du
ClientB. Pour finir, créez des câbles virtuels supplémentaires pour chaque paire de sous-
interfaces. Les deux sous-interfaces d'un câble virtuel doivent contenir la même étiquette
VLAN, étant donné qu'un câble virtuel ne peut pas faire basculer des étiquettes VLAN.
L'illustration de la Figure 12 montre que le ClientA et le ClientB sont connectés au pare-feu via
une interface ethernet1/1 physique configurée en tant que câble virtuel et qu'elle sert
d'interface d'entrée. Une deuxième interface ethernet1/2 physique fait également partie du
câble virtuel et sert d'interface de sortie pour fournir un accès à Internet. Ensuite, ajoutez des
sous-interfaces ethernet1/1.1 sur le côté entrant, puis une sous-interface de sortie ethernet1/
2.1 au ClientA. Idem pour le Client2, mais utilisez une sous-interface ethernet1/1.2 comme
entrée et une sous-interface ethernet1/2.2 comme sortie. Au moment de la configuration des
sous-interfaces, vous pouvez ensuite assigner un VLAN et une zone appropriés afin
d'appliquer des politiques à chaque client. Dans cet exemple, les politiques du ClientA sont
créées entre la Zone1 et la Zone2 et les politiques du ClientB sont créées entre la Zone3 et la
Zone4.
Le trafic entre dans le pare-feu du ClientA ou du ClientB et chaque client va être séparé en
fonction de leur adresse IP, à condition que l'option Classificateur d'adresses IP soit utilisée
sur la sous-interface et/ou le VLAN, si l'étiquetage est activé.
Le trafic entrant va être assigné à une sous-interface de câble virtuel spécifique en comparant
d'abord l'étiquette VLAN d'un paquet aux sous-interfaces associées à l'interface d'entrée. Si
une sous-interface unique contient l'étiquette VLAN pour un paquet entrant, cette sous-
interface sera sélectionnée. S'il existe plusieurs sous-interfaces correspondantes (plusieurs
sous-interfaces utilisant la même étiquette VLAN), le pare-feu va essayer de limiter davantage
la classification dans une sous-interface en fonction de l'adresse IP source d'un paquet dans le
trafic sortant. Pour le trafic de la voie de retour, le pare-feu va sélectionner le câble virtuel
approprié en comparant l'adresse de destination à la liste des classificateurs d'adresses IP
définis sur la sous-interface orientée client.
La classification des adresses IP peut uniquement être utilisée sur les sous-interfaces associées
à une interface physique du câble virtuel (un côté du câble virtuel). Les sous-interfaces
définies sur l'autre interface physique du câble virtuel ne doivent pas contenir de
classificateur d'adresses IP et doivent indiquer la même étiquette VLAN que la sous-interface
correspondante située de l'autre côté.

Câble virtuel avec des sous-interfaces
ClientA Câble virtuel Câble virtuel

ethernet1/1 (entrée) ethernet1/2 (sortie)
Internet
ClientB ClientA ClientA

Sous-interface e1/1.1 Sous-interface e1/2.1
Zone1 Zone2
ClientB ClientB
Sous-interface e1/1.2 Sous-interface e1/2.2
Zone3 Zone4
Figure 12. Déploiement d'un câble virtuel avec des sous-interfaces
Pour paramétrer des câbles virtuels, consultez la section « Configuration des interfaces de
câble virtuel » à la page 146.
Déploiements de couche 2
Dans un déploiement de couche 2, le pare-feu assure un basculement entre deux ou plusieurs
réseaux. Chaque groupe d'interfaces doit être assigné à un objet VLAN afin que le pare-feu
puisse les faire basculer. Le pare-feu va faire basculer une étiquette VLAN lorsque des sous-
interfaces de couche 2 sont jointes à un objet VLAN commun. Choisissez cette option lorsque
le basculement est requis (Figure 13).
Basculement entre
deux réseaux
Figure 13. Déploiement de couche 2

Déploiements de couche 3
Dans un déploiement de couche 3, le pare-feu route le trafic entre plusieurs ports. Une adresse
IP doit être assignée à chaque interface et un routeur virtuel doit être défini pour router le
trafic. Choisissez cette option lorsqu'un routage est requis (Figure 14).
Basculement entre
deux réseaux
10.1.2.1/24 10.1.1.1/24
Figure 14. Déploiement de couche 3
Protocole PPP (Point-to-Point) sur le support Ethernet

Vous pouvez configurer le pare-feu comme point de terminaison PPPoE (Point-to-Point
Protocol over Ethernet) afin de prendre en charge la connectivité dans un environnement DSL
(Digital Subscriber Line) où se trouve un modem DSL, mais aucun autre périphérique PPPoE
pour terminer la connexion.
Vous pouvez choisir l'option PPPoE et configurer les paramètres associés lorsqu'une interface
est définie comme interface de couche 3. Pour obtenir des instructions, consultez la section
« Configuration des interfaces de couche 3 » à la page 136.
Remarque : PPPoE n'est pas pris en charge en mode actif/actif HD.
Client DHCP
Vous pouvez configurer l'interface du pare-feu pour qu'elle agisse en tant que client DHCP et
qu'elle reçoive une adresse IP assignée de façon dynamique. Le pare-feu permet également de
propager les paramètres reçus par l'interface du client DHCP dans un serveur DHCP actif sur
le pare-feu. La propagation des paramètres d'un serveur DNS par un fournisseur de services
Internet est couramment pratiquée dans les machines clientes actives sur le réseau protégé par
le pare-feu.
Remarque : Le client DHCP n'est pas pris en charge en mode actif/actif HD.

Déploiements en mode Tap

Un Tap réseau est un périphérique permettant d'accéder aux flux de données d'un réseau
informatique. Le déploiement en mode Tap vous permet de surveiller de façon passive le flux
de trafic d'un réseau au moyen d'un port SPAN de commutation ou d'un port miroir.
Le port SPAN ou miroir permet de copier le trafic d'autres ports sur le commutateur. En
dédiant une interface sur le pare-feu en mode Tap et en la connectant à un port SPAN de
commutation, ce dernier fournit au pare-feu un trafic en miroir. Une application devient alors
visible au sein du réseau sans être dans le flux du trafic réseau.
Remarque : Lorsqu'il est déployé en mode Tap, le pare-feu ne peut pas agir,
comme bloquer le trafic ou appliquer un contrôle du trafic de QoS.
Définition de câbles virtuels

Réseau > Câbles virtuels
Cette page permet de définir des câbles virtuels après avoir spécifié deux interfaces de câbles
virtuels sur le réseau. Pour une vue d'ensemble des déploiements de câbles virtuels, consultez
la section « Déploiements d'un câble virtuel » à la page 128. Pour obtenir des instructions sur
la spécification d'interfaces en tant que câbles virtuels, consultez la section « Configuration
des interfaces de câble virtuel » à la page 146.
Tableau 47. Paramètres d'un câble virtuel

Champ Description
Nom du câble virtuel Saisissez un nom pour le câble virtuel (31 caractères maximum). Il
apparaît dans la liste des câbles virtuels lors de la configuration des
interfaces. Ce nom est sensible à la casse et doit être unique. Vous pouvez
uniquement utiliser des lettres, des nombres, des espaces, des traits
d'union et des caractères de soulignement.
Interfaces Pour configurer un câble virtuel, sélectionnez deux interfaces Ethernet
dans la liste affichée. Les interfaces sont répertoriées ici uniquement si
elles disposent du type d'interface de câble virtuel et qu'elles n'ont pas été
assignées à un autre câble virtuel.
Étiquettes autorisées Saisissez un numéro d'étiquette (compris entre 0 et 4094) ou une plage de
numéros d'étiquettes (étiquette1 - étiquette2) pour le trafic autorisé sur le
câble virtuel. Une valeur d'étiquette de 0 indique un trafic non étiqueté
(valeur par défaut). Plusieurs étiquettes ou plages doivent être séparées
par des virgules. Tout trafic affichant une valeur d'étiquette exclue est
supprimé. Notez que les valeurs d'étiquettes ne sont pas modifiées sur
des paquets entrants ou sortants.
Lorsque vous utilisez des sous-interfaces de câble virtuel, la liste
Étiquettes autorisées va classer le trafic contenant les étiquettes
répertoriées dans le câble virtuel parent. Les sous-interfaces de câble
virtuel doivent utiliser des étiquettes qui n'existent pas dans la liste
Étiquettes autorisées du parent.
Pare-feu multicast Sélectionnez cette option si vous voulez appliquer des règles de sécurité
au trafic multicast. Si ce paramètre n'est pas appliqué, le trafic multicast
est transféré dans le câble virtuel.

Interfaces du pare-feu
Tableau 47. Paramètres d'un câble virtuel (suite)

Champ Description
Transmission de l'état Cochez cette case pour supprimer l'autre port d'un câble virtuel en cas de
des liaisons détection d'un état de liaison inactif. Si cette case n'est pas cochée, l'état de
liaison n'est pas propagé dans le câble virtuel.
Pour modifier le nom d'un câble virtuel ou les étiquettes autorisées, cliquez sur le nom du
câble virtuel dans la page Câbles virtuels, modifiez les paramètres et cliquez sur OK. Les
câbles virtuels peuvent également être modifiés dans la page Interfaces (voir « Configuration
des interfaces de câble virtuel » à la page 146).
Pour supprimer un ou plusieurs câbles virtuels, cochez la case située en regard des noms de
câbles virtuels et cliquez sur Supprimer. Notez que la suppression d'un câble virtuel le
supprime des interfaces de câble virtuel associées figurant dans la page Interfaces.
Modification du contenu d'un paquet

Les pare-feux Palo Alto Networks peuvent être configurés pour apporter les modifications
suivantes au contenu d'un paquet :
• Par défaut, le pare-feu va effacer les indicateurs d'urgence TCP dans tous les paquets. Ce
comportement peut être modifié en désactivant cette fonctionnalité dans l'interface CLI à
l'aide de la commande suivante : set deviceconfig setting tcp urgent-data
oobinline.
• La modification des marquages DSCP (DiffServ Code Point) ou QoS de priorité des
adresses IP peut être configurée dans la section Actions de chaque règle de sécurité.
• La traduction des étiquettes VLAN sera effectuée chaque fois que l'étiquetage des
interfaces d'entrée et de sortie du pare-feu sera différent.
Remarque : La traduction des étiquettes VLAN n'est pas disponible sur les interfaces de câble virtuel.
Le tableau suivant décrit les types d'interfaces pris en charge sur le pare-feu et explique
comment les définir.
Tableau 48. Interfaces prises en charge

Interface Description
Couche 2 Une ou plusieurs interfaces de couche 2 peuvent être configurées pour un
trafic VLAN non étiqueté. Vous pouvez ensuite définir des sous-interfaces
de couche 2 pour un trafic doté d'étiquettes VLAN spécifiques. Consultez
les sections « Configuration des interfaces de couche 2 » à la page 86 et
« Configuration des sous-interfaces de couche 2 » à la page 87.

Tableau 48. Interfaces prises en charge (suite)

Interface Description
Couche 3 Une ou plusieurs interfaces de couche 3 peuvent être configurées pour un
trafic routé non étiqueté. Vous pouvez ensuite définir des sous-interfaces
de couche 3 pour un trafic doté d'étiquettes VLAN spécifiques.
Chaque interface peut contenir plusieurs adresses IP. Consultez les
sections « Configuration des interfaces de couche 3 » à la page 88 et
« Configuration des sous-interfaces de couche 3 » à la page 91.
Agrégation Ethernet Deux ou plusieurs ports Ethernet peuvent être combinés dans un groupe
afin d'accroître le débit et la résilience d'une interface de couche 2, de
couche 3 ou de câble virtuel et de ses sous-interfaces. Consultez la section
« Configuration des interfaces Ethernet agrégées » à la page 151.
Remarque : Vous ne pouvez pas appliquer des paramètres de QoS à une interface
Ethernet agrégée.
VLAN Les interfaces VLAN assurent un routage de couche 3 du trafic VLAN vers
des destinations autres que VLAN. Consultez la section « Configuration
des interfaces VLAN » à la page 151.
Connexion en boucle Les interfaces en boucle permettent de fournir des services de couche 3
comme la gestion sur bande (« in-band »), une fonctionnalité de la
passerelle ou du portail GlobalProtect et IPSec. Chacune de ces interfaces
agit en tant qu'interface hôte et est assignée à une adresse IP. Consultez la
section « Configuration des interfaces en boucle » à la page 155.
Tunnel Les interfaces de tunnel peuvent être configurées. Consultez la section
« Configuration des interfaces de tunnel » à la page 156.
Câble virtuel Un câble virtuel lie deux ports Ethernet ensemble, ce qui vous permet
d'installer le pare-feu de façon transparente dans le réseau avec une
configuration minimale. Un câble virtuel accepte tout le trafic ou le trafic
doté des étiquettes VLAN sélectionnées, mais il ne fournit aucun service de
basculement ou de routage. Vous pouvez également créer des sous-
interfaces et classer le trafic en fonction d'une adresse IP, d'une plage
d'adresses IP ou d'un sous-réseau. Consultez la section « Configuration des
interfaces de câble virtuel » à la page 146.
Tap L'interface Tap permet de se connecter à un port SPAN sur un
commutateur uniquement pour surveiller le trafic. Ce mode ne prend pas
en charge le blocage du trafic ou le filtrage d'URL. Consultez la section
« Configuration des interfaces Tap » à la page 158.
Haute disponibilité Vous pouvez configurer une interface de données en tant qu'interface
haute disponibilité (HD) sur certains pare-feux Palo Alto Networks.
Consultez la section « Configuration des interfaces HD » à la page 159.
Affichage des interfaces actives

Réseau > Interfaces
La page Interfaces répertorie le type d'interface, l'état des liaisons et la zone de sécurité de
chaque interface configurée, ainsi que l'adresse IP, le routeur virtuel, l'étiquette VLAN et le
nom du réseau VLAN ou du câble virtuel (selon le cas).
Par défaut, les interfaces sont répertoriées par nom.
L'icône suivante est utilisée dans la page Interfaces :
Indique que le lien est actif (vert), inactif (rouge) ou que sont état est inconnu (gris).

Configuration des interfaces de couche 2

Réseau > Interfaces > Ethernet
Vous pouvez configurer un ou plusieurs ports Ethernet en tant qu'interfaces de couche 2 pour
un trafic VLAN non étiqueté. Pour chaque interface de couche 2 principale, vous pouvez
définir plusieurs sous-interfaces de couche 2 pour un trafic doté d'étiquettes VLAN
spécifiques (voir « Configuration des sous-interfaces de couche 2 » à la page 136). Les
interfaces VLAN peuvent également être utilisées dans les déploiements de couche 2 pour
fournir des services de routage ou de passerelle au trafic dans le domaine de couche 2 (voir
« Configuration des interfaces VLAN » à la page 151). Pour ce faire, créez une interface VLAN
et assignez-la en tant que passerelle par défaut pour les hôtes connectés à l'interface de couche
2 du pare-feu.
Pour configurer une interface Ethernet de couche 2, cliquez sur le lien de l'interface dans
l'onglet Ethernet et indiquez les paramètres suivants.
Tableau 49. Paramètres d'une interface de couche 2

Champ Description
Nom de l'interface Choisissez une interface dans la liste déroulante. Modifiez son nom, le cas
échéant.
Type d'interface Sélectionnez Couche 2 dans la liste déroulante.
Profil NetFlow Sélectionnez un profil pour exporter l'ensemble du trafic entrant via
l'interface vers un serveur NetFlow spécifié. Consultez la section
« Configuration des paramètres de Netflow » à la page 92.
Commentaire Saisissez une description de l'interface (facultatif).
Onglet Config
VLAN Sélectionnez un VLAN ou cliquez sur Nouveau pour définir un nouveau
VLAN (voir « Prise en charge de VLAN » à la page 162). Aucun supprime
la configuration de l'interface. Un objet VLAN doit être configuré pour
activer le basculement entre des interfaces de couche 2 ou pour activer le
routage via une interface VLAN.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la
configuration de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
la page 161). Aucune supprime la configuration de l'interface.
Onglet Avancé
Vitesse de liaison Sélectionnez la vitesse de l'interface en Mbits/s (10, 100 ou 1 000) ou
sélectionnez Auto.
Duplex de la liaison Indiquez si le mode de transmission de l'interface est en duplex intégral
(Intégral), semi-duplex (Semi) ou automatiquement négocié (Auto).
État des liaisons Indiquez si l'état de l'interface est activé (Actif), désactivé (Inactif) ou
automatiquement déterminé (Auto).

Configuration des sous-interfaces de couche 2

Pour chaque port Ethernet configuré en tant qu'interface de couche 2, vous pouvez définir une
interface de couche 2 logique (sous-interface) supplémentaire pour chaque étiquette VLAN
utilisée dans le trafic reçu par le port. Pour configurer les interfaces de couche 2 principales,
consultez la section « Configuration des interfaces de couche 2 » à la page 135. Pour activer le
basculement entre les sous-interfaces de couche 2, il vous suffit de lier ces sous-interfaces à un
même objet VLAN.
Pour ajouter une sous-interface Ethernet de couche 2, sélectionnez l'interface physique
associée, puis cliquez sur Ajouter une sous-interface et spécifiez les informations suivantes.
Tableau 50. Paramètres d'une sous-interface de couche 2

Champ Description
Nom de l'interface Sélectionnez l'interface de couche 2 à laquelle vous voulez ajouter une
sous-interface. Pour configurer des interfaces de couche 2, consultez la
section « Configuration des interfaces de couche 2 » à la page 135.
Saisissez un numéro (1 à 9 999) qui va s'ajouter au nom de l'interface
physique pour former le nom de l'interface logique. Le format général du
nom est le suivant :
ethernetx/y.<1-9999>
Étiquette Saisissez le numéro de l'étiquette (1 à 4094) du trafic reçu sur cette
interface. Le trafic sortant de cette interface est également défini sur cette
valeur d'étiquette.
Assigner l'interface à
VLAN Pour une interface de couche 2, sélectionnez un VLAN ou cliquez sur
Nouveau pour définir un nouveau VLAN (voir « Profils réseaux » à la
page 187). Aucun supprime la configuration de l'interface. Un objet
VLAN doit être configuré pour activer le basculement entre des interfaces
de couche 2 ou pour activer le routage via une interface VLAN.

Configuration des interfaces de couche 3

Réseau > Interfaces > Ethernet
Vous pouvez configurer un ou plusieurs ports Ethernet en tant qu'interfaces de couche 3 pour
un trafic routé non étiqueté. Vous pouvez ensuite définir des sous-interfaces de couche 3 pour
un trafic doté d'étiquettes VLAN spécifiques (voir « Configuration des sous-interfaces de

couche 3 » à la page 141) lors de la connexion du pare-feu à un périphérique voisin à l'aide

d'une liaison trunk. Pour plus d'informations sur la configuration d'interfaces de couche 3
pour PPPoE, consultez la section « Protocole PPP (Point-to-Point) sur le support Ethernet » à
la page 131.
Les interfaces de couche 3 peuvent également agir en tant que client DHCP afin de recevoir
leur configuration depuis un serveur DHCP externe.
Pour configurer une interface Ethernet de couche 3, cliquez sur le lien de l'interface dans
l'onglet Ethernet et indiquez les paramètres suivants.
Tableau 51. Paramètres d'une interface de couche 3

Champ Description
échéant.
Type d'interface Sélectionnez Couche 3 dans la liste déroulante.
Profil NetFlow Sélectionnez un profil pour exporter l'ensemble du trafic entrant via l'interface
vers un serveur NetFlow spécifié. Consultez la section « Configuration des
paramètres de Netflow » à la page 92.
Onglet Config
Routeur virtuel Sélectionnez un routeur virtuel ou cliquez sur Nouveau pour définir un
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de routage » à
la page 162). Aucun supprime la configuration de l'interface.
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à la
page 161). Aucune supprime la configuration de l'interface.
Onglet IPv4
Type Sélectionnez la méthode de spécification des informations de l'adresse IP
(statique, PPPoE ou client DHCP), comme décrit ci-dessous.
Statique Saisissez une adresse IP et un masque réseau pour l'interface au format
adresse_ip/masque et cliquez sur Ajouter. Vous pouvez saisir plusieurs
adresses IP pour l'interface. Pour supprimer une adresse IP, sélectionnez-la et
cliquez sur Supprimer.

Tableau 51. Paramètres d'une interface de couche 3 (suite)

Champ Description
PPPoE Sélectionnez PPPoE si l'interface va être utilisée pour PPPoE et configurez les
Sous-onglet Général :
• Activer - Cochez cette case pour activer l'interface de la terminaison PPPoE.
• Nom d'utilisateur - Saisissez le nom d'utilisateur pour la connexion de point
à point.
• Mot de passe/Confirmer le mot de passe - Saisissez, puis confirmez le mot
de passe du nom d'utilisateur.
Sous-onglet Avancé :
• Authentification - Sélectionnez CHAP (Challenge-Handshake
Authentication Protocol), PAP (Password Authentication Protocol) ou la
valeur Auto par défaut (pour que le pare-feu détermine le protocole
d'authentification des communications PPPoE).
• Adresse statique - Indiquez l'adresse IP statique qui a été assignée par le
fournisseur de services (facultatif, aucune adresse par défaut).
• Créer automatiquement un itinéraire par défaut pointant vers un
homologue - Cochez cette case pour créer automatiquement un itinéraire
par défaut pointant vers l'homologue PPPoE au moment de la connexion.
• Mesure de l'itinéraire par défaut - Indiquez la mesure de l'itinéraire à
associer à l'itinéraire par défaut et permettant de sélectionner le chemin
(facultatif, intervalle compris entre 1 et 65 535).
• Concentrateur d'accès - Indiquez le nom du concentrateur d'accès auquel la
connexion est établie (facultatif, aucun nom par défaut).
• Service - Indiquez la chaîne de service (facultatif, aucune chaîne par défaut).
• Passif - Cochez cette case pour utiliser le mode passif. En mode passif, un
point d'extrémité PPPoE attend que le concentrateur d'accès envoie la
première trame.
Remarque : PPPoE n'est pas pris en charge en mode actif/actif HD.

Client DHCP Sélectionnez Client DHCP pour que l'interface agisse en tant que client DHCP
et reçoive une adresse IP assignée de façon dynamique. Indiquez les options
suivantes :
• Activer - Cochez cette case pour activer le client DHCP sur l'interface.
• Créer automatiquement un itinéraire par défaut pointant vers un serveur -
Cochez cette case pour créer automatiquement un itinéraire par défaut
pointant vers la passerelle par défaut fournie par le serveur DHCP.
associer à celui par défaut et utilisée pour sélectionner un chemin (facultatif,
intervalle compris entre 1 et 65 535).
Cliquez sur Afficher les informations d'exécution du client DHCP pour
ouvrir une fenêtre qui affiche tous les paramètres envoyés par le serveur
DHCP, y compris le statut du bail DHCP, l'attribution de l'adresse IP
dynamique, le masque de sous-réseau, la passerelle, les paramètres de
serveur (DNS, NTP, domaine, WINS, NIS, POP3 et SMTP).
Remarque : Le client DHCP n'est pas pris en charge en mode actif/actif HD.


Champ Description
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 sur cette interface.
l'interface
ID de l'interface Saisissez l'identifiant unique étendu sur 64 bits au format hexadécimal, par
exemple : 00:26:08:FF:FE:DE:4E:29. Si l'ID de l'interface est laissé vide, le pare-
feu va utiliser l'EUI-64 généré à partir de l'adresse MAC de l'interface
physique. Cet ID est utilisé en tant que partie hôte d'une adresse d'interface
lorsque l'option Utiliser l'ID de l'interface comme partie hôte est activée.
Adresse Cliquez sur Ajouter et saisissez la longueur de l'adresse et du préfixe IPv6, par
exemple : 2001:400:f00::1/64. Sélectionnez Utiliser l'ID de l'interface comme
partie hôte pour assigner une adresse IPv6 à l'interface qui va utiliser l'ID de
l'interface en tant que partie hôte de l'adresse. Sélectionnez Anycast pour
inclure un routage via le nœud le plus proche. Si aucun Préfixe n'est saisi,
l'adresse IPv6 assignée à l'interface va être intégralement spécifiée dans la
zone de saisie de l'adresse.
Utilisez l'option Envoyer la publication de routeur (Envoyer la RA) pour
activer la publication de routeur pour cette adresse IP. Vous pouvez
également définir l'indicateur Autonome à envoyer, ainsi que l'option Sur la
liaison. Vous devez activer l'option globale Activer la publication de routeur
sur l'interface avant d'activer l'option Envoyer la publication de routeur pour
une adresse IP spécifique.
Résolution Cochez cette case pour activer Détection des doublons d'adresses (DAD) et
d'adresse indiquez les informations suivantes.
(Détection des • Tentatives DAD - Indiquez le nombre de tentatives DAD dans l'intervalle
doublons de sollicitation de voisins avant que la tentative d'identification de voisins
d'adresses) n'échoue (intervalle compris entre 1 et 10).
• Durée d'accessibilité - Indiquez la durée pendant laquelle un voisin reste
accessible après une requête et une réponse réussies (intervalle compris
entre 1 et 36 000 secondes).
• Intervalle de sollicitation de voisins (NS) - Indiquez le nombre de secondes
pour des tentatives DAD avant qu'un échec ne soit signalé (intervalle
compris entre 1 et 10 secondes).


Champ Description
Activer la Cochez cette case pour activer Publication de routeur (RA) pour réaliser une
publication de autoconfiguration d'adresse sans état (SLAAC) sur les interfaces IPv6. Cette
routeur option permet au pare-feu d'agir en tant que passerelle par défaut pour les hôtes
IPv6 qui ne sont pas configurés de façon statique et va fournir un préfixe IPv6 qui
permet à l'hôte de configurer une adresse. Un serveur DHCPv6 distinct peut être
utilisé avec cette fonctionnalité afin de fournir un DNS et d'autres paramètres aux
clients.
Cette option est un paramètre global de l'interface, vous pouvez également définir
des options de publication de routeur par adresse IP en cliquant sur Ajouter et en
saisissant une adresse IP. Vous devez activer cette option sur l'interface si vous
prévoyez de spécifier l'option Envoyer une publication de routeur par adresse.
Indiquez les informations suivantes qui vont être utilisées par les clients qui
reçoivent les messages RA.
• Intervalle minimum (s) - Indiquez l'intervalle minimum par seconde pendant
lequel le pare-feu va envoyer des publications de routeurs. Ces dernières vont
être envoyées à des intervalles aléatoires compris entre les valeurs minimales et
maximales configurées (intervalle compris entre 3 et 1 350 secondes, valeur par
défaut : 200 secondes).
• Intervalle maximum (s) - Indiquez l'intervalle maximum par seconde pendant
lequel le pare-feu va envoyer des publications de routeurs. Ces dernières vont
être envoyées à des intervalles aléatoires compris entre les valeurs minimales et
• Limite de saut - Indiquez la limite de saut qui va être appliquée aux clients pour
les paquets sortants. Entrez 0 pour indiquer l'absence de limite de saut
(intervalle compris entre 1 et 255, valeur par défaut : 64).
• MTU de liaison - Indiquez la MTU de liaison qui va être appliquée aux clients.
Sélectionnez Non spécifiée pour indiquer l'absence de liaison MTU (intervalle
compris entre 1 280 et 9 192, valeur par défaut : non spécifiée).
• Durée d'accessibilité (ms) - Indiquez la durée d'accessibilité que le client va
utiliser pour supposer l'accessibilité d'un voisin après avoir reçu un message de
confirmation d'accessibilité. Sélectionnez Non spécifiée pour indiquer l'absence
de valeur pour la durée d'accessibilité (intervalle compris entre 0 et 3 600 000
millisecondes, valeur par défaut : non spécifiée).
• Durée de retransmission (ms) - Indiquez le minuteur de retransmission que le
client va utiliser pour déterminer la durée d'attente avant la retransmission des
messages de sollicitation de voisins. Sélectionnez Non spécifiée pour indiquer
l'absence de durée de retransmission (intervalle compris entre 0 et 4 294 967 295
• Durée de vie du routeur (s) - Indiquez la durée de vie du routeur qui informe le
client de la durée d'utilisation du pare-feu/routeur en tant que routeur par
défaut (intervalle compris entre 0 et 9 000 secondes, valeur par défaut : 1 800).
• Configuration gérée - Cochez cette case pour indiquer au client que les adresses
sont disponibles via DHCPv6.
• Autre configuration - Cochez cette case pour indiquer au client que d'autres
informations d'adresses sont disponibles via DHCPv6, comme des paramètres
associés au DNS.
• Vérification de cohérence - Cochez cette case pour activer les vérifications de
cohérence que le pare-feu va utiliser pour vérifier que les publications de
routeurs reçues des autres routeurs publient des informations cohérentes sur la
liaison. En cas d'incohérences, un journal va être créé.


Champ Description
Onglet Avancé
sélectionnez Auto.
Autres informations Indiquez les informations suivantes dans le sous-onglet Autres informations :
• Profil de gestion - Sélectionnez un profil qui indique les éventuels
protocoles à utiliser pour gérer le pare-feu dans cette interface.
• MTU - Saisissez l'unité de transmission maximale (MTU) en octets pour les
paquets envoyés sur cette interface de couche 3 (512 à 1 500, valeur par
défaut : 1 500). Si les machines situées de chaque côté du pare-feu effectuent
une détection du chemin MTU (PMTUD), la valeur MTU va être renvoyée
dans un message de fragmentation ICMP obligatoire, en indiquant que la
MTU est trop grande.
• Ajuster TCP MSS - Si vous cochez cette case, la taille de segment maximale
(MSS) est ajustée à 40 octets de moins que la MTU de l'interface. Ce
paramètre permet de résoudre une situation dans laquelle un tunnel de
réseau nécessite une MSS plus petite. Si un paquet ne peut pas entrer dans la
MSS sans être fragmenté, ce paramètre permet de l'ajuster.
• Sous-interface non étiquetée - Indique que toutes les sous-interfaces
appartenant à cette interface de couche 3 ne sont pas étiquetées.
PAN-OS sélectionne une sous-interface non étiquetée comme interface
d'entrée en fonction de la destination du paquet. Si ce dernier affiche une
adresse IP comme destination pour la sous-interface non étiquetée, il va
effectuer un mappage vers la sous-interface. Cela signifie aussi que les
paquets allant dans la direction inverse doivent avoir leur adresse source
traduite dans l'adresse IP de l'interface de la sous-interface non étiquetée.
Une conséquence indirecte de ce mécanisme de classification est que tous les
paquets multicast et de diffusion vont être assignés à l'interface de base à la
place de l'une des sous-interfaces. Étant donné que OSPF utilise le multicast,
il n'est pas pris en charge sur les sous-interfaces non étiquetées.
Entrées ARP/ Pour ajouter une ou plusieurs entrées ARP statiques, cliquez sur Ajouter et
d'interface saisissez une adresse IP et son adresse matérielle associée (MAC), ainsi que
l'interface de couche 3 pouvant accéder à l'adresse matérielle.
Entrées ND Cliquez sur Ajouter pour saisir les adresses IPv6 et MAC des voisins à ajouter
à la découverte.
Configuration des sous-interfaces de couche 3

interface de couche 3 logique supplémentaire (sous-interface) pour chaque étiquette VLAN
utilisée dans le trafic reçu par le port. Pour configurer les interfaces de couche 3 principales,
consultez la section « Configuration des interfaces de couche 3 » à la page 136.

Les sous-interfaces de couche 3 non étiquetées peuvent également être utilisées lorsque
l'option « Sous-interface non étiquetée » de l'interface de couche 3 parent est activée. Les sous-
interfaces non étiquetées sont utilisées dans les environnements multi-locataires dans lesquels
le trafic de chaque locataire doit quitter le pare-feu sans étiquettes VLAN.
Prenons un exemple dans lequel le trafic de chaque locataire sort du pare-feu et le saut suivant
correspond à un routeur ISP. Le pare-feu ne peut pas toujours appliquer une étiquette VLAN
au trafic de retour pour une classification correcte dans un système virtuel. Dans ces cas-là,
vous pouvez utiliser une sous-interface non étiquetée sur le côté orienté routeur ISP. Chaque
sous-interface non étiquetée va disposer d'une adresse IP et l'adresse source de l'ensemble du
trafic sortant doit être traduite dans cette adresse IP de l'interface. Une règle de traduction
NAT explicite doit être créée pour pouvoir utiliser cette fonctionnalité. La traduction NAT
source est obligatoire sur les sous-interfaces non étiquetées car le pare-feu va utiliser l'adresse
IP de destination sur les paquets entrants (voie de retour) afin de sélectionner le système
virtuel approprié pour la recherche de politiques. Tout trafic reçu sur l'interface parent qui
n'est pas destiné à l'un des IP des sous-interfaces non étiquetées va être géré par le système
virtuel et le routeur virtuel assigné à cette interface parent.
Pour ajouter une sous-interface Ethernet de couche 3, sélectionnez l'interface associée et
cliquez sur Ajouter une sous-interface et indiquez les informations suivantes.
Tableau 52. Paramètres d'une sous-interface de couche 3

Champ Description
Nom de Sélectionnez l'interface de couche 3 à laquelle vous voulez ajouter une sous-
l'interface interface. Pour configurer des interfaces de couche 3, consultez la section
« Configuration des interfaces de couche 3 » à la page 136.
Saisissez un numéro (1 à 9 999) qui va s'ajouter au nom de l'interface physique
pour former le nom de l'interface logique. Le format général du nom est le
suivant :
Étiquette Saisissez le numéro de l'étiquette (1 à 4 094) du trafic reçu sur cette interface. Le
trafic sortant de cette interface est également défini sur cette valeur d'étiquette.
Onglet Config
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de routage » à la
page 162). Aucun supprime la configuration de l'interface.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la configuration
de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau pour
définir une nouvelle zone (voir « Définition de zones de sécurité » à la page 161).
Aucune supprime la configuration de l'interface.

Tableau 52. Paramètres d'une sous-interface de couche 3 (suite)

Champ Description
Onglet IPv4
Type Sélectionnez la méthode de spécification des informations de l'adresse IP
(statique, PPPoE ou client DHCP), comme décrit ci-dessous.
Statique Saisissez une adresse IP et un masque réseau pour l'interface au format
adresse_ip/masque et cliquez sur Ajouter. Vous pouvez saisir plusieurs
adresses IP pour l'interface. Pour supprimer une adresse IP, sélectionnez-la et
Client DHCP Sélectionnez Client DHCP pour que l'interface agisse en tant que client DHCP et
reçoive une adresse IP assignée de façon dynamique. Indiquez les options
suivantes :
• Créer automatiquement un itinéraire par défaut pointant vers la passerelle
par défaut fournie par le serveur - Cochez cette case pour créer
automatiquement un itinéraire par défaut pointant vers le serveur DHCP
lorsqu'il est connecté.
• Mesure de l'itinéraire par défaut - Indiquez la mesure de l'itinéraire à associer
à l'itinéraire par défaut et utilisée pour sélectionner le chemin (facultatif,
intervalle compris entre 1 et 65 535).
• Afficher les informations d'exécution du client DHCP - Sélectionnez cette
option pour ouvrir une fenêtre qui affiche tous les paramètres envoyés par le
serveur DHCP, y compris le statut du bail DHCP, l'attribution de l'adresse IP
dynamique, le masque de sous-réseau, la passerelle, les paramètres du serveur
(DNS, NTP, domaine, WINS, NIS, POP3 et SMTP).
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 sur cette interface.
l'interface
exemple : 00:26:08:FF:FE:DE:4E:29. Si l'ID de l'interface est laissé vide, le pare-feu
va utiliser l'EUI-64 généré à partir de l'adresse MAC de l'interface physique.
l'interface en tant que partie hôte de l'adresse. Sélectionnez Anycast pour inclure
un routage via le nœud le plus proche. Si aucun Préfixe n'est sélectionné,
l'adresse IPv6 assignée à l'interface va être intégralement spécifiée dans la zone
de saisie de l'adresse.
activer la publication de routeur pour cette adresse IP. Vous pouvez également
définir l'indicateur Autonome à envoyer, ainsi que l'option Sur la liaison. Vous
devez activer l'option globale Activer la publication de routeur sur l'interface
avant d'activer l'option Envoyer la RA pour une adresse IP spécifique.


Champ Description
(Détection des • Tentatives DAD - Indiquez le nombre de tentatives DAD dans l'intervalle de
doublons sollicitation de voisins avant que la tentative d'identification n'échoue
d'adresses) (intervalle compris entre 1 et 10).
accessible après une requête et une réponse réussies (intervalle compris entre 1
et 36 000 secondes).
• Intervalle de sollicitation de voisins (NS) - Indiquez le nombre de secondes
pour des tentatives DAD avant qu'un échec ne soit signalé (intervalle compris
entre 1 et 10 secondes).


Champ Description
publication de autoconfiguration d'adresse sans état (SLAAC) sur les interfaces IPv6. Cette option
routeur permet au pare-feu d'agir en tant que passerelle par défaut pour les hôtes IPv6 qui
ne sont pas configurés de façon statique et va fournir un préfixe IPv6 qui permet à
l'hôte de configurer une adresse. Un serveur DHCPv6 distinct peut être utilisé avec
cette fonctionnalité pour fournir un DNS et d'autres paramètres aux clients.
Cette option est un paramètre global de l'interface, vous pouvez également définir
des options de publication de routeur par adresse IP en cliquant sur Ajouter et en
saisissant une adresse IP. Vous devez activer cette option sur l'interface si vous
prévoyez de spécifier l'option Envoyer une publication de routeur par adresse.
• Intervalle minimum (s) - Indiquez l'intervalle minimum par seconde pendant
lequel le pare-feu va envoyer des publications de routeurs. Ces dernières vont être
envoyées à des intervalles aléatoires compris entre les valeurs minimales et
• Intervalle maximum (s) - Indiquez l'intervalle maximum par seconde pendant
lequel le pare-feu va envoyer des publications de routeurs. Ces dernières vont être
envoyées à des intervalles aléatoires compris entre les valeurs minimales et
• Limite de saut - Indiquez la limite de saut qui va être appliquée aux clients pour
les paquets sortants. Entrez 0 pour indiquer l'absence de limite de saut (intervalle
compris entre 1 et 255, valeur par défaut : 64).
• MTU de liaison - Indiquez la MTU de liaison qui va être appliquée aux clients.
Sélectionnez Non spécifiée pour indiquer l'absence de liaison MTU (intervalle
compris entre 1 280 et 9 192, valeur par défaut : non spécifiée).
utiliser pour supposer l'accessibilité d'un voisin après avoir reçu un message de
confirmation d'accessibilité. Sélectionnez Non spécifiée pour indiquer l'absence
de valeur pour la durée d'accessibilité (intervalle compris entre 0 et 3 600 000
• Durée de retransmission (ms) - Indiquez le minuteur de retransmission que le
client va utiliser pour déterminer la durée d'attente avant la retransmission des
messages de sollicitation de voisins. Sélectionnez Non spécifiée pour indiquer
l'absence de durée de retransmission (intervalle compris entre 0 et 4 294 967 295
• Durée de vie du routeur (s) - Indiquez la durée de vie du routeur qui informe le
client de la durée d'utilisation du pare-feu/routeur en tant que routeur par défaut
(intervalle compris entre 0 et 9 000 secondes, valeur par défaut : 1 800).
• Configuration gérée - Cochez cette case pour indiquer au client que les adresses
sont disponibles via DHCPv6.
informations d'adresses sont disponibles via DHCPv6, comme des paramètres
associés au DNS.
cohérence que le pare-feu va utiliser pour vérifier que les publications de routeurs
reçues des autres routeurs publient des informations cohérentes sur la liaison. En
cas d'incohérences, un journal va être créé.


Champ Description
Onglet Avancé
Autres Indiquez les informations suivantes dans le sous-onglet Autres informations :
informations • Profil de gestion - Sélectionnez un profil qui indique les éventuels protocoles à
utiliser pour gérer le pare-feu dans cette interface.
• MTU - Saisissez l'unité de transmission maximale (MTU) en octets pour les
paquets envoyés sur cette interface de couche 3 (512 à 1 500, valeur par défaut :
1 500). Si les machines situées de chaque côté du pare-feu effectuent une
détection du chemin MTU (PMTUD), la valeur MTU va être renvoyée dans un
message de fragmentation ICMP obligatoire, en indiquant que la MTU est trop
grande.
(MSS) est ajustée à 40 octets de moins que la MTU de l'interface. Ce paramètre
permet de résoudre une situation dans laquelle un tunnel de réseau nécessite
une MSS plus petite. Si un paquet ne peut pas entrer dans la MSS sans être
fragmenté, ce paramètre permet de l'ajuster.
Entrées ARP Pour ajouter une ou plusieurs entrées ARP (Address Resolution Protocol)
statiques, saisissez une adresse IP et son adresse matérielle associée (Media
Access Control ou MAC) et cliquez sur Ajouter. Pour supprimer une entrée
statique, sélectionnez-la et cliquez sur Supprimer. Les entrées ARP statiques
minimisent le traitement ARP et protègent des attaques par hôte interposé pour
les adresses spécifiées.
Entrées ND Cliquez sur Ajouter pour saisir les adresses IP et MAC des voisins à ajouter à la
découverte.
Configuration des interfaces de câble virtuel

Pour créer un câble virtuel, liez deux ports Ethernet ensemble, ce qui permet d'autoriser la
circulation de l'ensemble du trafic entre les ports ou uniquement le trafic doté des étiquettes
VLAN sélectionnées (aucun autre service de basculement ou de routage n'est disponible).
Vous pouvez également créer des sous-interfaces et classer le trafic en fonction d'une adresse
IP, d'une plage d'adresses IP ou d'un sous-réseau. Un câble virtuel n'exige aucune
modification des périphériques réseaux adjacents. Pour une vue d'ensemble des déploiements
de câbles virtuels, consultez la section « Déploiements d'un câble virtuel » à la page 128.
Pour paramétrer un câble virtuel via le pare-feu, vous devez d'abord définir les interfaces de
câble virtuel, comme décrit dans la procédure suivante. Ensuite, créez un câble virtuel à l'aide
des interfaces que vous avez créées.
Pour configurer chaque interface de câble virtuel, procédez comme suit :
1. Identifiez l'interface que vous voulez utiliser pour le câble virtuel dans l'onglet Ethernet
et supprimez-la de la zone de sécurité active, le cas échéant.
2. Cliquez sur le nom de l'interface et indiquez les informations suivantes :

Tableau 53. Paramètres d'un câble virtuel

Champ Description
échéant.
Type d'interface Sélectionnez Câble virtuel dans la liste déroulante.
Onglet Config
Câble virtuel Sélectionnez un câble virtuel ou cliquez sur Nouveau pour définir un
nouveau câble virtuel (voir « Définition de câbles virtuels » à la page 132).
Aucun supprime la configuration de l'interface.
Onglet Avancé
Vitesse de liaison Indiquez la vitesse de l'interface. Si l'interface sélectionnée est une
interface à 10 Gbits/s, l'unique option est Auto. Dans les autres cas, les
options sont les suivantes : 10, 100, 1 000 ou Auto.
Pour modifier un câble virtuel en un type d'interface autre, cliquez sur le nom du câble virtuel
affiché dans la colonne VLAN/Câble virtuel, le cas échéant, sélectionnez Aucun et cliquez sur OK.
Configuration des sous-interfaces de câble virtuel

Pour chaque port Ethernet configuré en tant qu'interface de câble virtuel, vous pouvez définir
une interface de câble virtuel logique supplémentaire (sous-interface) pour chaque étiquette
VLAN utilisée dans le trafic reçu par le port. Des sous-interfaces de câble virtuel peuvent
également être définies en fonction d'une association entre une étiquette VLAN et une adresse
IP ou par adresse IP seule si le trafic est non étiqueté. La classification d'adresses IP permet
d'assigner le trafic à un système ou une zone virtuelle spécifique. Cette classification peut
uniquement être utilisée sur un côté du câble virtuel. Le trafic entrant dans le pare-feu via une

sous-interface de câble virtuel, dans laquelle la classification IP est définie, va être classé en
fonction de son adresse IP source. Pour le trafic de la voie de retour entrant de l'autre côté du
câble virtuel, la classification se base sur l'adresse IP de destination.
Lors de la configuration des sous-interfaces de câble virtuel, vérifiez que la liste Étiquette
autorisée du câble virtuel parent n'inclut aucune des étiquettes VLAN associées aux sous-
interfaces de câble virtuel.
Lors de la configuration des sous-interfaces de câble virtuel associant une étiquette VLAN à
une classification basée sur des adresses IP, vous devez également définir une sous-interface
qui utilise cette même étiquette VLAN et aucune classification d'adresse IP. Ces sous-
interfaces sont obligatoires.
Pour configurer les interfaces de câble virtuel principales, consultez la section « Configuration
des interfaces de câble virtuel » à la page 146.
Remarque : Les limitations des traductions NAT suivantes s'appliquent aux

câbles virtuels :
• La traduction NTA source, dans laquelle l'interface d'entrée utilisant une
classification basée sur des adresses IP sources, n'est pas prise en charge.
• La traduction NAT de destination ne peut pas être utilisée à l'emplacement où
l'interface de sortie utilise une classification basée sur des adresses IP sources.
Pour ajouter une sous-interface de câble virtuel, cliquez sur Ajouter une sous-interface de
câble virtuel et indiquez les informations suivantes.
Tableau 54. Paramètres d'une sous-interface de câble virtuel

Champ Description
Nom de l'interface Sélectionnez l'interface de câble virtuel à laquelle vous voulez ajouter une
sous-interface. Pour configurer un câble virtuel, consultez la section
« Configuration des interfaces de câble virtuel » à la page 146.
Saisissez un numéro (1 à 9 999) qui va s'ajouter au nom de l'interface
physique pour former le nom de l'interface logique. Le format général du
nom est le suivant :
Étiquette Saisissez le numéro de l'étiquette (0 à 4 094) du trafic reçu sur cette
interface.
Une valeur d'étiquette définie sur 0 va correspondre à un trafic non
étiqueté.

Tableau 54. Paramètres d'une sous-interface de câble virtuel (suite)

Champ Description
Classificateur Cliquez sur Ajouter pour ajouter une adresse IP, un sous-réseau ou une
d'adresses IP plage d'adresses IP afin de classer le trafic entrant dans le pare-feu via ce port
physique dans cette sous-interface en fonction de son adresse IP source. Le
trafic de la voie de retour entrant dans le pare-feu via l'autre extrémité du
câble virtuel associé va être associé selon son adresse de destination. La
classification d'adresses IP peut être utilisée indépendamment de la
classification basée sur VLAN.
La classification des sous-interfaces basée sur des adresses IP vous permet
d'assigner une zone ou un système virtuel différent, quelle que soit l'étiquette
VLAN. Cette fonctionnalité est utile lorsque des sessions provenant de
sources multiples utilisent toutes un VLAN commun, mais elles nécessitent
différents niveaux d'application de la sécurité.
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à la

Configuration des groupes d'interfaces agrégés

Les groupes d'interfaces agrégés vous permettent de générer un débit agrégé supérieur à 1 Gbits/
s en utilisant une agrégation de liaison 802.3ad composée de plusieurs liaisons à 1 Gbits/s.
L'agrégation XPF et SFP+ de 10 Gbits/s est également prise en charge. L'interface agrégée que
vous avez créée devient une interface logique. La gestion de l'interface, les profils de zones, les
interfaces VPN et les sous-interfaces VLAN appartiennent tous à l'interface agrégée logique et non
pas aux interfaces physiques sous-jacentes.
Chaque groupe agrégé peut contenir plusieurs interfaces physiques de type Ethernet agrégé. Une
fois le groupe créé, vous pouvez réaliser des opérations telles que la configuration de paramètres
de couche 2 ou de couche 3 sur l'objet Groupe agrégé à la place des interfaces Ethernet agrégées
elles-mêmes.
Remarque : L'algorithme permettant de distribuer le trafic de façon égale sur les
interfaces dans un groupe agrégé se base sur l'ID de session du trafic entrant. Au
fur et à mesure que le trafic entre dans le groupe agrégé, les trois derniers bits
uniques de l'ID de session permettent de déterminer l'interface à utiliser pour un
flux donné.
Les règles suivantes s'appliquent aux groupes d'interfaces agrégés :

• Les interfaces sont compatibles avec le câble virtuel, les interfaces de couche 2 et de
couche 3.
• Le mode Tap n'est pas pris en charge.

• Les liaisons à 1 Gbits/s dans un groupe doivent être du même type (toutes en cuivre ou
toutes en fibre).
• Vous pouvez inclure jusqu'à huit interfaces agrégées dans un groupe agrégé.
• Tous les membres d'un groupe agrégé doivent être du même type. Cette condition est
confirmée lors de l'opération de validation.
• Les groupes agrégés peuvent être utilisés pour l'évolutivité de la redondance et du débit
sur la liaison HA3 (transfert de paquets) dans les déploiements Actif/Actif HD.
Vous pouvez configurer une ou plusieurs interfaces afin qu'elles fassent partie d'un groupe
d'interfaces Ethernet agrégé. Commencez d'abord par définir le groupe, comme décrit dans
cette section, puis assignez-lui des interfaces. Pour obtenir des instructions sur l'assignation
d'interfaces à un groupe, consultez la section « Configuration des sous-interfaces de couche
3 » à la page 141.
Pour créer et configurer des interfaces de groupes agrégés, cliquez sur Ajouter un groupe
agrégé et indiquez les informations suivantes.
Tableau 55. Paramètres d'une interface de groupes agrégés

Champ Description
Nom de l'interface Saisissez un nom et un suffixe numérique pour identifier l'interface. Le
nom de l'interface est s'affiche au format mm.n où mm correspond au nom
et n au suffixe (1 à 8).
Type d'interface Sélectionnez le type d'interface.
• HD - Aucune configuration supplémentaire n'est requise.
• Couche 2 - Configurez les paramètres comme décrit dans le Tableau 50.
• Couche 3 - Configurez les paramètres comme décrit dans le Tableau 52.
Assigner l'interface à L'attribution de l'interface dépend du type d'interface suivant :
• Couche 2 - Spécifiez un VLAN et une zone.
• Couche 3 - Spécifiez un routeur virtuel et une zone.
• Câble virtuel - Spécifiez un câble virtuel et une zone.
Remarque : Si le type est HD, aucune option ne doit être spécifiée dans cette
section.

Configuration des interfaces Ethernet agrégées

Chaque interface Ethernet agrégée se voit attribuer un nom au format ae.numéro et peut être
de type Couche 2, Couche 3 ou câble virtuel. Une fois l'attribution effectuée, la nouvelle
interface fonctionne comme n'importe quelle autre interface.
Pour configurer des interfaces Ethernet agrégées, cliquez sur le nom de l'interface dans
l'onglet Ethernet et indiquez les informations suivantes.
Tableau 56. Paramètres d'une interface Ethernet agrégée

Champ Description
échéant.
Type d'interface Sélectionnez Interface Ethernet agrégée dans la liste déroulante.
Onglet Config
Onglet Avancé
sélectionnez Auto.

Configuration des interfaces VLAN

interface VLAN pour autoriser le routage du trafic VLAN vers des destinations de couche 3
situées hors du VLAN. Pour configurer les interfaces de couche 2 principales, consultez la
section « Configuration des interfaces de couche 2 » à la page 135.
Pour définir une interface VLAN, ouvrez l'onglet VLAN, cliquez sur Ajouter et indiquez les
paramètres suivants.
Tableau 57. Paramètres d'une interface VLAN

Champ Description
Nom de l'interface Indiquez un suffixe numérique pour l'interface (1 à 4 999).
Commentaire Ajoutez une description de l'interface (facultatif).
Onglet Config
VLAN Sélectionnez un VLAN ou cliquez sur Nouveau pour définir un nouveau
VLAN (voir « Profils réseaux » à la page 187). Aucun supprime la configuration
de l'interface.
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de routage » à la
page 162). Aucun supprime la configuration de l'interface.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la configuration
de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau pour
définir une nouvelle zone (voir « Définition de zones de sécurité » à la
Onglet IPv4
Statique Sélectionnez Statique pour assigner des adresses IP statiques. Cliquez sur
Ajouter et saisissez une adresse IP et un masque réseau pour l'interface au
format adresse_ip/masque. Vous pouvez saisir plusieurs adresses IP pour
l'interface.

Tableau 57. Paramètres d'une interface VLAN (suite)

Champ Description
Client DHCP Sélectionnez DHCP pour utiliser l'attribution d'une adresse DHCP pour
l'interface et indiquez les options suivantes :
• Créer automatiquement un itinéraire par défaut pointant vers un serveur -
Cochez cette case pour créer automatiquement un itinéraire par défaut
pointant vers le serveur DHCP au moment de la connexion.
associer à l'itinéraire par défaut et à utiliser pour la sélection du chemin
(facultatif, intervalle compris entre 1 et 65 535).
Cliquez sur Afficher les informations d'exécution du client DHCP pour
ouvrir une fenêtre qui affiche tous les paramètres envoyés par le serveur
DHCP, y compris le statut du bail DHCP, l'attribution de l'adresse IP
dynamique, le masque de sous-réseau, la passerelle, les paramètres du serveur
(DNS, NTP, domaine, WINS, NIS, POP3 et SMTP).
Entrées ARP Pour ajouter une ou plusieurs entrées ARP statiques, saisissez une adresse IP et
son adresse matérielle associée (MAC) et cliquez sur Ajouter. Pour supprimer
une entrée statique, sélectionnez-la et cliquez sur Supprimer.
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 de cette sous-interface.
l'interface
exemple : 00:26:08:FF:FE:DE:4E:29. Si l'ID de l'interface est laissé vide, le pare-
feu va utiliser l'EUI-64 généré à partir de l'adresse MAC de l'interface physique.
l'interface en tant que partie hôte de l'adresse. Sélectionnez Anycast pour
inclure un routage via le nœud le plus proche. Si aucun Préfixe n'est
sélectionné, l'adresse IPv6 assignée à l'interface va être intégralement spécifiée
dans la zone de saisie de l'adresse.
activer la publication de routeur pour cette adresse IP. Vous pouvez également
définir l'indicateur Autonome à envoyer, ainsi que l'option Sur la liaison. Vous
devez activer l'option globale Activer la publication de routeur sur l'interface
avant d'activer l'option Envoyer la publication de routeur pour une adresse IP
spécifique.
(Détection des • Tentatives DAD - Indiquez le nombre de tentatives DAD dans l'intervalle de
doublons sollicitation de voisins avant que la tentative d'identification n'échoue
d'adresses) (intervalle compris entre 1 et 10).
accessible après une requête et une réponse réussies (intervalle compris entre
1 et 36 000 secondes).
Intervalle de sollicitation de voisins (NS) - Indiquez le nombre de secondes
pour des tentatives DAD avant qu'un échec ne soit signalé (intervalle compris
entre 1 et 10 secondes).


Champ Description
publication de autoconfiguration d'adresse sans état (SLAAC) sur les interfaces IPv6. Cette
routeur option permet au pare-feu d'agir en tant que passerelle par défaut pour les
hôtes IPv6 qui ne sont pas configurés de façon statique et va fournir un préfixe
IPv6 à l'hôte qui permet à l'hôte de configurer une adresse. Un serveur
DHCPv6 distinct peut être utilisé avec cette fonctionnalité pour fournir un DNS
et d'autres paramètres aux clients.
Cette option est un paramètre global de l'interface, vous pouvez également
définir des options de publication de routeur par adresse IP en cliquant sur
Ajouter et en saisissant une adresse IP. Vous devez activer cette option sur
l'interface si vous prévoyez de spécifier l'option Envoyer une publication de
routeur par adresse.
• Intervalle minimum (s) - Indiquez l'intervalle minimum par seconde
pendant lequel le pare-feu va envoyer des publications de routeurs. Ces
dernières vont être envoyées à des intervalles aléatoires compris entre les
valeurs minimales et maximales configurées (intervalle compris entre 3 et
1 350 secondes, valeur par défaut : 200 secondes).
• Intervalle maximum (s) - Indiquez l'intervalle maximum par seconde
pendant lequel le pare-feu va envoyer des publications de routeurs. Ces
dernières vont être envoyées à des intervalles aléatoires compris entre les
valeurs minimales et maximales configurées (intervalle compris entre 4 et
• Limite de saut - Indiquez la limite de saut qui va être appliquée aux clients
pour les paquets sortants. Entrez 0 pour indiquer l'absence de limite de saut
(intervalle compris entre 1 et 255, valeur par défaut : 64).
• MTU de liaison - Indiquez la MTU de liaison qui va être appliquée aux
clients. Sélectionnez Non spécifiée pour indiquer l'absence de liaison MTU
(intervalle compris entre 1 280 et 9 192, valeur par défaut : non spécifiée).
utiliser pour supposer l'accessibilité d'un voisin après avoir reçu un message
de confirmation d'accessibilité. Sélectionnez Non spécifiée pour indiquer
l'absence de valeur pour la durée d'accessibilité (intervalle compris entre 0 et
3 600 000 millisecondes, valeur par défaut : non spécifiée).
• Durée de retransmission (ms) - Indiquez le minuteur de retransmission que
le client va utiliser pour déterminer la durée d'attente avant la retransmission
des messages de sollicitation de voisins. Sélectionnez Non spécifiée pour
indiquer l'absence de durée de retransmission (intervalle compris entre 0 et
4 294 967 295 millisecondes, valeur par défaut : non spécifiée).
• Durée de vie du routeur (s) - Indiquez la durée de vie du routeur qui informe
le client de la durée d'utilisation du pare-feu/routeur en tant que routeur par
défaut (intervalle compris entre 0 et 9 000 secondes, valeur par défaut : 1 800).
• Configuration gérée - Cochez cette case pour indiquer au client que les
adresses sont disponibles via DHCPv6.
informations d'adresses sont disponibles via DHCPv6, comme des
paramètres associés au DNS.
cohérence que le pare-feu va utiliser pour vérifier que les publications de
routeurs reçues des autres routeurs publient des informations cohérentes sur
la liaison. En cas d'incohérences, un journal va être créé.


Champ Description
Onglet Avancé
Autres Indiquez les options suivantes :
informations • Profil de gestion - Sélectionnez un profil qui indique les éventuels protocoles
à utiliser pour gérer le pare-feu dans cette interface.
• MTU - Saisissez la MTU en octets pour les paquets envoyés sur cette interface
(512 à 1 500, valeur par défaut : 1 500). Si les machines situées de chaque côté
du pare-feu effectuent une PMTUD, la valeur MTU va être renvoyée dans un
message de fragmentation ICMP obligatoire, en indiquant que la MTU est
trop grande.
(MSS) est ajustée à 40 octets de moins que la MTU de l'interface. Ce paramètre
permet de résoudre une situation dans laquelle un tunnel du réseau nécessite
une MSS plus petite. Si un paquet ne peut pas entrer dans la MSS sans être
fragmenté, ce paramètre permet de l'ajuster.
Entrées ARP/ Pour ajouter une ou plusieurs entrées ARP statiques, cliquez sur Ajouter et
d'interface saisissez une adresse IP et son adresse matérielle associée (MAC), ainsi que
l'interface de couche 3 pouvant accéder à l'adresse matérielle.
Entrées ND Cliquez sur Ajouter pour saisir les adresses IP et MAC des voisins à ajouter à la
découverte.
Configuration des interfaces en boucle

Vous pouvez définir une ou plusieurs interfaces en boucle de couche 3, le cas échéant. Par
exemple, vous pouvez définir une interface en boucle pour gérer le pare-feu, au lieu d'utiliser
le port de gestion.
Pour définir une interface en boucle, ouvrez l'onglet En boucle, cliquez sur Ajouter et
indiquez les paramètres suivants.
Tableau 58. Paramètres d'une interface en boucle

Champ Description
Onglet Config
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de
routage » à la page 162). Aucun supprime la configuration de l'interface.

Tableau 58. Paramètres d'une interface en boucle (suite)

Champ Description
Onglet IPv4
Adresse IP Cliquez sur Ajouter pour entrer les adresses IP et les masques réseaux de
l'interface.
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 de cette sous-interface.
l'interface
ID de l'interface Spécifiez l'unique identifiant hexadécimal 64 bits de la sous-interface.
Adresse Saisissez l'adresse IPv6. Sélectionnez Utiliser l'ID de l'interface comme
partie hôte pour assigner une adresse IPv6 à l'interface qui va utiliser l'ID
de l'interface comme partie hôte de l'adresse. Sélectionnez Anycast pour
inclure un routage via le nœud le plus proche.
Onglet Avancé
Autres informations Spécifiez les paramètres suivantes :
• MTU - Saisissez l'unité de transmission maximale (MTU) en octets pour
les paquets envoyés sur cette interface (512 à 1 500, valeur par défaut :
1 500). Si les machines situées de chaque côté du pare-feu effectuent une
détection du chemin MTU (PMTUD), la valeur MTU va être renvoyée
dans un message de fragmentation ICMP obligatoire, en indiquant que
la MTU est trop grande.
• Ajuster TCP MSS - Si vous cochez cette case, la taille de segment
maximale (MSS) est ajustée à 40 octets de moins que la MTU de
l'interface. Ce paramètre permet de résoudre une situation dans
laquelle un tunnel du réseau nécessite une MSS plus petite. Si un paquet
ne peut pas entrer dans le MSS sans être fragmenté, ce paramètre
permet de l'ajuster.
Configuration des interfaces de tunnel

Pour définir des interfaces de tunnel, ouvrez l'onglet Tunnel, cliquez sur Ajouter et indiquez
les paramètres suivants.
Tableau 59. Paramètres d'une interface de tunnel

Champ Description

Tableau 59. Paramètres d'une interface de tunnel (suite)

Champ Description
Onglet Config
Routeur virtuel Sélectionnez un routeur virtuel pour cette interface ou cliquez sur
Nouveau pour configurer un nouveau routeur virtuel. Consultez la
section « Routeurs virtuels et protocoles de routage » à la page 162.
Aucun supprime la configuration de l'interface.
Sélectionnez le système virtuel de l'interface. Aucun supprime la
Système virtuel
Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
Zone de sécurité pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
Onglet IPv4
Adresse IP Cliquez sur Ajouter pour entrer les adresses IP et les masques réseaux de
l'interface.
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 de cette interface.
l'interface Cette option vous permet de router le trafic IPv6 sur un tunnel IPSec IPv4
et va assurer la confidentialité entre les réseaux IPv6. Le trafic IPv6 est
encapsulé par IPv4, puis ESP.
Pour router le trafic IPv6 vers le tunnel, vous allez utiliser un itinéraire
statique vers le tunnel ou une règle PBF (Policy Based Forwarding) pour
orienter le trafic et fournir une redondance en surveillant l'autre extrémité
du tunnel et en la faisant basculer, le cas échéant.
ID de l'interface Saisissez l'identifiant unique étendu sur 64 bits au format hexadécimal,
par exemple : 00:26:08:FF:FE:DE:4E:29. Si l'ID de l'interface est laissé vide,
le pare-feu va utiliser l'EUI-64 généré à partir de l'adresse MAC de
l'interface physique.
Adresse Cliquez sur Ajouter et saisissez la longueur de l'adresse et du préfixe
IPv6, par exemple : 2001:400:f00::1/64. Sélectionnez Utiliser l'ID de
l'interface comme partie hôte pour assigner une adresse IPv6 à l'interface
qui va utiliser l'ID de l'interface en tant que partie hôte de l'adresse.
Sélectionnez Anycast pour inclure un routage via le nœud le plus proche.
Si aucun Préfixe n'est sélectionné, l'adresse IPv6 assignée à l'interface va
être intégralement spécifiée dans la zone de saisie de l'adresse.
Onglet Avancé
Autres informations Indiquez les options suivantes :
• MTU - Saisissez la MTU en octets pour les paquets envoyés sur cette
interface (512 à 1 500, valeur par défaut : 1 500). Si les machines situées
de chaque côté du pare-effectuent une PMTUD, la valeur MTU va être
renvoyée dans un message de fragmentation ICMP obligatoire, en
indiquant que la MTU est trop grande.
Remarque : Le pare-feu prend automatiquement en compte la surcharge du
tunnel lors de la fragmentation IP et ajuste aussi la taille de segment maximale
(MSS) TCP, le cas échéant.

Configuration des interfaces Tap

Vous pouvez définir des interfaces Tap, le cas échéant, pour autoriser des connexions à un
port SPAN sur un commutateur uniquement pour la surveillance du trafic (voir
« Déploiements en mode Tap » à la page 132).
Pour configurer des interfaces Tap, cliquez sur le nom d'une interface dans l'onglet Ethernet
et indiquez les informations suivantes.
Tableau 60. Paramètres d'une interface Tap

Champ Description
Nom de l'interface Donnez un nom à l'interface ou conservez le nom par défaut.
Type d'interface Sélectionnez Tap dans la liste déroulante.
Onglet Config
Système virtuel Sélectionnez un système virtuel. Aucun supprime la configuration de
l'interface.
Zone Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
Onglet Avancé
sélectionnez Auto.

Configuration des interfaces HD

Chaque interface HD dispose d'une fonction spécifique : une interface sert à synchroniser la
configuration et les pulsations et l'autre sert à synchroniser l'état. Si la haute disponibilité
active/active est activée, une troisième interface HD peut être utilisée pour transférer des
paquets.
Remarque : Certains pare-feux Palo Alto Networks contiennent des ports physiques
dédiés à l'utilisation dans des déploiements HD (un pour la liaison de contrôle et un
pour la liaison de données). Pour les pare-feux n'incluant pas de ports dédiés, vous
devez spécifier des ports de données qui vont être utilisés pour la HD. Pour plus
d'informations sur la HD, consultez la section « Activation de la HD sur le pare-
feu » à la page 110.
Pour définir des interfaces HD, cliquez sur le nom d'une interface et indiquez les informations
suivantes.
Tableau 61. Paramètres d'une interface HD

Champ Description
échéant.
Type d'interface Sélectionnez HD dans la liste déroulante.
Onglet Avancé
sélectionnez Auto.

Zones de sécurité
Zones de sécurité
Une zone de sécurité identifie une ou plusieurs interfaces sources ou de destination sur le
pare-feu. Lorsque vous définissez la règle d'une politique de sécurité, vous devez indiquer les
zones de sécurité sources et de destination du trafic. Par exemple, une interface connectée à
Internet se trouve dans une zone de sécurité « non approuvée », alors qu'une interface
connectée au réseau interne se trouve dans une zone de sécurité « de confiance ».
Des zones distinctes doivent être créées pour chaque type d'interface (couche 2, couche 3, Tap
ou câble virtuel) et chacun d'entre elles doit être assignée à une zone avant de pouvoir traiter
le trafic. Des politiques de sécurité peuvent uniquement être définies entre des zones du
même type. Toutefois, si vous créez une interface VLAN pour un ou plusieurs VLAN,
l'application de politiques de sécurité entre la zone de l'interface VLAN et une zone de
l'interface de couche 3 (Figure 15) revient à appliquer des politiques entre les zones
d'interfaces de couche 2 et de couche 3.
Zone de sécurité L3 Zone de sécurité L3 Zone de sécurité L3
Interface VLAN Interface L3 Interface en boucle
Port Ethernet L3
VLAN Zone de sécurité L2 Zone de sécurité VM
Interface L2 Interface de câble virtuel
Port Ethernet L2 Port Ethernet VW
Figure 15. Types de zones et d'interfaces

Zones de sécurité
Définition de zones de sécurité

Réseau > Zones
Pour qu'une interface de pare-feu puisse traiter le trafic, elle doit être assignée à une zone de
sécurité. Pour définir des zones de sécurité, cliquez sur Nouveau et indiquez les informations
suivantes :
Tableau 62. Paramètres d'une zone de sécurité

Champ Description
Nom Saisissez un nom pour la zone (15 caractères maximum). Ce nom apparaît
dans la liste des zones lors de la définition des politiques de sécurité et de
la configuration des interfaces. Ce nom est sensible à la casse et doit être
unique. Vous pouvez uniquement utiliser des lettres, des nombres, des
espaces, des traits d'union, des points et des caractères de soulignement.
Emplacement Sélectionnez le système virtuel qui s'applique à cette zone.
Type Sélectionnez un type de zone (couche2, couche3, câble virtuel, Tap ou
système virtuel externe) pour répertorier toutes les interfaces de ce type
qui n'ont pas été assignées à une zone. Les types de zones de couche 2 et
de couche 3 répertorient toutes les interfaces et sous-interfaces Ethernet
de ce type. Le type de système virtuel externe concerne les
communications entre les systèmes virtuels du pare-feu. Consultez la
section « Communications entre les systèmes virtuels » à la page 119.
Chaque interface peut appartenir à une zone dans un système virtuel.
Profils de protection de Sélectionnez un profil indiquant la manière dont la passerelle de sécurité
zone répond aux attaques provenant de cette zone. Pour ajouter de nouveaux
profils, consultez la section « Définitions des profils de protection de
zone » à la page 191.
Paramètre des journaux Sélectionnez un profil de transfert de journal pour transférer les journaux
de protection de zone vers un système externe.
Activer l'identification Sélectionnez cette option pour activer la fonction d'identification
des utilisateurs utilisateur zone par zone.
Liste de contrôle d'accès Saisissez l'adresse IP ou l'adresse IP/masque d'un utilisateur ou d'un
d'identification groupe à identifier (format adresse_ip/masque ; par exemple : 10.1.1.1/24).
utilisateur Cliquez sur Ajouter. Répétez cette étape, le cas échéant. Si une liste
Liste d'inclusion d'inclusion n'est pas configurée, alors toutes les adresses IP sont
autorisées.
Liste de contrôle d'accès Saisissez l'adresse IP ou l'adresse IP/masque d'un utilisateur ou d'un
d'identification groupe qui ne sera pas explicitement identifié (format adresse_ip/masque ;
utilisateur par exemple : 10.1.1.1/24). Cliquez sur Ajouter. Répétez cette étape, le cas
Liste d'exclusion échéant. Si une liste d'exclusion n'est pas configurée, alors toutes les
adresses IP sont autorisées.

Prise en charge de VLAN
Prise en charge de VLAN

Réseau > VLAN
Le pare-feu prend en charge les VLAN qui respectent la norme IEEE 802.1Q. Chaque interface
de couche 2 définie sur le pare-feu doit être associée à un VLAN. Ce même VLAN peut être
assigné à plusieurs interfaces de couche 2, mais chaque interface peut appartenir à un seul
VLAN. Aussi, un VLAN peut éventuellement spécifier une interface VLAN pouvant router le
trafic vers des destinations de couche 3 hors du VLAN.
Tableau 63. Paramètres VLAN

Champ Description
Nom Saisissez un nom VLAN (31 caractères maximum). Ce nom apparaît dans la
liste des VLAN lors de la configuration des interfaces. Ce nom est sensible à
la casse et doit être unique. Vous pouvez uniquement utiliser des lettres, des
nombres, des espaces, des traits d'union et des caractères de soulignement.
Interface VLAN Sélectionnez une interface VLAN pour autoriser le routage du trafic hors du
VLAN. Pour définir une interface VLAN, consultez la section
« Configuration des interfaces VLAN » à la page 151.
Transfert de C3 activé Si vous sélectionnez une interface VLAN, vous pouvez cocher cette case pour
activer le routage de couche 3 sur l'interface sélectionnée.
Interfaces Indiquez les interfaces de pare-feu du VLAN.
Configuration MAC Indiquez l'interface via laquelle une adresse MAC est accessible. Tout
statique mappage de l'interface vers MAC appris va alors être écrasé.
Routeurs virtuels et protocoles de routage

Vous pouvez paramétrer des routeurs virtuels afin que le pare-feu puisse router des paquets
vers la couche 3 en prenant des décisions de transfert de paquets en fonction de l'adresse IP de
destination. Les interfaces Ethernet et VLAN définies sur le pare-feu reçoivent et transfèrent le
trafic de couche 3. La zone de destination provient de l'interface sortante en fonction des
critères de transfert et les règles de politiques sont consultées pour identifier les politiques de
sécurité à appliquer. En plus du routage vers d'autres périphériques réseaux, les routeurs
virtuels peuvent effectuer un routage vers d'autres routeurs virtuels au sein du même pare-
feu, à condition que le saut suivant indique qu'il pointe vers un autre routeur virtuel.
Une prise en charge est fournie pour le routage statique et dynamique à l'aide des protocoles
RIP (Routing Information Protocol), OSPF (Open Shortest Path First) et BGP (Border Gateway
Protocol).
Remarque : Un transfert basé sur une politique est également pris en charge pour
le trafic sur les interfaces de couche 3.

Protocole RIP (Routing Information Protocol)

Le protocole RIP a été conçu pour les petits réseaux d'adresses IP et s'appuie sur le nombre de
sauts pour déterminer les itinéraires, dont les meilleurs affichent un nombre de sauts minimum.
Ce protocole se base sur UDP et utilise le port 520 pour les mises à jour d'itinéraires. En limitant les
itinéraires à un maximum de 15 sauts, le protocole empêche le développement de boucles de
routage, mais limite aussi la taille du réseau pris en charge. Si plus de 15 sauts sont requis, le trafic
n'est pas routé. La convergence du protocole RIP peut être plus longue que pour le protocole OSPF
et d'autres protocoles de routage. Le pare-feu prend en charge le protocole RIP v2.
Protocole OSPF (Open Shortest Path First)

Le protocole OSPF détermine les itinéraires de façon dynamique en se procurant des informations
auprès des autres routeurs et en publiant les itinéraires dans d'autres routeurs à l'aide des
publications LSA (Link State Advertisements). Un routeur conserve des informations concernant
les liaisons entre lui et la destination et peut prendre des décisions de routage hautement efficaces.
Un coût est assigné à chaque interface de routeur et les meilleurs itinéraires sont ceux dont les
coûts sont les plus bas, lorsque ceux de toutes les interfaces de routeur sortant rencontrées sont
additionnés avec ceux de l'interface recevant la publication LSA.
Des techniques hiérarchiques sont utilisées pour limiter de nombre d'itinéraires à publier et les
publications LSA associées. Étant donné que le protocole OSPF traite dynamiquement un volume
considérable d'informations de routage, les exigences relatives à la configuration du processeur et
de la mémoire sont beaucoup plus élevées par rapport au protocole RIP.
Protocole BGP (Border Gateway Protocol)

Il s'agit du principal protocole de routage Internet. Il détermine l'accessibilité du réseau en fonction
des préfixes IP qui sont disponibles dans les systèmes autonomes (AS) où un AS correspond à un
ensemble de préfixes IP qu'un fournisseur de réseau a choisi d'inclure à une politique de routage
unique.
Dans le processus de routage, les connexions sont établies entre des homologues BGP (ou des
voisins). Si une politique autorise un itinéraire, ce dernier est stocké dans la base d'informations de
routage (RIB). À chaque mise à jour de la RIB du pare-feu local, le pare-feu détermine les
itinéraires optimaux et envoie une mise à jour vers la RIB externe, à condition que l'exportation soit
activée.
Une publication conditionnelle permet de contrôler la méthode de publication des itinéraires BGP.
Ces derniers doivent respecter des règles de publication conditionnelles avant d'être publiés chez
des homologues.
Le protocole BGP prend en charge la spécification d'agrégats qui combinent plusieurs
itinéraires en un itinéraire unique. Lors du processus d'agrégation, la première étape consiste
à trouver la règle d'agrégation correspondante en établissant une correspondance plus longue
qui compare un itinéraire entrant aux valeurs de préfixe d'autres règles d'agrégation.
Le pare-feu fournit une implémentation BGP complète qui inclut les fonctionnalités suivantes :
• La spécification d'une instance de routage BGP pour chaque routeur virtuel.
• Des politiques de routage basées sur une mappe de routage pour contrôler les
importations, les exportations et les publications, le filtrage basé sur un préfixe et
l'agrégation d'adresses.
• Des fonctionnalités BGP avancées incluant un réflecteur d'itinéraires, une confédération

d'AS, l'atténuation de l'oscillation d'itinéraires et un redémarrage en douceur.

• L'interaction IGP-BGP visant à injecter des itinéraires dans le protocole BGP à l'aide de profils
de redistribution.
La configuration du protocole BGP se compose des éléments suivants :

• Des paramètres d'instance par routage, qui incluent des paramètres de base comme un ID
d'itinéraire local et un AS local, ainsi que des options avancées comme la sélection de chemins,
un réflecteur d'itinéraires, une confédération d'AS, une oscillation d'itinéraires et des profils
d'atténuation.
• Des profils d'authentification, qui indiquent la clé d'authentification MD5 pour les connexions
BGP.
• Les paramètres des voisins et des groupes d'homologues, qui incluent l'adresse d'un voisin et
un AS distant, ainsi que des options avancées comme les attributs et les connexions des
voisins.
• Une politique de routage, qui indique les ensembles de règles que les groupes d'homologues
et les homologues utilisent pour implémenter des importations et des exportations, des
publications conditionnelles et des contrôles d'agrégation d'adresses.
Routage multicast
La fonctionnalité de routage multicast permet au pare-feu de router des flux multicast à l'aide des
modes PIM-SM (Protocol Independent Multicast Sparse Mode) et PIM-SSM (PIM Source Specific
Multicast) pour des applications comme la diffusion de médias (radio et vidéo) avec PIMv2. Le
pare-feu émet des requêtes IGMP (Internet Group Management Protocol) pour les hôtes figurant
sur le même réseau que l'interface sur laquelle le protocole IGMP est configuré. PIM-SM et IGMP
peuvent être activés sur les interfaces de couche 3. IGMP v1, v2 et v3 sont pris en charge. PIM et
IGMP doivent être activés sur les interfaces orientées hôte.
PAN-OS assure une sécurité multicast totale tout en agissant en tant que routeur désigné (DR) par
PIM, point de rendez-vous (RP) PIM, routeur PIM intermédiaire ou requérant IGMP. Le pare-feu
peut être déployé dans des environnements où le RP est statiquement configuré ou
dynamiquement élu. Le rôle du routeur bootstrap (BSR) n'est pas pris en charge. Le déploiement
dans les tunnels IPSec est intégralement pris en charge entre les pare-feux Palo Alto Networks.
L'encapsulation GRE dans IPSec n'est pas prise en charge à l'heure actuelle.
Politique de sécurité
PAN-OS fournit deux méthodes d'applications de la sécurité sur les flux multicast. Les groupes
multicast peuvent être filtrés à l'aide des paramètres d'autorisation des groupes IGMP et PIM
spécifiés dans un niveau d'interface. Le trafic multicast doit aussi être explicitement autorisé par la
politique de sécurité. Une zone de destination spéciale appelée « Multicast » a été ajoutée et doit
être spécifiée pour contrôler le trafic multicast dans les règles de sécurité, de QoS et de protection
DoS. Contrairement à une politique de sécurité unicast, des politiques de sécurité multicast
doivent être explicitement créées lorsque les interfaces sources et de destination sont dans la même
zone. Les profils de sécurité sont pris en charge dans les environnements multicast exigeant des
fonctions de prévention des menaces.
Journalisation
Chaque session multicast traversant le pare-feu ne crée qu'une seule entrée dans le journal de trafic
(même si le pare-feu réplique des paquets pour les distribuer sur plusieurs interfaces). Ce journal
indique le nombre d'octets entrant dans le pare-feu au lieu du nombre d'octets distribués dans le
cadre d'un flux multicast.

Définition des routeurs virtuels

Réseau > Routeurs virtuels
La définition de routeurs virtuels vous permet de définir des règles de transfert pour la couche 3 et
autorise l'utilisation de protocoles de routage dynamique. Chaque interface de couche 3, interface
en boucle et interface VLAN définie sur le pare-feu doit être associée à un routeur virtuel. Chacune
d'entre elles ne peut appartenir qu'à un seul routeur virtuel.
Remarque : Pour configurer des ports Ethernet en tant qu'interfaces de couche 3,

consultez la section « Configuration des interfaces de couche 3 » à la page 136.
Pour définir des sous-interfaces de couche 3, consultez la section « Configuration
des sous-interfaces de couche 3 » à la page 141. Pour une vue d'ensemble des
routeurs virtuels, consultez la section « Routeurs virtuels et protocoles de
routage » à la page 162.
Définissez les paramètres dans les onglets spécifiés, le cas échéant.
Onglet Général
Sélectionnez les interfaces à inclure dans le routeur virtuel et ajoutez des itinéraires statiques.
Consultez le tableau suivant.
Tableau 64. Paramètres d'un routeur virtuel - Onglet Général

Champ Description
Nom Saisissez un nom pour décrire le routeur virtuel (31 caractères maximum).
Ce nom est sensible à la casse et doit être unique. Vous pouvez
Interfaces Sélectionnez les interfaces à inclure dans le routeur virtuel. Lorsque vous
sélectionnez une interface, cette dernière est incluse dans le routeur
virtuel et peut être utilisée en tant qu'interface sortante dans l'onglet de
routage du routeur virtuel.
Pour spécifier un type d'interface, consultez la section « Interfaces du
pare-feu » à la page 133.
Remarque : Lors de l'ajout d'une interface, ses itinéraires connectés sont
automatiquement ajoutés.
Distances Indiquez les distances administratives suivantes :
administratives • Itinéraires statiques (10 à 240, valeur par défaut : 10).
• OSPF int (10 à 240, valeur par défaut : 30).
• OSPF ext (10 à 240, valeur par défaut : 110).
• IBGP (10 à 240, valeur par défaut : 200).
• EBGP (10 à 240, valeur par défaut : 20).
• RIP (10 à 240, valeur par défaut : 120).

Onglet Itinéraires statiques

Saisissez un ou plusieurs itinéraires statiques, le cas échéant. Cliquez sur l'onglet IP ou IPv6 pour
spécifier un itinéraire utilisant des adresses IPv4 ou IPv6. Dans ce cas, vous devez généralement
configurer des itinéraires par défaut (0.0.0.0/0). Ces derniers sont appliqués pour les destinations
qui seraient alors introuvables dans la table de routage du routeur virtuel.
Tableau 65. Paramètres d'un routeur virtuel - Onglet Itinéraires statiques

Champ Description
Nom Saisissez un nom pour identifier l'itinéraire statique (31 caractères
maximum). Ce nom est sensible à la casse et doit être unique. Vous
pouvez uniquement utiliser des lettres, des nombres, des espaces, des
traits d'union et des caractères de soulignement.
Destination Saisissez une adresse IP et un masque réseau au format adresse_ip/masque.
Interface Sélectionnez l'interface pour transférer des paquets vers leur destination
et/ou configurer les paramètres du saut suivant.
Saut suivant Spécifiez les paramètres du saut suivant :
• Aucun - Indiquez s'il n'existe aucun saut suivant pour l'itinéraire.
• Adresse IP - Indiquez l'adresse IP pour le routeur du saut suivant.
• Supprimer - Indiquez si vous voulez arrêter le trafic vers cette
destination.
• VR suivant - Sélectionnez un routeur virtuel dans le pare-feu en tant
que saut suivant. Cette option vous permet d'effectuer un routage en
interne entre des routeurs virtuels dans un pare-feu unique.
Distance admin Indiquez la distance administrative de l'itinéraire statique (10 à 240,
valeur par défaut : 10).
Mesure Indiquez une mesure valide pour l'itinéraire statique (1 à 65 535).
Aucune installation Indiquez si vous ne voulez pas installer l'itinéraire dans la table de
transfert. L'itinéraire est conservé dans la configuration à titre de
référence future.

Onglet Profils de redistribution

Modifiez le filtre, la priorité et l'action de la redistribution de l'itinéraire en fonction du
comportement de réseau souhaité. Cette redistribution permet à des itinéraires statiques et à des
itinéraires acquis par d'autres protocoles d'être publiés via des protocoles de routage spécifiés. Les
profils de redistribution doivent être appliqués aux protocoles de routage afin d'être effectifs. En
l'absence de règles de redistribution, chaque protocole s'exécute séparément et ne communique
pas au-delà de son domaine. Des profils de redistribution peuvent être ajoutés ou modifiés une
fois tous les protocoles de routage configurés et la topologie de réseau résultante établie.
Appliquez des profils de redistribution aux protocoles RIP et OSPF en définissant des règles
d'exportation. Appliquez des profils de redistribution au protocole BGP dans l'onglet Règles de
redistribution. Consultez le tableau suivant.
Tableau 66. Paramètres d'un routeur virtuel - Onglet Profils de redistribution

Champ Description
Nom Cliquez sur Ajouter pour afficher la page Profil de redistribution et saisissez
le nom d'un profil.
Priorité Saisissez une priorité (comprise entre 1 et 255) pour ce profil. Les profils sont
classés dans l'ordre (valeur la plus basse en premier).
Redistribuer Indiquez si la redistribution des itinéraires doit s'effectuer en fonction des
paramètres de cette fenêtre.
• Redist - Permet de redistribuer les itinéraires candidats correspondants. Si
vous sélectionnez cette option, saisissez une nouvelle valeur de mesure.
Une valeur de mesure inférieure correspond à un itinéraire préféré.
• Ne pas redist - Sélectionnez cette option afin de ne pas redistribuer les
itinéraires candidats correspondants.
Onglet Filtre général

Type Cochez des cases pour indiquer les types d'itinéraires de l'itinéraire candidat.
Interface Sélectionnez des interfaces pour indiquer les interfaces de transfert d'un
itinéraire candidat.
Destination Pour indiquer la destination d'un itinéraire candidat, saisissez l'adresse IP ou
le sous-réseau de destination (au format x.x.x.x ou x.x.x.x/n) et cliquez sur
Ajouter. Pour supprimer une entrée, cliquez sur l'icône associée à l'entrée.
Saut suivant Pour indiquer la passerelle d'un itinéraire candidat, saisissez l'adresse IP ou
le sous-réseau (au format x.x.x.x ou x.x.x.x/n) qui représente le saut suivant
et cliquez sur Ajouter. Pour supprimer une entrée, cliquez sur l'icône
associée à l'entrée.
Onglet Filtre OSPF

Type de chemin Cochez des cases pour indiquer les types d'itinéraires de l'itinéraire OSPF
candidat.
Zone Indiquez l'identifiant de zone de l'itinéraire OSPF candidat. Entrez l'ID de
zone OSPF (au format x.x.x.x) et cliquez sur Ajouter. Pour supprimer une
entrée, cliquez sur l'icône associée à l'entrée.
Étiquette Indiquez des valeurs pour les étiquettes OSPF. Entrez une valeur d'étiquette
numérique (1 à 255) et cliquez sur Ajouter. Pour supprimer une entrée,
cliquez sur l'icône associée à l'entrée.
Onglet Filtre BGP

Communauté Indiquez une communauté pour la politique de routage BGP.

Tableau 66. Paramètres d'un routeur virtuel - Onglet Profils de redistribution (suite)
Champ Description
Communauté étendue Indiquez une communauté étendue pour la politique de routage BGP.
Onglet RIP
Indiquez les paramètres du protocole RIP (Routing Information Protocol) à utiliser sur les
interfaces sélectionnées. Bien qu'il soit possible de configurer les protocoles RIP et OSPF, il est
généralement recommandé de ne choisir qu'un seul d'entre eux. Consultez le tableau suivant.
Tableau 67. Paramètres d'un routeur virtuel - Onglet RIP

Champ Description
Activer Cochez cette case pour activer le protocole RIP.
Rejeter les itinéraires par Cochez cette case si vous ne voulez pas apprendre des itinéraires via RIP
défaut par défaut. Il est vivement recommandé de cocher cette case.
Autoriser la Cochez cette case pour autoriser la redistribution des itinéraires par
redistribution des défaut via RIP.
itinéraires par défaut
Interfaces
Interface Sélectionnez une interface exécutant le protocole RIP.
Activer Sélectionnez cette option pour activer ces paramètres.
Publier Sélectionnez cette option pour publier un itinéraire par défaut dans les
homologues RIP avec la valeur la mesure spécifiée.
Mesure Indiquez une valeur de mesure pour la publication d'un routeur. Ce
champ est uniquement visible si la case Publier est sélectionnée.
Profil d'authentification Sélectionnez un profil.
Mode Sélectionnez Normal, Passif ou Envoyer seulement.
Minuteurs
Intervalle en secondes (s) Définissez la longueur de l'intervalle du minuteur en secondes. Ce délai
est utilisé pour les champs restants du minuteur RIP (1 à 60).
Intervalles de mise à jour Saisissez le nombre d'intervalles entre les annonces de mise à jour des
itinéraires (1 à 3 600).
Intervalles d'expiration Saisissez le nombre d'intervalles entre l'heure à laquelle l'itinéraire a été
mis à jour pour la dernière fois et son expiration (1 à 3 600).
Supprimer les intervalles Saisissez le nombre d'intervalles entre l'heure d'expiration de l'itinéraire
et sa suppression (1 à 3 600).
Profils
d'authentification
Nom de profil Saisissez un nom pour le profil d'authentification afin d'authentifier des
messages RIP. Pour ce faire, commencez par définir des profils
d'authentification, puis appliquez-les aux interfaces dans l'onglet RIP.

Tableau 67. Paramètres d'un routeur virtuel - Onglet RIP (suite)

Champ Description
Type de mot de passe Sélectionnez le type de mot de passe (simple ou MD5).
• Si vous sélectionnez Simple, saisissez le mot de passe simple et
confirmez-le.
• Si vous sélectionnez MD5, saisissez une ou plusieurs entrées de mot de
passe, notamment ID-clé (0 à 255), Clé et éventuellement le statut
Préféré. Cliquez sur Ajouter pour chaque entrée, puis cliquez sur OK.
Pour indiquer la clé à utiliser afin d'authentifier le message sortant,
sélectionnez l'option Préféré.
Règles d'exportation
Règles d'exportation (Lecture seule) Affiche les règles s'appliquant aux itinéraires envoyés par
le routeur virtuel à un routeur de réception.
• Autoriser la redistribution d'un itinéraire par défaut - Cochez cette
case pour autoriser le pare-feu à redistribuer son itinéraire par défaut à
des homologues.
• Profil de redistribution - Sélectionnez un profil de redistribution vous
permettant de modifier la redistribution, les filtres, la priorité et l'action
d'un itinéraire en fonction du comportement réseau souhaité. Consultez
la section « Onglet Profils de redistribution » à la page 167.
Onglet OSPF
Indiquez les paramètres du protocole OSPFv2 (Open Shortest Path First) à utiliser sur les
interfaces sélectionnées. Bien qu'il soit possible de configurer les protocoles RIP et OSPF, il est
généralement recommandé de ne choisir qu'un protocole IGP. Consultez le tableau
suivant.Onglet BGP
Tableau 68. Paramètres d'un routeur virtuel - Onglet OSPF

Champ Description
Activer Cochez cette case pour activer le protocole OSPF.
Rejeter les itinéraires par Cochez cette case si vous ne voulez pas apprendre des itinéraires via
défaut OSPF par défaut. Il est recommandé de cocher cette case, surtout pour les
itinéraires statiques.
ID du routeur Indiquez l'ID du routeur associé à l'instance OSPF dans ce routeur virtuel.
Le protocole OSPF utilise l'ID du routeur pour identifier uniquement
l'instance OSPF.
Zones
ID de zone Configurez la zone sur laquelle les paramètres OSPF peuvent être
appliqués.
Saisissez un identifiant pour la zone au format x.x.x.x. Il s'agit de
l'identifiant devant faire partie de la même zone et que chaque voisin doit
accepter.

Tableau 68. Paramètres d'un routeur virtuel - Onglet OSPF (suite)

Champ Description
Type Sélectionnez l'une des options suivantes.
• Normal - Aucune restriction n'est appliquée ; la zone peut accepter tout
type d'itinéraire.
• Souche - Il n'existe aucune sortie issue de la zone. Pour atteindre une
destination extérieure à la zone, vous devez passer par la bordure qui se
connecte aux autres zones. Si vous choisissez cette option, sélectionnez
Accepter un récapitulatif pour accepter ce type de publication LSA
(Link State Advertisement) de la part des autres zones. Indiquez
également si vous souhaitez inclure la publication LSA d'un itinéraire
par défaut dans les publications de la zone souche avec la valeur de
mesure associée (1 à 255).
Si l'option Accepter un récapitulatif est désactivée dans l'interface ABR
(Area Border Router) d'une zone souche, la zone OSPF va agir en tant
que zone TSA (Totally Stubby Area) et l'interface ABR ne va propager
aucune publication LSA récapitulative.
• NSSA (Not-So-Stubby Area) - Il est possible de quitter directement la
zone, mais uniquement par des itinéraires autres que des itinéraires
OSPF. Si vous choisissez cette option, sélectionnez Accepter un
récapitulatif pour accepter ce type de publication LSA. Indiquez si vous
souhaitez inclure la publication LSA d'un itinéraire par défaut dans les
publications de la zone souche avec la valeur de mesure associée (1 à
255). Sélectionnez également le type d'itinéraire utilisé pour publier la
LSA par défaut. Cliquez sur Ajouter dans la section Intervalles
externes et saisissez des intervalles pour activer ou supprimer des
itinéraires externes de publication appris via la zone NSSA vers d'autres
zones.
Intervalle Cliquez sur Ajouter pour agréger les adresses de destination LSA d'une
zone dans des sous-réseaux. Activez ou supprimez des publications LSA
correspondant au sous-réseau et cliquez sur OK. Répétez cette étape pour
ajouter des intervalles supplémentaires.


Champ Description
Interface Cliquez sur Ajouter et saisissez les informations suivantes pour chaque
interface à inclure dans la zone et cliquez sur OK.
• Interface - Sélectionnez l'interface.
• Activer - Applique les paramètres de l'interface OSPF.
• Passif - Cochez cette case si vous ne voulez pas que l'interface OSPF
envoie ou reçoive des paquets OSPF. Bien qu'aucun paquet OSPF ne
soit envoyé ou reçu si vous choisissez cette option, l'interface est incluse
dans la base de données LSA.
• Type de liaison - Sélectionnez Diffusion si vous voulez que tous les
voisins accessibles via l'interface soient détectés automatiquement en
multidiffusant des messages Hello OSPF, comme une interface
Ethernet. Sélectionnez p2p (point-to-point) pour détecter
automatiquement un voisin. Sélectionnez p2mp (point-to-multipoint)
lorsque les voisins doivent être définis manuellement. La définition
manuelle des voisins est uniquement autorisée pour le mode p2mp.
• Mesure - Saisissez la mesure OSPF pour cette interface (0 à 65 535).
• Priorité - Saisissez la priorité OSPF pour cette interface (0 à 255). Il s'agit
de la priorité d'élection d'un routeur en tant que routeur désigné (DR)
ou en tant que DR de secours (BDR) conformément au protocole OSPF.
Lorsque la valeur affiche 0, le routeur ne sera pas élu en tant que DR ou
BDR.
• Profil d'authentification - Sélectionnez un profil d'authentification
précédemment défini.
• Minutage - Il est recommandé de conserver les paramètres de minutage
par défaut.
• Voisins - Pour les interfaces p2pmp, saisissez l'adresse IP de tous les
voisins accessibles via cette interface.
Liaison virtuelle Configurez les paramètres de liaison virtuelle ou améliorez la
connectivité de la zone du segment principal. Ces paramètres doivent être
définis pour les routeurs de bordure de zone et à l'intérieur de la zone du
segment principal (0.0.0.0). Cliquez sur Ajouter, saisissez les informations
suivantes pour chaque liaison virtuelle à inclure dans la zone du segment
principal et cliquez sur OK.
• Nom - Donnez un nom à la liaison virtuelle.
• ID du voisin - Saisissez un ID de routeur (voisin) situé de l'autre côté de
la liaison virtuelle.
• Zone de transit - Saisissez l'ID de la zone de transit qui contient
physiquement la liaison virtuelle.
• Activer - Sélectionnez cette option pour activer la liaison virtuelle.
• Minutage - Il est recommandé de conserver les paramètres de minutage
par défaut.
• Profil d'authentification - Sélectionnez un profil d'authentification
précédemment défini.


Champ Description
Profils
d'authentification
Nom de profil Donnez un nom au profil d'authentification. Pour authentifier les
messages OSPF, commencez pas définir les profils d'authentification,
puis appliquez-les aux interfaces dans l'onglet OSPF.
Type de mot de passe Sélectionnez le type de mot de passe (simple ou MD5).
• Si vous sélectionnez Simple, saisissez le mot de passe.
• Si vous sélectionnez MD5, saisissez une ou plusieurs entrées de mot de
passe, notamment ID-Clé (0 à 255), Clé et éventuellement le statut
Préféré. Cliquez sur Ajouter pour chaque entrée, puis cliquez sur OK.
Pour indiquer la clé à utiliser afin d'authentifier le message sortant,
sélectionnez l'option Préféré.
Règles d'exportation
Autoriser la Cochez cette case pour autoriser la redistribution des itinéraires par
redistribution des défaut via OSPF.
itinéraires par défaut
Nom Sélectionnez le nom d'un profil de redistribution.
Nouveau type de Sélectionnez le type de mesure à appliquer.
chemin
Nouvelle étiquette Indiquez une étiquette pour l'itinéraire correspondant dont la valeur est
de 32 bits.
Avancé
Compatibilité avec RFC Cochez cette case pour assurer la compatibilité avec RFC 1583.
1583
Minuteurs • Délai du calcul SPF (s) - Cette option est un temporisateur vous
permettant d'ajuster le délai écoulé entre la réception de nouvelles
informations sur la topologie et la réalisation d'un calcul SPF. Des
valeurs inférieures permettent une reconvergence OSPF plus rapide.
Les routeurs échangeant du trafic avec le pare-feu doivent être ajustés
de la même manière afin d'optimiser les délais de convergence.
• Intervalle LSA (s) - Cette option indique le délai minimum écoulé entre
les transmissions de deux instances du même LSA (même routeur,
même type, même ID LSA). Ce délai est équivalent à IntervalLSMin
dans RFC 2328. Des valeurs inférieures peuvent être utilisées afin de
réduire les délais de reconvergence en cas de modification de la
topologie.
Onglet BGP
Indiquez les paramètres à utiliser pour le protocole BGP (Border Gateway Protocol) sur les
interfaces sélectionnées. Consultez le tableau suivant.

Tableau 69. Paramètres d'un routeur virtuel - Onglet BGP

Champ Description
Activer Cochez cette case pour activer le protocole BGP.
ID du routeur Saisissez l'adresse IP à assigner à un routeur virtuel.
Numéro AS Saisissez le numéro du AS auquel appartient un routeur virtuel, en
fonction de l'ID du routeur (compris entre 1 et 4 294 967 295).
Onglet Général
Rejeter les itinéraires par Cochez cette case pour ignorer les itinéraires par défaut publiés par les
défaut homologues BGP.
Installer un itinéraire Cochez cette case pour installer des itinéraires BGP dans le tableau de
routage global.
Agréger MED Sélectionnez cette option pour activer l'agrégation d'un itinéraire, même
lorsque des itinéraires affichent différentes valeurs MED (Multi-Exit
Discriminator).
Préférence locale par Indique une valeur pouvant être utilisée pour déterminer des préférences
défaut entre différents chemins.
Format AS Sélectionnez le format 2 octets (par défaut) ou 4 octets. Ce paramètre peut
être configuré à des fins d'interopérabilité.
Toujours comparer MED Activez la comparaison MED des chemins de voisins situés dans différents
systèmes autonomes.
Comparaison MED Activez la comparaison MED afin de sélectionner un itinéraire parmi ceux
déterministe qui sont publiés par des homologues IBGP (homologues BGP figurant dans
le même système autonome).
Profils d'authentification Cliquez sur Ajouter pour inclure un nouveau profil d'authentification et
configurer les paramètres suivants :
• Nom du profil - Saisissez un nom pour identifier le profil.
• Phrase secrète/Confirmer une phrase secrète - Saisissez et confirmez une
phrase secrète pour les communications d'homologues BGP.
Cliquez sur l'icône pour supprimer un profil.
Onglet Avancé
Redémarrage en Activez l'option de redémarrage en douceur.
douceur • Délai pour itinéraire obsolète - Indiquez la durée pendant laquelle un
itinéraire peut rester dans l'état Obsolète (intervalle compris entre 1 et 3 600
secondes, valeur par défaut : 120 secondes).
• Durée de redémarrage local - Indiquez la durée nécessaire pour le
redémarrage d'un périphérique local. Cette valeur est publiée chez les
homologues (intervalle compris entre 1 et 3 600 secondes, valeur par
• Durée maximale de redémarrage des homologues - Indiquez la durée
maximale qu'un périphérique local accepte comme délai de redémarrage
en période de grâce pour des périphériques homologues (intervalle
compris entre 1 et 3 600 secondes, valeur par défaut : 120 secondes).
ID du groupe de Indiquez un identifiant IPv4 pour représenter un groupe de réflecteurs.
réflecteurs
Membre AS de la Indiquez un identifiant pour que la confédération AS soit présentée en tant
confédération qu'AS unique aux homologues BGP externes.

Tableau 69. Paramètres d'un routeur virtuel - Onglet BGP (suite)

Champ Description
Profils d'atténuation Les paramètres sont les suivants :
• Nom du profil - Saisissez un nom pour identifier le profil.
• Activer - Activez le profil.
• Limite - Indiquez le seuil de retrait d'itinéraires au-delà duquel une
publication d'itinéraire est supprimée (intervalle compris entre 0,0 et
1 000,0, valeur par défaut : 1,25).
• Réutiliser - Indiquez le seuil de retrait d'itinéraires au-dessous duquel un
itinéraire supprimé est réutilisé (intervalle compris entre 0,0 et 1 000,0,
• Durée d'attente maximale - Indiquez la durée maximale au bout de
laquelle un itinéraire peut être supprimé, quelle que soit son instabilité
(intervalle compris entre 0 et 3 600 secondes, valeur par défaut :
900 secondes).
• Réduction de moitié pendant l'état accessible - Indiquez la durée au bout
de laquelle la mesure de stabilité d'un itinéraire est réduite de moitié si
l'itinéraire est jugé comme étant accessible (intervalle compris entre 0 et
• Réduction de moitié pendant l'état inaccessible - Indiquez la durée au
bout de laquelle la mesure de stabilité d'un itinéraire est réduite de moitié si
l'itinéraire est jugé comme étant inaccessible (intervalle compris entre 0 et
Cliquez sur l'icône pour supprimer un profil.
Onglet Groupe
d'homologues
Nom Donnez un nom à un homologue afin de l'identifier.
Activer Sélectionnez cette option pour activer un homologue.
Chemin AS conféd. Cochez cette case pour inclure un chemin vers un AS de confédération
agrégé agrégé configuré.
Réinitialisation logicielle Cochez cette case pour procéder à une réinitialisation logicielle du pare-feu
avec les informations après avoir mis à jour les paramètres des homologues.
stockées
Type Indiquez le type d'homologue ou de groupe et configurez les paramètres
associés (pour plus de détails sur les options Importer le saut suivant et
Exporter le saut suivant, consultez le tableau ci-dessous).
• IBGP - Spécifiez les options suivantes :
– Exporter le saut suivant
• Conféd. EBGP - Spécifiez les options suivantes :
• Conféd. IBGP - Spécifiez les options suivantes :
• EBGP - Spécifiez les options suivantes :
– Importer le saut suivant
– Supprimer l'AS privé (sélectionnez cette option pour forcer le protocole
BGP à supprimer des numéros d'AS privés).


Champ Description
Importer le saut suivant Sélectionnez une option pour importer le saut suivant :
• original - Utilisez l'adresse du saut suivant fournie dans la publication de
l'itinéraire d'origine.
• utiliser-homologue - Utilisez l'adresse IP d'un homologue en tant
qu'adresse du saut suivant.
Exporter le saut suivant Sélectionnez une option pour exporter le saut suivant :
• résoudre - Résolvez l'adresse du saut suivant à l'aide de la table de transfert
locale.
• utiliser-auto - Remplacez l'adresse du saut suivant par l'adresse IP de ce
routeur afin de s'assurer qu'elle apparaîtra dans le chemin de transfert.


Champ Description
Homologue Pour ajouter un nouvel homologue, cliquez sur Nouveau et configurez les
• Nom - Donnez un nom à un homologue afin de l'identifier.
• Activer - Sélectionnez cette option pour activer un homologue.
• AS homologue - Indiquez l'AS d'un homologue.
• Adresse locale - Sélectionnez une interface de pare-feu et une adresse IP
locale.
• Options de connexion - Spécifiez les options suivantes :
– Profil d'auth. - Sélectionnez un profil.
– Intervalle Keep Alive - Indiquez un intervalle après lequel les
itinéraires d'un homologue sont supprimés conformément au paramètre
de durée d'attente (intervalle compris entre 0 et 1 200 secondes ou
« désactivé », valeur par défaut : 30 secondes).
– Plusieurs sauts - Définissez la valeur TTL (Time-To-Live) dans l'en-tête
IP (intervalle compris entre 1 et 255, valeur par défaut : 0). La valeur
0 par défaut signifie 2 pour EBGP et 255 pour IBGP.
– Délai avant ouverture - Indiquez le délai écoulé entre l'ouverture de la
connexion TCP d'un homologue et l'envoi du premier message
d'ouverture BGP (intervalle compris entre 0 et 240 secondes, valeur par
défaut : 0 seconde).
– Durée d'attente - Indiquez la durée pouvant s'écouler entre des
messages KEEPALIVE ou UPDATE successifs émis par un homologue
avant la fermeture de la connexion d'un homologue. (intervalle compris
entre 3 et 3 600 secondes ou « désactivé », valeur par défaut :
90 secondes).
– Durée d'attente en inactivité - Indiquez la durée d'attente en état inactif
avant de retenter une connexion à un homologue (intervalle compris
entre 1 et 3 600 secondes, valeur par défaut : 15 secondes).
• Adresse de l'homologue - Indiquez l'adresse IP et le port d'un homologue.
• Options avancées - Configurez les paramètres suivants :
– Client réflecteur - Sélectionnez le type de client réflecteur (Non-client,
Client ou Client avec maillage). Les itinéraires qui sont envoyés par les
clients réflecteurs sont partagés avec l'ensemble des homologues BGP
internes et externes.
– Type d'échange de trafic - Indiquez un homologue bilatéral ou laissez ce
champ vide.
– Préfixes max. - Indiquez le nombre maximum de préfixes IP pris en
charge (1 à 100 000 ou illimité).
• Connexions entrantes/Connexions sortantes - Indiquez les numéros de
port entrants et sortants et cochez la case Autoriser pour autoriser le trafic
vers ou depuis ces ports.


Champ Description
Onglets Règles
d'importation/Règles
d'exportation
Règles d'importation/ Cliquez sur le sous-onglet Règles d'importation ou Règles d'exportation
Règles d'exportation BGP. Pour ajouter une nouvelle règle, cliquez sur Ajouter et configurez les
• Sous-onglet Général :
– Nom - Donnez un nom à une règle afin de l'identifier.
– Activer - Sélectionnez cette option pour activer une règle.
– Utilisé par - Sélectionnez les groupes d'homologues qui vont utiliser
cette règle.
• Sous-onglet Correspondance :
– Expression régulière du chemin AS - Indiquez une expression régulière
pour le filtrage des chemins AS.
– Expression régulière de la communauté - Indiquez une expression
régulière pour le filtrage des chaînes de la communauté.
– Expression régulière de la communauté étendue - Indiquez une
expression régulière pour le filtrage des chaînes de la communauté
étendue.
– Préfixe d'adresse - Indiquez des adresses IP ou des préfixes pour le
filtrage des itinéraires.
– MED - Indiquez une valeur MED pour le filtrage des itinéraires.
– Saut suivant - Indiquez les routeurs ou les sous-réseaux du saut suivant
pour le filtrage des itinéraires.
– De l'homologue - Indiquez les routeurs d'homologues pour le filtrage
des itinéraires.
• Sous-onglet Action :
– Action - Indiquez une action (Autoriser ou Refuser) à prendre lorsque
des conditions de correspondance sont respectées.
– Préférence locale - Indiquez une mesure de préférence locale,
uniquement si l'action affiche Autoriser.
– MED - Indiquez une valeur MED, uniquement si l'action affiche
Autoriser (0 à 65 535).
– Pondération - Indiquez une valeur de pondération, uniquement si
l'action affiche Autoriser (0- 65535).


Champ Description
– Saut suivant - Indiquez un routeur de saut suivant, uniquement si
l'action affiche Autoriser.
– Origine - Indiquez le type de chemin de l'itinéraire d'origine : IGP, EGP
ou incomplet, uniquement si l'action affiche Autoriser.
– Limite du chemin AS - Indiquez une limite du chemin AS, uniquement
si l'action affiche Autoriser.
– Chemin AS - Indiquez un chemin AS : Aucun, Supprimer, Ajouter,
Supprimer et ajouter, uniquement si l'action affiche Autoriser.
– Communauté - Indiquez une option de communauté : Aucun,
Supprimer tout, Supprimer Regex, Ajouter ou Écraser, uniquement si
– Communauté étendue - Indiquez une option de communauté : Aucun,
Supprimer tout, Supprimer Regex, Ajouter ou Écraser, uniquement si
– Atténuation - Indiquez un paramètre d'atténuation, uniquement si
Cliquez sur l'icône pour supprimer un groupe. Cliquez sur Cloner pour
ajouter un nouveau groupe ayant les mêmes paramètres que le groupe
sélectionné. Un suffixe est ajouté au nouveau nom de groupe pour le
distinguer du groupe d'origine.
Onglet Publication La fonctionnalité de publication conditionnelle BGP vous permet de

conditionnelle contrôler l'itinéraire à publier au cas où un itinéraire différent ne serait
pas disponible dans la table de routage local (LocRIB) et indiquerait un
échec de partage de réseau ou d'accessibilité. Cette fonctionnalité est utile
dans les cas où vous souhaitez forcer des itinéraires vers un AS en
direction d'un autre. Par exemple : lorsque vous disposez de liaisons vers
Internet passant par plusieurs ISP et que vous voulez que le trafic soit
routé vers un fournisseur à la place d'un autre, à moins qu'il n'y ait une
perte de connectivité avec le fournisseur préféré. Grâce à la publication
conditionnelle, vous pouvez configurer un filtre inexistant qui
correspond au préfixe de l'itinéraire préféré. Si un itinéraire
correspondant à un filtre inexistant est introuvable dans la table de
routage BGP local, alors ce n'est qu'à ce moment-là que le périphérique
autorisera la publication de l'itinéraire alternatif (l'itinéraire vers l'autre
fournisseur non préféré) comme indiqué dans son filtre de publication.
Pour configurer une publication conditionnelle, cliquez sur l'onglet Publ.
conditionnelle, puis sur Ajouter. Le descriptif ci-dessous explique
comment configurer des valeurs dans les champs.
Politique Indiquez le nom de la politique pour cette règle de publication
conditionnelle.
Activer Cochez cette case pour activer la publication conditionnelle BGP.
Utilisé par Cliquez sur Ajouter et sélectionnez les groupes d'homologues qui vont
utiliser cette politique de publication conditionnelle.


Champ Description
Sous-onglet Filtres Cet onglet permet de spécifier le(s) préfixe(s) de l'itinéraire préféré. Il
inexistants indique l'itinéraire que vous voulez publier, s'il est disponible dans la
table de routage BGP local. Si la publication d'un préfixe est prévue et
qu'il correspond à un filtre inexistant, la publication va être supprimée.
Cliquez sur Ajouter pour créer un filtre inexistant.
• Filtres inexistants - Donnez un nom à un filtre pour l'identifier.
• Activer - Sélectionnez cette option pour activer un filtre.
• Expression régulière du chemin AS - Indiquez une expression
régulière pour le filtrage des chemins AS.
• Expression régulière de la communauté - Indiquez une expression
• Expression régulière de la communauté étendue - Indiquez une
étendue.
• MED - Indiquez une valeur MED pour le filtrage des itinéraires.
• Préfixe d'adresse - Cliquez sur Ajouter, puis indiquez le préfixe NLRI
exact pour l'itinéraire préféré.
• Saut suivant - Indiquez les routeurs ou les sous-réseaux du saut suivant
• De l'homologue - Indiquez les routeurs d'homologues pour le filtrage
des itinéraires.
Sous-onglet Filtres de Cet onglet permet de spécifier le(s) préfixe(s) de l'itinéraire dans la table
publication de routage RIB local devant être publiés au cas où un itinéraire du filtre
inexistant serait indisponible dans la table de routage local.
Si la publication d'un préfixe est prévue et qu'il ne correspond pas à un
filtre inexistant, la publication aura lieu.
Cliquez sur Ajouter pour créer un filtre de publication.
• Filtres de publication - Donnez un nom à un filtre pour l'identifier.
• Activer - Sélectionnez cette option pour activer un filtre.
• Expression régulière du chemin AS - Indiquez une expression
régulière pour le filtrage des chemins AS.
• Expression régulière de la communauté - Indiquez une expression
• Expression régulière de la communauté étendue - Indiquez une
étendue.
• MED - Indiquez une valeur MED pour le filtrage des itinéraires.
• Préfixe d'adresse - Cliquez sur Ajouter, puis indiquez le préfixe NLRI
exact de l'itinéraire à publier si l'itinéraire préféré est indisponible.
• Saut suivant - Indiquez les routeurs ou les sous-réseaux du saut suivant
• De l'homologue - Indiquez les routeurs d'homologues pour le filtrage
des itinéraires.


Champ Description
Onglet Agrégation
Filtres d'agrégation Pour ajouter une nouvelle règle, cliquez sur Ajouter pour afficher les
paramètres. Configurez les paramètres dans les sous-onglets Filtres de
suppression, Filtres de publication et Agréger les attributs d'itinéraires et
cliquez sur Terminé pour ajouter une règle à la liste d'adresses. Les
paramètres sont décrits dans le tableau ci-dessus pour les onglets Règles
d'importation et Règles d'exportation.
Cliquez sur l'icône pour supprimer une règle.
Onglet Règles de
redistribution
Autoriser la redistribution Cochez cette case pour autoriser le pare-feu à redistribuer son itinéraire par
des itinéraires par défaut défaut vers des homologues BGP.
Règles de redistribution Pour ajouter une nouvelle règle, cliquez sur Ajouter, configurez les
paramètres et cliquez sur Terminé. Les paramètres sont décrits dans le
tableau ci-dessus pour les onglets Règles d'importation et Règles
d'exportation.
Cliquez sur l'icône pour supprimer une règle.

Onglet Multicast
Définissez les paramètres de routage multicast dans le tableau suivant.
Tableau 70. Paramètres d'un routeur virtuel - Onglet Multicast

Champ Description
Activer Cochez cette case pour activer le routage multicast.
Sous-onglet Point de
rendez-vous
Type de RP Sélectionnez le type de point de rendez-vous (RP) qui va s'exécuter sur ce
routeur virtuel. Un RP statique doit être explicitement configuré sur
d'autres routeurs PIM, alors qu'un RP candidat est automatiquement élu.
• Aucun - Indiquez si aucun RP n'est en cours d'exécution sur ce routeur
virtuel.
• Statique - Indiquez une adresse IP statique pour le RP et sélectionnez
des options pour Interface du RP et Adresse du RP dans les listes
déroulantes. Cochez la case Écraser le RP appris pour le même groupe
si vous voulez utiliser le RP spécifié au lieu du RP élu pour ce groupe.
• Candidat - Indiquez les informations suivantes pour le RP candidat en
cours d'exécution sur ce routeur virtuel :
– Interface du RP - Sélectionnez une interface pour le RP. Les types
d'interfaces valides incluent une interface en boucle, C3, VLAN,
Ethernet agrégée et de tunnel.
– Adresse du RP - Sélectionnez une adresse IP pour le RP.
– Priorité - Indiquez une priorité pour les messages RP candidats
(valeur par défaut : 192).
– Intervalle de publication - Indiquez un intervalle entre les
publications de messages RP candidats.
• Liste de groupes - Si vous sélectionnez Statique ou Candidat, cliquez
sur Ajouter pour spécifier une liste de groupes pour lesquels ce RP
candidat propose d'être le RP.
Point de rendez-vous Cliquez sur Ajouter et indiquez les éléments suivants :
distant • Adresse IP - Indiquez une adresse IP pour le RP.
• Écraser le RP appris pour le même groupe - Cochez cette case pour
utiliser le RP spécifié au lieu du RP élu pour ce groupe.
• Groupe - Indiquez une liste de groupes pour lesquels l'adresse spécifiée
va servir de RP.
Sous-onglet
Interfaces
Nom Saisissez un nom pour identifier un groupe d'interfaces.
Description Saisissez une description (facultatif).
Interface Cliquez sur Ajouter pour spécifier une ou plusieurs interfaces de pare-feu.
Autorisations du groupe Indiquez des règles générales pour le trafic multicast :
• N'importe quelle source - Cliquez sur Ajouter pour spécifier une liste
de groupes multicast pour lesquels le trafic PIM-SM est autorisé.
• Spécifique à la source - Cliquez sur Ajouter pour spécifier une liste de
paires de groupes multicast et source multicast pour lesquels le trafic
PIM-SM est autorisé.

Tableau 70. Paramètres d'un routeur virtuel - Onglet Multicast (suite)

Champ Description
IGMP Indiquez des règles pour le trafic IGMP. IGMP doit être activé pour les
interfaces orientées hôte (routeur IGMP) ou pour les interfaces hôtes du
proxy IGMP.
• Activer - Cochez cette case pour activer la configuration IGMP.
• Version IGMP - Sélectionnez la version 1, 2 ou 3 à exécuter sur
l'interface.
• Appliquer l'option IP d'alerte du routeur - Cochez cette case pour
exiger l'utilisation de l'option IP d'alerte du routeur avec IGMPv2 ou
IGMPv3. Cette option doit être désactivée pour être compatible avec
IGMPv1.
• Robustesse - Sélectionnez un entier pour indiquer la perte de paquets
sur un réseau (intervalle compris entre 1 et 7, valeur par défaut : 2). Si la
perte de paquets est chose courante, sélectionnez une valeur supérieure.
• Sources max. - Indiquez le nombre maximum d'appartenances propres
à la source autorisées sur cette interface (0 = illimité).
• Groupes max. - Indiquez le nombre maximum de groupes autorisés sur
cette interface.
• Configuration d'une requête - Spécifiez les options suivantes :
– Intervalle de requête Indiquez l'intervalle au cours duquel des
requêtes générales sont envoyées à tous les hôtes.
– Délai max. de réponse aux requêtes - Indiquez le délai maximum
écoulé entre une requête générale et la réponse d'un hôte.
– Dernier intervalle de requête d'un membre - Indiquez l'intervalle
entre les messages de requête d'un groupe ou spécifiques à la source
(y compris ceux envoyés en réponse à des messages d'abandon de
groupe).
– Quitter immédiatement - Cochez cette case pour quitter le groupe
immédiatement lors de la réception d'un message d'abandon.
Configuration PIM Spécifiez les paramètres PIM (Protocol Independent Multicast) suivants :
• Activer - Cochez cette case pur autoriser cette interface à recevoir et/ou
à transférer des messages PIM.
• Intervalle d'affirmation - Indiquez l'intervalle entre les messages
d'affirmation PIM.
• Intervalle Hello - Indiquez l'intervalle entre les messages Hello PIM.
• Intervalle de jointure/élagage - Indiquez l'intervalle entre les messages
de jointure et d'élagage PIM (en secondes). La valeur par défaut est 60.
• Priorité du DR - Indiquez la priorité du routeur désigné pour cette
interface.
• Bordure BSR - Cochez cette case pour utiliser l'interface en tant que
bordure bootstrap.
• Voisins PIM - Cliquez sur Ajouter pour spécifier la liste de voisins qui
vont communiquer entre eux à l'aide de PIM.

Serveur et relais DHCP
Tableau 70. Paramètres d'un routeur virtuel - Onglet Multicast (suite)

Champ Description
Sous-onglet Seuil SPT
Nom Le seuil SPT (Shortest Path Tree) définit le taux de débit (en Kbits/s)
auquel le routage multicast va basculer d'une distribution en
arborescence partagée (issue du point de rendez-vous) à une distribution
en arborescence source.
Cliquez sur Ajouter et indiquez les paramètres SPT suivants :
• Préfixe du groupe multicast - Indiquez l'adresse/préfixe IP multicast
pour laquelle/lequel le SPT va basculer vers une distribution en
arborescence source lorsque le débit atteint le seuil souhaité (Kbits/s).
• Seuil - Indiquez le débit auquel la distribution en arborescence partagée
va basculer vers une distribution en arborescence source.
Sous-onglet Espace
d'adresses spécifique
à la source
Nom Définit les groupes multicast pour lesquels le pare-feu va fournir des
services SSM (Source-Specific Multicast).
Cliquez sur Ajouter et indiquez les paramètres suivants pour des
adresses spécifiques à la source :
• Nom - Donnez un nom à ce groupe de paramètres pour l'identifier.
• Groupe - Indiquez des groupes pour l'espace d'adresses SSM.
• Inclus - Cochez cette case pour inclure les groupes spécifiés dans
l'espace d'adresses SSM.
Affichage des statistiques d'exécution pour les routeurs virtuels

Réseau > Routeurs virtuels
Les statistiques d'exécution détaillées sont disponibles pour le routeur virtuel et les protocoles
de routage dynamiques dans la page Routeurs virtuels. Dans la colonne Statistiques
d'exécution, cliquez sur le lien Statistiques d'exécution supplémentaires pour ouvrir une
nouvelle fenêtre contenant la table de routage, ainsi que des détails spécifiques au protocole
de routage. Pour une vue d'ensemble des routeurs virtuels, consultez la section « Routeurs
virtuels et protocoles de routage » à la page 162.

Réseau > DHCP
Le pare-feu prend en charge la sélection de serveurs DHCP ou de relais DHCP pour

l'attribution d'adresses IP sur les interfaces de couche 3 et VLAN. Plusieurs serveurs DHCP
sont pris en charge. Les demandes des clients peuvent être transmises à tous les serveurs, avec
un renvoi au client de la première réponse du serveur.
L'attribution DHCP fonctionne également dans un VPN IPSec, permettant ainsi aux clients de
recevoir une attribution d'adresse IP à partir d'un serveur DHCP au niveau de l'extrémité
distante d'un tunnel IPSec. Pour plus d'informations sur les tunnels VPN IPSec, consultez la
section « Rapports et journaux » à la page 273.

Les paramètres varient selon que vous sélectionnez le type Serveur DHCP ou Relais DHCP.
Tableau 71. Paramètres DHCP

Champ Description
Onglet Serveur DHCP
Interface Sélectionnez l'interface de pare-feu.
Mode Indiquez si les paramètres de cette page sont activés, désactivés ou
déterminés automatiquement.
Envoyer un ping à Cochez cette case pour envoyer un message ping au moment de
l'adresse IP pour l'attribution d'une nouvelle adresse IP.
l'attribution d'une
nouvelle adresse IP
Bail Sélectionnez Illimité ou Délai d'expiration et indiquez une limite dans
l'intervalle du bail DHCP. Vous pouvez saisir des jours, des heures ou des
minutes. Par exemple, si vous saisissez uniquement des heures, alors la
durée du bail se limite à ce nombre d'heures.
Source de l'héritage Sélectionnez une source pour propager plusieurs paramètres du serveur
entre une interface client DHCP ou PPPoE et le serveur DHCP. Après
avoir spécifié une source d'héritage, sélectionnez les champs de votre
choix dans la configuration du serveur DHCP et définissez Hérité pour
hériter des valeurs du serveur DHCP. Par exemple, vous pouvez hériter
des valeurs DNS, WINS, NIS, NTP.
DNS principal Saisissez l'adresse IP des serveurs DNS (Domain Name System) préférés
DNS secondaire et alternatifs. L'adresse du serveur alternatif est facultative.
WINS principal Saisissez l'adresse IP des serveurs WINS (Windows Internet Naming
WINS secondaire Service) préférés et alternatifs. L'adresse du serveur alternatif est
facultative.
NIS principal Saisissez l'adresse IP des serveurs NIS (Network Information Service)
NIS secondaire préférés et alternatifs. L'adresse du serveur alternatif est facultative.
NTP principal Saisissez l'adresse IP des serveurs NTP (Network Time Protocol) préférés
NTP secondaire et alternatifs. L'adresse du serveur alternatif est facultative.
Passerelle Saisissez l'adresse IP de la passerelle réseau permettant d'accéder aux

serveurs DHCP.
Serveur POP3 Saisissez l'adresse IP du serveur POP3 (Post Office Protocol).
Serveur SMTP Saisissez l'adresse IP du serveur SMTP (Simple Mail Transfer Protocol).
Suffixe DNS Saisissez un suffixe que le client pourra utiliser localement lors de la saisie
d'un nom d'hôte non qualifié irrésoluble.
Pools IP Indiquez l'intervalle d'adresses IP auquel cette configuration DHCP
s'applique et cliquez sur Ajouter. Vous pouvez saisir un sous-réseau IP et
un masque de sous-réseau (par exemple : 192.168.1.0/24) ou un intervalle
d'adresses IP (par exemple : 192.168.1.10 - 192.168.1.20). Ajoutez plusieurs
entrées afin de spécifier plusieurs pools d'adresses IP.
Pour modifier une entrée existante, cliquez sur Éditer, apportez des
modifications et cliquez sur Terminé. Pour supprimer une entrée, cliquez
sur Supprimer.
Remarque : Si vous laissez cette zone vide, les intervalles d'adresses IP ne
seront soumis à aucune restriction.

Proxy DNS
Tableau 71. Paramètres DHCP (suite)

Champ Description
Adresse réservée Indiquez l'adresse IP (au format x.x.x.x) ou l'adresse MAC (au format
xx:xx:xx:xx:xx:xx) d'un périphérique à exclure de l'attribution d'adresses
DHCP.
Pour modifier une entrée existante, cliquez sur Éditer, apportez des
modifications et cliquez sur Terminé. Pour supprimer une entrée, cliquez
sur Supprimer.
Remarque : Si vous laissez cette zone vide, alors aucune adresse IP ne sera
réservée.
Onglet Relais DHCP

Interface Sélectionnez l'interface de pare-feu.
IPv4 Cochez la case IPv4 afin d'utiliser des adresses IPv4 pour un relais DHCP
et spécifiez des adresses IPv4 pour un maximum de quatre serveurs
DHCP.
IPv6 Cochez la case IPv6 afin d'utiliser des adresses IPv6 pour un relais DHCP
et spécifiez des adresses IPv6 pour un maximum de quatre serveurs
DHCP. Indiquez une interface sortante si vous utilisez une adresse
multicast IPv6 pour votre serveur.
Proxy DNS
Réseau > Proxy DNS
Pour toutes les requêtes DNS orientées vers une adresse IP de l'interface, le pare-feu prend en
charge l'orientation sélective des requêtes vers différents serveurs DNS en fonction de noms
de domaines complets ou partiels. Les requêtes DNS TCP ou UDP sont envoyées via
l'interface configurée. Les requêtes UDP basculent vers TCP lorsque la réponse d'une requête
DNS est trop longue pour un seul paquet UDP.
Si le nom de domaine est introuvable dans le cache du proxy DNS, une correspondance de ce
nom de domaine est recherchée en fonction de la configuration des entrées dans l'objet proxy
DNS spécifique (sur l'interface sur laquelle une requête DNS est arrivée) et transmise vers un
serveur de noms en fonction des résultats correspondants. Si aucune correspondance n'est
trouvée, les serveurs de noms par défaut sont utilisés. Les entrées statiques et la mise en cache
sont également prises en charge.
Tableau 72. Paramètres d'un proxy DNS

Champ Description
Nom Saisissez un nom pour identifier un proxy DNS (31 caractères maximum).
Activer Cochez cette case pour activer un proxy DNS.
Source de l'héritage Sélectionnez une source pour hériter des paramètres du serveur DNS par
défaut. Cette méthode est couramment utilisée dans les déploiements de
bureaux de filiales dans lesquels l'interface WAN du pare-feu est prise en
charge par DHCP ou PPPoE.

Proxy DNS
Tableau 72. Paramètres d'un proxy DNS (suite)

Champ Description
Principal Indiquez les adresses IP des serveurs DNS principaux et secondaires par
Secondaire défaut. Si le serveur DNS principal est introuvable, le serveur DNS
secondaire sera utilisé.
Vérifier la source de Cliquez sur le lien pour afficher les paramètres d'un serveur qui sont
l'héritage actuellement assignés aux interfaces client DHCP et PPPoE. Ces
paramètres peuvent inclure DNS, WINS, NTP, POP3, SMTP ou un suffixe
DNS.
Interface Cochez la case Interface pour spécifier les interfaces du pare-feu devant
prendre en charge les règles du proxy DNS. Sélectionnez une interface
dans la liste déroulante et cliquez sur Ajouter. Vous pouvez ajouter
plusieurs interfaces. Pour supprimer une interface, sélectionnez-la et
Règles du proxy DNS Identifiez les règles du serveur proxy DNS. Cliquez sur Ajouter et
indiquez les informations suivantes :
• Nom - Un nom est obligatoire afin qu'une entrée statique puisse être
référencée et modifiée via l'interface CLI.
• Activer la mise en cache des domaines résolus par ce mappage -
Cochez cette case pour activer la mise en cache des domaines résolus
par ce mappage.
• Nom de domaine - Cliquez sur Ajouter et saisissez le nom de domaine
du serveur proxy. Répétez ces différentes étapes pour ajouter des noms
supplémentaires. Pour supprimer un nom, sélectionnez-le et cliquez sur
Supprimer. Pour une règle de proxy DNS, le nombre de jetons figurant
dans une chaîne de caractères génériques doit correspondre au nombre
de jetons figurant dans le domaine demandé. Par exemple, «
*.engineering.local » est différent de « engineering.local ». Ces deux
chaînes doivent être spécifiées.
• Principal/Secondaire - Saisissez le nom d'hôte ou les adresses IP des
serveurs DNS principaux et secondaires.
Entrées statiques Identifiez les serveurs DNS. Cliquez sur Ajouter et indiquez les
informations suivantes :
• Nom - Un nom est obligatoire afin qu'une entrée statique puisse être
référencée et modifiée via l'interface CLI.
• FQDN - Saisissez le nom FQDN (Fully Qualified Domain Name) d'un
serveur DNS.
• Adresse - Cliquez sur Ajouter et saisissez les adresses IP qui vont être
renvoyées lors de la réception de requêtes DNS pour le FQDN indiqué
ci-dessus.

Profils réseaux
Tableau 72. Paramètres d'un proxy DNS (suite)

Champ Description
Avancé Indiquez les informations suivantes :
• Cache - Cochez cette case pour activer la mise en cache DNS et indiquez
les informations suivantes :
– Taille - Indiquez le nombre d'entrées que le cache pourra contenir
(intervalle compris entre 1 024 et 10 240, valeur par défaut : 1 024).
– Délai d'expiration - Indiquez la durée (en heures) au bout de
laquelle toutes les entrées mises en cache vont être supprimées. Des
valeurs TTL (Time-To-Live) DNS permettent de supprimer des
entrées mises en cache lorsque leur durée de stockage est inférieure à
la période d'expiration configurée. Une fois cette période écoulée, de
nouvelles demandes doivent être résolues et remises en cache
(intervalle compris entre 4 et 24, valeur par défaut : 4 heures).
• Requêtes TCP - Cochez cette case pour activer des requêtes DNS à
l'aide de TCP et indiquez les informations suivantes :
– Nombre max. de demandes en attente - Indiquez la limite
supérieure du nombre de demandes DNS TCP en attente simultanées
que le pare-feu va prendre en charge (intervalle compris entre 64 et
256, valeur par défaut : 64).
• Relances des requêtes UDP - Indiquez des paramètres pour des
relances de requêtes UDP :
– Intervalle - Indiquez le délai en secondes au bout duquel une autre
demande est envoyée en l'absence de réponse (intervalle compris
entre 1 et 30, valeur par défaut : 2 secondes).
– Tentatives - Indiquez le nombre maximum de tentatives (hormis la
première) après lesquelles des tentatives seront effectuées avec le
serveur DNS suivant (intervalle compris entre 1 et 30, valeur par
défaut : 5).
Profils réseaux
Les profils réseaux capturent des informations de configuration que le pare-feu peut utiliser
pour établir des connexions réseaux et implémenter des politiques. Les types de profils
réseaux suivants sont pris en charge :
• Passerelles IKE, Profils crypto IPSec et Profils crypto IKE - Ces profils prennent en
charge la configuration et le fonctionnement des VPN IPSec. Pour plus d'informations sur
les types de profils suivants, consultez la section « Rapports et journaux » à la page 273.
– Les passerelles IKE incluent des informations de configuration qui sont nécessaires
pour négocier le protocole IKE avec des passerelles homologues lors du paramétrage
des tunnels VPN IPSec.
– Les profils crypto IKE indiquent les protocoles et les algorithmes pour l'identification,
l'authentification et le cryptage de phase 1 dans les tunnels VPN.
– Les profils crypto IPSec indiquent les protocoles et les algorithmes pour
l'identification, l'authentification et le cryptage de phase 2 dans les tunnels VPN.

Profils réseaux
• Profils de surveillance - Ces profils permettent de surveiller des tunnels IPSec et le

périphérique du saut suivant dans le cadre d'une politique basée sur des règles de
transfert (PBF). Dans les deux cas, le profil de surveillance permet de spécifier une action
à appliquer lorsqu'une ressource (tunnel IPSec ou périphérique d'un saut suivant) devient
indisponible. Consultez la section « Paramètres de surveillance » à la page 190.
• Profils de gestion des interfaces - Ces profils indiquent les protocoles pouvant être
utilisés pour gérer le pare-feu des interfaces de couche 3, y compris les interfaces VLAN et
en boucle. Consultez la section « Définition des profils de gestion de l'interface » à la
page 189.
• Profils de protection de zone - Ces profils déterminent la manière dont le pare-feu

répond aux attaques des zones de sécurité individuelles. Consultez la section
« Définitions des profils de protection de zone » à la page 191. Les types de protection
suivants sont pris en charge :
– Protection contre la saturation - Protège des attaques de saturation SYN, ICMP, UDP
et autres basées sur des adresses IP.
– Détection de la reconnaissance - Permet de détecter et de bloquer des analyses de

ports couramment utilisés et des balayages d'adresses IP exécutés par des pirates afin
d'identifier les cibles d'éventuelles attaques.
– Protection contre les attaques basées sur des paquets - Protège des attaques contre
des paquets ICMP volumineux et des fragments ICMP, ainsi que de plusieurs attaques
au niveau du protocole TCP et des adresses IP. Le comportement non-SYN-TCP par
zone peut également être spécifié.
– Profils de QoS - Ces profils déterminent la méthode de traitement des classes du trafic
QoS. Vous pouvez définir des limites globales de bande passante, quelle que soit la
classe, mais aussi définir des limites pour des classes individuelles. Vous pouvez aussi
assigner des priorités à différentes classes. Les priorités déterminent la méthode de
traitement du trafic dans le cas d'une congestion. Consultez la section « Définition des
profils de QoS » à la page 390.

Profils réseaux
Définition des profils de gestion de l'interface

Réseau > Profils réseaux > Gestion de l'interface
Cette page permet de spécifier les protocoles utilisés pour gérer le pare-feu. Pour assigner des
profils de gestion à chaque interface, consultez les sections « Configuration des interfaces de
couche 3 » à la page 136 et « Configuration des sous-interfaces de couche 3 » à la page 141.
Pour une vue d'ensemble des interfaces de pare-feu, consultez la section « Interfaces du pare-
Tableau 73. Paramètres du profil de gestion d'une interface

Champ Description
Nom Saisissez un nom de profil (31 caractères maximum). Ce nom apparaît
dans la liste des profils de gestion d'une interface lors de la configuration
d'interfaces. Ce nom est sensible à la casse et doit être unique. Vous
Ping Cochez cette case pour activer chaque service sur les interfaces dans
Telnet lesquelles le profil est appliqué.
SSH
HTTP
La case Pages de réponses contrôle si les ports utilisés pour servir le
HTTPS
portail captif et l'URL filtrant les pages de réponses sont ouverts sur les
SNMP interfaces de couche 3. Les ports 6 080 et 6 081 restent ouverts si ce
Pages de réponse paramètre est activé.
Service User-ID L'option Service User-ID est obligatoire pour autoriser la communication
entre les pare-feux lorsque l'un d'entre eux sert de point de redistribution
pour fournir des informations de mappage des utilisateurs aux autres
pare-feux PAN-OS. Consultez la section « Agent d'ID utilisateur » à la
page 307.
Adresses IP autorisées Saisissez la liste d'adresses IPv4 ou IPv6 dans lesquelles la gestion de
pare-feux est autorisée.

Profils réseaux
Définition des profils de surveillance

Réseau > Profils réseaux > Surveillance
Un profil de surveillance permet de surveiller des tunnels IPSec et le périphérique du saut

suivant dans le cadre d'une politique basée sur des règles de transfert (PBF). Dans les deux
cas, le profil de surveillance permet de spécifier une action à appliquer lorsqu'une ressource
(tunnel IPSec ou périphérique d'un saut suivant) devient indisponible. Les profils de
surveillance sont facultatifs, mais peuvent être très utiles pour maintenir la connectivité entre
des sites et s'assurer que les règles PBF sont également maintenues.
Après avoir créé un profil de surveillance, vous pouvez l'appliquer à un profil de tunnel IPSec
dans l'onglet Général, puis en cochant la case Afficher les options avancées, cochez la case
Moniteur de tunnels et sélectionnez le profil de votre choix dans la liste déroulante. Dans une
règle PBF, cliquez sur l'onglet Transfert, cochez la case Surveiller, puis sélectionnez le profil
souhaité dans la liste déroulante.
Dans l'exemple d'un tunnel IPSec, le pare-feu surveille l'adresse IP spécifiée via le tunnel pour
déterminer si le tunnel fonctionne correctement selon le profil de surveillance défini. Si
l'adresse IP du moniteur de tunnel est inaccessible, une action sera prise selon les paramètres
que vous aurez choisis et qui auront été définis dans la section « Paramètres de surveillance »
à la page 190.
Pour les profils de surveillance utilisés dans une règle PBF, une adresse IP distante est
surveillée. Si cette adresse devient indisponible, l'une des actions suivantes est appliquée.
• Si l'action est « Attente de récupération », des paquets continuent à être envoyés
conformément à la règle PFB.
• Si l'action est « Basculement », le pare-feu utilise la recherche de table de routage afin de

déterminer le routage à appliquer pendant toute la durée de cette session.
Tableau 74. Paramètres de surveillance

Champ Description
Nom Saisissez un nom pour identifier le profil de surveillance (31 caractères
maximum). Ce nom est sensible à la casse et doit être unique. Vous
Action Indiquez une action à appliquer en cas d'indisponibilité du tunnel. Si le
seuil du nombre de pulsations est perdu, le pare-feu applique l'action
spécifiée.
• Attente de récupération - Attendez que le tunnel récupère ; n'appliquez
aucune action supplémentaire. Les paquets vont continuer à être
envoyés conformément à la règle PBF.
• Basculement - Le trafic va basculer vers un chemin de secours, à
condition qu'il soit disponible. Le pare-feu utilise la recherche de tables
de routage afin de déterminer le routage à appliquer pendant toute la
durée de cette session.
Dans les deux cas, le pare-feu essaie de négocier de nouvelles clés IPSec
afin d'accélérer la récupération.
Intervalle Indiquez un délai entre les pulsations (intervalle compris entre 2 et 10,
Seuil Indiquez le nombre de pulsations devant être perdues avant que le pare-
feu n'applique l'action spécifiée (intervalle compris entre 2 et 100, valeur
par défaut : 5).

Profils réseaux
Définitions des profils de protection de zone

Réseau > Profils réseaux > Protection de zone
Cette page permet de déterminer la manière dont le pare-feu répond à des attaques issues de
zones de sécurité spécifiées. Un même profil peut être attribué à plusieurs zones. Pour une
vue d'ensemble des zones de sécurité, consultez la section « Zones de sécurité » à la page 160.
La protection contre la saturation s'applique aux paquets n'appartenant pas à une session
existante.
Remarque : Lors de la définition de limites de seuils en paquets par seconde (pps)

pour les profils de protection de zone, le seuil se base sur des paquets par seconde
qui ne correspondent pas à une session précédemment établie.
Tableau 75. Paramètres d'un profil de protection de zone

Champ Description
Nom Saisissez un nom de profil (31 caractères maximum). Ce nom apparaît
dans la liste des profils de protection de zone lors de la configuration des
zones. Ce nom est sensible à la casse et doit être unique. Vous pouvez
uniquement utiliser des lettres, des nombres, des espaces et des caractères
de soulignement.
Description Saisissez une description du profil de protection de zone (facultatif).
Seuils de protection contre la saturation - Saturation SYN

Action Sélectionnez l'action à appliquer en réponse à une attaque par saturation
SYN.
• Random Early Drop (RED) - Supprime des paquets SYN afin
d'atténuer une attaque par saturation :
– Lorsque le flux dépasse le seuil du taux d'alerte, une alarme est
générée.
– Lorsque le flux dépasse le seuil du taux d'activation, des paquets
SYN individuels sont supprimés de façon aléatoire afin de
restreindre le flux.
– Lorsque le flux dépasse le seuil du taux maximal, tous les paquets
sont supprimés.
• Cookies SYN - Calcule un numéro de séquence pour des paquets SYN-
ACK qui n'exigent pas le stockage en mémoire des connexions en
attente. Cette méthode est recommandée.
Alerte (paquets/s) Saisissez le nombre de paquets SYN reçus par la zone (en une seconde)
déclenchant une alarme contre les attaques. Ces alarmes peuvent être
consultées sur le tableau de bord (voir « Utilisation du tableau de bord » à
la page 274) et dans le journal des menaces (voir « Identification des
applications inconnues et prise de mesures » à la page 300).
Activer (paquets/s) Saisissez le nombre de paquets SYN reçus par la zone (en une seconde)
déclenchant l'action spécifiée.
Maximum (paquets/s) Saisissez le nombre maximum de paquets SYN pouvant être reçus par
seconde. Toute valeur dépassant la valeur maximale sera supprimée.

Profils réseaux
Tableau 75. Paramètres d'un profil de protection de zone (suite)

Champ Description
Seuils de protection contre la saturation - Saturation ICMP
Alerte (paquets/s) Saisissez le nombre de demandes d'écho ICMP (pings) reçues par seconde
déclenchant une alarme contre les attaques.
Activer (paquets/s) Saisissez le nombre de paquets ICMP reçus par la zone (en une seconde)
entraînant la suppression des paquets ICMP suivants.
Maximum (paquets/s) Saisissez le nombre maximum de paquets ICMP pouvant être reçus par
Seuils de protection contre la saturation - ICMPv6

Alerte (paquets/s) Saisissez le nombre de demandes d'écho ICMPv6 (pings) reçues par
seconde déclenchant une alarme contre les attaques.
Activer (paquets/s) Saisissez le nombre de paquets ICMPv6 reçus dans la zone par seconde
entraînant la suppression des paquets ICMPv6 suivants. Le comptage
s'arrête lorsque le nombre de paquets ICMPv6 passe en-dessous du seuil.
Maximum (paquets/s) Saisissez le nombre maximum de paquets ICMPv6 pouvant être reçus par
Seuils de protection contre la saturation - UDP

Alerte (paquets/s) Saisissez le nombre de paquets UDP reçus par la zone (en une seconde)
Alerte (paquets/s) Saisissez le nombre de paquets UDP reçus par la zone (en une seconde)
déclenchant une suppression aléatoire de paquets UDP. La réponse est
désactivée lorsque le nombre de paquets UDP passe en-dessous du seuil.
Maximum (paquets/s) Saisissez le nombre maximum de paquets UDP pouvant être reçus par
Seuils de protection contre la saturation - Autre IP

Alerte (paquets/s) Saisissez le nombre de paquets IP reçus par la zone (en une seconde)
Activer (paquets/s) Saisissez le nombre de paquets IP reçus par la zone (en une seconde)
déclenchant une suppression aléatoire de paquets IP. La réponse est
désactivée lorsque le nombre de paquets IP passe en-dessous du seuil.
Toute valeur dépassant la valeur maximale sera supprimée.
Maximum (paquets/s) Saisissez le nombre maximum de paquets IP pouvant être reçus par

Profils réseaux

Champ Description
Protection de la reconnaissance - Balayage de ports TCP, balayage de ports UDP,
balayage d'hôtes
Intervalle (s) Saisissez l'intervalle de temps pour la détection d'analyses de ports et de
balayages d'hôtes (en secondes).
Seuil (événements) Saisissez le nombre de ports analysés pendant l'intervalle de temps
spécifié qui va déclencher ce type de protection (événements).
Action Saisissez l'action que le système va appliquer en réponse à ce type
d'événement :
• Autoriser - Autorise la reconnaissance par l'analyse de ports ou le
balayage d'hôtes.
• Alerter- Génère une alerte pour chaque analyse ou balayage
correspondant au seuil et dans l'intervalle de temps spécifié.
• Bloquer - Supprime tous les autres paquets entre la source et la
destination pendant l'intervalle de temps restant spécifié.
• Bloquer IP - Supprime tous les autres paquets pendant une durée
spécifiée. Indiquez si vous souhaitez bloquer le trafic source, le trafic de
destination ou le trafic source et de destination et indiquez une durée
(en secondes).
Suppression de paquets IPv6 avec

En-tête de routeur de Cochez cette case pour supprimer des paquets IPv6 incluant un en-tête de
type 0 routeur de type 0.
Adresse compatible IPv4 Cochez cette case pour supprimer des paquets IPv6 incluant une adresse
compatible avec IPv4.
Adresse source multicast Cochez cette case pour supprimer des paquets IPv6 incluant une adresse
source multicast.
Adresse source anycast Cochez cette case pour supprimer des paquets IPv6 incluant une adresse
source anycast.
Protection contre les attaques basées sur des paquets

Sous-onglet
Supprimer TCP/IP
Adresse IP usurpée Cochez cette case pour activer la protection contre l'usurpation d'adresses IP.
Trafic fragmenté Supprime des paquets d'IP fragmentés.
Segment TCP superposé Supprime des paquets dont les segments TCP superposés sont différents.
différent
Rejeter le protocole TCP Détermine si un paquet doit être rejeté ou pas, à condition que le premier
non-SYN paquet pour la configuration d'une session TCP ne soit pas un paquet SYN :
• global - Utilisez un paramètre système qui est attribué via l'interface CLI.
• oui - Rejetez le protocole TCP non-SYN.
• non - Acceptez le protocole TCP non-SYN.

Profils réseaux

Champ Description
Chemin asymétrique Détermine si des paquets contenant des ACK asynchronisés ou des
numéros de séquence hors de la fenêtre doivent être supprimés ou
ignorés :
• global - Utilisez un paramètre système qui est attribué via l'interface
CLI.
• supprimer - Supprimez des paquets contenant un chemin asymétrique.
• ignorer - Ignorez l'analyse de paquets contenant un chemin
asymétrique.
Supprimer l'option IP
Routage source strict Supprime des paquets dans lesquels l'option IP de routage source strict
est définie.
Routage source vague Supprime des paquets dans lesquels l'option IP de routage source vague
est définie.
Horodatage Supprime des paquets dans lesquels l'option IP Horodatage est définie.
Itinéraire Supprime des paquets dans lesquels l'option IP de l'itinéraire
d'enregistrement d'enregistrement est définie.
Sécurité Supprime des paquets, à condition que l'option de sécurité soit définie.
ID du flux Supprime des paquets, à condition que l'option ID du flux soit définie.
Inconnu Supprime des paquets, à condition que la classe et le numéro soient
inconnus.
Incorrect Supprime des paquets, à condition que leurs combinaisons de classes, de
nombres et de longueurs basés sur RFC 791, 1108, 1393 et 2113 soient
incorrectes.
Sous-onglet
Supprimer ICMP
ID ping ICMP 0 Supprime des paquets, à condition que le paquet de pings ICMP affiche
une valeur d'identifiant égale à 0.
Fragment ICMP Supprime des paquets composés de fragments ICMP.
Paquet volumineux Supprime des paquets ICMP supérieurs à 1 024 octets.
ICMP (> 1 024)
Supprimer une erreur Arrête l'envoi de messages ICMP TTL arrivés à expiration.
d'expiration ICMP TTL
Supprimer la Arrête l'envoi de messages de fragmentation ICMP requis en réponse à
fragmentation ICMP des paquets qui dépassent la valeur MTU de l'interface et dont l'octet DF
requise (Do not Fragment) est défini. Ce paramètre va interférer avec le processus
PMTUD exécuté par les hôtes situés derrière le pare-feu.
Sous-onglet
Supprimer IPv6
En-tête de routage de Supprime les paquets dont l'en-tête de routage est de type 0.
type 0
Adresse compatible IPv4 Supprime les paquets dont les adresses sont compatibles avec IPv4.
Adresse source anycast Supprime les paquets dont l'adresse source est de type anycast.

Profils réseaux

Champ Description
En-tête de fragment Supprime les paquets dont l'en-tête de fragment est inutile.
inutile
MTU dans ICMPv6 Supprime les paquets dont la valeur MTU dans ICMPv6 (paquet trop
(paquet trop volumineux) est inférieure à 1 280 octets.
volumineux) inférieure à
1 280 octets
Extension saut par saut Supprime les paquets disposant d'un en-tête d'extension saut par saut.
Extension de routage Supprime les paquets disposant d'un en-tête d'extension de routage.
Extension de destination Supprime les paquets disposant d'un en-tête d'extension de destination.
Options IPv6 non Supprime les paquets dont les options IPv6 sont non valides dans l'en-tête
valides dans l'en-tête d'extension.
d'extension
Champ réservé non nul Supprime les paquets, à condition que le champ réservé affiche une
valeur non nulle.
Sous-onglet ICMPv6
ICMPv6 de destination Exige une correspondance explicite de la politique de sécurité pour les
inaccessible - Exiger la erreurs ICMPv6 de destination inaccessibles, même lorsqu'elles sont
correspondance explicite associées à une session existante.
de la règle de sécurité
ICMPv6 de paquet trop Exige une correspondance explicite de la politique de sécurité pour les
volumineux - Exiger la erreurs ICMPv6 de paquet trop volumineux, même lorsqu'elles sont
ICMPv6 de délai Exige une correspondance explicite de la politique de sécurité pour les
dépassé - Exiger la erreurs ICMPv6 de délai dépassé, même lorsqu'elles sont associées à une
correspondance explicite session existante.
ICMPv6 de problème de Exige une correspondance explicite de la politique de sécurité pour les
paramètre - Exiger la erreurs ICMPv6 de problème de paramètre, même lorsqu'elles sont
ICMPv6 de redirection - Exige une correspondance explicite de la politique de sécurité pour les
Exiger la messages ICMPv6 de redirection, même lorsqu'ils sont associés à une
correspondance explicite session existante.

Profils réseaux

Chapitre 5
Politiques et profils de sécurité
Ce chapitre décrit la configuration des politiques et profils de sécurité :
• « Politiques » dans la section suivante
• « Profils de sécurité » à la page 226
• « Autres objets de politiques » à la page 244
Politiques
Les politiques vous permettent de contrôler le fonctionnement du pare-feu en mettant des
règles en application et en automatisant des actions. Les types de politique suivants sont pris
en charge :
• Politiques de sécurité de base visant à bloquer ou autoriser une session réseau en fonction
de l'application, des zones et adresses source et de destination ou, en option, du service
(port et protocole). Les zones identifient les interfaces physiques ou logiques qui envoient
ou reçoivent le trafic. Reportez-vous à la section « Politiques de sécurité » à la page 201.
• Politiques de traduction des adresses réseau (Network Address Translation, NAT) visant
à traduire des adresses et des ports, en fonction des besoins. Reportez-vous à la section
« Politiques NAT » à la page 205.
• Politiques de transfert basé sur une politique visant à déterminer l'interface de sortie
utilisée à l'issue du traitement. Reportez-vous à la section « Politiques de transfert basé
sur une politique » à la page 215.
• Politiques de déchiffrement visant à déchiffrer le trafic pour les politiques de sécurité.

Chaque politique peut spécifier les catégories d'URL pour le trafic à déchiffrer. Le
déchiffrement SSH est utilisé pour identifier et contrôler la tunnellisation SSH en plus de
l'accès au shell SSH. Reportez-vous à la section « Politiques de déchiffrement » à la
page 218.
• Politiques de contrôle prioritaire visant à forcer les définitions d'applications fournies par
le pare-feu. Reportez-vous à la section « Politiques de contrôle prioritaire sur
l'application » à la page 221.
Palo Alto Networks Politiques et profils de sécurité • 197

Politiques
• Politiques de qualité du service (QoS) visant à déterminer comment le trafic est classé en
vue de son traitement lorsqu'il transite par une interface sur laquelle la QoS est activée.
Reportez-vous à la section « Définition des politiques de QoS » à la page 391.
• Politiques de portail captif visant à obtenir l'authentification des utilisateurs non

identifiés. Reportez-vous à la section « Politiques de portail captif » à la page 223.
• Politiques de déni de service (DoS) visant à protéger contre les attaques DoS et à prendre
des mesures de protection en cas de correspondance des règles. Reportez-vous à la
section « Politiques de protection DoS » à la page 224.
Remarque : Les politiques partagées transmises par Panorama apparaissent en

vert sur les pages de l'interface Web du pare-feu et ne peuvent être modifiées au
niveau du périphérique.
Directives de définition des politiques

Pour obtenir des directives générales en matière d'interaction avec l'interface dupare-feu,
reportez-vous à la section « Utilisation de l'interface Web du pare-feu » à la page 23. Les
directives spécifiques suivantes concernent les pages de l'onglet Politiques :
• Pour appliquer un filtre à la liste, faites votre choix parmi la liste déroulante Règles de
filtrage. Pour ajouter une valeur et définir un filtre, cliquez sur la flèche vers le bas pour
l'élément sélectionné et choisissez Filtre.
• Pour afficher les groupes d'applications, les filtres ou les informations sur les conteneurs
lors de la création ou de la consultation de politiques de sécurité, PBF ou QoS, placez la
souris sur l'objet dans la colonne Application, cliquez sur la flèche vers le bas et
sélectionnez Valeur. Ainsi, vous pouvez facilement accéder aux membres des applications
directement depuis la politique, sans passer par les onglets Objet.
• Pour ajouter une nouvelle règle de politique, procédez comme suit, au choix :
– Cliquez sur Ajouter en bas de la page.
– Sélectionnez une règle sur laquelle baser la nouvelle et cliquez sur Cloner, ou
sélectionnez une règle en cliquant sur l'espace blanc et sélectionnez Cloner en bas de la
page (une règle sélectionnée présente un fond jaune). La règle copiée « règlen », où n
représente le premier nombre entier disponible qui caractérise le nom de la règle, est
insérée sous la règle sélectionnée.
• L'ordre dans lequel les règles sont répertoriées est celui dans lequel elles sont comparées
au trafic réseau. Il est possible de modifier l'ordre d'une règle selon l'une des manières
suivantes :
– Sélectionnez la règle et cliquez sur Déplacer en haut, Déplacer en bas, Déplacer vers
le haut ou Déplacer vers le bas.
– Cliquez sur la flèche vers le bas à côté du nom de la règle et choisissez Déplacer. Dans
la fenêtre contextuelle, choisissez une règle et décidez si vous souhaitez déplacer votre
sélection avant ou après cette règle dans la liste.
198 • Politiques et profils de sécurité Palo Alto Networks

Politiques
• Pour activer une règle, sélectionnez-la et cliquez sur Activer.
• Pour afficher les règles qui ne sont pas utilisées actuellement, cochez la case Surligner les
règles inutilisées.
Règle utilisée Règle inutilisée (fond jaune en pointillé)
• Pour afficher le journal correspondant à la politique, cliquez sur la flèche vers le bas à côté
du nom de la règle et choisissez Visionneuse du journal.
• Pour certaines entrées, il est possible d'afficher la valeur actuelle en cliquant sur la flèche
vers le bas et en choisissant Valeur. Vous pouvez également modifier, filtrer ou supprimer
certains éléments directement depuis le menu de la colonne.
• Si vous avez défini un nombre important de politiques, vous pouvez utiliser la barre de
filtrage pour trouver des objets utilisés dans une politique à partir du nom de l'objet ou de
l'adresse IP. La recherche porte également sur les objets imbriqués et permet de trouver
une adresse au sein d'un objet adresse ou d'un groupe d'adresses. Dans la capture d'écran

Politiques
suivante, l'adresse IP 10.8.10.177 a été saisie dans la barre de filtrage et la politique « aaa »
s'est affichée. Cette politique utilise un groupe d'adresses nommé « aaagroup » qui
contient l'adresse IP en question.
Barre de filtrage
Résultats du filtrage
• Vous pouvez afficher ou masquer des colonnes spécifiques dans n'importe laquelle des
pages Politiques.
Précision des utilisateurs et des applications des politiques

Politiques > Sécurité
Politiques > Déchiffrement
Vous pouvez limiter des politiques de sécurité à certains utilisateurs ou à certaines applications en
cliquant sur le lien correspondant à l'utilisateur ou l'application sur la page des règles de sécurité
ou de déchiffrement du périphérique. Pour en savoir plus sur la limitation des règles par
application, reportez-vous à la section « Définition des applications » à la page 251.

Politiques
Pour limiter une politique à certains utilisateurs, procédez comme suit :

1. Sur la page des règles de sécurité ou de déchiffrement du périphérique, cliquez sur le lien
souligné correspondant à l'utilisateur source ou de destination pour ouvrir la fenêtre de
sélection.
Remarque : Si vous utilisez un serveur RADIUS et non l'agent d'ID utilisateur,

la liste des utilisateurs ne s'affiche pas et vous devez saisir les informations de
l'utilisateur manuellement.
2. Choisissez le type de règle à appliquer :
– indifférent - Inclut tous les utilisateurs.
– tout utilisateur connu - Inclut tous les utilisateurs authentifiés.
– tout utilisateur inconnu - Inclut tous les utilisateurs non authentifiés.
– Sélection - Inclut les utilisateurs sélectionnés dans cette fenêtre.
3. Pour ajouter des groupes d'utilisateurs, faites votre choix parmi les cases Groupe
d'utilisateurs disponibles et cliquez sur Ajouter un groupe d'utilisateurs. Vous pouvez
également saisir du texte correspondant à un ou plusieurs groupes et cliquer sur Ajouter
un groupe d'utilisateurs.
4. Pour ajouter des utilisateurs individuels, saisissez une requête dans le champ de
recherche Utilisateur et cliquez sur Rechercher. Vous pouvez ensuite sélectionner des
utilisateurs et cliquer sur Ajouter un utilisateur. Vous pouvez également saisir des noms
d'utilisateurs dans la zone Utilisateurs supplémentaires.
5. Cliquez sur OK pour enregistrer les sélections et mettre à jour la règle de sécurité ou de
déchiffrement.
Politiques de sécurité
Les politiques de sécurité déterminent s'il faut bloquer ou autoriser une nouvelle session
réseau à partir d'attributs du trafic, tels que les zones de sécurité de l'application, de la source
et de la destination, les adresses source et de destination, et le service de l'application (HTTP
par exemple). Les zones de sécurité sont utilisées pour regrouper les interfaces en fonction du
risque relatif du trafic qu'elles acheminent. Par exemple, une interface connectée à Internet se
trouve dans une zone « non approuvée », tandis qu'une interface connectée au réseau interne
se trouve dans une zone « de confiance ».
Remarque : Par défaut, le trafic entre chaque paire de zones de sécurité est bloqué
jusqu'à ce qu'au moins une règle soit ajoutée pour autoriser le trafic entre les deux
zones.
Le trafic intrazone est autorisé par défaut et requiert une règle de blocage explicite. Si
une règle de refus total est ajoutée en tant que dernière règle de la politique, le trafic
intrazone est bloqué, sauf autorisation expresse.
Les politiques de sécurité peuvent avoir une portée générale ou spécifique, selon les besoins.
Les règles des politiques sont comparées au trafic entrant dans un ordre précis, et comme la
première règle qui correspond au trafic est appliquée, les règles spécifiques doivent précéder

Politiques
les règles plus générales. Par exemple, une règle correspondant à une application unique doit
précéder une règle correspondant à l'ensemble des applications si tous les autres paramètres
relatifs au trafic sont identiques.
Définition de politiques de sécurité

Politiques > Sécurité
Utilisez la page Sécurité pour définir des règles de politique de sécurité. Pour obtenir des
directives de configuration, reportez-vous à la section « Directives de définition des
politiques » à la page 198.
Tableau 76. Paramètres des politiques de sécurité

Champ Description
Onglet Général
Nom Saisissez un nom pour identifier la règle (31 caractères maximum). Le nom
est sensible à la casse et doit être unique. N'utilisez que des lettres, des
chiffres, des espaces, des tirets et des caractères de soulignement. Seul le
nom est requis.
Description Saisissez une description de la politique (255 caractères maximum).
Etiquette Si vous avez besoin d'étiqueter la politique, cliquez sur Ajouter pour
définir l'étiquette.
Onglet Source
Zone source Cliquez sur Ajouter pour choisir des zones source (valeur par défaut :
indifférent). Les zones doivent être du même type (couche 2, couche 3 ou
câble virtuel). Pour définir de nouvelles zones, reportez-vous à la section
« Définition de zones de sécurité » à la page 161.
Il est possible d'utiliser plusieurs zones pour simplifier la gestion. Par
exemple, si vous possédez trois zones internes différentes (marketing,
ventes et relations publiques) qui sont toutes reliées à la zone de
destination non approuvée, vous pouvez créer une règle qui couvre tous
les cas possibles.
Adresse source Cliquez sur Ajouter pour ajouter des adresses, des groupes d'adresses ou
des régions source (valeur par défaut : indifférent). Faites votre sélection
dans la liste déroulante, ou cliquez sur le lien Adresse, Groupe d'adresses
ou Régions en bas de la liste déroulante, et définissez les paramètres.
Onglet Utilisateur
Utilisateur source Cliquez sur Ajouter pour choisir les utilisateurs ou les groupes
d'utilisateurs source soumis à la politique.
Profils HIP Cliquez sur Ajouter pour choisir des profils HIP (profils d'informations sur
l'hôte) afin d'identifier des utilisateurs. Pour en savoir plus sur les profils
HIP, reportez-vous à la section « Présentation » à la page 365.

Politiques
Tableau 76. Paramètres des politiques de sécurité (suite)

Champ Description
Onglet Destination
Zone de destination Cliquez sur Ajouter pour choisir des zones de destination (valeur par
défaut : indifférent). Les zones doivent être du même type (couche 2,
couche 3 ou câble virtuel). Pour définir de nouvelles zones, reportez-vous à
la section « Définition de zones de sécurité » à la page 161.
les cas possibles.
Adresse de destination Cliquez sur Ajouter pour ajouter des adresses, des groupes d'adresses ou
des régions de destination (valeur par défaut : indifférent). Faites votre
sélection dans la liste déroulante, ou cliquez sur le lien Adresse en bas de la
liste déroulante, et définissez les paramètres.
Onglet Application
Application Sélectionnez des applications spécifiques pour la règle de sécurité. Pour
définir de nouvelles applications, reportez-vous à la section « Définition
des applications » à la page 251. Pour définir des groupes d'applications,
reportez-vous à la section « Définition des groupes d'applications » à la
page 257.
Si une application présente plusieurs fonctions, vous pouvez sélectionner
l'application dans son ensemble ou des fonctions individuelles. Si vous
sélectionnez l'application dans son ensemble, toutes les fonctions sont
incluses et la définition de l'application est automatiquement mise à jour
lors de l'ajout de fonctions supplémentaires.
Si vous utilisez des groupes d'applications, des filtres ou des conteneurs
dans la règle de sécurité, vous pouvez en consulter le détail en passant la
souris sur l'objet dans la colonne Application, en cliquant sur la flèche vers
le bas et en sélectionnant Valeur. Ainsi, vous pouvez facilement accéder
aux membres des applications directement depuis la politique, sans passer
par les onglets Objet.
Onglet
Service/Catégorie
d'URL
Service Sélectionnez des services à limiter à des numéros de ports TCP et/ou UDP
spécifiques. Choisissez l'une des options suivantes dans la liste
déroulante :
• indifférent - Les applications sélectionnées sont autorisées ou non sur
n'importe quel protocole ou port.
• application-défaut - Les applications sélectionnées sont autorisées ou
non seulement sur leurs ports par défaut définis par Palo Alto Networks.
Cette option est recommandée pour les politiques d'autorisation.
• Sélection - Cliquez sur Ajouter. Choisissez un service existant ou
choisissez Service ou Groupe de services pour définir une nouvelle
entrée. Reportez-vous aux sections « Services » à la page 259 et « Groupes
de services » à la page 259

Politiques

Champ Description
Catégorie d'URL Sélectionnez des catégories d'URL pour la règle de sécurité.
• Choisissez indifférent pour autoriser ou non toutes les sessions, quelle
que soit la catégorie d'URL.
• Pour préciser une catégorie, cliquez sur Ajouter et sélectionnez une
catégorie spécifique (y compris une catégorie personnalisée) dans la liste
déroulante. Vous pouvez ajouter plusieurs catégories. Reportez-vous à la
section « Catégories d'URL personnalisées » à la page 261 pour en savoir
plus sur la définition de catégories personnalisées.
Onglet Actions
Paramètres d'action Cliquez sur autoriser ou refuser pour autoriser ou bloquer une nouvelle
session réseau pour un trafic qui correspond à cette règle.
Réglage du profil Pour définir la vérification effectuée par les profils de sécurité par défaut,
sélectionnez les profils individuels Antivirus, Antispyware, Protection
contre les vulnérabilités, Filtrage des URL, Blocage des fichiers et/ou
Filtrage des données.
Pour définir un groupe de profils plutôt que des profils individuels,
sélectionnez Groupes de profils, puis sélectionnez un groupe de profils
dans la liste déroulante Groupe.
Pour définir de nouveaux profils ou groupes de profils, cliquez sur
Nouveau à côté du profil ou groupe approprié (reportez-vous à la section
« Groupes de profils de sécurité » à la page 267).
Paramètre des Spécifiez n'importe quelle combinaison des options suivantes :
journaux Paramètre des journaux :
• Pour transférer des entrées du journal de trafic local et du journal des
menaces vers des destinations distantes, comme des serveurs Panorama
et syslog, sélectionnez un profil de journal dans la liste déroulante Profil
de transfert des journaux. Notez que la génération d'entrées du journal
des menaces est déterminée par les profils de sécurité. Pour définir de
nouveaux profils, cliquez sur Nouveau (reportez-vous à la section
« Transfert des journaux » à la page 268).
• Pour générer des entrées dans le journal de trafic local en cas de trafic
correspondant à cette règle, sélectionnez les options suivantes :
– Se connecter au début de la session - Génère une entrée dans le
journal de trafic pour le début d'une session (option désactivée par
défaut).
– Se connecter en fin de session - Génère une entrée dans le journal de
trafic pour la fin d'une session (option activée par défaut).
Si des entrées pour le début ou la fin de la session sont journalisées, des
entrées le sont également en cas d'abandon et de refus.

Politiques

Champ Description
Autres réglages Spécifiez n'importe quelle combinaison des options suivantes :
• Calendrier - Pour limiter les dates et les heures auxquelles la règle est en
vigueur, sélectionnez un calendrier dans la liste déroulante. Pour définir
de nouveaux calendriers, cliquez sur Nouveau (reportez-vous à la
section « Calendriers » à la page 271).
• Marquage QoS - Pour modifier le paramètre de qualité du service (QoS)
des paquets correspondant à la règle, sélectionnez Description IP ou
Priorité IP, et entrez la valeur QoS au format binaire ou sélectionnez une
valeur prédéfinie dans la liste déroulante. Pour en savoir plus sur la QoS,
reportez-vous à la section « Configuration de la qualité de service » à la
page 387.
• Désactiver l'inspection de la réponse du serveur - Pour désactiver
l'inspection des paquets entre le serveur et le client, cochez cette case.
Cette option peut être utile en cas de charge importante du serveur.
Politiques NAT
Si vous définissez des interfaces de couche 3 sur le pare-feu, vous pouvez utiliser des
politiques de traduction des adresses réseau ou Network Address Translation (NAT) pour
préciser si les adresses IP et les ports source ou de destination doivent être convertis en
adresses et ports publics ou privés. Par exemple, des adresses source privées peuvent être
traduites en adresses publiques sur le trafic envoyé depuis une zone interne (de confiance)
vers une zone publique (non approuvée).
La traduction des adresses réseau est également prise en charge sur les interfaces de câble
virtuel. Lors de la traduction d'adresses réseau sur des interfaces de câble virtuel, il est
recommandé de traduire l'adresse source vers un sous-réseau différent de celui sur lequel les
périphériques voisins communiquent. Le proxy ARP n'est pas pris en charge sur les câbles
virtuels, donc les périphériques voisins ne peuvent résoudre les requêtes ARP que pour les
adresses IP qui résident sur l'interface du périphérique à l'autre extrémité du câble virtuel.
Lors de la configuration de la traduction des adresses réseau sur le pare-feu, il est important
de noter qu'une politique de sécurité doit également être configurée pour autoriser le trafic
NAT. La politique de sécurité est appliquée en fonction de la zone post-NAT et de l'adresse IP
pré-NAT.
Le pare-feu prend en charge les types de traduction d'adresses suivants :
• IP/Port dynamique - Pour le trafic sortant. Plusieurs clients peuvent utiliser les mêmes
adresses IP publiques avec des numéros de ports source différents. Les règles de
traduction des adresses IP/ports dynamiques permettent la traduction vers une seule
adresse IP, une plage d'adresses IP, un sous-réseau ou une combinaison de ces options. En
cas d'interface de sortie avec une adresse IP attribuée de manière dynamique, il peut être
utile de définir l'interface elle-même comme l'adresse traduite. Si l'interface est définie

Politiques
dans la règle de traduction des adresses IP/ports dynamiques, la politique NAT est
automatiquement mise à jour afin d'utiliser toute adresse acquise par l'interface pour les
traductions suivantes.
Remarque : La traduction des adresses IP/ports dynamiques selon Palo Alto

Networks prend en charge plus de sessions NAT que le nombre d'adresses IP et
ports disponibles. Le pare-feu peut utiliser les combinaisons d'adresses IP et de
ports jusqu'à deux fois (en simultané) sur les séries PA-200, PA-500, PA-2000 et
PA-3000, quatre fois sur le PA-4020 et le PA-5020, et huit fois sur les PA-4050,
PA-4060, PA-5050 et PA-5060 lorsque les adresses IP de destination sont
uniques.
• IP dynamique - Pour le trafic sortant. Les adresses source privées sont traduites vers la
prochaine adresse disponible dans la plage spécifiée. Les politiques de traduction
d'adresses IP dynamiques vous permettent de définir une seule adresse IP, plusieurs
adresses IP, plusieurs plages d'adresses IP ou plusieurs sous-réseaux comme le pool
d'adresses traduites. Si le pool d'adresses source est plus important que le pool d'adresses
traduites, les nouvelles adresses IP à traduire sont bloquées tant que le pool d'adresses
traduites est pleinement exploité. Pour éviter ce problème, vous pouvez définir un pool
de secours qui sera utilisé si le pool principal est à court d'adresses IP.
• IP statique - Pour le trafic entrant ou sortant. Vous pouvez utiliser une adresse IP statique
pour changer l'adresse source ou de destination sans modifier le port source ou de
destination. Lorsqu'ils sont utilisés pour associer une adresse IP publique unique à
plusieurs serveurs privés et services, les ports de destination peuvent rester identiques ou
renvoyer vers d'autres ports de destination.
Remarque : Il peut être nécessaire de définir des itinéraires statiques sur le routeur
adjacent et/ou le pare-feu pour s'assurer que le trafic envoyé vers une adresse IP
publique est acheminé vers l'adresse privée adéquate. Si l'adresse publique est identique
à l'interface du pare-feu (ou sur le même sous-réseau), aucun itinéraire statique n'est
nécessaire sur le routeur pour cette adresse. Lorsque vous spécifiez des ports (TCP ou
UDP) de service pour la traduction des adresses réseau, le service HTTP prédéfini
(service-http) inclut deux ports TCP : 80 et 8080. Pour définir un seul port, par exemple
TCP 80, vous devez spécifier un nouveau service.
Le tableau suivant dresse un récapitulatif des types NAT. Les deux méthodes dynamiques
associent une plage d'adresses client (M) à un pool (N) d'adresses NAT, où M et N sont des
nombres différents. N peut également avoir la valeur 1. La traduction d'adresses IP/ports
dynamiques est différente de la traduction d'adresses IP dynamiques car la première ne
conserve pas les ports TCP et UDP source. Il existe également diverses limites en matière de
taille du pool d'adresses IP traduites, comme indiqué ci-dessous.

Politiques
Dans le cas de la traduction d'adresses IP statiques, chaque adresse d'origine est associée à une
seule adresse traduite. On parle de correspondance 1 à 1 pour une seule adresse IP mappée,
ou M à M pour un pool de plusieurs adresses IP mappées.
Tableau 77. Types NAT

Le port de
Type NAT Le port source destination Types de Taille du pool
PAN-OS reste le même peut mappage d'adresses traduites
changer
IP/Port Non Non Plusieurs à 1 Jusqu'à 254 adresses
dynamique MàN consécutives
Oui Non MàN Jusqu'à 32 000 adresses

IP dynamique
consécutives
IP statique Oui Non 1à1 Illimité
MàM
MIP
En option PAT VIP 1 à
plusieurs

Politiques
Détermination de la configuration de zone dans la politique NAT et de sécurité

Il est nécessaire de configurer des règles NAT pour utiliser les zones associées aux adresses IP
pré-NAT configurées dans la politique. Par exemple, si vous traduisez du trafic qui entre sur
un serveur interne (accessible depuis une adresse IP publique par les utilisateurs d'Internet), il
est nécessaire de configurer la politique NAT en utilisant la zone dans laquelle l'adresse IP
publique réside. Dans ce cas, les zones source et de destination sont identiques. Autre
exemple : lors de la traduction du trafic sortant des hôtes vers une adresse IP publique, il est
nécessaire de configurer la politique NAT avec une zone source correspondant aux adresses
IP privées de ces hôtes. La zone pré-NAT est requise car cette correspondance survient avant
que le paquet a été modifié par la politique NAT.
La politique de sécurité diffère de la politique NAT en ce que des zones post-NAT doivent
être utilisées pour contrôler le trafic. La traduction des adresses réseau peut influencer les
adresses IP source ou de destination et potentiellement modifier la zone et l'interface de sortie.
Pour la création de politiques de sécurité avec des adresses IP spécifiques, il est important de
noter que des adresses IP pré-NAT sont utilisées pour la vérification des politiques. Le trafic
faisant l'objet d'une traduction des adresses réseau doit être explicitement autorisé par la
politique de sécurité lorsque ce trafic traverse plusieurs zones.
Options des règles NAT

Le pare-feu prend en charge les règles non NAT et les règles NAT bidirectionnelles.
Règles non NAT

Les règles non NAT sont configurées de manière à autoriser l'exclusion d'adresses IP
spécifiées dans la plage des règles NAT définies ultérieurement dans la politique NAT. Pour
définir une politique non NAT, précisez l'ensemble des critères de correspondance et
sélectionnez Pas de traduction source dans la colonne adéquate.
Règles NAT bidirectionnelles

Le paramètre bidirectionnel des règles NAT avec source statique crée implicitement une règle
NAT de destination pour le trafic, utilisant les mêmes ressources dans le sens inverse. Dans
cet exemple, deux règles sont utilisées pour créer une traduction source du trafic sortant de
l'adresse IP 10.0.1.10 vers l'adresse IP publique 3.3.3.1, et une traduction de destination du
trafic destiné à l'adresse IP publique 3.3.3.1 vers l'adresse IP privée 10.0.1.10. Il est possible de
simplifier cette paire de règles en ne configurant que la troisième règle NAT avec la fonction
bidirectionnelle.
Figure 16. Règles NAT bidirectionnelles

Politiques
Définition des politiques de traduction des adresses réseau

Politiques > NAT
Les règles de traduction des adresses réseau (NAT) sont basées sur les zones source et de
destination, les adresses source et de destination, et le service de l'application (HTTP par
exemple). Comme pour les politiques de sécurité, les règles des politiques NAT sont
comparées au trafic entrant dans un ordre précis, et la première règle qui correspond au trafic
est appliquée.
En fonction de vos besoins, ajoutez des itinéraires statiques vers le routeur local afin que le
trafic vers l'ensemble des adresses publiques soit acheminé au pare-feu. Il peut également être
nécessaire d'ajouter des itinéraires statiques vers l'interface de réception sur le pare-feu pour
réacheminer le trafic vers l'adresse privée (reportez-vous à la section « Interfaces du pare-feu »
à la page 133). Pour obtenir des directives de configuration, reportez-vous à la section
« Directives de définition des politiques » à la page 198.
Tableau 78. Paramètres des règles NAT

Champ Description
Nom Modifiez le nom de la règle par défaut et/ou saisissez une description de
la règle.
Type NAT Précisez ipv4 pour la traduction des adresses réseau entre adresses IPv4,
ou nat64 pour la traduction entre adresses IPv6 et IPv4.
Remarque : Vous ne pouvez pas combiner des plages d'adresses IPv4 et IPv6
dans une même règle NAT.
Paquet d'origine
Zone source Sélectionnez une ou plusieurs zones source et de destination pour le
Zone de destination paquet (non NAT) d'origine (valeur par défaut : indifférent). Les zones
doivent être du même type (couche 2, couche 3 ou câble virtuel). Pour
définir de nouvelles zones, reportez-vous à la section « Définition de
zones de sécurité » à la page 161.
exemple, vous pouvez configurer les paramètres afin que plusieurs
adresses NAT internes renvoient vers la même adresse IP externe.
Interface de destination Précisez le type d'interface pour la traduction. L'interface de destination
peut être utilisée pour traduire des adresses IP différemment dans le cas
où le réseau est connecté à deux fournisseurs d'accès avec des pools
d'adresses IP différents.
Adresse source Spécifiez une combinaison d'adresses source et de destination dont l'une
Adresse de destination ou l'autre doit être traduite.
Service Spécifiez les services pour lesquels l'adresse source ou de destination est
traduite. Pour définir de nouveaux groupes de services, reportez-vous à
la section « Groupes de services » à la page 259.

Politiques
Tableau 78. Paramètres des règles NAT (suite)

Champ Description
Paquet traduit
Traduction source Saisissez une adresse IP ou une plage d'adresses (adresse1-adresse2) pour
la traduction de l'adresse source, puis sélectionnez un pool d'adresses
statiques ou dynamiques. La taille de la plage d'adresses est limitée par le
type de pool d'adresses :
• IP et port dynamiques - La sélection de l'adresse est basée sur un
hachage de l'adresse IP source. Pour une adresse IP source donnée, le
pare-feu utilise la même adresse source traduite pour toutes les
sessions. La traduction des adresses IP/ports dynamiques prend en
charge environ 64 000 sessions simultanées sur chaque adresse IP du
pool NAT. Sur certaines plateformes, la sursouscription est prise en
charge, ce qui permet à une seule adresse IP d'héberger plus de 64 000
sessions simultanées. Consultez la note à la page 206 pour en savoir
plus.
• IP dynamique - La prochaine adresse disponible dans la plage définie
est utilisée, mais le numéro de port ne change pas. Jusqu'à 32 000
adresses IP consécutives sont prises en charge. Un pool d'adresses IP
dynamiques peut contenir plusieurs sous-réseaux, donc vous pouvez
traduire vos adresses réseau internes vers deux ou plusieurs sous-
réseaux publics distincts.
– Avancé (traduction IP dynamique de secours) - Utilisez cette option
pour créer un pool de secours qui assure la traduction des adresses
IP et des ports si le pool principal est à court d'adresses. Vous pouvez
définir des adresses pour le pool en utilisant l'option Adresse
traduite ou l'option Adresse de l'interface, réservée aux interfaces qui
reçoivent une adresse IP de manière dynamique. Lors de la création
d'un pool de secours, vérifiez que les adresses ne coïncident pas avec
celles du pool principal.
• IP statique - La même adresse est toujours utilisée, et le port ne change
pas. Par exemple, si la plage source est 192.168.0.1-192.168.0.10 et la
plage de traduction 10.0.0.1-10.0.0.10, l'adresse 192.168.0.2 est toujours
traduite en 10.0.0.2. La taille de la plage d'adresses est quasi-illimitée.
• Aucune - Aucune traduction n'est effectuée.
Traduction de Saisissez une adresse IP ou une plage d'adresses IP et un numéro de port
destination traduit (1 à 65535) pour la traduction de l'adresse de destination et du
numéro de port. Si le champ Port traduit n'est pas renseigné, le port de
destination n'est pas modifié. La traduction de destination est
généralement utilisée pour autoriser l'accès à un serveur interne, tel qu'un
serveur de messagerie, depuis le réseau public.

Politiques
Exemples de politiques NAT

La règle de politique NAT suivante traduit une plage d'adresses source privées (10.0.0.1 à
10.0.0.100 dans la zone « L3Trust ») vers une seule adresse IP publique (200.10.2.100 dans la
zone « L3Untrust ») et vers un numéro de port source unique (traduction source dynamique).
La règle ne s'applique qu'au trafic reçu sur une interface de couche 3 dans la zone « L3Trust »
destiné à une interface de la zone « L3Untrust ». Etant donné que les adresses privées sont
masquées, des sessions réseau ne peuvent être initiées depuis le réseau public. Si l'adresse
publique n'est pas une adresse de l'interface du pare-feu (ou sur le même sous-réseau), le
routeur local a besoin d'un itinéraire statique pour acheminer le trafic de retour au pare-feu.
La politique de sécurité doit être explicitement configurée pour autoriser le trafic
correspondant à cette règle NAT. Créez une politique de sécurité avec des zones source/de
destination et des adresses source/de destination correspondant à la règle NAT.
Figure 17. Traduction d'adresse source dynamique
Dans l'exemple suivant, la première règle NAT traduit l'adresse privée d'un serveur de
messagerie interne vers une adresse IP publique statique. La règle ne s'applique qu'aux
messages sortants envoyés depuis la zone « L3Trust » vers la zone « L3Untrust ». Pour le trafic
en sens inverse (messages entrants), la seconde règle traduit l'adresse publique de destination
du serveur vers son adresse privée. La règle 2 utilise les zones source et de destination
« L3Untrust », car la politique NAT est basée sur l'adresse pré-NAT. Dans ce cas, cette adresse
pré-NAT est une adresse IP publique qui se trouve donc dans la zone « L3Untrust ».
Figure 18. Traduction d'adresse source et de destination statique

Dans les deux exemples, si l'adresse publique n'est pas l'adresse de l'interface du pare-feu (ou sur
le même sous-réseau),vous devez ajouter un itinéraire statique au routeur local pour acheminer le
trafic jusqu'au pare-feu.

Politiques
NAT64
NAT64 est utilisé pour traduire des en-têtes IP source et de destination entre des adresses IPv6 et
IPv4. Il permet aux clients IPv6 d'accéder aux serveurs IPv4 et aux clients IPv4 d'accéder aux
serveurs IPv6. Il existe trois mécanismes de transition principaux définis par l'IETF : la double pile,
la tunnellisation et la traduction. Si vous disposez de réseaux compatibles IPv4 ou IPv6 seulement
et que la communication entre eux est nécessaire, vous devez utiliser la traduction.
Pour utiliser des politiques NAT64 sur un pare-feu Palo Alto Networks, il est nécessaire de mettre
en place une solution DNS64 tierce pour séparer la fonction de requêtes DNS de la fonction NAT.
Les fonctions NAT64 suivantes sont prises en charge :

• NAT64 à inspection d'état : permet de conserver les adresses IPv4 afin qu'une adresse
IPv4 puisse être associée à plusieurs adresses IPv6. Une adresse IPv4 peut également être
partagée avec NAT44. Par contre, la traduction NAT64 sans inspection d'état associe une
adresse IPv4 à une adresse IPv6.
• Traduction des communications initiées par IPv4 : la liaison statique IPv4 associe une
adresse/un numéro de port IPv4 à une adresse IPv6. PAN-OS prend également en charge
la réécriture de port, qui vous permet de conserver encore plus d'adresses IPv4.
• Traduction des sous-réseaux /32, /40, /48, /56, /64 et /96.
• Prise en charge de plusieurs préfixes. Il est possible d'assigner un préfixe NAT64 par
règle.
• Aucune obligation de réserver un pool d'adresses IPv4 spécialement pour la traduction

NAT64. Il est donc possible d'utiliser une seule adresse IP pour assurer à la fois la
traduction NAT44 et la traduction NAT64.
• Prise en charge du Hairpinning (NAT U-Turn) et prévention des attaques contre les
boucles de Hairpinning.
• Prise en charge de la traduction de paquets TCP/UDP/ICMP conformément au protocole

RFC, mais également à d'autres protocoles sans ALG (meilleur effort). Un paquet GRE
pourrait être traduit, par exemple. Cette traduction présente les mêmes limitations que la
traduction NAT44.
• Prise en charge de PMTUD (Path MTU Discovery) et mise à jour de la MSS (Maximum
Segment Size) pour TCP.
• Configuration du paramètre MTU IPv6 : la valeur par défaut est 1280, ce qui correspond
au MTU minimum pour le trafic IPv6. Ce paramètre est configuré dans l'onglet
Périphérique > Configuration > Sessions, sous Paramètres de la session.
• Traduction de l'attribut de longueur entre IPv4 et IPv6.
• Pris en charge sur les interfaces et sous-interfaces de couche 3, les tunnels et les interfaces
VLAN.
Exemples de traductions NAT64

Il est possible de configurer deux types de traduction avec le pare-feu : la traduction des
communications initiées par IPv6, qui est similaire à la traduction NAT source en IPv4, et la
traduction des communications initiées par IPv4 vers un serveur IPv6, qui est similaire à la
traduction NAT de destination en IPv4.

Politiques
Communications initiées par IPv6

Dans ce type de traduction, l'adresse IPv6 de destination dans la règle NAT est un préfixe au
format RFC 6052 (/32, /40, /48, /56, /64 et /96). Le masque réseau de l'adresse IPv6 de
destination figurant dans la règle est utilisé pour extraire l'adresse IPv4. La traduction source
doit être de type « IP et port dynamiques » pour qu'une traduction NAT64 à inspection d'état
soit appliquée. L'adresse IPv4 définie comme la source est configurée de la même manière que
dans une traduction source NAT44. Le champ correspondant à la traduction de destination
n'est pas renseigné. Toutefois, une traduction de destination doit être effectuée puisque
l'adresse est extraite de l'adresse IPv6 du paquet. Elle utilise le préfixe défini dans les critères
de correspondance IP de destination. Notez qu'il s'agit des 4 derniers octets dans un préfixe /
96. L'emplacement de l'adresse IPv4 est différent si le préfixe n'est pas /96.
Serveur DNS64
Pare-feu
Passerelle NAT64
Réseau IPv6 Internet IPv4

Confiance Méfiance
Hôte IPv6
Figure 19. NAT64 entre client IPv6 et réseau IPv4
Le tableau suivant décrit les valeurs requises dans cette politique NAT64.
Tableau 79.
IP de
IP source Traduction source Traduction de destination
destination
Indifférent/ Préfixe IPv6 Mode IP et port Aucune
Adresse IPv6 NAT64 avec dynamiques (utilise
(extraite de l'adresse IPv6 de
masque réseau adresse IPv4)
conforme destination)
RFC 6052
Communications initiées par IPv4

L'adresse IPv4 est l'adresse mappée à l'adresse IPv6 ; la traduction source utilise le mode IP
statique. La source est définie dans un préfixe IPv6 conformément au protocole RFC 6052, et
est ajoutée à l'adresse source IPv4. L'adresse de destination est l'adresse IP définie dans la
colonne de la traduction de destination. Il est possible de réécrire le port de destination. Cette
méthode permet à une adresse IP de partager plusieurs serveurs IPv6 via le port grâce à un
mappage statique.

Politiques
Serveur IPv6
Serveur DNS
Pare-feu
Passerelle NAT64
Internet IPv4 Réseau IPv6

Méfiance Confiance
Hôte IPv4
Figure 20. NAT64 entre réseau Internet IPv4 et réseau client IPv6
Le tableau suivant décrit les valeurs requises dans cette politique NAT64.
Tableau 80. Valeurs initiées par IPv4

IP de
IP source Traduction source Traduction de destination
destination
Indifférent/ Adresse IPv4 Mode IP statique Adresse IPv6 unique (adresse IP du
Adresse IPv4 (préfixe IPv6 au serveur)
format RFC 6052) Remarque : il est possible de
configurer la réécriture des ports du
serveur.
Le moteur de traitement des paquets du pare-feu doit effectuer une recherche d'itinéraire
pour trouver la zone de destination avant de consulter la règle NAT. Dans le cas de la
traduction NAT64, il est important de vérifier l'accessibilité du préfixe NAT64 pour
l'affectation de la zone de destination, car le préfixe NAT64 ne devrait pas être pouvoir être
acheminé par la passerelle NAT64. Il est très probable que le préfixe NAT64 prendrait
l'itinéraire par défaut ou serait abandonné en l'absence d'itinéraire. Vous pouvez configurer
une interface de tunnel sans point de terminaison, car ce type d'interface agit comme un port
de connexion en boucle et accepte d'autres masques réseau en dehors de /128. Appliquez le
préfixe NAT64 au tunnel ainsi que la zone adéquate pour garantir que le trafic IPv6 avec
préfixe NAT64 est affecté à la zone de destination correcte. Cette solution présente l'avantage
d'abandonner le trafic IPv6 avec préfixe NAT64 si la règle NAT64 n'est pas vérifiée.

Politiques
Scénarios de l'IETF pour la traduction IPv4/IPv6

Il existe six scénarios basés sur la traduction NAT64 définis par l'IETF dans RFC 6144. Le pare-
feu Palo Alto Networks en charge tous ces scénarios à l'exception d'un seul, comme le décrit le
tableau suivant.
Tableau 81. Récapitulatif de l'application des scénarios de l'IETF avec PAN-OS

IP de Traduction Traduction de
Scénario IP source
destination source destination
Réseau IPv6 Indifférent/ Préfixe IPv6 Mode IP et port Aucune
vers Internet Adresse NAT64 avec dynamiques. (extraite de l'adresse IPv6
IPv4 IPv6 masque réseau Utiliser une de destination)
conforme adresse IPv4
RFC 6052. publique
Internet IPv4 Indifférent/ Adresse IPv4 Mode IP statique. Adresse IPv6 unique
vers un Adresse unique Préfixe IPv6 au
réseau IPv6 IPv4 format RFC 6052
Internet IPv6 Indifférent/ Préfixe IPv6 IP et port Aucune
vers un Adresse universellement dynamiques. (extraite de l'adresse IPv6
réseau IPv4 IPv6 accessible avec Utiliser une de destination)
masque réseau adresse IPv4
conforme privée
RFC 6052.
Réseau IPv4
vers Internet Non pris en charge pour le moment
IPv6
Réseau IPv4 Indifférent/ Adresse IPv4 Mode IP statique. Adresse IPv6 unique
vers réseau Adresse unique Préfixe IPv6 au
IPv6 IPv4 format RFC 6052
Réseau IPv6 Indifférent/ Préfixe IPv6 IP et port Aucune
vers réseau Adresse NAT64 avec dynamiques. (extraite de l'adresse IPv6
IPv4 IPv6 masque réseau Utiliser une de destination)
conforme adresse IPv4
RFC 6052. privée
Politiques de transfert basé sur une politique

Politiques > Transfert basé sur une politique
Normalement, lorsque le trafic entre dans le pare-feu, l'interface d'entrée du routeur virtuel
dicte l'itinéraire qui détermine l'interface de sortie et la zone de sécurité de destination en se
basant sur l'adresse IP de destination. Avec le transfert basé sur une politique (Policy-based
Forwarding, PBF), vous pouvez préciser d'autres informations pour déterminer l'interface de
sortie, y compris la zone source, l'adresse source, l'utilisateur source, l'adresse de destination,
l'application de destination et le service de destination. La session initiale sur une adresse IP
de destination et un port donnés associés à une application ne correspondra à aucune règle
spécifique à l'application et sera transférée conformément aux règles PBF subséquentes (qui
ne précisent aucune application) ou à la table de transfert du routeur virtuel. Toutes les
sessions subséquentes sur cette adresse IP de destination et ce port pour la même application
correspondront à une règle spécifique à l'application. Pour assurer le transfert via des règles
PBF, il n'est pas recommandé d'utiliser des règles spécifiques à une application.

Politiques
Si nécessaire, des règles PBF peuvent être utilisées pour forcer le passage du trafic dans un
système virtuel supplémentaire à l'aide de l'action Transférer à Vsys. Dans ce cas, il est
nécessaire de définir une règle PBF supplémentaire qui transférera le paquet depuis le
système virtuel de destination vers une interface de sortie spécifique sur le pare-feu.
Pour obtenir des directives de configuration, reportez-vous à la section « Directives de
définition des politiques » à la page 198.
Tableau 82. Configuration du transfert basé sur une politique

Champ Description
Onglet Général
Nom Saisissez un nom pour identifier la règle (31 caractères maximum). Le
des chiffres, des espaces, des tirets et des caractères de soulignement. Seul
le nom est requis.
Onglet Source
Zone source Pour choisir des zones source (valeur par défaut : indifférent), cliquez sur
Ajouter et faites votre sélection dans la liste déroulante. Pour définir de
nouvelles zones, reportez-vous à la section « Définition de zones de
sécurité » à la page 161.
les cas possibles.
Remarque : seules les zones de type Couche 3 sont prises en charge pour
le transfert basé sur la politique.
Onglet Destination/
Application/Service
sélection dans la liste déroulante, ou cliquez sur le lien Adresse, Groupe
d'adresses ou Régions en bas de la liste déroulante, et définissez les
paramètres.

Politiques
Tableau 82. Configuration du transfert basé sur une politique (suite)

Champ Description
Application Sélectionnez des applications spécifiques pour la règle PBF. Pour définir
de nouvelles applications, reportez-vous à la section « Définition des
applications » à la page 251. Pour définir des groupes d'applications,
reportez-vous à la section « Définition des groupes d'applications » à la
page 257.
Si vous utilisez des groupes d'applications, des filtres ou des
conteneurs dans la règle PBF, vous pouvez en consulter le détail
en passant la souris sur l'objet dans la colonne Application, en
cliquant sur la flèche vers le bas et en sélectionnant Valeur. Ainsi,
vous pouvez facilement accéder aux membres des applications
directement depuis la politique sans passer par les onglets Objet.
Service Spécifiez les services pour lesquels l'adresse source ou de destination est
traduite. Pour définir de nouveaux groupes de services, reportez-vous à
la section « Groupes de services » à la page 259.
Onglet Transfert
Action Sélectionnez l'une des options suivantes :
• Transférer - Précisez l'adresse IP du saut suivant et l'interface de sortie
(l'interface prise par le paquet pour accéder au saut suivant spécifié).
• Transférer à VSYS - Choisissez le système virtuel vers lequel effectuer
le transfert dans la liste déroulante.
• Supprimer - Abandon du paquet.
• Aucun PBF - Pas de modification du chemin que le paquet suivra.
Interface de sortie Précisez l'interface du pare-feu pour le transfert du trafic depuis le pare-
feu.
Saut suivant Précisez l'adresse IP du saut de transfert suivant.
Surveillance Pour surveiller les actions de transfert, sélectionnez Surveillance et
précisez les paramètres suivants :
• Profil - Choisissez un profil dans la liste déroulante.
• Désactiver si inaccessible - Cochez cette case si vous voulez ignorer
cette règle pour toutes les nouvelles sessions lorsque le routeur du saut
suivant est inaccessible.
• Adresse IP - Précisez l'adresse IP à laquelle des messages ping sont
envoyés périodiquement pour déterminer l'état de la règle de transfert
basé sur une politique.

Politiques
Tableau 82. Configuration du transfert basé sur une politique (suite)

Champ Description
Appliquer le retour Sélectionnez cette option pour autoriser les routeurs virtuels sur le pare-feu à
symétrique appliquer le retour symétrique pour la règle PBF. Cliquez sur Ajouter si vous
voulez saisir la ou les adresses de saut suivant qui seront utilisées pour le
transfert.
Cette option contourne le processus de recherche d'itinéraire pour le trafic de
retour ; le pare-feu utilise l'interface d'entrée d'origine comme interface de
sortie. Si l'adresse IP source se trouve sur le même sous-réseau que l'interface
d'entrée sur le pare-feu, le retour symétrique ne s'applique pas.
Cette fonction est utile si vous disposez de serveurs accessibles via deux
connexions à des fournisseurs d'accès (sur des interfaces de trafic entrant
différentes) et que le trafic de retour doit être acheminé via le fournisseur qui
est à l'origine des sessions.
Veuillez noter ce qui suit concernant l'utilisation de cette fonction :

• Si une interface présente plusieurs règles PBF, une seule règle peut
appliquer le retour symétrique.
• Vous pouvez utiliser cette option pour toutes les interfaces de couche 3, à
l'exception des interfaces en boucle. Vous pouvez également utiliser des
interfaces dont l'adresse IP est affectée de manière dynamique (DHCP et
PPoE).
• La source doit être une interface et non une zone.
• La liste d'adresses de saut suivant n'est pas prise en charge pour les
interfaces de tunnel et PPoE.
• Il est possible de définir jusqu'à 8 adresses de saut suivant par règle PBF.
Calendrier Pour limiter les dates et les heures auxquelles la règle est en vigueur,
sélectionnez un calendrier dans la liste déroulante. Pour définir de nouveaux
calendriers, reportez-vous à la section « Calendriers » à la page 271.
Politiques de déchiffrement
Politiques > Déchiffrement
Vous pouvez configurer le pare-feu de manière à décrypter le trafic à des fins de visibilité,
contrôle et sécurité granulaire. Les politiques de déchiffrement peuvent s'appliquer à la
couche s (SSL) et au trafic Secure Shell (SSH). Avec l'option SSH, vous pouvez au choix
déchiffrer le trafic SSH sortant et entrant pour vous assurer que des protocoles sécurisés ne
sont pas utilisés pour faire passer dans un tunnel des applications et du contenu non
autorisés. Vous pouvez également appliquer des profils de déchiffrement à vos politiques
pour bloquer et contrôler divers aspects du trafic SSL. Pour en savoir plus, reportez-vous à la
section « Profils de déchiffrement » à la page 269.
Chaque politique de déchiffrement précise les catégories d'URL à déchiffrer ou non. App-ID
et les profils Antivirus, Vulnérabilité, Antispyware, Filtrage des URL et Blocage des fichiers
sont appliqués au trafic déchiffré avant qu'il ne soit de nouveau chiffré à la sortie du
périphérique. La sécurité de bout en bout entre les clients et les serveurs est maintenue, et le
pare-feu agit comme un tiers de confiance pendant la connexion. Aucun trafic déchiffré ne
quitte le périphérique.

Politiques
Le pare-feu inspecte le trafic, quels que soient les protocoles encapsulés. Les politiques de
déchiffrement peuvent avoir une portée générale ou spécifique, selon les besoins. Les règles
des politiques sont comparées au trafic dans un ordre précis, donc les règles spécifiques
doivent précéder les règles plus générales.
Remarque : Reportez-vous à la note technique de Palo Alto Networks intitulée

« Contrôle du déchiffrement SSL » pour obtenir des instructions sur la gestion des
certificats SSL et éviter les erreurs de non-correspondance des certificats, et pour obtenir
des directives sur l'élaboration de politiques de gestion des applications SSL non
standard.
Le déchiffrement du proxy de transfert SSL nécessite la configuration d'un certificat sécurisé

qui sera présenté à l'utilisateur si le serveur auquel il se connecte possède un certificat signé
par une autorité de certification de confiance. Pour configurer ce certificat, créez un certificat à
la page Périphérique > Gestion des certificats > Certificats, puis cliquez sur le nom du
certificat et cochez la case Transférer le certificat sécurisé. Reportez-vous à la section
« Importation, exportation et génération de certificats de sécurité » à la page 93.
Remarque : Certaines applications ne fonctionneront pas si elles sont déchiffrées par le

pare-feu. Pour éviter ce problème, PAN-OS ne déchiffre pas le trafic SSL pour ces
applications et les paramètres des règles de déchiffrement ne s'appliquent pas.
Pour obtenir la liste de ces applications, accédez à la communauté Knowledge Point sur
le site de support et recherchez le document intitulé « Liste des applications exclues du
déchiffrement SSL ».
Tableau 83. Paramètres des règles de déchiffrement

Champ Description
Onglet Général
le nom est requis.
Description Saisissez une description de la règle (255 caractères maximum).
Onglet Source
les cas possibles.

Politiques
Tableau 83. Paramètres des règles de déchiffrement (suite)

Champ Description
Cochez la case Ignorer pour choisir n'importe quelle adresse sauf celles
configurées.
Onglet Destination
couche 3 ou câble virtuel). Pour définir de nouvelles zones, reportez-vous
à la section « Définition de zones de sécurité » à la page 161.
les cas possibles.
paramètres. Cochez la case Ignorer pour choisir n'importe quelle adresse
sauf celles configurées.
Onglet Catégorie Sélectionnez des catégories d'URL pour la règle de déchiffrement.

d'URL • Choisissez indifférent pour appliquer la règle à toutes les sessions,
quelle que soit la catégorie d'URL.
• Pour préciser une catégorie, cliquez sur Ajouter et sélectionnez une
catégorie spécifique (y compris une catégorie personnalisée) dans la
liste déroulante. Vous pouvez ajouter plusieurs catégories. Reportez-
vous à la section « Catégories d'URL personnalisées » à la page 261 pour
en savoir plus sur la définition de catégories personnalisées.
Onglet Options
Action Sélectionnez déchiffrement ou aucun déchiffrement pour le trafic.
Type Sélectionnez le type de trafic à déchiffrer dans la liste déroulante :
• Proxy de transfert SSL - Précise que la politique déchiffrera le trafic
client destiné à un serveur externe
• Proxy SSH - Précise que la politique déchiffrera le trafic SSH. Cette
option vous permet de contrôler la tunnellisation SSH dans les
politiques en précisant l'App-ID ssh-tunnel.
• Inspection SSL entrante - Précise que la politique déchiffrera le trafic
d'inspection SSL entrante.
Profil de déchiffrement Sélectionnez un profil de déchiffrement existant ou créez-en un nouveau.
Reportez-vous à la section « Profils de déchiffrement » à la page 269.

Politiques
Politiques de contrôle prioritaire sur l'application

Pour modifier la manière dont le pare-feu classe le trafic réseau par application, vous pouvez
définir des politiques de contrôle prioritaire sur l'application. Par exemple, si vous voulez
contrôler l'une de vos applications personnalisées, une politique de contrôle prioritaire sur
l'application peut être utilisée pour identifier le trafic pour cette application en fonction de la zone,
de l'adresse source et de destination, du port et du protocole. Si certaines de vos applications
réseau sont classées comme « inconnues », vous pouvez créer de nouvelles définitions
d'application qui leur correspondent (reportez-vous à la section « Définition des applications » à la
page 251).
Comme les politiques de sécurité, les politiques de contrôle prioritaire sur l'application peuvent
avoir une portée générale ou spécifique, selon les besoins. Les règles des politiques sont comparées
au trafic dans un ordre précis, donc les règles spécifiques doivent précéder les règles plus
générales.
Définition d'applications personnalisées avec contrôle prioritaire sur l'application

Etant donné que le moteur App-ID de PAN-OS classe le trafic en identifiant le contenu spécifique
aux applications dans le trafic réseau, les définitions d'application personnalisées ne peuvent
simplement utiliser un numéro de port comme identifiant. Elles doivent également inclure le trafic
(restreint par zone source, adresse IP source, zone de destination et adresse IP de destination).
Pour créer une application personnalisée avec contrôle prioritaire sur l'application :
1. Définissez l'application personnalisée. Reportez-vous à la section « Définition des
applications » à la page 251. Il n'est pas nécessaire de spécifier des signatures pour
l'application si celle-ci est utilisée uniquement dans des règles de contrôle prioritaire sur
l'application.
2. Définissez une politique de contrôle prioritaire sur l'application qui précise quand
l'application personnalisée doit être invoquée. En général, une politique inclut l'adresse IP du
serveur exécutant l'application personnalisée et un ensemble limité d'adresses IP source ou
une zone source.
Définition de politiques de contrôle prioritaire sur l'application

Politiques > Contrôle prioritaire sur l'application
Après avoir créé une nouvelle règle, configurez-la en cliquant sur les valeurs actuelles et en
renseignant les informations adéquates, comme le décrit le tableau suivant.
Tableau 84. Paramètres des règles de contrôle prioritaire sur l'application

Champ Description
Onglet Général
le nom est requis.

Politiques
Tableau 84. Paramètres des règles de contrôle prioritaire sur l'application (suite)
Champ Description
Onglet Source
les cas possibles.
Cochez la case Ignorer pour choisir n'importe quelle adresse sauf celles
configurées.
Onglet Destination
couche 3 ou câble virtuel). Pour définir de nouvelles zones, reportez-vous
à la section « Définition de zones de sécurité » à la page 161.
les cas possibles.
paramètres. Cochez la case Ignorer pour choisir n'importe quelle adresse
sauf celles configurées.
Onglet Protocole/
Application
Protocole Sélectionnez le protocole pour lequel l'application peut être forcée.
Port Saisissez le numéro de port (de 0 à 65535) ou la plage de numéros de ports
(port1-port2) pour les adresses source spécifiées. Utilisez des virgules
pour séparer les ports ou les plages.
Application Sélectionnez l'application forcée pour les flux de trafic qui remplissent les
critères de la règle. Lors du contrôle prioritaire d'une application
personnalisée, aucune inspection des menaces n'est effectuée, sauf si le
contrôle porte sur une application prédéfinie qui prend en charge
l'inspection des menaces.
Pour définir de nouvelles applications, reportez-vous à la section
« Définition des applications » à la page 251.

Politiques
Politiques de portail captif

Vous pouvez configurer et personnaliser un portail captif pour assurer l'authentification des
utilisateurs par le biais d'un profil d'authentification, d'une séquence d'authentification ou
d'un profil de certificat. Le portail captif est utilisé en conjonction avec l'agent d'ID utilisateur
pour étendre les fonctions d'identification des utilisateurs au-delà du domaine Active
Directory. Les utilisateurs sont dirigés vers le portail et authentifiés, ce qui entraîne la création
d'un mappage d'adresses utilisateur-IP.
Définition de politiques de portail captif

Politiques > Portail captif
Avant de définir des politiques de portail captif, activez le portail captif et configurez les
paramètres à la page Identification utilisateur, comme le décrit la section « Configuration du
pare-feu pour l'identification utilisateur » à la page 310.
Ensuite, configurez des politiques de portail captif en précisant les informations suivantes.
Tableau 85. Paramètres des règles du portail captif

Champ Description
le nom est requis.
Onglet Source
Source Renseignez les informations suivantes :
• Choisissez une zone source si la politique doit être appliquée au trafic
provenant de toutes les interfaces dans une zone donnée. Cliquez sur
Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Adresse source à appliquer à la politique de portail captif
pour le trafic provenant d'adresses source spécifiques. Cochez la case
Ignorer pour choisir n'importe quelle adresse sauf celles configurées.
Cliquez sur Ajouter pour définir plusieurs interfaces ou zones.
Onglet Destination
Destination Renseignez les informations suivantes :
• Choisissez une zone de destination si la politique doit être appliquée au
trafic à destination de toutes les interfaces dans une zone donnée.
• Précisez l'Adresse de destination à appliquer à la politique de portail
captif pour le trafic à destination d'adresses spécifiques. Cochez la case
Ignorer pour choisir n'importe quelle adresse sauf celles configurées.

Politiques
Tableau 85. Paramètres des règles du portail captif (suite)

Champ Description
Onglet
Service/Catégorie
d'URL
Service Sélectionnez des services à limiter à des numéros de ports TCP et/ou
UDP spécifiques. Choisissez l'une des options suivantes dans la liste
déroulante :
• indifférent- Les services sélectionnés sont autorisés ou non sur
n'importe quel protocole ou port.
• par défaut - Les services sélectionnés sont autorisés ou non seulement
sur leurs ports par défaut définis par Palo Alto Networks. Cette option
est recommandée pour les politiques d'autorisation.
• Sélection - Cliquez sur Ajouter. Choisissez un service existant ou
choisissez Service ou Groupe de services pour définir une nouvelle
entrée. Reportez-vous aux sections « Services » à la page 259 et
« Groupes de services » à la page 259
Catégorie d'URL Sélectionnez des catégories d'URL pour la règle du portail captif.
• Choisissez indifférent pour appliquer les actions définies sous l'onglet
Service/Action quelle que soit la catégorie d'URL.
• Pour spécifier une catégorie, cliquez sur Ajouter et sélectionnez une
liste déroulante. Vous pouvez ajouter plusieurs catégories. Reportez-
vous à la section « Catégories d'URL personnalisées » à la page 261 pour
en savoir plus sur la définition de catégories personnalisées.
Onglet Service/Action
Paramètres d'action Choisissez une action à effectuer :
• Portail captif - Présentez à l'utilisateur une page de portail captif lui
permettant de saisir explicitement ses informations d'authentification.
• Aucun portail captif - Autorisez le passage de trafic sans présenter de
page de portail captif pour l'authentification.
• Authentification NTLM - Ouvrez une requête d'authentification NT
LAN Manager (NTLM) sur le navigateur Web de l'utilisateur. Le
navigateur Web répondra en fournissant les informations
d'identification actuelles de l'utilisateur.
Politiques de protection DoS

Les politiques de protection DoS vous permettent de contrôler le nombre de sessions entre des
interfaces, des zones, des adresses et des pays en se basant sur des sessions ou sur des
adresses IP source et/ou de destination agrégées.

Politiques
Définition de politiques DoS

Politiques > Protection DoS
Utilisez cette page pour définir des règles DoS pour les politiques.
Tableau 86. Paramètres des règles DoS

Champ Description
Onglet Général
le nom est requis.
case pour autoriser le partage de la règle avec l'ensemble des systèmes
virtuels.
Onglet Source
Source Renseignez les informations suivantes :
• Choisissez Interface dans la liste déroulante Type pour appliquer la
politique DoS au trafic provenant d'une interface ou d'un groupe
d'interfaces. Choisissez Zone si la politique DoS doit être appliquée au
trafic provenant de toutes les interfaces dans une zone donnée. Cliquez
sur Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Adresse source à appliquer à la politique DoS pour le trafic
provenant d'adresses source spécifiques. Cochez la case Ignorer pour
choisir n'importe quelle adresse sauf celles configurées. Cliquez sur
• Précisez l'Utilisateur source à appliquer à la politique DoS pour le trafic
provenant d'utilisateurs spécifiques. Cliquez sur Ajouter pour définir
plusieurs interfaces ou zones.
Onglet Destination
Destination Renseignez les informations suivantes :
• Choisissez Interface dans la liste déroulante Type pour appliquer la
politique DoS au trafic provenant d'une interface ou d'un groupe
d'interfaces. Choisissez Zone si la politique DoS doit être appliquée au
trafic provenant de toutes les interfaces dans une zone donnée. Cliquez
sur Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Adresse de destination à appliquer à la politique DoS pour le
trafic à destination d'adresses spécifiques. Cochez la case Ignorer pour
choisir n'importe quelle adresse sauf celles configurées. Cliquez sur

Profils de sécurité
Tableau 86. Paramètres des règles DoS (suite)

Champ Description
Onglet Option/
Protection
Service Faites votre choix dans la liste déroulante pour appliquer la politique DoS
aux services configurés seulement.
Action Choisissez l'action dans la liste déroulante :
• Refuser - Abandon de tout le trafic.
• Autoriser - Autorisation de tout le trafic.
• Protéger - Mise en application des protections fournies par les seuils qui
sont configurés dans le profil DoS appliqué à cette règle.
Calendrier Sélectionnez un calendrier préconfiguré dans la liste déroulante pour
appliquer la règle DoS à une date/heure spécifique.
Agréger Sélectionnez un profil de protection DoS dans la liste déroulante pour
déterminer la vitesse à laquelle vous voulez réagir aux menaces DoS. Ce
paramètre s'applique à l'ensemble du trafic depuis la source spécifiée vers la
destination spécifiée.
Classés Cochez cette case et précisez les informations suivantes :
• Profil - Choisissez un profil dans la liste déroulante.
• Adresse - Choisissez d'appliquer la règle aux adresses IP source, de
destination ou les deux.
Si un profil classé est spécifié, les limitations du profil sont appliquées à une
adresse IP source, une adresse IP de destination, ou une paire d'adresses IP
source et de destination. Par exemple, vous pouvez spécifier un profil classé
avec un nombre limite de sessions fixé à 100 et spécifier le paramètre Adresse
« source » dans la règle. Vous obtenez alors une limite de 100 sessions à un
moment donné pour cette adresse IP source en particulier.
Chaque politique de sécurité peut inclure la spécification d'un ou plusieurs profils de sécurité,
pour une protection et un contrôle renforcés.
Vous pouvez également ajouter des exceptions de menaces aux profils Antispyware et
Vulnérabilité. Pour faciliter la gestion des exceptions de menaces, vous pouvez les ajouter
directement depuis la liste Surveillance > Journaux > Menace. Pour ajouter une exception de
menace à un profil, retrouvez-la dans le journal des menaces, puis cliquez sur son nom. La
boîte de dialogue Détails de la menace s'ouvre : sélectionnez un ou plusieurs profils dans le
panneau de gauche et cliquez sur OK. L'exception de menace est alors ajoutée pour cette
signature dans les profils sélectionnés avec l'action « autoriser ». Pour ajouter une exception
de menace pour des adresses IP spécifiques, ajoutez les adresses IP dans le panneau de droite
et cliquez sur OK. L'exception de menace est alors ajoutée avec un filtre correspondant aux
adresses IP.

Les types de profil suivants sont disponibles :

• Profils antivirus visant à protéger contre les vers et les virus ou à bloquer les téléchargements
de logiciels espions. Reportez-vous à la section « Profils antivirus » dans la section suivante.
• Profils antispyware visant à bloquer les tentatives d'accès au réseau par des logiciels espions.
Reportez-vous à la section « Profils antispyware » à la page 229.
• Profils de protection contre les vulnérabilités visant à bloquer les tentatives d'exploitation des
failles du système ou d'accès non autorisé aux systèmes. Reportez-vous à la section « Profils
de protection contre les vulnérabilités » à la page 231.
• Profils de filtrage des URL visant à restreindre l'accès à des sites Web et à des catégories de
sites spécifiques. Reportez-vous à la section « Profils de filtrage des URL » à la page 234.
• Profils de blocage des fichiers visant à bloquer certains types de fichier. Reportez-vous à la
section « Profils de blocage des fichiers » à la page 237.
• Profils de filtrage des données visant à empêcher les informations sensibles comme les
numéros de carte de crédit ou de sécurité sociale de quitter la zone protégée par le pare-feu.
Reportez-vous à la section « Profils de filtrage des données » à la page 240.
En plus des profils individuels, vous pouvez créer des groupes de profils pour combiner des
profils qui sont souvent appliqués en même temps.
Remarque : Vous ne pouvez pas supprimer un profil qui est utilisé dans une
politique de sécurité.
Vous avez le choix parmi les actions suivantes pour la définition de profils antivirus et
antispyware.
• Par défaut - Action par défaut spécifiée en interne dans la signature pour chaque menace.
• Alerte - Génération d'une alerte pour chaque flux de trafic de l'application. L'alerte est
sauvegardée dans le journal des menaces.
• Bloquer - Abandon du trafic de l'application.
• Autoriser - Autorisation du trafic de l'application.
Vous avez le choix parmi les actions suivantes pour la définition de politiques de vulnérabilité :
• Aucune - Aucune action.
• Par défaut - Action par défaut spécifiée en interne pour chaque menace.
• Alerte - Génération d'une alerte pour chaque flux de trafic de l'application. L'alerte est
sauvegardée dans le journal des menaces.
• Abandonner - Abandon du trafic de l'application.
• Abandonner tous les paquets - Blocage de tous les paquets par le pare-feu.
• Réinitialiser les deux - Réinitialisation du client et du serveur.
• Réinitialiser le client - Réinitialisation du client.
• Réinitialiser le serveur - Réinitialisation du serveur.

• IP bloquée - Cette action bloque le trafic d'une source ou d'une paire source-destination
(configurable) pendant une durée déterminée. Elle est disponible pour les profils antispyware
« phone home », les profils personnalisés de protection contre les vulnérabilités, les profils de
protection de zone et les règles de protection DoS.
Profils antivirus
Objets > Profils de sécurité > Antivirus
Une politique de sécurité peut inclure la définition d'un profil antivirus pour identifier les
applications à inspecter et l'action à prendre lorsqu'un virus est détecté. Le profil peut également
définir des actions visant à bloquer les téléchargements de logiciels espions. Le profil par défaut
inspecte l'ensemble des décodeurs de protocole répertoriés à la recherche de virus, génère des
alertes pour les protocoles Simple Mail Transport Protocol (SMTP), Internet Message Access
Protocol (IMAP) et Post Office Protocol Version 3 (POP3), et prend l'action par défaut pour
d'autres applications (alerte ou refus), en fonction du type de virus détecté.
Il est possible d'utiliser des profils personnalisés pour limiter les inspections antivirus sur le trafic
entre des zones de sécurité de confiance, ou au contraire les renforcer sur le trafic provenant de
zones non sécurisées comme Internet, ainsi que sur le trafic vers des destinations hautement
sensibles comme des batteries de serveurs.
Pour en savoir plus sur les types d'action, reportez-vous à la section « Profils de sécurité » à la
page 226.
Tableau 87. Paramètres des profils antivirus

Champ Description
Nom Saisissez un nom pour le profil (31 caractères maximum). Ce nom apparaît
dans la liste de profils antivirus pour la définition de politiques de sécurité.
Le nom est sensible à la casse et doit être unique. N'utilisez que des lettres,
des chiffres, des espaces, des tirets, des points et des caractères de
soulignement.
Description Saisissez une description du profil (255 caractères maximum).
Onglet Antivirus
Capture des paquets Cochez la case si vous voulez capturer des paquets identifiés.
Décodeurs et actions Pour chaque type de trafic que vous voulez inspecter, choisissez une action
dans la liste déroulante. Vous pouvez également prendre une action
spécifique basée sur des signatures créées par WildFire. Pour en savoir plus
sur WildFire, reportez-vous à la section « A propos de WildFire » à la
page 461.
Exceptions d'applications Identifiez des applications qui seront des exceptions à la règle antivirus.
et actions Par exemple, pour bloquer l'ensemble du trafic HTTP excepté pour une
application spécifique, vous pouvez définir un profil antivirus pour lequel
l'application est une exception. L'action Bloquer est utilisée pour le décodeur
HTTP, et l'action Autoriser pour faire de l'application une exception.
Pour trouver une application, commencez à saisir le nom de l'application
dans le champ textuel. Une liste d'applications correspondantes s'affiche
pour vous permettre de faire votre choix. L'application est ajoutée au tableau
et vous pouvez lui affecter une action.
Pour chaque exception d'application, sélectionnez l'action à prendre
lorsqu'une menace est détectée.

Tableau 87. Paramètres des profils antivirus (suite)

Champ Description
Onglet Exception de
virus
ID de menace Utilisez cet onglet si vous voulez que le système ignore des menaces
spécifiques. Les exceptions déjà définies sont répertoriées. Vous pouvez
ajouter des menaces supplémentaires en saisissant l'ID de menace et en
cliquant sur Ajouter. Les ID de menace figurent dans le journal des menaces.
Reportez-vous à la section « Affichage des journaux » à la page 287.
Profils antispyware
Objets > Profils de sécurité > Antispyware
Une politique de sécurité peut inclure la définition d'un profil antispyware pour la détection
du trafic « phone home » (détection du trafic provenant des logiciels espions installés). Le
profil antispyware par défaut détecte la protection phone-home pour tous les niveaux de
gravité, à l'exception des niveaux « faible » et « informations ».
Il est possible d'utiliser des profils personnalisés pour limiter les inspections antispyware sur
le trafic entre des zones de sécurité de confiance, ou au contraire les renforcer sur le trafic
provenant de zones non sécurisées comme Internet, ainsi que sur le trafic vers des
destinations hautement sensibles comme des batteries de serveurs.
Le paramètre Exceptions vous permet de modifier la réponse à une signature spécifique. Par
exemple, vous pouvez bloquer tous les paquets qui correspondent à une signature à
l'exception de celui sélectionné, ce qui génère une alerte.
Le paramètre Signatures DNS offre un moyen supplémentaire d'identifier les hôtes infectés
sur un réseau. Ces signatures détectent les requêtes DNS de noms d'hôte associés à des
logiciels malveillants. Les signatures DNS peuvent être configurées de manière à autoriser ou
bloquer (par défaut) ces requêtes ou à générer une alerte, comme dans le cas des signatures
antivirus courantes. En outre, les hôtes qui lancent des requêtes DNS associés à des sites
malveillants figureront dans le rapport du botnet. Les signatures DNS sont téléchargées dans
le cadre des mises à jour antivirus.
La page Antispyware présente un ensemble de colonnes par défaut. D'autres colonnes
d'informations sont disponibles depuis le sélecteur de colonnes. Cliquez sur la flèche à droite
de l'en-tête d'une colonne et faites votre sélection dans le sous-menu Colonnes. Pour en savoir
plus, reportez-vous à la section « Utilisation des tableaux des pages de configuration » à la
page 27.
Tableau 88. Paramètres des profils antispyware

Champ Description
Nom Saisissez un nom pour le profil (31 caractères maximum). Ce nom
apparaît dans la liste de profils antispyware pour la définition de
politiques de sécurité. Le nom est sensible à la casse et doit être unique.
N'utilisez que des lettres, des chiffres, des espaces, des tirets, des points et
des caractères de soulignement.

Tableau 88. Paramètres des profils antispyware (suite)

Champ Description
Partagé Si le périphérique est en mode Systèmes virtuels multiples, cochez cette case
pour autoriser le partage du profil avec l'ensemble des systèmes virtuels.
Onglet Règles
Nom de la règle Précisez le nom de la règle.
Nom de la menace Saisissez indifférent pour que toutes les signatures soient vérifiées, ou
saisissez du texte pour vérifier les signatures dont le nom contient le texte
saisi.
Gravité Choisissez un niveau de gravité (critique, élevée, moyenne, faible ou
informations).
Action Choisissez une action (Par défaut, Alerter, Autoriser ou Abandonner) pour
chaque menace.
Onglet Exceptions
Exceptions Cochez la case Activer pour chaque menace à laquelle vous voulez affecter
une action, ou sélectionnez Tout pour répondre à toutes les menaces
répertoriées. La liste dépend de l'hôte, de la catégorie et de la gravité
sélectionnés. Si la liste est vide, il n'existe aucune menace pour les sélections
en cours.
Utilisez la colonne Exemptions d'adresses IP pour ajouter des filtres
d'adresse IP à une exception de menace. Si des adresses IP sont ajoutées à une
exception de menace, l'action d'exception pour cette signature ne l'emportera
sur l'action de la règle que si la signature est déclenchée par une session dont
l'adresse IP source ou de destination correspond à une adresse IP de
l'exception. Vous pouvez ajouter jusqu'à 100 adresses IP par signature. Avec
cette option, vous n'avez pas besoin de créer une nouvelle règle de politique
et un nouveau profil de vulnérabilité pour créer une exception pour une
adresse IP spécifique.
Onglet Signature DNS
Signature DNS de l'hôte Choisissez une action à prendre lorsque des requêtes DNS correspondant à
infecté des sites malveillants connus sont envoyées (Alerte, Autoriser, ou l'action par
défaut Bloquer).
ID de menace Saisissez manuellement des exceptions à la signature DNS (plage 4000000-
4999999).

Profils de protection contre les vulnérabilités

Objets > Profils de sécurité > Protection contre les vulnérabilités
Une politique de sécurité peut inclure la définition d'un profil de protection contre les
vulnérabilités qui détermine le niveau de protection en fonction d'un dépassement de capacité de
la mémoire tampon, de l'exécution non autorisée de code et d'autres tentatives d'exploitation des
vulnérabilités du système. Le profil par défaut protège les clients et les serveurs contre l'ensemble
des menaces connues de gravité critique, élevée et moyenne.
Il est possible d'utiliser des profils personnalisés pour limiter les inspections de vulnérabilité sur le
trafic entre des zones de sécurité de confiance, ou au contraire renforcer la protection sur le trafic
provenant de zones non sécurisées comme Internet, ainsi que sur le trafic vers des destinations
hautement sensibles comme des batteries de serveurs. Pour appliquer des profils de protection
contre les vulnérabilités à des politiques de sécurité, reportez-vous à la section « Politiques de
Les paramètres Règles définissent des ensembles de signatures à activer, ainsi que des actions à
prendre lorsqu'une signature est déclenchée.
Le paramètre Exceptions vous permet de modifier la réponse à une signature spécifique. Par
exemple, vous pouvez bloquer tous les paquets qui correspondent à une signature à l'exception de
celui sélectionné, ce qui génère une alerte. L'onglet Exception offre des fonctions de filtrage.
La page Protection contre les vulnérabilités présente un ensemble de colonnes par défaut.
D'autres colonnes d'informations sont disponibles depuis le sélecteur de colonnes. Cliquez sur la
flèche à droite de l'en-tête d'une colonne et faites votre sélection dans le sous-menu Colonnes. Pour
en savoir plus, reportez-vous à la section « Utilisation des tableaux des pages de configuration » à
la page 27.
Tableau 89. Paramètres des profils de protection contre les vulnérabilités

Champ Description
apparaît dans la liste de profils de protection contre les vulnérabilités
pour la définition de politiques de sécurité. Le nom est sensible à la casse
et doit être unique. N'utilisez que des lettres, des chiffres, des espaces, des
tirets, des points et des caractères de soulignement.
case pour autoriser le partage du profil avec l'ensemble des systèmes
virtuels.
Onglet Règles
Nom de la règle Précisez un nom permettant d'identifier la règle.
Nom de la menace Précisez une chaîne textuelle à vérifier. Le pare-feu applique un ensemble
de signatures à la règle en recherchant cette chaîne textuelle dans les
noms des signatures.
Action Choisissez l'action (Alerte, Autoriser, Par défaut ou Bloquer) à prendre
lorsque la règle est déclenchée. L'action Par défaut est basée sur l'action
prédéfinie incluse dans chaque signature fournie par Palo Alto Networks.
Pour afficher l'action par défaut correspondant à une signature, accédez à
Objets > Profils de sécurité > Protection contre les vulnérabilités, et
cliquez sur Ajouter ou sélectionnez un profil existant. Cliquez sur l'onglet
Exceptions puis sur Montrer toutes les signatures. Une liste de toutes les
signatures s'affiche, accompagnée d'une colonne Action.

Tableau 89. Paramètres des profils de protection contre les vulnérabilités (suite)
Champ Description
Hôte Précisez s'il faut limiter les signatures pour la règle à celles qui se trouvent du
côté du client, celles qui se trouvent du côté du serveur ou les deux
(indifférent).
Capture des paquets Cochez cette case si vous voulez capturer le paquet qui a déclenché la règle.
Catégorie Sélectionnez une catégorie de vulnérabilité si vous voulez limiter les
signatures à celles qui correspondent à cette catégorie.
Liste CVE Précisez quelles sont les failles et vulnérabilités communes (CVE) si vous
voulez limiter les signatures à celles qui correspondent également aux CVE
spécifiées.
Chaque CVE se présente sous le format CVE-aaaa-xxxx, où aaaa correspond à
l'année et xxxx est son identifiant unique. Vous pouvez effectuer une
recherche de chaîne dans ce champ. Par exemple, pour trouver les
vulnérabilités correspondant à l'année 2011, saisissez « 2011 ».
ID constructeur Précisez des ID constructeur si vous voulez limiter les signatures à celles qui
correspondent également aux ID constructeur spécifiés.
Par exemple, les ID constructeur correspondant à Microsoft se présentent
sous la forme MSaa-xxx, où aa correspond à l'année au format deux chiffres et
xxx est son identifiant unique. Pour trouver le constructeur Microsoft pour
l'année 2009, saisissez « MS09 ».
Gravité Sélectionnez le niveau de gravité à vérifier (informations, faible, moyenne,
élevée ou critique) si vous voulez limiter les signatures à celles qui
correspondent également au niveau de gravité spécifié.

Tableau 89. Paramètres des profils de protection contre les vulnérabilités (suite)
Champ Description
Onglet Exceptions
Menaces Cochez la case Activer pour chaque menace à laquelle vous voulez affecter
une action, ou sélectionnez Tout pour répondre à toutes les menaces
répertoriées. La liste dépend de l'hôte, de la catégorie et de la gravité
sélectionnés. Si la liste est vide, il n'existe aucune menace pour les sélections
en cours.
Choisissez une action dans la liste déroulante, ou choisissez dans le menu
Action en haut de la liste pour appliquer la même action à l'ensemble des
menaces. Si la case Afficher tout est cochée, toutes les signatures sont
répertoriées. Si la case Afficher tout n'est pas cochée, seules les signatures qui
sont des exceptions sont répertoriées.
Cochez la case Capture des paquets si vous voulez capturer des paquets
identifiés.
La base de données des signatures contre les vulnérabilités contient des
signatures qui indiquent une attaque par force brute ; par exemple, l'ID de
menace 40001 est déclenché par une attaque FTP par force brute. Les
signatures de force brute sont déclenchées lorsqu'un événement survient au-
delà d'un seuil temporel donné. Les seuils sont préconfigurés pour les
signatures de force brute et peuvent être modifiés en cliquant sur l'icône
représentant un crayon à côté du nom de la menace sous l'onglet
Vulnérabilité (avec sélection de l'option Personnaliser). Vous pouvez définir
le nombre d'accès par unité de temps et si le seuil s'applique à la source, la
destination ou les deux.
Des seuils peuvent être appliqués à une adresse IP source, une adresse IP de
destination ou à une combinaison d'adresses IP source et de destination.
Remarque : L'action par défaut est indiquée entre parenthèses. La colonne CVE
affiche les identifiants correspondant aux failles et vulnérabilités communes (CVE).
Ces identifiants uniques concernent les vulnérabilités de sécurité informatique
courantes.
Utilisez la colonne Exemptions d'adresses IP pour ajouter des filtres

d'adresse IP à une exception de menace. Si des adresses IP sont ajoutées à une
exception de menace, l'action d'exception pour cette signature ne l'emportera
sur l'action de la règle que si la signature est déclenchée par une session dont
l'adresse IP source ou de destination correspond à une adresse IP de
l'exception. Vous pouvez ajouter jusqu'à 100 adresses IP par signature. Avec
cette option, vous n'avez pas besoin de créer une nouvelle règle de politique
et un nouveau profil de vulnérabilité pour créer une exception pour une
adresse IP spécifique.

Profils de filtrage des URL

Objets > Profils de sécurité > Filtrage des URL
Une politique de sécurité peut inclure la définition d'un profil de filtrage des URL qui bloque
l'accès à des sites Web et à des catégories de sites Web spécifiques, ou génère une alerte en cas
d'accès aux sites Web spécifiés (une licence de filtrage des URL est requise). Vous pouvez
également définir une « liste d'interdiction » de sites Web qui sont toujours bloqués (ou génèrent
des alertes) et une « liste d'autorisation » de sites Web qui sont toujours autorisés. Les catégories de
sites Web sont prédéfinies par Palo Alto Networks.
Pour appliquer des profils de filtrage des URL à des politiques de sécurité, reportez-vous à la
section « Politiques de sécurité » à la page 201. Pour créer des catégories d'URL personnalisées
avec vos propres listes d'URL, reportez-vous à la section « Catégories d'URL personnalisées » à la
page 261.
Tableau 90. Paramètres des profils de filtrage des URL

Champ Description
Nom Saisissez un nom pour le profil (31 caractères maximum). Ce nom apparaît
dans la liste de profils de filtrage des URL pour la définition de politiques de
sécurité. Le nom est sensible à la casse et doit être unique. N'utilisez que des
lettres, des chiffres, des espaces, des tirets et des caractères de soulignement.
Partagé Si le périphérique est en mode Systèmes virtuels multiples, cochez cette case
pour autoriser le partage du profil avec l'ensemble des systèmes virtuels.
Action sur l'expiration de Sélectionnez l'action à prendre si la licence de filtrage des URL arrive à
la licence expiration :
• Bloquer - Bloque l'accès à tous les sites Web de la liste d'interdiction ou des
catégories sélectionnées.
• Autoriser - Autorise l'accès à tous les sites Web.
Filtrage des URL Sélectionnez cette option pour activer la catégorisation des URL dynamiques.
dynamiques La catégorisation des URL tire parti d'une base de données de filtrage des
URL sur le pare-feu qui répertorie les URL les plus populaires et d'autres
URL relevant de catégories suspectes. La base de données de filtrage des
URL peut résoudre des requêtes que la base de données locale est incapable
de catégoriser. Cette option est appliquée par défaut en cas d'utilisation de la
base de données BrightCloud. Avec la base de données PAN, cette option est
activée par défaut et n'est pas configurable.
Pour configurer la réponse du système lorsqu'une URL n'est toujours pas
résolue au bout de cinq secondes, utilisez les paramètres Catégorie et Action
de cette fenêtre (voir plus loin dans ce tableau). Sélectionnez l'action pour la
catégorie « URL non résolues ».
Consigner la page de Cochez cette case pour ne consigner que les URL qui correspondent au type
conteneur uniquement de contenu spécifié. Cette case est cochée par défaut.

Tableau 90. Paramètres des profils de filtrage des URL (suite)

Champ Description
Liste d'interdiction Saisissez les adresses IP ou les URL des sites Web que vous voulez
bloquer ou pour lesquels vous voulez générer des alertes. Saisissez une
URL par ligne.
IMPORTANT : vous ne devez pas faire figurer la partie « http/https »

des URL lors de l'ajout de sites Web à la liste.
Les entrées de la liste d'interdiction doivent être exactes et sont sensibles à
la casse. Par exemple, « www.paloaltonetworks.com » est différent de
« paloaltonetworks.com ». Si vous voulez interdire le domaine dans son
ensemble, vous devez inclure à la fois « *.paloaltonetworks.com » et
« paloaltonetworks.com ».
Exemples :
• www.paloaltonetworks.com
• 198.133.219.25/en/US
Les listes d'interdiction et d'autorisation prennent en charge les modèles
avec caractères génériques. Les caractères suivants sont considérés
comme des séparateurs :
.
/
?
&
=
;
+
Chaque sous-chaîne séparée par les caractères répertoriés ci-dessus est
considérée comme un jeton. Un jeton peut se composer de n'importe quel
nombre de caractères ASCII sans séparateur, ou d'un * seul. Par exemple,
les modèles suivants sont valables :
*.yahoo.com (Les jetons sont : « * », « yahoo » et « com »)
www.*.com (Les jetons sont : « www », « * » et « com »)
www.yahoo.com/search=* (Les jetons sont : « www », « yahoo », « com »,
« search », « * »)
Les modèles suivants ne sont pas valables parce que le caractère « * » n'est
pas le seul caractère qui compose le jeton.
ww*.yahoo.com
www.y*.com
Action Sélectionnez l'action à prendre en cas d'accès à un site Web de la liste
d'interdiction.
• alerte - Autoriser l'utilisateur à accéder au site Web, mais ajouter une
alerte dans le journal des URL.
• bloquer - Interdire l'accès au site Web.
• continuer - Autoriser l'utilisateur à accéder à la page bloquée en
cliquant sur Continuer sur la page de blocage.
• contrôle prioritaire - Autoriser l'utilisateur à accéder à la plage bloquée
après avoir saisi un mot de passe. Le mot de passe et les autres
paramètres de contrôle prioritaire sont définis dans la zone Contrôle
prioritaire sur l'URL par l'administrateur de la page Paramètres.
Reportez-vous au tableau Tableau 1 à la section « Définition des


Champ Description
Liste d'autorisation Saisissez les adresses IP ou les URL des sites Web que vous voulez
autoriser ou pour lesquels vous voulez générer des alertes. Saisissez une
URL par ligne.
IMPORTANT : vous ne devez pas faire figurer la partie « http/https »

des URL lors de l'ajout de sites Web à la liste.
Les entrées de la liste d'autorisation doivent être exactes et sont sensibles
à la casse. Par exemple, « www.paloaltonetworks.com » est différent de
« paloaltonetworks.com ». Si vous voulez autoriser le domaine dans son
ensemble, vous devez inclure à la fois « *.paloaltonetworks.com » et
« paloaltonetworks.com ».
Exemples :
• www.paloaltonetworks.com
• 198.133.219.25/en/US
Les listes d'interdiction et d'autorisation prennent en charge les modèles
avec caractères génériques. Les caractères suivants sont considérés
comme des séparateurs :
.
/
?
&
=
;
+
Chaque sous-chaîne séparée par les caractères répertoriés ci-dessus est
considérée comme un jeton. Un jeton peut se composer de n'importe quel
nombre de caractères ASCII sans séparateur, ou d'un * seul. Par exemple,
les modèles suivants sont valables :
*.yahoo.com (Les jetons sont : « * », « yahoo » et « com »)
www.*.com (Les jetons sont : « www », « * » et « com »)
www.yahoo.com/search=* (Les jetons sont : « www », « yahoo », « com »,
« search », « * »)
Les modèles suivants ne sont pas valables parce que le caractère « * » n'est
pas le seul caractère qui compose le jeton.
ww*.yahoo.com
www.y*.com
Cette liste a priorité sur les catégories de sites Web sélectionnées.


Champ Description
Catégorie/Action Pour chaque catégorie, sélectionnez l'action à prendre en cas d'accès à un
site Web de la catégorie.
• alerte - Autoriser l'utilisateur à accéder au site Web, mais ajouter une
alerte dans le journal des URL.
• autoriser - Autoriser l'utilisateur à accéder au site Web.
• bloquer - Interdire l'accès au site Web.
• continuer - Autoriser l'utilisateur à accéder à la page bloquée en
cliquant sur Continuer sur la page de blocage.
• contrôle prioritaire - Autoriser l'utilisateur à accéder à la plage bloquée
après avoir saisi un mot de passe. Le mot de passe et les autres
paramètres de contrôle prioritaire sont définis dans la zone Contrôle
prioritaire sur l'URL par l'administrateur de la page Paramètres.
Reportez-vous au tableau Tableau 1 à la section « Définition des
Vérifier la catégorie Cliquez pour accéder au site Web où vous pouvez saisir une URL ou une
d'URL adresse IP pour afficher les informations de catégorisation.
Profils de blocage des fichiers

Objets > Profils de sécurité > Blocage des fichiers
Une politique de sécurité peut inclure la définition d'un profil de blocage des fichiers qui
interdit le chargement ou le téléchargement de types de fichier sélectionnés ou génère une
alerte lorsque les types de fichier spécifiés sont détectés. Le Tableau 92 dresse la liste des
formats de fichier pris en charge.
Pour appliquer des profils de blocage des fichiers à des politiques de sécurité, reportez-vous à
la section « Politiques de sécurité » à la page 201.
Tableau 91. Paramètres des profils de blocage des fichiers

Champ Description
apparaît dans la liste de profils de blocage des fichiers pour la définition
de politiques de sécurité. Le nom est sensible à la casse et doit être unique.
N'utilisez que des lettres, des chiffres, des espaces, des tirets et des
caractères de soulignement.

Tableau 91. Paramètres des profils de blocage des fichiers (suite)

Champ Description
virtuels.
Règles Définissez une ou plusieurs règles pour préciser l'action à prendre (le cas
échéant) pour les types de fichier sélectionnés. Pour ajouter une règle,
renseignez les informations suivantes et cliquez sur Ajouter :
• Nom - Saisissez un nom pour la règle (31 caractères maximum).
• Applications - Sélectionnez les applications auxquelles la règle
s'applique, ou sélectionnez indifférent.
• Types de fichier - Sélectionnez les types de fichier pour lesquels vous
voulez appliquer un blocage ou générer des alertes.
• Direction - Sélectionnez la direction du transfert de fichiers (Charger,
Télécharger ou Les deux).
• Action - Sélectionnez l'action à prendre lorsque les types de fichier
sélectionnés sont détectés :
– alerte - Une entrée est ajoutée dans le journal des menaces.
– bloquer - Le fichier est bloqué.
– continuer - Un message indique à l'utilisateur qu'un téléchargement
a été demandé et exige sa confirmation. L'objectif est de prévenir
l'utilisateur d'un possible téléchargement effectué à son insu
(téléchargement « drive-by ») et de lui donner l'opportunité de
poursuivre ou d'arrêter le téléchargement.
Remarque : lorsque vous créez un profil de blocage des fichiers avec
l'action continuer ou continuer et faire suivre (utilisée pour le
transfert WildFire), vous ne pouvez choisir que l'application
navigation Web. Si vous choisissez une autre application, le trafic
qui correspond à la politique de sécurité ne sera pas acheminé via le
pare-feu, car les utilisateurs ne seront pas avertis par une page les
invitant à continuer.
– faire suivre - Le fichier est automatiquement envoyé à WildFire.
– continuer et faire suivre - Une page de continuation s'affiche, et le
fichier est envoyé à WildFire (combine les actions continuer et faire
suivre).
Tableau 92. Formats de fichier pris en charge pour le blocage des fichiers
Champ Description
avi Fichier vidéo basé sur le format de fichier Microsoft AVI (RIFF)
bat Fichier batch MS DOS
bmp-upload Fichier d'image Bitmap (chargement seulement)
cab Fichier d'archive Microsoft Windows Cabinet
cmd Fichier de commande Microsoft
dll Microsoft Windows Dynamic Link Library
doc Document Microsoft Office
docx Document Microsoft Office 2007

Tableau 92. Formats de fichier pris en charge pour le blocage des fichiers (suite)
Champ Description
dwg Fichier Autodesk AutoCAD
enc-doc Document Microsoft Office chiffré
enc-docx Document Microsoft Office 2007 chiffré
enc-ppt Fichier Microsoft Office PowerPoint chiffré
enc-pptx Fichier Microsoft Office 2007 PowerPoint chiffré
enc-office2007 Fichier Microsoft Office 2007 chiffré
enc-rar Fichier rar chiffré
enc-xls Fichier Microsoft Office Excel chiffré
enc-xlsx Fichier Microsoft Office 2007 Excel chiffré
enc-zip Fichier zip chiffré
exe Fichier exécutable Microsoft Windows
flv Fichier vidéo Adobe Flash
gif-upload Fichier d'image GIF (chargement seulement)
gzip Fichiers compressés avec l'utilitaire gzip
hta Fichier d'application HTML
iso Fichier d'image disque basé sur la norme ISO-9660
jpeg-upload Fichier d'image JPG/JPEG (chargement seulement)
lha Fichier compressé avec l'utilitaire/algorithme lha
lnk Raccourci fichier Microsoft Windows
lzh Fichier compressé avec l'utilitaire/algorithme lha/lzh
mdb Fichier de base de données Microsoft Access
mdi Fichier d'acquisition de documents Microsoft
mov Fichier vidéo Apple Quicktime
mpeg Fichier vidéo qui utilise la compression MPEG-1 ou MPEG-2
msi Fichier package d'installation Microsoft Windows
msoffice Fichier Microsoft Office (doc, xls, ppt, pub, pst)
ocx Fichier Microsoft ActiveX
pdf Fichier Adobe Portable Document Format
pe Fichier Microsoft Windows Portable Executable (exe, dll, com, scr, ocx,
cpl, sys, drv, tlb)
pgp Clé de sécurité ou signature numérique chiffrée avec le logiciel PGP
pif Fichier d'informations de programme Windows contenant des
instructions exécutables
pl Fichier de script Perl
ppt Présentation Microsoft Office PowerPoint
pptx Présentation Microsoft Office 2007 PowerPoint

Tableau 92. Formats de fichier pris en charge pour le blocage des fichiers (suite)
Champ Description
psd Fichier Adobe Photoshop Document
rar Fichier compressé créé avec winrar
reg Fichier de registre Windows
rm Fichier Real Media RealNetworks
rtf Fichier Windows Rich Text Format
sh Fichier de script shell Unix
tar Fichier d'archive tar Unix
tif Fichier Windows Tagged Image File Format
torrent Fichier BitTorrent
wmf Métafichier Windows de stockage d'images vectorielles
wmv Fichier Windows Media Video
wri Fichier Windows Write
wsf Fichier de script Windows Script file
xls Microsoft Office Excel
xlsx Microsoft Office 2007 Excel
Zcompressed Fichier Z compressé dans Unix, décompressé avec la commande
décompresser
zip Fichier Winzip/pkzip
Profils de filtrage des données

Objets > Profils de sécurité > Filtrage des données
Une politique de sécurité peut inclure la définition d'un profil de filtrage des données visant à
empêcher les informations sensibles comme les numéros de carte de crédit ou de sécurité
sociale de quitter la zone protégée par le pare-feu.
Pour appliquer des profils de filtrage des données à des politiques de sécurité, reportez-vous à
la section « Politiques de sécurité » à la page 201.
Tableau 93. Paramètres des profils de filtrage des données

Champ Description
apparaît dans la liste de profils de transfert des journaux pour la
définition de politiques de sécurité. Le nom est sensible à la casse et doit
être unique. N'utilisez que des lettres, des chiffres, des espaces, des tirets
et des caractères de soulignement.

Tableau 93. Paramètres des profils de filtrage des données (suite)

Champ Description
virtuels.
Capture de données Cochez la case pour collecter automatiquement les données bloquées par
le filtre.
Remarque : Précisez un mot de passe pour l'option Gérer la protection des

données à la page Paramètres pour afficher vos données capturées. Reportez-vous
à la section « Définition des paramètres de gestion » à la page 32.

Pour ajouter un modèle de données, cliquez sur Ajouter et renseignez les informations
suivantes.
Tableau 94. Paramètres des modèles de données

Champ Description
Modèle de données Choisissez un modèle de données existant dans la liste déroulante
Modèle de données, ou configurez un nouveau modèle en choisissant
Modèle de données dans la liste et en renseignant les informations
suivantes :
• Nom - Choisissez un nom pour le modèle de données.
• Description - Choisissez une description pour le modèle de données.
• Partagé - Sélectionnez cette option si le modèle de données sera partagé
sur plusieurs systèmes virtuels.
• Pondération - Renseignez des valeurs unitaires qui seront utilisées dans
le calcul des seuils pour les modèles spécifiés. Par exemple, si vous
attribuez une pondération de 5 à SSN#, chaque instance d'un modèle
SSN fera augmenter le seuil par incréments de 5. En d'autres termes, la
détection de 10 modèles SSN donnera la pondération 10 x 5 = 50.
– CC# - Renseignez une pondération pour le champ carte de crédit
(plage 0-255).
– SSN# - Renseignez une pondération pour le champ numéro de
sécurité sociale, qui inclut des tirets comme dans l'exemple
123-45-6789 (plage 0-255, 255 étant la pondération la plus élevée).
– SSN# (sans tiret) - Renseignez une pondération pour le champ
numéro de sécurité sociale, qui ne contient aucun tiret comme dans
l'exemple 123456789 (plage 0-255, 255 étant la pondération la plus
élevée).
• Modèles personnalisés - Pour faire correspondre un modèle de
données personnalisé au trafic qui fait l'objet de ce profil, créez un
modèle de données personnalisé en cliquant sur Ajouter et en
renseignant le nom du modèle, l'expression régulière (regex) à vérifier
et la pondération (plage 0-255, 255 étant la pondération la plus élevée).
Vous pouvez ajouter plusieurs expressions de correspondance à un
même profil de modèle de données.
Applications Désignez les applications à inclure dans la règle de filtrage :
• Choisissez indifférent pour appliquer le filtre à toutes les applications
répertoriées. Cette sélection ne bloque pas toutes les applications
possibles, mais seulement celles qui sont répertoriées.
• Cliquez sur Ajouter pour désigner des applications individuelles.
Types de fichier Désignez les types de fichier à inclure dans la règle de filtrage :
• Choisissez indifférent pour appliquer le filtre à tous les types de fichier
répertoriés. Cette sélection ne bloque pas tous les types de fichier
possibles mais seulement ceux qui sont répertoriés.
• Cliquez sur Ajouter pour désigner des types de fichier individuels.
Direction Précisez si le filtre doit être appliqué dans la direction du chargement, du
téléchargement ou dans les deux directions.

Tableau 94. Paramètres des modèles de données (suite)

Champ Description
Seuil d'alerte Définissez la valeur de déclenchement d'une alerte. Par exemple, si vous
avez un seuil de 100 avec une pondération de SSN à 5, la règle devra
détecter au moins 20 modèles SSN pour être déclenchée (20 instances x
pondération de 5 = 100).
Seuil de blocage Définissez la valeur de déclenchement d'un blocage. Par exemple, si vous
avez un seuil de 100 avec une pondération de SSN à 5, la règle devra
détecter au moins 20 modèles SSN pour être déclenchée (20 instances x
pondération de 5 = 100).
Profils DoS
Objets > Profils de sécurité > Protection DoS
Une politique de protection DoS peut inclure la définition d'un profil visant à protéger contre
les attaques DoS et à prendre des mesures de protection en cas de correspondance des règles.
Le profil DoS décrit les types d'action et les critères de correspondance.
Pour appliquer des profils DoS à des politiques DoS, reportez-vous à la section « Politiques de
protection DoS » à la page 224.
Tableau 95. Paramètres des profils DoS

Champ Description
virtuels.
Type Précisez l'un des types de profil suivants :
• agrégé - Appliquer les seuils DoS configurés dans le profil à l'ensemble
des paquets qui correspondent aux critères de la règle à laquelle ce
profil est appliqué. Par exemple, une règle agrégée avec un seuil de
saturation SYN de 10000 paquets par seconde (pps) compte tous les
paquets qui correspondent à cette règle DoS particulière.
• classé - Appliquer les seuils DoS configurés dans le profil à l'ensemble
des paquets qui correspondent aux critères de classification (IP source,
IP de destination ou les deux).

Autres objets de politiques
Tableau 95. Paramètres des profils DoS (suite)

Champ Description
Onglet Protection
contre la saturation
Sous-onglet Saturation Cochez la case pour activer la protection contre la saturation SYN et
Syn configurez les paramètres suivants :
Sous-onglet Saturation • Choix - (Saturation SYN seulement) Choisissez parmi les options
UDP suivantes :
Sous-onglet Saturation – Abandon anticipé aléatoire - Abandon des paquets de manière
ICMP aléatoire avant que la limite DoS globale ne soit atteinte.
Sous-onglet Autre – Cookies SYN - Utilisation de cookies SYN pour indiquer qu'il n'est pas
nécessaire d'abandonner des connexions face à une attaque par
saturation SYN.
• Taux d'alarme - Taux (pps) auquel une alarme DoS est générée (plage 0-
2000000 pps, 10000 pps par défaut).
• Taux d'activation - Taux (pps) auquel une réponse DoS est activée (plage 0-
2000000 pps, 10000 pps par défaut).
• Débit maximum - Débit auquel les paquets seront abandonnés ou bloqués.
• Durée du blocage - Durée (en secondes) pendant laquelle les paquets
offensants seront refusés. Les paquets qui arrivent en cours de blocage ne
sont pas comptabilisés dans les alertes déclenchées.
Onglet Protection des
ressources
Sessions Cochez la case pour activer la protection des ressources.
Limite max. de sessions Précisez le nombre maximum de sessions simultanées. Si le profil DoS est
simultanées de type agrégé, cette limite s'applique à l'ensemble du trafic
correspondant à la règle DoS à laquelle le profil DoS est appliqué. Si le
profil DoS est de type classé, cette limite s'applique à l'ensemble du trafic
classé (IP source, IP de destination ou les deux) correspondant à la règle
DoS à laquelle le profil DoS est appliqué.

Les objets de politiques sont les éléments qui vous permettent de construire, de planifier et de
rechercher des politiques. Les types d'élément suivants sont pris en charge :
• Adresses et groupes d'adresses qui déterminent la portée de la politique. Reportez-vous à
la section « Adresses et groupes d'adresses » dans la section suivante.
• Applications et groupes d'applications qui vous permettent de définir comment les

applications logicielles sont traitées dans les politiques. Reportez-vous à la section
« Applications et groupes d'applications » à la page 249.
• Filtres d'applications qui vous permettent de simplifier les recherches. Reportez-vous à la

section « Filtres d'application » à la page 258.
• Services et groupes de services qui limitent les numéros de ports. Reportez-vous à la

section « Services » à la page 259.

• Modèles de données qui définissent des catégories d'informations sensibles pour les
politiques de filtrage des données. Reportez-vous à la section « Modèles de données » à la
page 260.
• Catégories d'URL personnalisées qui contiennent vos propres listes d'URL à inclure sous
forme de groupe dans les profils de filtrage des URL. Reportez-vous à la section
« Catégories d'URL personnalisées » à la page 261.
• Menaces (logiciels espions et vulnérabilités) qui nécessitent des réponses détaillées.

Reportez-vous à la section « Groupes de profils de sécurité » à la page 267.
• Transfert des journaux avec définition des paramètres des journaux. Reportez-vous à la
section « Transfert des journaux » à la page 268.
• Calendriers qui précisent quand les politiques sont actives. Reportez-vous à la section
« Calendriers » à la page 271.
Adresses et groupes d'adresses

Pour définir des politiques de sécurité pour des adresses source ou de destination spécifiques,
vous devez d'abord définir les adresses et plages d'adresses. Les adresses qui nécessitent les
mêmes paramètres de sécurité peuvent être combinées en groupes d'adresses qui deviennent des
unités à part entière.
Définition des plages d'adresses

Objets > Adresses
Pour définir des politiques de sécurité pour des adresses source ou de destination spécifiques,
vous devez d'abord définir les adresses et plages d'adresses. Les adresses qui nécessitent les
mêmes paramètres de sécurité peuvent être combinées en groupes d'adresses pour simplifier la
création des politiques (reportez-vous à la section « Définition des groupes d'adresses » à la
page 248).
Tableau 96. Paramètres des nouvelles adresses

Champ Description
Nom Saisissez un nom qui décrit les adresses à définir (63 caractères
maximum). Ce nom apparaît dans la liste d'adresses lors de la définition
case pour autoriser l'utilisation par l'ensemble des systèmes virtuels.
Description Saisissez une description de l'objet (255 caractères maximum).

Tableau 96. Paramètres des nouvelles adresses (suite)

Champ Description
Type Choisissez le type d'adresse ou de plage d'adresses IPv4, IPv6, FQDN, ou
Dynamique.
Masque réseau IP :
Saisissez l'adresse IPv4 ou IPv6 ou la plage d'adresses IP selon la notation
suivante :
adresse_ip/masque ou adresse_ip
où le masque est le nombre de valeurs binaires significatives utilisées pour
la partie réseau de l'adresse.
Exemple :
« 192.168.80.150/32 » désigne une adresse, et « 192.168.80.0/24 » désigne
toutes les adresses de 192.168.80.0 à 192.168.80.255.
Exemple :
« 2001:db8:123:1::1 » ou « 2001:db8:123:1::/64 »
Plage d'adresses IP :
Pour définir une plage d'adresses, sélectionnez Plage d'adresses IP et
saisissez une plage d'adresses. Le format est :
adresse_ip–adresse_ip
où chaque adresse peut être de type IPv4 ou IPv6.
Exemple :
« 2001:db8:123:1::1 » ou « 2001:db8:123:1::/22 »

Tableau 96. Paramètres des nouvelles adresses (suite)

Champ Description
Type (suite) FQDN :
Pour définir une adresse à l'aide du FQDN, sélectionnez FQDN et
saisissez le nom de domaine.
Le FQDN est résolu au moment de la validation. Les entrées sont ensuite
rafraîchies lorsque que la durée de vie DNS expire (ou arrive à
expiration). Le FQDN est résolu par le serveur DNS du système ou un
objet proxy DNS, si un proxy est configuré. Pour en savoir plus sur le
proxy DNS, reportez-vous à la section « Proxy DNS » à la page 185.
Dynamique :
Indiquez un nom, une description et un identifiant qui seront utilisés par
l'API XML pour renseigner les adresses. L'identifiant peut être n'importe
quelle chaîne, doit être unique et ne se limite pas à à une norme d'UUID.
Une fois que vous avez défini le nom et l'identifiant, vous utilisez le
« nom » de l'objet dans vos politiques. L'identifiant (le champ situé à
droite de « Type : Dynamique » est utilisé pour mapper l'adresse IP
unique à un objet adresse dans le script de l'API XMP.
Identifiant
Cette fonction d'objets adresse dynamique est utile dans les

environnements où les adresses IP des hôtes changent souvent, par
exemple dans les environnements virtuels où des hôtes sont souvent
ajoutés et supprimés et où des basculements se produisent, ce qui peut
nécessiter un changement d'adresse IP. En utilisant un nom pour l'objet
adresse dynamique pour la vérification des politiques au lieu d'adresses
IP statiques ou de réseaux, il est possible de mettre à jour les adresses de
manière dynamique sans modifier la configuration du pare-feu.
Chaque objet adresse dynamique peut contenir jusqu'à 256 adresses IP.

Définition des groupes d'adresses

Objets > Groupes d'adresses
Pour simplifier la création des politiques de sécurité, les adresses qui requièrent les mêmes
paramètres de sécurité peuvent être combinées en groupes d'adresses.
Tableau 97. Groupe d'adresses

Champ Description
Nom Saisissez un nom qui décrit le groupe d'adresses (63 caractères
maximum). Ce nom apparaît dans la liste d'adresses lors de la définition
case pour autoriser l'utilisation par l'ensemble des systèmes virtuels.
Adresses Cliquez sur Ajouter et sélectionnez des adresses et/ou d'autres groupes
d'adresses à inclure dans ce groupe.
Définition des régions

Objets > Régions
Le pare-feu prend en charge la création de règles de politique qui s'appliquent à des pays
spécifiques ou à d'autres régions. L'option région est disponible lors de la définition de la
source et de la destination des politiques de sécurité, des politiques de déchiffrement et des
politiques DoS. Vous pouvez faire votre choix parmi une liste standard de pays ou utiliser les
paramètres régionaux décrits dans cette section pour définir des régions personnalisées à
inclure sous forme d'options dans les règles des politiques de sécurité.
Tableau 98. Paramètres des nouvelles adresses

Champ Description
Nom Saisissez un nom qui décrit la région (31 caractères maximum). Ce nom
apparaît dans la liste d'adresses lors de la définition de politiques de
sécurité. Le nom est sensible à la casse et doit être unique. N'utilisez que
des lettres, des chiffres, des espaces, des tirets et des caractères de
soulignement.
Emplacement Pour indiquer la latitude et la longitude, cochez la case et renseignez les
géographique valeurs (format xxx.xxxxxx). Ces informations sont utilisées dans les
cartes du trafic et des menaces pour définir la portée d'application.
Reportez-vous à la section « Utilisation d'App-Scope » à la page 279.
Adresses Renseignez une adresse IP, une plage d'adresses IP ou un sous-réseau
pour identifier la région, en respectant les formats suivants :
x.x.x.x
x.x.x.x-a.a.a.a
x.x.x.x/n

Applications et groupes d'applications

Objets > Applications
La page Applications dresse la liste des divers attributs de chaque définition d'application,
tels que le risque relatif pour la sécurité que présente l'application (de 1 à 5). Le risque est
évalué sur des critères tels que la capacité de l'application à partager des fichiers, le fait qu'elle
soit sujette à utilisation frauduleuse ou tente de contourner les pare-feu. Plus la valeur est
élevée, plus le risque est important.
La partie supérieure de la page répertorie les attributs que vous pouvez utiliser pour filtrer la
liste. Le nombre à gauche de chaque entrée représente le nombre total d'applications qui
présentent cet attribut.
Sur cette page, vous pouvez effectuer les actions suivantes :
• Pour appliquer des filtres, cliquez sur un élément qui servira de base pour le filtrage. Par
exemple, pour limiter la liste à la catégorie Réseau, cliquez sur Réseau pour que la liste
n'affiche que les applications correspondantes.
• Pour filtrer la liste en fonction d'autres colonnes, sélectionnez une entrée dans ces
colonnes. Le filtrage est appliqué selon un ordre précis : par catégorie, par sous-catégorie,
par technologie, par risque et enfin par caractéristique.
La figure suivante montre un exemple d'application des filtres Catégorie, Sous-catégorie

et Risque. A l'application des deux premiers filtres, la colonne Technologie est
automatiquement limitée aux technologies correspondant aux catégories et sous-
catégories sélectionnées, même si un filtre Technologie n'a pas été explicitement appliqué.
A chaque fois qu'un filtre est appliqué, la liste d'applications dans la partie inférieure de
la page est automatiquement mise à jour, comme le montre la figure suivante. Tous les
filtres sauvegardés peuvent être visualisés dans Objets > Filtres de l'application.

• Pour rechercher une application spécifique, saisissez le nom ou la description de l'application

dans le champ Recherche, et appuyez sur Entrée. L'application apparaît dans la liste, et les
colonnes de filtrage sont mises à jour pour afficher des statistiques relatives aux applications
qui correspondent à la recherche.
La recherche fonctionne avec des chaînes partielles. Lorsque vous définissez des politiques de
sécurité, vous pouvez rédiger des règles qui s'appliquent à toutes les applications qui
correspondent à un filtre sauvegardé. Ces règles sont mises à jour de manière dynamique
lorsqu'une nouvelle application est ajoutée par le biais d'une mise à jour du contenu qui
correspond au filtre.
• Cliquez sur le nom d'une application pour afficher des informations supplémentaires à son
sujet, comme le décrit le tableau suivant. Vous pouvez également personnaliser les valeurs de
risque et de délai.
Tableau 99. Détails de l'application

Nom Nom de l'application.
Description Description de l'application (255 caractères maximum).
Liens vers des sources en ligne (Wikipédia, Google et Yahoo!) qui
Informations supplémentaires
présentent des informations supplémentaires sur l'application.
Ports standard Ports que l'application utilise pour communiquer avec le réseau.
Peut transférer des fichiers Indique si l'application est capable de transférer des fichiers.
Utilisée par un logiciel Indique si l'application est utilisée par un logiciel malveillant.
malveillant
Utilisation excessive de la Indique si l'application utilise la bande passante de façon excessive,
bande passante avec un risque de compromission des performances du réseau.
Evasive Indique si l'application tente d'échapper aux pare-feu.
Largement utilisée Indique si les effets de l'application ont une portée étendue.
Contient des vulnérabilités Indique si l'application contient des vulnérabilités connues.
connues
Indique si l'application peut transporter d'autres applications dans
Véhicule d'autres applications
les messages qu'elle envoie.
Liste d'autres applications qui sont nécessaires pour que cette
Dépend des applications
application fonctionne.
Catégorie Catégorie de l'application.
Sous-catégorie Sous-catégorie de l'application.
Technologie Technologie de l'application.
Risque affecté à l'application.
Risque Pour personnaliser ce paramètre, cliquez sur le lien Personnaliser,

saisissez une valeur
(1-5) et cliquez sur OK.
Sujette à utilisation Indique si l'application a tendance à faire l'objet d'une utilisation
frauduleuse frauduleuse.

Tableau 99. Détails de l'application (suite)

Délai (en secondes) au bout duquel la session de l'application expire en
cas d'inactivité (de 1 à 604800 secondes). Ce délai d'expiration concerne
les protocoles autres que TCP ou UDP. Pour ces derniers, reportez-
Délai d'expiration de la session vous au lignes suivantes dans ce tableau.
Pour personnaliser ce paramètre, cliquez sur le lien Personnaliser,
saisissez une valeur (en secondes) et cliquez sur OK.
Délai d'attente avant l'arrêt d'un flux d'application TCP (de 1 à
604800 secondes).
Délai d'attente TCP (secondes)
Délai d'attente avant l'arrêt d'un flux d'application UDP (de 1 à
604800 secondes).
Délai d'attente UDP (secondes)
Lorsque le pare-feu n'est pas capable d'identifier une application à l'aide de son ID, le trafic est
classé comme inconnu (« unknown ») : unknown-tcp ou unknown-udp. Ce comportement
s'applique à toutes les applications inconnues, à l'exception de celles qui émule complètement
le protocole HTTP. Pour en savoir plus, reportez-vous à la section « Identification des
applications inconnues et prise de mesures » à la page 300.
Vous pouvez créer de nouvelles définitions pour les applications inconnues, puis définir des
politiques de sécurité correspondantes. En outre, les applications qui nécessitent les mêmes
paramètres de sécurité peuvent être combinées en groupe d'applications pour simplifier la
création des politiques de sécurité.
Définition des applications

Objets > Applications
Utilise.z la page Applications pour ajouter de nouvelles applications à évaluer par le pare-feu
lors de l'exécution de politiques.
Tableau 100. Paramètres des nouvelles applications

Champ Description
Onglet Configuration
Nom Saisissez un nom pour l'application (31 caractères maximum). Ce nom
apparaît dans la liste d'applications lors de la définition de politiques de
des lettres, des chiffres, des espaces, des points, des tirets et des caractères
de soulignement. Le caractère final doit être une lettre.
case pour autoriser le partage de l'application avec l'ensemble des
systèmes virtuels.
Description Saisissez une description de l'application à titre de référence générale

Tableau 100. Paramètres des nouvelles applications (suite)

Champ Description
Catégorie Sélectionnez la catégorie de l'application, par exemple courrier
électronique ou base de données. Pour obtenir une description de chaque
catégorie, reportez-vous à la section « Catégories et sous-catégories
d'applications » à la page 477. La catégorie est utilisée pour générer le
diagramme du Top 10 des catégories d'applications et à des fins de
filtrage (reportez-vous à la section « Utilisation du centre de commande
de l'application » à la page 275).
Sous-catégorie Sélectionnez la sous-catégorie de l'application, par exemple courrier
électronique ou base de données. Pour obtenir une description de chaque
sous-catégorie, reportez-vous à la section « Catégories et sous-catégories
d'applications » à la page 477. La sous-catégorie est utilisée pour générer
le diagramme du Top 10 des catégories d'applications et à des fins de
filtrage (reportez-vous à la section « Utilisation du centre de commande
de l'application » à la page 275).
Technologie Sélectionnez la technologie de l'application. Pour obtenir une description
de chaque technologie, reportez-vous à la section « Technologies
d'applications » à la page 479.
App parent Désignez une application parent pour cette application. Ce paramètre
s'applique lorsqu'une session correspond à la fois à l'application parent et
à l'application personnalisée ; toutefois, l'application personnalisée est
reportée car elle est plus spécifique.
Risque Sélectionnez le niveau de risque associé à cette application (1 = le plus
faible, 5 = le plus élevé).
Caractéristiques Sélectionnez les caractéristiques de l'application qui peuvent présenter un
risque pour cette dernière. Pour obtenir une description de chaque
caractéristique, reportez-vous à la section « Caractéristiques
d'applications » à la page 479.
Onglet Avancé
Port Si l'application utilise le protocole TCP et/ou UDP, sélectionnez Port et
saisissez une ou plusieurs combinaisons de protocole et de numéro de
port (une entrée par ligne). Le format courant est :
<protocole>/<port>
où le <port> est un numéro de port unique, ou dynamic en cas
d'attribution de port dynamique.
Exemples : TCP/dynamic ou UDP/32.
Ce paramètre est appliqué lors de l'utilisation de la valeur app-défaut
dans la colonne Service d'une règle de sécurité.
Protocole IP Pour spécifier un protocole IP autre que TCP ou UDP, sélectionnez
Protocole IP et saisissez le numéro de protocole (de 1 à 255).
Type ICMP Pour spécifier un type Internet Control Message Protocol version 4 (ICMP),
sélectionnez Type ICMP et saisissez le numéro de type (plage 0-255).
Type ICMP6 Pour spécifier un type Internet Control Message Protocol version 6
(ICMPv6), sélectionnez Type ICMP6 et saisissez le numéro de type
(plage 0-255).
Aucun Pour spécifier des signatures indépendantes de tout protocole, sélectionnez
Aucun.


Champ Description
Délai avant expiration Saisissez le nombre de secondes avant l'arrêt d'un flux d'application
inactif (de 0 à 604800 secondes). La valeur 0 indique que le délai avant
expiration par défaut de l'application est utilisé. Cette valeur est utilisée
pour les protocoles autres que TCP et UDP dans tous les cas et pour les
délais d'attente TCP et UDP lorsque ces derniers ne sont pas spécifiés.
Délai d'attente TCP Saisissez le nombre de secondes avant l'arrêt d'un flux d'application TCP
inactif (de 0 à 604800 secondes). La valeur 0 indique que le délai avant
expiration par défaut de l'application est utilisé.
Saisissez le nombre de secondes avant l'arrêt d'un flux d'application UDP
Délai d'attente UDP inactif (de 0 à 604800 secondes). La valeur 0 indique que le délai avant
expiration par défaut de l'application est utilisé.
Analyse Cochez les cases correspondant aux types d'analyse que vous voulez
autoriser, en fonction des profils de sécurité (types de fichier, modèles de
données et virus).


Champ Description
Onglet Signature
Signatures Cliquez sur Ajouter pour ajouter une nouvelle signature, et renseignez
les informations suivantes :
• Nom de la signature - Saisissez un nom permettant d'identifier la
signature.
• Commentaire - Saisissez une description (facultatif).
• Portée - Indiquez s'il faut appliquer cette signature à la transaction en
cours seulement pendant toute la session utilisateur.
• Correspondance de l'état ordonné - Indiquez si l'ordre dans lequel les
conditions de la signature sont définies à son importance.
Indiquez des conditions pour la définition des signatures :
• Ajoutez une condition en cliquant sur Ajouter une condition AND ou
Ajouter une condition OR. Pour ajouter une condition au sein d'un
groupe, sélectionnez-le puis cliquez sur Ajouter une condition.
• Sélectionnez un opérateur entre Correspondance des modèles et Egal
à. Si vous choisissez un opérateur de correspondance des modèles,
précisez les informations suivantes :
– Contexte - Choisissez parmi les contextes disponibles.
– Modèle - Précisez une expression régulière. Consultez le tableau
Tableau 104 pour connaître les règles concernant les expressions
régulières.
– Qualificatif et Valeur - Ajoutez des paires qualificatif/valeur
(facultatif).
• Si vous choisissez un opérateur d'égalité, précisez les informations
suivantes :
– Contexte - Faites votre choix parmi les requêtes inconnues et les
réponses pour le protocole TCP ou UDP.
– Position - Faites votre choix parmi les quatre premiers ou les quatre
seconds octets de la charge utile.
– Masque - Renseignez une valeur hexadécimale 4 octets, par exemple
0xffffff00.
– Valeur - Renseignez une valeur hexadécimale 4 octets, par exemple
0xaabbccdd.
• Pour déplacer une condition au sein d'un groupe, sélectionnez la
condition et cliquez sur la flèche Déplacer en haut ou Déplacer en bas.
Pour déplacer un groupe, sélectionnez-le et cliquez sur la flèche
Déplacer en haut ou Déplacer en bas. Vous ne pouvez pas déplacer des
conditions d'un groupe vers un autre.
Remarque : Il n'est pas nécessaire de spécifier des signatures pour l'application si

celle-ci est utilisée uniquement dans des règles de contrôle prioritaire sur
l'application.
Pour importer une application, cliquez sur Importer. Accédez au fichier et sélectionnez le
système virtuel cible dans la liste déroulante Destination.
Pour exporter l'application, cochez la case correspondant à l'application et cliquez sur
Exporter. Suivez les invites pour sauvegarder le fichier.

Applications personnalisées avec signatures

Vous pouvez définir des applications personnalisées avec signatures. Cette section vous
présente des exemples pour vous montrer comment procéder. Reportez-vous au guide Guide
de référence de l'interface de ligne de commande PAN-OS pour en savoir plus sur la commande
d'affichage des applications.
Exemple - Détecter le trafic Web vers un site spécifié

Cet exemple vous montre une application qui détecte le trafic Web à destination du site
www.specifiedsite.com.
Les requêtes adressées au site Web se présentent sous la forme suivante :
GET /001/guest/
viewprofile.act?fa=25&tg=M&mg=F&searchType=zipcode&type=QUICK&pict=true&cont
ext=adrr&zip=94024&ta=34&sb=&item=0&pn=0 HTTP/1.1
Host: www.specifiedsite.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7)

Gecko/2009021910 Firefox/3.0.7 Accept: text/html,application/
xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300 Connection: keep-alive Referer: http://www.specifiedsite.com/
001/guest/
search.act?type=QUICK&pict=true&sb=&fa=25&ta=34&mg=F&tg=M&searchType=zipcode
&zip=94024&context=adrr&context=adrr Cookie:
JSESSIONID=A41B41A19B7533589D6E88190B7F0B3D.001; specifiedsite.com/
jumpcookie=445461346*google.com/search?q=lava+life&; locale=en_US;
campaign=1; imageNum=2; cfTag_LogSid=9327803497943a1237780204643;
__utma=69052556.1949878616336713500.1238193797.1238193797.1238193797.1;
__utmb=69052556.2.10.1238193797; __utmc=69052556;
__utmz=69052556.1238193797.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
; __utmv=69052556.gender%3Df; launch=1
La signature suivante peut identifier le trafic specifiedsite si le champ hôte est

www.specifiedsite.com.
username@hostname# show application specifiedsite
specifiedsite {
category collaboration;
subcategory social-networking;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
or-condition {
o1 {
context http-req-host-header;
pattern www\.specifiedsite\.com;
}
}
}
}
}
}
}

Exemple - Détecter une publication sur un blog spécifié

Cet exemple vous montre une application qui détecte l'activité de publication sur le blog
www.specifiedblog.com. Dans cet exemple, il n'est pas nécessaire de détecter les tentatives de
lecture du blog, mais uniquement de détecter lorsqu'un article est en cours de publication.
La requête portant sur le trafic de publication se présente comme suit :
POST /wp-admin/post.php HTTP/1.1 Host: panqa100.specifiedblog.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7)
Gecko/2009021910 Firefox/3.0.7 Accept: text/html,application/
xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300 Connection: keep-alive Referer: http://
panqa100.specifiedblog.com/wp-admin/post.php?action=edit&post=1
Cookie: __utma=96763468.235424814.1238195613.1238195613.1238195613.1;
__utmb=96731468; __utmc=96731468;
__utmz=96731468.1238195613.1.1.utmccn=(organic)|utmcsr=google|utmctr=blog+ho
st|utmcmd=organic; wordpressuser_bfbaae4493589d9f388265e737a177c8=panqa100;
wordpresspass_bfbaae4493589d9f388265e737a177c8=c68a8c4eca4899017c58668eacc05
fc2
Content-Type: application/x-www-form-urlencoded Content-Length: 462
user_ID=1&action=editpost&post_author=1&post_ID=1&post_title=Hello+world%21&
post_category%5B%5D=1&advanced_view=1&comment_status=open&post_password=&exc
erpt=&content=Hello+world.%3Cbr+%2F%3E&use_instant_preview=1&post_pingback=1
&prev_status=publish&submit=Save&referredby=http%3A%2F%2Fpanqa100.specifiedb
log.com%2Fwp-admin%2F&post_status=publish&trackback_url=&post_name=hello-
world&post_author_override=1&mm=3&jj=27&aa=2009&hh=23&mn=14&ss=42&metakeyinp
ut=&metavalue=HTTP/1.1
Le champ hôte inclut le modèle specifiedblog.com. Toutefois, si une signature est rédigée avec
cette valeur dans l'hôte, elle correspondra à tout le trafic à destination de specifiedblog.com, y
compris le trafic de publication et de lecture. Par conséquent, il n'est pas nécessaire de
chercher d'autres modèles.

Il suffit de rechercher les modèles post_title et post-author dans les paramètres de la

publication. La signature obtenue détecte les publications sur le site Web :
username@hostname# show application specifiedblog_blog_posting
specifiedblog_blog_posting {
category collaboration;
subcategory web-posting;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
or-condition {
o1 {
context http-req-host-header;
pattern specifiedblog\.com;
method POST;
}
}
}
a2 {
or-condition {
o2 {
context http-req-params;
pattern post_title;
method POST;
}
}
}
a3 {
or-condition {
o3 {
context http-req-params;
pattern post_author;
method POST;
}
}
}
}
}
}
}
Définition des groupes d'applications

Objets > Groupes d'applications
Pour simplifier la création des politiques de sécurité, les applications qui requièrent les mêmes
paramètres de sécurité peuvent être combinées en groupes d'applications. Pour définir de
nouvelles applications, reportez-vous à la section « Définition des applications » à la page 251.
Tableau 101. Paramètres des nouveaux groupes

Champ Description
Nom Saisissez un nom qui décrit le groupe d'applications (31 caractères
maximum). Ce nom apparaît dans la liste d'applications lors de la
Applications Cliquez sur Ajouter et sélectionnez des applications, des filtres
d'application et/ou d'autres groupes d'applications à inclure dans ce
groupe.

Filtres d'application
Objets > Filtres d'application
Vous pouvez définir des filtres d'application pour simplifier les recherches répétées. Pour ce
faire, cliquez sur Ajouter et saisissez un nom pour le filtre.
Dans la partie supérieure de la fenêtre, cliquez sur un élément qui servira de base pour le
filtrage. Par exemple, pour limiter la liste à la catégorie Réseau, cliquez sur réseau.
Pour filtrer la liste en fonction d'autres colonnes, sélectionnez une entrée dans ces colonnes. Le
filtrage est appliqué selon un ordre précis : par catégorie, par sous-catégorie, par technologie,
par risque et enfin par caractéristique.
La figure suivante montre un exemple d'application des filtres Catégorie, Sous-catégorie et
Risque. A l'application des deux premiers filtres, la colonne Technologie est
automatiquement limitée aux technologies correspondant aux catégories et sous-catégories
sélectionnées, même si un filtre Technologie n'a pas été explicitement appliqué.
A chaque fois que vous sélectionnez une option, la liste d'applications dans la partie inférieure
de la page est automatiquement mise à jour, comme le montre la figure suivante.

Services
Objets > Services
Lorsque vous définissez des politiques de sécurité pour des applications spécifiques, vous pouvez
sélectionner un ou plusieurs services pour limiter les numéros de ports que les applications
peuvent utiliser. Le service par défaut est indifférent, ce qui autorise tous les ports TCP et UDP.
Les services HTTP et HTTPS sont prédéfinis, mais vous pouvez ajouter des définitions
supplémentaires. Les services qui sont souvent affectés ensemble peuvent être combinés en
groupe de services pour simplifier la création des politiques de sécurité (reportez-vous à la section
« Groupes de services » à la page 259).
Tableau 102. Paramètres des services

Champ Description
Nom Saisissez un nom pour le service (63 caractères maximum). Ce nom
apparaît dans la liste de services lors de la définition de politiques de
soulignement.
Description Saisissez une description du service (255 caractères maximum).
case pour autoriser le partage par l'ensemble des systèmes virtuels.
Protocole Sélectionnez le protocole utilisé par le service (TCP ou UDP).
Port de destination Saisissez le numéro de port de destination (de 0 à 65535) ou la plage de
numéros de ports (port1-port2) utilisé(e) par le service. Utilisez des
virgules pour séparer les ports ou les plages. Le port de destination doit
être renseigné.
Port source Saisissez le numéro de port source (de 0 à 65535) ou la plage de numéros
de ports (port1-port2) utilisé(e) par le service. Utilisez des virgules pour
séparer les ports ou les plages. Le port source est facultatif.
Groupes de services
Objets > Groupes de services
Pour simplifier la création des politique de sécurité, vous pouvez combiner les services qui
requièrent les mêmes paramètres de sécurité en groupes de services. Pour définir de
nouveaux services, reportez-vous à la section « Services » à la page 259.
Tableau 103. Paramètres des groupes de services

Champ Description
Nom Saisissez un nom pour le groupe de services (63 caractères maximum). Ce
nom apparaît dans la liste de services lors de la définition de politiques de
soulignement.

Tableau 103. Paramètres des groupes de services (suite)

Champ Description
Service Cliquez sur Ajouter pour ajouter des services au groupe. Faites votre
sélection dans la liste déroulante, ou cliquez sur le bouton Service en bas
de la liste déroulante, et renseignez les paramètres. Reportez-vous à la
section « Services » à la page 259 pour obtenir une description des
paramètres.
Modèles de données
Les modèles de données vous permettent de définir des catégories d'informations sensibles
pouvant faire l'objet d'un filtrage à l'aide de politiques de sécurité de filtrage des données.
Pour obtenir des instructions sur la configuration des modèles de données, reportez-vous à la
section « Listes d'interdiction dynamiques » à la page 262.
Lors de l'ajout d'un nouveau modèle (expression régulière), les conditions suivantes
s'appliquent :
• Le modèle doit se composer d'une chaîne d'au moins 7 octets. Il peut en contenir plus,
mais pas moins.
• La recherche est sensible à la casse, comme dans la plupart des moteurs d'expressions
régulières. Il y a une différence entre rechercher « confidentiel », « Confidentiel » ou
« CONFIDENTIEL ».
La syntaxe des expressions régulières dans PAN-OS est similaire à celle des moteurs
traditionnels, mais chaque modèle est unique. Le tableau suivant décrit la syntaxe prise en
charge dans PAN-OS.
Tableau 104. Règles des modèles

Syntaxe Description
. Renvoie n'importe quel caractère unique.
? Renvoie le caractère ou l'expression qui précède 0 ou 1 fois. L'expression générale DOIT
figurer entre parenthèses.
Exemple : (abc)?
* Renvoie le caractère ou l'expression qui précède 0 ou plusieurs fois. L'expression
générale DOIT figurer entre parenthèses.
Exemple : (abc)*
+ Renvoie le caractère ou l'expression régulière qui précède 1 ou plusieurs fois.
L'expression générale DOIT figurer entre parenthèses.
Exemple : (abc)+
| Equivaut à « ou ».
Exemple : ((bif)|(scr)|(exe)) renvoie « bif », « scr » ou « exe ». Notez que les sous-
chaînes de rechange doivent être entre parenthèses.
- Utilisé pour créer des expressions étendues.
Exemple : [c-z] renvoie tout caractère entre c et z inclus.
[] Renvoie n'importe quel caractère.
Exemple : [abz]: renvoie n'importe lequel des caractères a, b ou z.

Tableau 104. Règles des modèles

Syntaxe Description
^ Renvoie n'importe quel caractère à l'exception de ceux-ci.
Exemple : [^abz] renvoie n'importe quel caractère à l'exception des caractères a, b ou z.
{} Nombre min./max. d'octets.
Exemple : {10-20} renvoie n'importe quelle chaîne comprise entre 10 et 20 octets. Doit se
trouver directement devant une chaîne fixe et n'est compatible qu'avec « - ».
\ Pour lancer une correspondance littérale sur n'importe lequel des caractères spéciaux
ci-dessus, il FAUT le faire précéder d'un « \ » (backslash).
&amp & est un caractère spécial, donc si vous recherchez « & » dans une chaîne, vous devez
plutôt utiliser « &amp ».
Exemples de modèles de données

Voici des exemples de modèles personnalisés valides :
• .*((Confidentiel)|(CONFIDENTIEL))
– Recherche le mot « Confidentiel » ou « CONFIDENTIEL » partout
– « .* » indique que la recherche porte sur n'importe quelle partie de la chaîne
– Ne renvoie pas « confidentiel » (tout en minuscules)
• .*((Exclusif &amp Confidentiel)|(Exclusif et Confidentiel))
– Recherche « Exclusif & Confidentiel » ou « Exclusif et Confidentiel »
– Plus précis que « Confidentiel »
• .*(Communiqué de presse).*((Ebauche)|(EBAUCHE)|(ébauche))
– Recherche « Communiqué de presse », suivi par diverses formes du mot « ébauche »,

ce qui peut indiquer que le communiqué de presse n'est pas prêt à être divulgué
• .*(Trinidad)
– Recherche un nom de code de projet, par exemple « Trinidad »
Catégories d'URL personnalisées

Objets > Catégories d'URL personnalisées
Cette fonction vous permet de créer vos propres listes d'URL à sélectionner dans n'importe
quel profil de filtrage des URL. Chaque catégorie personnalisée peut être contrôlée de manière
indépendante, et une action lui est associée dans chaque profil de filtrage des URL (autoriser,
bloquer, continuer, forcer ou alerter).
Il est possible de saisir des entrées de manière individuelle ou d'importer une liste d'URL.
Pour cela, créez un fichier texte contenant les URL à inclure (une URL par ligne). Chaque URL
peut être au format « www.exemple.com » et peut contenir le caractère générique « * »,
comme dans « *.exemple.com ». Pour en savoir plus sur les caractères génériques, reportez-
vous à la description de la liste d'interdiction dans Tableau 90 à la page 234.

Remarque : Les URL ajoutées aux catégories personnalisées sont sensibles à la

casse.
Pour obtenir des instructions sur le paramétrage des profils de filtrage des URL, reportez-
vous à la section « Profils de filtrage des URL » à la page 234.
Tableau 105. Catégories d'URL personnalisées

Champ Description
Nom Saisissez un nom pour identifier la catégorie d'URL personnalisée
(31 caractères maximum). Ce nom apparaît dans la liste de catégories lors
de la définition de politiques de sécurité. Le nom est sensible à la casse et
doit être unique. N'utilisez que des lettres, des chiffres, des espaces, des
tirets et des caractères de soulignement.
Description Saisissez une description de la catégorie d'URL (255 caractères
maximum).
virtuels.
Sites Dans la zone Sites, cliquez sur Ajouter pour saisir une URL ou cliquez sur
Importer et accédez au fichier texte qui contient la liste d'URL.
Listes d'interdiction dynamiques

Objets >Listes d'interdiction dynamiques
Utilisez la page Listes d'interdiction dynamiques pour créer un objet adresse basé sur une
liste importée d'adresses IP. La source de la liste doit être un fichier texte et se situer sur un
serveur Web. Vous pouvez paramétrer l'option Répéter de manière à mettre
automatiquement la liste à jour sur le périphérique toutes les heures, tous les jours, toutes les
semaines ou tous les mois. Après avoir créé une liste d'interdiction dynamique, vous pouvez
utiliser l'objet adresse des champs source et destination dans vos politiques de sécurité.
Chaque liste importée peut contenir jusqu'à 5000 adresses IP (IPv4 et/ou IPv6), plages
d'adresses IP ou sous-réseaux.
La liste doit contenir une adresse IP, plage ou sous-réseau par ligne, par exemple :
« 192.168.80.150/32 » désigne une adresse, et « 192.168.80.0/24 » désigne toutes les adresses
de 192.168.80.0 à 192.168.80.255.
Exemple :
« 2001:db8:123:1::1 » ou « 2001:db8:123:1::/64 »
Plage d'adresses IP :
Pour définir une plage d'adresses, sélectionnez Plage d'adresses IP et saisissez une plage
d'adresses. Le format est :
adresse_ip–adresse_ip
où chaque adresse peut être de type IPv4 ou IPv6.
Exemple :
« 2001:db8:123:1::1 » ou « 2001:db8:123:1::/22 »

Tableau 106 Listes d'interdiction dynamiques

Champ Description
Saisissez un nom pour identifier la liste d'interdiction dynamique
Nom (32 caractères maximum). Ce nom apparaît lors de la sélection de
la source ou de la destination dans une politique.
Saisissez une description de la liste d'interdiction (255 caractères
Description
maximum).
Saisissez une URL d'accès HTTP ou HTTPS vers le fichier texte.
Source Par exemple, http:\\1.1.1.1\monfichier.txt. Vous pouvez
également saisir le chemin d'accès d'un serveur UNC.
Indiquez la fréquence à laquelle la liste doit être importée. Vous
pouvez choisir une fréquence horaire, quotidienne,
Répéter hebdomadaire ou mensuelle. A l'intervalle spécifié, la liste est
importée dans la configuration. Une validation complète n'est
pas nécessaire pour ce type de mise à jour.
Vérifiez que l'URL source ou le chemin d'accès du serveur est
Tester l'URL source
disponible.
Signatures contre les logiciels espions et les vulnérabilités

personnalisées
Cette section décrit les options disponibles pour la création de signatures contre les logiciels
espions et les vulnérabilités personnalisées, qu'il est possible d'utiliser pour la création de
profils de protection contre les vulnérabilités personnalisés.
Objets > Signatures personnalisées > Modèles de données
Objets > Signatures personnalisées > Logiciels espions
Objets > Signatures personnalisées > Vulnérabilités
Définition des modèles de données

Objets > Signatures personnalisées > Modèles de données
Utilisez la page Modèles de données pour définir des catégories d'informations sensibles
pouvant faire l'objet d'un filtrage à l'aide de politiques de sécurité de filtrage des données.
Pour en savoir plus sur la définition des profils de filtrage des données, reportez-vous à la
section « Profils de filtrage des données » à la page 240.

Tableau 107. Paramètres des modèles de données

Champ Description
Nom Saisissez un nom pour le modèle de données (31 caractères maximum). Le
des chiffres, des espaces, des tirets et des caractères de soulignement.
Description Saisissez une description du modèle de données (255 caractères
maximum).

virtuels.
Pondération Saisissez des pondérations pour des types de modèle prédéfinis. La
pondération est un nombre compris entre 1 et 255. Les seuils d'alerte et de
blocage spécifiés dans le profil de filtrage des données dépendent de cette
pondération.
• CC# - Renseignez une pondération pour le champ carte de crédit (plage
0-255).
• SSN# - Renseignez une pondération pour le champ numéro de sécurité
sociale, qui inclut des tirets comme dans l'exemple 123-45-6789 (plage 0-
255, 255 étant la pondération la plus élevée).
• SSN# (sans tiret) - Renseignez une pondération pour le champ numéro
de sécurité sociale, qui ne contient aucun tiret comme dans l'exemple
123456789 (plage 0-255, 255 étant la pondération la plus élevée).
Modèles personnalisés Les modèles prédéfinis incluent les numéros de carte de crédit et les
numéros de sécurité sociale (avec ou sans tirets).
Cliquez sur Ajouter pour ajouter un nouveau modèle. Saisissez un nom
pour le modèle, l'expression régulière qui le définit et la pondération à lui
affecter. Ajoutez autant de modèles supplémentaires que nécessaire.
Définition des signatures contre les logiciels espions et les vulnérabilités

Objets > Signatures personnalisées > Logiciels espions et vulnérabilités
Le pare-feu prend en charge la création de signatures personnalisées contre les logiciels

espions et les vulnérabilités grâce à son moteur de détection des menaces. Vous pouvez
rédiger des modèles d'expressions régulières personnalisés pour identifier les
communications « phone home » des logiciels espions ou les exploitations de vulnérabilités.
Les modèles obtenus peuvent être utilisés dans n'importe quel profil personnalisé de
protection contre les vulnérabilités. Le pare-feu recherche les modèles personnalisés dans le
trafic réseau et prend l'action définie pour lutter contre l'exploitation de la vulnérabilité
détectée. Il est possible de créer des signatures personnalisées à l'aide des protocoles HTTP,
SMTP, IMAP, FTP, POP3, SMB, MSSQL, MSRPC, RTSP, SSH, SSL, Telnet, Unknown-TCP et
Unknown-UDP.
En option, vous pouvez inclure un attribut de temps dans la définition des signatures
personnalisées, en précisant un seuil par intervalle pour le déclenchement des actions
possibles en réponse à une attaque. L'action n'est prise qu'une fois le seuil atteint.

Utilisez la page Signatures personnalisées pour définir des signatures pour les profils de
protection contre les vulnérabilités.
Tableau 108. Signatures personnalisées - Vulnérabilités et logiciels espions

Champ Description
ID de menace Saisissez un identifiant numérique pour la configuration. Pour les
signatures contre les logiciels espions, la plage est 15000-18000 ; pour les
signatures contre les vulnérabilités, la plage est 41000-45000.
Nom Indiquez le nom de la menace.
virtuels.
Commentaire Saisissez un commentaire (facultatif).
Gravité Affectez un niveau qui indique la gravité de la menace.
Action par défaut Affectez l'action par défaut à prendre si les conditions de la menace sont
réunies :
• Alerte - Génération d'une alerte.
• Abandonner les paquets - Interdiction de passage des paquets.
• Réinitialiser les deux - Réinitialisation du client et du serveur.
• Réinitialiser le client - Réinitialisation du client.
• Réinitialiser le serveur - Réinitialisation du serveur.
• Blocage IP - Blocage de trafic pendant une période définie. Choisissez
de bloquer le trafic pour la source seulement ou pour la source et la
destination, et saisissez la durée (en secondes).
Direction Indiquez si la menace est évaluée depuis le client vers le serveur, depuis
le serveur vers le client, ou les deux.
Système affecté Indiquez si la menace implique le client, le serveur ou les deux.
S'applique aux signatures contre les vulnérabilités, mais non aux
signatures contre les logiciels espions.
CVE Indiquez l'identifiant CVE à titre de référence externe pour une analyse
plus approfondie.
Constructeur Indiquez l'identifiant du constructeur à titre de référence externe pour
une analyse plus approfondie.
Bugtraq Indiquez le bugtraq (similaire à l'identifiant CVE) à titre de référence
externe pour une analyse plus approfondie.
Référence Ajoutez tout lien qui permet une analyse plus approfondie. Ces
informations s'affichent lorsqu'un utilisateur clique sur la menace depuis
l'ACC, les journaux ou le profil de protection contre les vulnérabilités.

Tableau 108. Signatures personnalisées - Vulnérabilités et logiciels espions (suite)

Champ Description
Onglet Signatures
Signature standard Sélectionnez le bouton radio Standard, puis cliquez sur Ajouter pour
ajouter une nouvelle signature. Renseignez les informations suivantes :
• Standard - Saisissez un nom permettant d'identifier la signature.
• Commentaire - Saisissez une description (facultatif).
• Correspondance de l'état ordonné - Indiquez si l'ordre dans lequel les
conditions de la signature sont définies à son importance.
• Portée - Indiquez s'il faut appliquer cette signature à la transaction en
cours seulement pendant toute la session utilisateur.
Indiquez des conditions pour la définition des signatures :
groupe, sélectionnez-le puis cliquez sur Ajouter une condition. Faites
votre choix parmi les listes déroulantes Méthode etContexte. Spécifiez
une expression régulière dans le champ Modèle. Ajoutez autant de
modèles supplémentaires que nécessaire.
Association de Sélectionnez le bouton radio Association. Dans la zone au-dessus des
signatures sous-onglets, renseignez les informations suivantes :
Dans le sous-onglet Association de signatures, indiquez les conditions de
définition des signatures :
groupe, sélectionnez-le puis cliquez sur Ajouter une condition. Faites
votre choix parmi les listes déroulantes Méthode etContexte. Spécifiez
une expression régulière dans le champ Modèle. Ajoutez autant de
modèles supplémentaires que nécessaire.
Dans le sous-onglet Attribut temporel, indiquez les informations
suivantes :
• Nombre d'accès - Spécifiez le seuil de déclenchement d'une action basée
sur une politique sous la forme d'un nombre d'accès (1-1000) dans un
certain nombre de secondes (1-3600).
• Critères d'agrégation - Précisez si les accès sont comptabilisés par
adresse IP source, adresse IP de destination, ou une combinaison des
deux.

Groupes de profils de sécurité

Objets > Groupes de profils de sécurité
Le pare-feu prend en charge la création de groupes de profils de sécurité, ce qui permet de

définir des ensembles de profils de sécurité qui peuvent être traités en tant qu'unités puis
ajoutés aux politiques de sécurité. Par exemple, vous pouvez créer un groupe de profils de
sécurité « menaces » qui inclut des profils antivirus, antispyware et de protection contre les
vulnérabilités, puis créer une politique de sécurité comprenant ce profil « menaces ».
Les profils antivirus, antispyware, de protection contre les vulnérabilités, de filtrage des URL
et de blocage des fichiers qui sont souvent appliqués ensemble peuvent être combinés en
groupes de profils pour simplifier la création des politiques de sécurité.
Pour définir de nouveaux profils de sécurité, reportez-vous à la section « Définition de
politiques de sécurité » à la page 202.
Tableau 109. Paramètres des groupes de profils de sécurité

Champ Description
Nom Saisissez un nom pour le groupe de profils (31 caractères maximum). Ce
nom apparaît dans la liste de profils lors de la définition de politiques de
soulignement.
virtuels.
Profils Sélectionnez un profil antivirus, antispyware, de protection contre les
vulnérabilités, de filtrage des URL et/ou de blocage des fichiers à inclure
dans ce groupe. Les profils de filtrage des données peuvent également
figurer dans les groupes de profils de sécurité. Reportez-vous à la section
« Profils de filtrage des données » à la page 240.

Transfert des journaux

Objets > Transfert des journaux
Chaque politique de sécurité peut définir un profil de transfert des journaux qui détermine si
les entrées des journaux de trafic et des menaces sont journalisées à distance avec Panorama
et/ou envoyées sous forme de pièces SNMP, messages syslog ou notifications par courrier
électronique. Par défaut, seule la journalisation locale est effectuée.
Les journaux de trafic consignent des informations sur chaque flux de trafic, et les journaux
des menaces consignent les menaces ou problèmes rencontrés avec le trafic réseau, tels que les
détections de virus ou de logiciels espions. Notez que les profils antivirus, antispyware et de
protection contre les vulnérabilités associés à chaque règle déterminent quelles menaces sont
journalisées (localement ou à distance). Pour appliquer des profils de journalisation à des
politiques de sécurité, reportez-vous à la section « Politiques de sécurité » à la page 201.
Tableau 110. Paramètres des profils de transfert des journaux

Champ Description
Paramètres du trafic
Panorama Cochez la case pour activer l'envoi des entrées des journaux de trafic au
système de gestion centralisée Panorama. Pour définir l'adresse du
serveur Panorama, reportez-vous à la section« Définition des paramètres
de gestion » à la page 32.
Piège SNMP Sélectionnez les paramètres SNMP, syslog et/ou e-mail qui définissent les
E-mail destinations supplémentaires auxquelles les entrées des journaux de
Syslog trafic sont envoyées. Pour définir de nouvelles destinations, reportez-
vous à la section :
• « Configuration des destinations de pièges SNMP » à la page 82.
• « Vous pouvez configurer un format de journal personnalisé dans un
Profil de serveur Syslog en sélectionnant l'onglet Format de journal
personnalisé dans Périphérique > Profils de serveur > Syslog. Cliquez
sur le type de journal souhaité (configuration, système, menaces, trafic
ou correspondance HIP), puis sur les champs que vous souhaitez
afficher dans les journaux. Les tableaux suivants décrivent chaque
champ pour chaque type de journal. » à la page 84

Tableau 110. Paramètres des profils de transfert des journaux (suite)

Champ Description
Paramètres des journaux de menaces
Panorama Cliquez la case correspondant au niveau de gravité des entrées des
journaux de menaces à envoyer à Panorama. Les niveaux de gravité sont
les suivants :
• Critique - Attaques très sérieuses détectées par le moteur de détection
des menaces.
• Elevée - Attaques sérieuses détectées par le moteur de détection des
menaces.
• Moyenne - Attaques mineures détectées par le moteur de détection des
menaces, blocage des URL compris.
• Faible - Attaques à surveiller détectées par le moteur de détection des
menaces.
• Informations - Tous les autres événements qui ne sont pas couverts par
les autres niveaux de gravité, attaques signalées à titre d'information
seulement incluses.
Piège SNMP Sous chaque niveau de gravité, sélectionnez les paramètres SNMP, syslog
E-mail et/ou e-mail qui définissent les destinations supplémentaires auxquelles
Syslog les entrées des journaux de trafic sont envoyées.
Profils de déchiffrement
Objets > Profils de déchiffrement
Les profils de déchiffrement vous permettent de bloquer et de contrôler des aspects

spécifiques du proxy de transfert SSL, de l'inspection SSL entrante et du trafic SSH. Après
avoir créé un profil de déchiffrement, vous pouvez l'appliquer à une politique de
déchiffrement.
Vous pouvez également contrôler les AC auxquels votre périphérique fait confiance. Pour en
savoir plus, reportez-vous à la section « Autorités de certification de confiance » à la page 96.
Tableau 111. Paramètres des profils de déchiffrement

Champ Description
Onglet Proxy de
transfert SSL
Vérification des Sélectionnez des options de contrôle des certificats du serveur.
certificats du
serveur
Bloquer les sessions Mettez fin à la connexion SSL si le certificat du serveur a expiré. Cela empêche
avec un certificat l'utilisateur d'accepter un certificat expiré et de poursuivre une session SSL.
expiré
Bloquer les sessions Mettez fin à la session SSL si l'émetteur des certificats du serveur n'est pas
avec des émetteurs approuvé.
non approuvés


Champ Description
Limite les extensions de certificat utilisées pour le certificat du serveur
Limiter les
dynamique à l'utilisation de la clé et à l'utilisation améliorée de la clé.
extensions de
certificat Détails - Affiche des détails sur les valeurs utilisées pour l'utilisation de la clé
et l'utilisation améliorée de la clé.
Vérification des Sélectionnez des options de contrôle des applications SSL non prises
modes non pris en en charge.
charge
Bloquer les sessions Mettez fin aux sessions si le message « client hello » n'est pas pris en charge
avec une version par PAN-OS. Les versions SSL prises en charge par PAN-OS sont : SSLv3,
non prise en charge TLS1.0 et TLS1.1.
Bloquer les sessions Mettez fin à la session si la suite de chiffrement spécifiée dans la négociation
avec des suites de SSL n'est pas prise en charge par PAN-OS.
chiffrement non
prises en charge
Bloquer les sessions Mettez fin aux sessions avec authentification du client pour le trafic du proxy
avec de transfert SSL.
authentification du
client
Vérification des
échecs Sélectionnez l'action à prendre si les ressources du système ne sont pas
disponibles pour traiter le déchiffrement.
Bloquer les sessions Mettez fin aux sessions si les ressources du système ne sont pas disponibles
si les ressources ne pour traiter le déchiffrement.
sont pas
disponibles
Remarque : pour les modes et les défaillances non pris en charge, les
informations de session sont mises en cache pendant 12 heures ; par
conséquent, les sessions à venir entre les mêmes paires d'hôtes et de serveurs
ne sont pas déchiffrées. Cochez les cases pour bloquer ses sessions à la place.
Onglet Inspection
SSL entrante
Vérification des Sélectionnez des options de contrôle des sessions si des modes non
modes non pris en pris en charge sont détectés dans le trafic SSL.
charge
avec une version par PAN-OS. Les versions SSL prises en charge par PAN-OS sont : SSLv3,
non prise en charge TLS1.0 et TLS1.1.
Bloquer les sessions Mettez fin à la session si la suite de chiffrement utilisée n'est pas prise en
avec des suites de charge par PAN-OS.
chiffrement non
prises en charge
Vérification des Sélectionnez l'action à prendre si les ressources du système ne sont pas
échecs disponibles.


Champ Description
sont pas
disponibles
Onglet SSH
Vérification des Sélectionnez des options de contrôle des sessions si des modes non
modes non pris en pris en charge sont détectés dans le trafic SSH. La version SSH prise en
charge charge est SSH version 2.
avec une version par PAN-OS.
non prise en charge
Bloquer les sessions Mettez fin aux sessions si l'algorithme spécifié par le client ou le serveur n'est
avec des pas pris en charge par PAN-OS.
algorithmes non
pris en charge
Vérification des Sélectionnez les actions à prendre si des erreurs SSH surviennent et si les
échecs ressources du système ne sont pas disponibles.
Bloquer les sessions Mettez fin aux sessions si des erreurs SSH surviennent.
avec des erreurs
SSH
sont pas
disponibles
Calendriers
Objets > Calendriers
Par défaut, toutes les politiques de sécurité s'appliquent à toutes les dates et à toutes les
heures. Pour limiter l'application de politiques de sécurité à des horaires spécifiques, vous
pouvez définir des calendriers puis les appliquer aux politiques concernées. Pour chaque
calendrier, vous pouvez définir une date et une plage horaire fixes ou récurrentes. Pour
appliquer des calendriers à des politiques de sécurité, reportez-vous à la section « Politiques
de sécurité » à la page 201.
Remarque : Lorsqu'une politique de sécurité est invoquée par un calendrier

défini, seules les nouvelles sessions sont affectées par la politique de sécurité
appliquée. Les sessions existantes ne sont pas affectées par la politique planifiée.

Tableau 112. Paramètres des calendriers

Champ Description
Nom Saisissez un nom pour le calendrier (31 caractères maximum). Ce nom
apparaît dans la liste de calendriers lors de la définition de politiques de
soulignement.
Récurrence Sélectionnez le type de calendrier (Quotidien, Hebdomadaire ou Non
récurrent).
Quotidien Cliquez sur Ajouter et renseignez une heure de début et de fin au format
24 heures (HH:MM).
Hebdomadaire Cliquez sur Ajouter, sélectionnez un jour de la semaine, et précisez une
heure de début et de fin au format 24 heures (HH:MM).
Non récurrent Cliquez sur Ajouter et précisez une heure de début et de fin.

Chapitre 6
Rapports et journaux
Ce chapitre explique comment afficher les rapports et les journaux fournis avec le pare-feu :
• « Utilisation du tableau de bord » dans la section suivante
• « Utilisation du centre de commande de l'application » à la page 275
• « Utilisation d'App-Scope » à la page 279
• « Affichage des journaux » à la page 287
• « Utilisation des rapports du Botnet » à la page 290
• « Gestion de rapports de récapitulation au format PDF » à la page 293
• « Gestion des rapports d'activité des utilisateurs » à la page 295
• « Gestion des groupes de rapports » à la page 295
• « Planification des rapports pour la distribution par courrier électronique » à la page 296
• « Affichage des rapports » à la page 297
• « Génération de rapports personnalisés » à la page 298
• « Identification des applications inconnues et prise de mesures » à la page 300
• « Prise de captures de paquets » à la page 302
Remarque : La plupart des rapports de cette section prennent en charge la

sélection facultative d'un système virtuel dans la liste déroulante située en haut de
la page.
Palo Alto Networks Rapports et journaux • 273

Utilisation du tableau de bord
Utilisation du tableau de bord

Tableau de bord
La page Tableau de bord affiche des informations générales concernant un périphérique,

comme la version du logiciel, l'état opérationnel de chaque interface, l'utilisation des
ressources et jusqu' à 10 des entrées les plus récentes des journaux de menaces, de
configuration et systèmes. Tous les diagrammes disponibles s'affichent par défaut, mais
chaque utilisateur peut supprimer et ajouter des diagrammes individuels, le cas échéant.
Cliquez sur Actualiser pour mettre à jour le tableau de bord. Pour modifier l'intervalle
d'actualisation automatique, sélectionnez un intervalle dans la liste déroulante (1 min, 2 min,
5 min ou Manuel). Pour ajouter un widget au tableau de bord, cliquez sur la liste déroulante
Widget, sélectionnez une catégorie, puis le nom du widget. Pour supprimer un widget,
cliquez sur dans la barre de titre.
Prenez connaissance des informations suivantes figurant dans chaque diagramme.
Tableau 113. Diagrammes d'un tableau de bord

Diagramme Description
Principales applications Affiche les applications ayant le plus grand nombre de sessions. La taille
du bloc indique le nombre relatif de sessions (passez la souris sur le bloc
pour afficher le nombre correspondant) et la couleur indique les risques
de sécurité, vert pour des risques faibles et rouge pour des risques élevés.
Cliquez sur une application pour afficher son profil d'application.
Principales applications Identique à Principales applications, sauf que les applications présentant
présentant des risques les risques les plus élevés avec la plupart des sessions sont affichées.
élevés
Informations générales Affiche le nom du périphérique, le modèle, la version du logiciel
PAN-OS, l'application, la menace et les versions de définition du filtrage
d'URL, la date et l'heure actuelles, ainsi que le temps écoulé depuis le
dernier redémarrage.
État de l'interface Indique si chaque interface est active (vert), inactive (rouge) ou si sont état
est inconnu (gris).
Journaux de menaces Affiche l'ID de menace, l'application, ainsi que la date et l'heure des
10 dernières entrées du journal de menaces. L'ID de menace correspond à
la description ou à l'URL d'un site malveillant qui va à l'encontre du profil
de filtrage de l'URL.
Journaux de Affiche le nom d'utilisateur de l'administrateur, le client (Web ou CLI),
configuration ainsi que la date et l'heure des 10 dernières entrées du journal de
configuration.
Journaux de filtrage des Affiche la description, ainsi que la date et l'heure des dernières 60 minutes
données du journal de filtrage des données.
Journaux de filtrage Affiche la description, ainsi que la date et l'heure des dernières 60 minutes
d'URL du journal de filtrage d'URL.
Journaux systèmes Affiche la description, ainsi que la date et l'heure des dernières 10 entrées
du journal système. Notez qu'une entrée « Config. installée » indique que
les modifications apportées à la configuration ont été correctement
validées.
274 • Rapports et journaux Palo Alto Networks

Utilisation du centre de commande de l'application
Tableau 113. Diagrammes d'un tableau de bord (suite)

Ressources systèmes Affiche la gestion de l'utilisation du processeur, l'utilisation du panneau
de données et le nombre de sessions qui regroupe le nombre de sessions
établies via le pare-feu.
Administrateurs Affiche l'adresse IP source, le type de session (Web ou CLI) et l'heure de
connectés début de session pour chaque administrateur actuellement connecté.
Facteur de risque de Affiche le facteur de risque moyen (entre 1 et 5) du trafic réseau traité au
l'ACC cours de la semaine passée. Des valeurs supérieures indiquent des risques
accrus.
Haute disponibilité Si la haute disponibilité (HD) est activée, il indique le statut HD du
périphérique local et homologue : vert (actif), jaune (passif) ou noir
(autre). Pour plus d'informations sur la HD, consultez la section
« Activation de la HD sur le pare-feu » à la page 110.
Verrous Affiche les verrous de configuration utilisés par les administrateurs.

ACC
La page Centre de commande de l'application (ACC) affiche le niveau de risque global de

votre trafic réseau, les niveaux de risques et le nombre de menaces détectées pour les
applications les plus actives et présentant les risques les plus élevés sur votre réseau, ainsi que
le nombre de menaces détectées dans les catégories d'applications les plus utilisées et dans
toutes les applications à chaque niveau de risque. L'heure, le jour, la semaine, le mois passé(e)
ou n'importe quel délai personnalisé peut être consulté dans l'ACC.
Les niveaux de risques (1 = le plus bas et 5 = le plus élevé) indiquent les risques de sécurité
relatifs d'une application en fonction de critères, à savoir si l'application peut partager des
fichiers, si elle est sujette à une utilisation frauduleuse ou si elle essaie d'éviter les pare-feux.
Pour afficher le centre de commande de l'application :
1. Sous l'onglet ACC, modifiez un ou plusieurs des paramètres suivants situés en haut de la
page et cliquez sur Aller :
a. Sélectionnez un système virtuel, à condition que des systèmes virtuels soient définis.
b. Sélectionnez un délai dans la liste déroulante Délai. La valeur par défaut est Dernière
heure.
c. Sélectionnez une méthode de tri dans la liste déroulante Trier par. Vous pouvez trier
les diagrammes dans l'ordre croissant par nombre de sessions, d'octets ou de menaces.
La valeur par défaut est Nombre de sessions.

d. Pour la méthode de tri sélectionnée, choisissez le nombre maximum d'applications et de

catégories d'applications affichés dans chaque diagramme dans la liste déroulante Top.
Figure 21. Page du centre de commande de l'application
2. Pour ouvrir les pages de journaux associées aux informations de la page, utilisez les liens
du journal situés dans le coin supérieur droit de la page, comme indiqué ici. Le contexte
des journaux correspond aux informations figurant sur la page.
3. Pour filtrer la liste, cliquez sur un élément dans l'une des colonnes, cet élément va alors
être ajouté à la barre de filtre située au-dessus des noms de colonnes du journal. Après
avoir ajouté les filtres de votre choix, cliquez sur l'icône Appliquer un filtre.
4. Sélectionnez une vue dans la liste déroulante de la zone d'intérêt, comme décrit dans le
tableau suivant.
5. Utilisez les listes déroulantes pour les applications, les catégories d'URL, les menaces, les
types de contenus/fichiers et les objets HIP.

Tableau 114. Diagrammes du centre de commande de l'application

Application Affiche des informations organisées en fonction du menu sélectionné. Ces
informations incluent le nombre de sessions, les octets transmis et reçus,
le nombre de menaces, la catégorie de l'application, ses sous-catégories, sa
technologie et les niveaux de risques, le cas échéant.
• Applications
• Applications présentant des risques élevés
• Catégories
• Sous-catégories
• Technologie
• Risque
Filtrage d'URL Affiche des informations organisées en fonction du menu sélectionné. Ces
informations incluent l'URL, la catégorie d'URL, le nombre de répétitions
(fréquence des tentatives d'accès, le cas échéant).
• Catégories d'URL
• URL
• Catégories d'URL bloquées
• URL bloquées
Prévention des menaces Affiche des informations organisées en fonction du menu sélectionné. Ces
informations incluent l'ID de menace, un nombre (nombre d'occurrences),
le nombre de sessions et le sous-type (comme la vulnérabilité), le cas
échéant.
• Menaces
• Types
• Logiciel espion
• Logiciel espion Phone Home
• Téléchargements de logiciels espions
• Vulnérabilité
• Virus
Filtrage des données • Types de contenu/fichier
• Types
• Noms de fichiers
Correspondances HIP • Objets HIP
• Profils HIP

6. Pour afficher plus de détails, cliquez sur l'un des liens. Une page détaillée s'ouvre pour
afficher des informations concernant l'élément en haut de la page et des listes
supplémentaires d'éléments associés.
Figure 22. Page d'exploration du centre de commande de l'application

Utilisation d'App-Scope
Surveillance > App-Scope
Les rapports App-Scope présentent des outils de visibilité et d'analyse permettant d'identifier
un comportement problématique, vous aidant ainsi à comprendre les aspects suivants de
votre réseau :
• Modifications au niveau de l'utilisation de l'application et de l'activité des utilisateurs
• Utilisateurs et applications monopolisant la bande passante du réseau
• Menaces du réseau
Grâce aux rapports App-Scope, vous pouvez rapidement identifier tout comportement
inhabituel ou inattendu. Chaque rapport affiche une fenêtre dynamique et personnalisable
par l'utilisateur dans le réseau. Ces rapports contiennent des options permettant de
sélectionner les données et les plages à afficher.
Pour consulter des rapports, cliquez sur le nom d'un rapport sous App-Scope situé à gauche
de la page de l'onglet Surveillance. Sélectionnez l'un des types de rapports affichés ci-
dessous. Les options de rapport sont disponibles dans les listes déroulantes situées en haut et
en bas de certaines pages.
Tableau 115. Diagrammes du centre de commande de l'application

Récapitulatif « Rapport de récapitulation » à la page 280
Surveillance des « Rapport de surveillance des modifications » à la page 281
modifications
Surveillance des « Rapport de surveillance des menaces » à la page 282
menaces
Carte des menaces « Rapport de surveillance des menaces » à la page 282
Surveillance du réseau « Rapport de surveillance du réseau » à la page 284
Carte du trafic « Rapport de la carte du trafic » à la page 286

Rapport de récapitulation
Le rapport de récapitulation (Figure 23) affiche les diagrammes des cinq applications,
catégories d'applications, utilisateurs et sources obtenant, perdant et consommant le plus de
bande passante.
Figure 23. Rapport de récapitulation App-Scope

Rapport de surveillance des modifications

Le rapport de surveillance des modifications (Figure 24) affiche les modifications effectuées
au cours d'une période spécifiée. Par exemple, la Figure 24 affiche les applications les plus
utilisées au cours de la dernière heure par rapport à la dernière période de 24 heures. Les
principales applications sont définies par nombre de sessions et triées par pourcentage.
Figure 24. Rapport de surveillance des modifications App-Scope
Ce rapport contient les boutons et options suivants.
Tableau 116. Options du rapport de surveillance des modifications

Élément Description
Barre du haut
Détermine le nombre d'enregistrements dont la
mesure la plus élevée est incluse dans le diagramme.
Détermine le type d'élément signalé : application,

catégorie d'application, source ou destination.
Affiche les mesures des éléments dont le nombre a

augmenté au cours de la période évaluée.
Affiche les mesures des éléments dont le nombre a

baissé au cours de la période évaluée.
Affiche les mesures des éléments ajoutés au cours de

la période évaluée.

Tableau 116. Options du rapport de surveillance des modifications (suite)

Élément Description
Affiche les mesures des éléments abandonnés au
cours de la période évaluée.
Applique un filtre afin d'afficher uniquement

l'élément sélectionné. Aucun affiche toutes les
entrées.
Indique si des informations de sessions ou d'octets
doivent être affichées.
Indique si des entrées doivent être triées par

pourcentage ou par croissance brute.
Barre du bas
Indique la période au bout de laquelle les mesures
des modifications apportées sont réalisées.
Rapport de surveillance des menaces

Le rapport de surveillance des menaces (Figure 25) affiche le nombre de menaces principales
identifiées au cours de la période sélectionnée. Par exemple, la Figure 25 affiche les 10 types
de menaces principales rencontrées au cours des 6 dernières heures.
Figure 25. Rapport de surveillance des menaces App-Scope

Chaque type de menace est représenté par une couleur, comme indiqué dans la légende située
sous le diagramme. Ce rapport contient les boutons et options suivants.
Tableau 117. Boutons du rapport de surveillance des menaces

Bouton Description
Barre du haut
Détermine le nombre d'enregistrements dont la mesure la
plus élevée est incluse dans le diagramme.
Détermine le type d'élément mesuré : menace, catégorie de

menace, source ou destination.
Applique un filtre afin d'afficher uniquement le type

d'élément sélectionné.
Indique si les informations sont présentées sous la forme

d'un histogramme empilé ou d'un diagramme en aires
empilées.
Barre du bas
Indique la période au bout de laquelle des mesures sont
réalisées.
Rapport de la carte des menaces

Le rapport de la carte des menaces (Figure 26) affiche une vue géographique des menaces, y
compris leur gravité.
Figure 26. Rapport de surveillance des menaces App-Scope

Chaque type de menace est représenté par une couleur, comme indiqué dans la légende située
sous le diagramme. Cliquez sur un pays de la carte pour faire un zoom avant. Cliquez sur le
bouton Zoom arrière situé dans le coin inférieur droit de l'écran pour faire un zoom arrière.
Tableau 118. Boutons du rapport de la carte des menaces

Bouton Description
Barre du haut
Affiche les menaces entrantes.
Affiche les menaces sortantes.
Applique un filtre afin d'afficher uniquement le type

d'élément sélectionné.
Barre du bas
Indique la période au bout de laquelle des mesures sont
réalisées.
Rapport de surveillance du réseau

Le rapport de surveillance du réseau (Figure 27) affiche la bande passante dédiée aux
différentes fonctions réseaux au cours d'une période définie. Chacune de ces fonctions est
représentée par une couleur, comme indiqué dans la légende située sous le diagramme. Par
exemple, la Figure 27 montre la bande passante de l'application pour les 7 derniers jours et qui
se base sur des informations de session.

Figure 27. Rapport de surveillance du réseau App-Scope
Tableau 119. Boutons du rapport de surveillance du réseau

Bouton Description
Barre du haut
Détermine le type d'élément signalé : application, catégorie

d'application, source ou destination.
Applique un filtre afin d'afficher uniquement l'élément

sélectionné. Aucun affiche toutes les entrées.
Indique si des informations de sessions ou d'octets doivent

être affichées.
Indique si les informations sont présentées sous la forme d'un

histogramme empilé ou d'un diagramme en aires empilées.
Barre du bas
Indique la période au bout de laquelle les mesures des
modifications apportées sont réalisées.

Rapport de la carte du trafic

Le rapport de la carte du trafic (Figure 28) affiche une vue géographique des flux de trafic en
fonction des sessions ou des flux.
Figure 28. Rapport de surveillance du trafic App-Scope
Chaque type de trafic est représenté par une couleur, comme indiqué dans la légende située
sous le diagramme. Ce rapport contient les boutons et options suivants.
Tableau 120. Boutons du rapport de la carte des menaces

Bouton Description
Barre du haut
Détermine le nombre d'enregistrements dont la
mesure la plus élevée est incluse dans le
diagramme.
Affiche les menaces entrantes.
Affiche les menaces sortantes.
Indique si des informations de sessions ou

d'octets doivent être affichées.

Affichage des journaux
Tableau 120. Boutons du rapport de la carte des menaces (suite)

Bouton Description
Barre du bas
Indique la période au bout de laquelle les
mesures des modifications apportées sont
réalisées.

Surveillance > Journaux
Le pare-feu gère les journaux de correspondances WildFire, de configuration, systèmes,

d'alarmes, de flux de trafic, de menaces, de filtrage d'URL, de filtrage de données et HIP (Host
Information Profile). Vous pouvez afficher les journaux actifs à tout moment. Pour localiser
des entrées spécifiques, vous pouvez appliquer des filtres à la plupart des champs de journal.
Remarque : Le pare-feu affiche les informations dans les journaux afin que les
autorisations d'administration basées sur les rôles soient respectées. Lorsque vous
affichez des journaux, seules les informations que vous êtes autorisées à voir sont
incluses. Pour plus d'informations sur les autorisations d'administration,
consultez la section « Définition des rôles Administrateur » à la page 62.
Pour afficher les journaux, cliquez sur les types de journaux situés à gauche de la page dans
l'onglet Surveillance.
Chaque page du journal dispose d'une zone de filtrage située en haut de la page.
Utilisez cette zone de filtrage de la manière suivante :

• Cliquez sur l'un des liens soulignés dans la liste du journal pour ajouter cet élément en
tant qu'option de filtrage du journal. Par exemple, si vous cliquez sur 10.0.0.252 dans le
lien Hôte de l'entrée du journal et sur Navigation Web, ces deux éléments sont ajoutés et
la recherche va trouver des entrées correspondant à ces deux éléments (recherche de
type ET).
• Pour définir d'autres critères de recherche, cliquez sur l'icône Ajouter un filtre de
journal. Sélectionnez le type de recherche (et/ou), l'attribut à inclure dans la recherche,
l'opérateur correspondant et les valeurs de correspondance, le cas échéant. Cliquez sur
Ajouter pour ajouter un critère à la zone de filtrage dans la page du journal, puis cliquez
sur Fermer pour fermer la fenêtre contextuelle. Cliquez sur l'icône Appliquer un filtre
pour afficher la liste filtrée.
Remarque : Vous pouvez combiner des expressions de filtrage ajoutées dans la page du
journal avec celles que vous avez définies dans la fenêtre contextuelle Expression. Chacune
est ajoutée en tant qu'entrée sur la ligne Filtre de la page du journal.
Si vous définissez le filtre Heure de réception « en » sur Dernières 60 secondes, certains

liens de la page de la visionneuse du journal risquent de n'afficher aucun résultat, car le
nombre de pages peut augmenter ou diminuer en raison de la nature dynamique de l'heure
sélectionnée.

• Pour effacer les filtres et réafficher la liste non filtrée, cliquez sur le bouton Effacer le
filtre.
• Pour enregistrer vos sélections en tant que nouveau filtre, cliquez sur le bouton
Enregistrer le filtre, donnez un nom au filtre et cliquez sur OK.
• Pour exporter la liste active du journal (comme affichée sur la page, y compris tous les
filtres appliqués), cliquez sur le bouton Enregistrer le filtre. Indiquez si le fichier doit être
ouvert ou enregistré sur le disque, puis cochez cette case si vous voulez toujours utiliser la
même option. Cliquez sur OK.
Pour modifier l'intervalle d'actualisation automatique, sélectionnez un intervalle dans la liste

déroulante (1 min, 30 secondes, 10 secondes ou Manuel). Pour modifier le nombre d'entrées
par page dans le journal, sélectionnez le nombre de lignes dans la liste déroulante Lignes.
Les entrées du journal sont extraites par blocs de 10 pages. Utilisez les commandes de
pagination situées en bas de la page pour naviguer dans la liste du journal. Cochez la case
Résoudre le nom d'hôte pour commencer à résoudre des adresses IP externes en noms de
domaines.
Pour afficher des détails supplémentaires, cliquez sur l'icône loupe d'une entrée.
Figure 29. Détails d'une entrée de journal
Si la source ou la destination dispose d'une adresse IP pour nommer le mappage défini dans la
page Adresses, ce nom s'affiche à la place de l'adresse IP. Pour afficher l'adresse IP associée,
placez votre curseur sur le nom.

Prenez connaissance des informations suivantes dans chaque journal.
Tableau 121. Descriptions d'un journal

Trafic Affiche une entrée au début et à la fin de chaque session. Chaque entrée contient
la date et l'heure, les zones sources et de destination, des adresses et des ports, le
nom de l'application, le nom de la règle de sécurité appliquée au flux, l'action de
la règle (autoriser, refuser ou supprimer), l'interface d'entrée et de sortie, ainsi
que le nombre d'octets.
Cliquez sur en regard d'une entrée pour afficher des détails
supplémentaires concernant une session, à savoir si une entrée ICMP regroupe
plusieurs sessions entre une même source et destination (la valeur Nombre sera
supérieure à 1).
Notez que la colonne Type indique si l'entrée correspond au début ou à la fin
d'une session, ou si la session a été refusée ou supprimée. Une « suppression »
indique que la règle de sécurité qui bloquait le trafic a spécifié « n'importe
quelle » application, alors qu'un « refus » indique que la règle a identifié une
application spécifique.
Si le trafic est supprimé avant d'avoir identifié l'application, comme lorsqu'une
règle supprime l'ensemble du trafic d'un service spécifique, l'application affiche
« non applicable ».
Menace Affiche une entrée pour chaque alarme de sécurité générée par le pare-feu.
Chaque entrée inclut la date et l'heure, le nom ou l'URL d'une menace, les zones
sources et de destination, des adresses et des ports, le nom d'une application,
ainsi que l'action de l'alarme (autoriser ou bloquer) et sa gravité.
Cliquez sur en regard d'une entrée pour afficher des détails
supplémentaires concernant une menace, à savoir si une entrée regroupe
plusieurs menaces du même type entre une même source et destination (la
valeur Nombre sera supérieure à 1).
Notez que la colonne Type indique le type de menace, comme un « virus » ou un
« logiciel espion ». La colonne Nom correspond à la description ou à l'URL d'une
menace et la colonne Catégorie correspond à la catégorie de menace (comme un
« enregistreur de frappe ») ou à la catégorie d'URL.
Si les captures de paquets locaux sont activées, cliquez sur en regard d'une
entrée pour accéder aux paquets capturés,comme dans la figure suivante. Pour
activer les captures de paquets locaux, consultez les sous-sections de la section
« Profils de sécurité » à la page 226.
Filtrage d'URL Affiche les journaux des filtres d'URL qui bloquent l'accès à des sites Web
spécifiques et à des catégories de sites Web ou qui génèrent une alerte à chaque
consultation d'un site Web interdit. Pour plus d'informations sur la définition de
profils de filtrage d'URL, consultez la section « Profils de filtrage des URL » à la
page 234.
WildFire Affiche les journaux des fichiers qui sont téléchargés et analysés par le
serveur WildFire, les données des journaux sont renvoyées au
périphérique après analyse, avec les résultats de l'analyse.
Vous devez vous abonner pour pouvoir utiliser cette fonctionnalité. Si vous
n'êtes pas abonné, vous pouvez utiliser le portail WildFire pour afficher les
informations concernant un journal. Consultez la section « Utilisation du
portail WildFire » à la page 466.

Utilisation des rapports du Botnet
Tableau 121. Descriptions d'un journal (suite)

Filtrage des Affiche des journaux pour les politiques de sécurité qui empêchent des
données informations sensibles, comme des numéros de cartes de crédit ou de sécurité
sociale, de quitter la zone protégée par le pare-feu. Pour plus d'informations sur
la définition de profils de filtrage de données, consultez la section « Profils de
filtrage des données » à la page 240.
Pour configurer la protection par mot de passe pour accéder aux détails d'une
entrée de journal, cliquez sur l'icône . Saisissez un mot de passe et cliquez
sur OK. Pour obtenir des instructions sur la modification ou la suppression d'un
mot de passe pour la protection des données, consultez la section « Définition
des pages de réponse personnalisées » à la page 124.
Remarque : Le système vous invite à saisir votre mot de passe une seule fois par session.
Configuration Affiche une entrée pour chaque modification de la configuration. Chaque entrée
inclut la date et l'heure, le nom d'utilisateur de l'administrateur, l'adresse IP
correspondant à l'emplacement où la modification a été effectuée, le type de
client (Web ou CLI), le type de commande exécuté, la réussite ou l'échec de la
commande, le chemin de la configuration et les valeurs avant et après la
modification.
Système Affiche une entrée pour chaque événement du système. Chaque entrée inclut la
date et l'heure, la gravité de l'événement et sa description.
Correspondance Affiche des informations sur les politiques de sécurité qui s'appliquent aux
HIP clients GlobalProtect. Pour plus d'informations, consultez la section
« Présentation » à la page 365.
Alarmes Le journal d'alarmes enregistre des informations détaillées sur les alarmes qui
sont générées par le système. Les informations figurant dans ce journal sont
également indiquées dans la fenêtre Alarmes. Consultez la section « Affichage
des alarmes » à la page 92.
Affichage des informations de session

Surveillance > Navigateur de session
Ouvrez la page Navigateur de session pour parcourir et filtrer les sessions en cours
d'exécution sur le pare-feu. Pour plus d'informations sur les options de filtrage pour cette
page, consultez la section « Affichage des journaux » à la page 287.

La fonctionnalité Rapport du Botnet vous permet d'utiliser des mécanismes
comportementaux pour identifier d'éventuels hôtes infectés par un Botnet dans le réseau. À
l'aide des journaux réseaux, de menaces, d'URL et de filtrage des données, le pare-feu évalue
les menaces en fonction de critères incluant des visites dans des sites malveillants et des sites
DNS dynamiques, des visites dans des domaines récemment enregistrés (au cours des 30
derniers jours), l'utilisation d'une application inconnue et l'existence d'un trafic IRC (Internet
Relay Chat).
Après avoir corrélé et identifié les hôtes correspondant au comportement d'un Botnet infecté,
le pare-feu attribut à chaque hôte potentiellement infecté une note de confiance allant de 1 à 5
qui permet d'indiquer la probabilité d'une infection par un Botnet (1 indique une probabilité
d'infection faible et 5 la probabilité d'infection élevée). Étant donné que les mécanismes de

détection comportementaux exigent un trafic corrélé entre plusieurs journaux sur une période
de 24 heures, le pare-feu génère un rapport toutes les 24 heures qui contient une liste d'hôtes
triés en fonction de leur niveau de confiance.
Configuration d'un rapport du Botnet

Surveillance > Botnet
Les paramètres suivants permettent de spécifier des types de trafics suspicieux (trafics
pouvant indiquer l'activité d'un Botnet). Pour configurer ces paramètres, cliquez sur le bouton
Configuration situé à droite de la page Botnet.
Tableau 122. Paramètres de configuration d'un Botnet

Champ Description
Trafic HTTP Cochez la case Activer pour les événements que vous voulez inclure dans
les rapports :
• Visite de l'URL d'un site malveillant - Identifie les utilisateurs
communiquant avec des URL de sites malveillants connus en fonction
des catégories de filtrage d'URL du Botnet et des sites malveillants.
• Utilisation d'un DNS dynamique - Recherche le trafic d'une requête
DNS dynamique pouvant indiquer une communication avec un Botnet.
• Navigation dans des domaines IP - Identifie les utilisateurs qui
naviguent dans des domaines IP au lieu d'adresses URL.
• Navigation dans des domaines récemment enregistrés - Recherche du
trafic dans les domaines ayant été enregistrés au cours des 30 derniers
jours.
• Fichiers exécutables provenant de sites inconnus - Identifie les fichiers
exécutables téléchargés à partir d'URL inconnues.
Applications inconnues Cochez les cases suivantes pour indiquer des applications TCP ou UDP
inconnues comme étant suspicieuses et précisez les informations
suivantes :
• Sessions par heure - Nombre de sessions d'application par heure qui
sont associées à une application inconnue.
• Destinations par heure - Nombre de destinations par heure qui sont
associées à une application inconnue.
• Nombre minimum d'octets - Taille minimale de la charge utile.
• Nombre maximum d'octets - Taille maximale de la charge utile.
IRC Cochez cette case pour inclure des serveurs IRC comme étant suspicieux.

Gestions des rapports du Botnet

Surveillance > Botnet > Paramètre du rapport
Vous pouvez spécifier des requêtes de rapport, puis générer et afficher les rapports d'analyse
du Botnet. Ces rapports se basent sur les paramètres de configuration du Botnet (voir
« Configuration d'un rapport du Botnet » à la page 291). Vous pouvez inclure ou exclure des
adresses IP sources ou de destination, des utilisateurs, des zones, des interfaces, des régions
ou des pays.
Les rapports programmés sont exécutés une fois par jour. Vous pouvez également générer et
afficher des rapports sur demande en cliquant sur Exécuter maintenant dans la fenêtre où les
requêtes de rapport sont définies. Le rapport généré s'affiche sur la page Botnet.
Pour gérer les rapports du Botnet, cliquez sur le bouton Paramètre du rapport situé à droite
de la page Botnet.
Pour exporter un rapport, sélectionnez-le et cliquez sur Exporter au format PDF ou Exporter
au format CSV.
Tableau 123. Paramètres d'un rapport du Botnet

Champ Description
Tester le cadre Sélectionnez un délai pour le rapport (dernières 24 heures ou le dernier
d'exécution jour calendaire).
Nombre de lignes Indiquez le nombre de lignes dans le rapport.
Programmé Cochez cette case pour une exécution quotidienne du rapport. Si elle n'est
pas cochée, vous pouvez exécuter le rapport manuellement en cliquant
sur Exécuter maintenant en haut de la fenêtre Rapport du Botnet.
Requête Formulez une requête de rapport en spécifiant ce qui suit, puis en
cliquant sur Ajouter pour ajouter l'expression configurée à la requête.
Répétez ces différentes étapes, le cas échéant, pour formuler une requête
complète :
• Connecteur - Indiquez un connecteur logique (ET/OU).
• Attribut - Indiquez une zone, une adresse ou un utilisateur source ou
de destination.
• Opérateur - Indiquez un opérateur pour lier un attribut à une valeur.
• Valeur - Indiquez une valeur à faire correspondre.
Refuser Cochez cette case pour refuser une requête spécifiée, ce qui signifie que le
rapport va contenir toutes les informations qui ne résultent pas de cette
requête définie.

Gestion de rapports de récapitulation au format PDF

Surveillance > Rapports au format PDF > Gérer un récapitulatif au format PDF
Les rapports de récapitulation au format PDF contiennent des informations compilées à partir
de rapports existants, en fonction des données figurant dans les 5 meilleurs de chaque
catégorie (au lieu des 50 meilleurs). Ils contiennent également des diagrammes de tendance
qui ne sont pas disponibles dans les autres rapports.
Figure 30. Rapport de récapitulation au format PDF

Pour créer des rapports de récapitulation au format PDF, cliquez sur Ajouter. La page Gérer
des rapports de récapitulation au format PDF s'ouvre pour afficher touts les éléments
disponibles du rapport.
Figure 31. Gestion de rapports au format PDF
Utilisez une ou plusieurs des options suivantes pour élaborer un rapport :

• Pour supprimer un élément d'un rapport, cliquez sur l'icône située dans le coin
supérieur droit de l'icône de l'élément ou décochez la case de cet élément dans la liste
déroulante appropriée située vers le haut de la page.
• Sélectionnez des éléments supplémentaires en cochant les cases de la liste déroulante

située vers le haut de la page.
• Faites glisser et déposez l'icône d'un élément pour le déplacer vers une autre zone du
rapport.
Remarque : Vous pouvez utiliser un maximum de 18 éléments de rapport. Il est

possible que vous ayez à supprimer des éléments existants pour en ajouter d'autres.
Cliquez sur Enregistrer, donnez un nom au rapport, comme vous y êtes invité, et cliquez sur OK.
Pour afficher des rapports au format PDF, sélectionnez Rapport de récapitulation au format
PDF et sélectionnez un type de rapport dans la liste déroulante située en bas de la page pour
afficher les rapports générés de ce type. Cliquez sur un lien souligné du rapport pour ouvrir
ou enregistrer ce rapport.

Gestion des rapports d'activité des utilisateurs
Gestion des rapports d'activité des utilisateurs

Surveillance > Rapports au format PDF > Rapport d'activité de l'utilisateur
Cette page permet de créer des rapports qui récapitulent l'activité d'utilisateurs individuels.
Cliquez sur Nouveau et indiquez les informations suivantes :
Tableau 124. Paramètres du rapport d'activité d'un utilisateur

Champ Description
Nom Donnez un nom au rapport (31 caractères maximum). Ce nom est sensible
à la casse et doit être unique. Vous pouvez uniquement utiliser des lettres,
des nombres, des espaces, des traits d'union et des caractères de
soulignement.
Utilisateur Saisissez un nom ou une adresse IP (IPv4 ou IPv6) pour l'utilisateur qui va
être le sujet du rapport.
Délai Sélectionnez un délai pour le rapport dans la liste déroulante.
Pour exécuter un rapport sur demande, sélectionnez-le et cliquez sur Modifier, puis cliquez
sur Exécuter.
Gestion des groupes de rapports

Surveillance > Rapports au format PDF > Groupes de rapports
Les groupes de rapports vous permettent de créer des ensembles de rapports que le système
peut compiler et envoyer sous la forme d'un rapport unique agrégé au format PDF avec une
page de titre facultative et tous les rapports constitutifs inclus.
Tableau 125. Paramètres d'un groupe de rapports

Champ Description
Nom Donnez un nom au groupe de rapports (31 caractères maximum). Ce nom
est sensible à la casse et doit être unique. Vous pouvez uniquement utiliser
des lettres, des nombres, des espaces, des traits d'union et des caractères de
soulignement.
Titre de la page Cochez cette case pour inclure une page de titre dans le rapport.
Titre Saisissez un nom qui va servir de titre au rapport.

Planification des rapports pour la distribution par courrier électronique
Tableau 125. Paramètres d'un groupe de rapports (suite)

Champ Description
Sélection de rapports Sélectionnez les rapports dans la colonne de gauche et cliquez sur Ajouter
pour déplacer chaque rapport vers le groupe de rapports situés sur la
droite. Vous pouvez sélectionner des types de rapports prédéfinis,
personnalisés, de récapitulation au format PDF et d'aperçu du journal.
Le rapport Aperçu du journal est un type de rapport qui est
automatiquement généré lors de la création d'un rapport personnalisé et
qui utilise le même nom que ce rapport personnalisé. Ce rapport va
afficher les journaux qui ont été utilisés pour générer le contenu du rapport
personnalisé.
Pour inclure des données d'aperçu du journal, lors de la création d'un
groupe de rapports, ajoutez votre rapport personnalisé sous la liste
Rapports personnalisés, puis ajoutez le rapport d'aperçu du journal en
sélectionnant le nom du rapport correspondant dans la liste Aperçu du
journal. Lorsque vous recevez le rapport, les données de votre rapport
personnalisé vont s'afficher suivies des données du journal qui ont été
utilisées pour créer le rapport personnalisé.
Pour utiliser un groupe de rapports, consultez la section « Planification des rapports pour la
distribution par courrier électronique » dans la section suivante.
Planification des rapports pour la distribution par

Surveillance > Rapports au format PDF > Planificateur de courrier électronique
Le planificateur de courrier électronique permet de planifier la distribution de rapports par

courrier électronique. Avant d'ajouter un planning, vous devez définir des groupes de
rapports et un profil de messagerie. Consultez les sections « Gestion des groupes de
rapports » à la page 295 et « Configuration des paramètres de notification par courrier
électronique » à la page 90.
L'exécution des rapports planifiés commence à 2h00 et le transfert du courrier électronique
s'effectue à la fin de l'exécution de tous les rapports planifiés.
Tableau 126. Paramètres du planificateur de courrier électronique

Champ Description
Nom Saisissez un nom pour identifier le planning (31 caractères maximum). Ce
nom est sensible à la casse et doit être unique. Vous pouvez uniquement
utiliser des lettres, des nombres, des espaces, des traits d'union et des
Groupe de rapports Sélectionnez le groupe de rapports (voir « Gestion des groupes de
rapports » à la page 295).
Récurrence Sélectionnez la fréquence à laquelle le rapport doit être généré et envoyé.

Affichage des rapports
Tableau 126. Paramètres du planificateur de courrier électronique (suite)

Champ Description
Profil de messagerie Sélectionnez le profil qui définit les paramètres de messagerie. Pour plus
d'informations sur la définition de profils de messagerie, consultez la
section « Vous pouvez configurer un format de journal personnalisé dans
un Profil de serveur Syslog en sélectionnant l'onglet Format de journal
personnalisé dans Périphérique > Profils de serveur > Syslog. Cliquez sur
le type de journal souhaité (configuration, système, menaces, trafic ou
correspondance HIP), puis sur les champs que vous souhaitez afficher
dans les journaux. Les tableaux suivants décrivent chaque champ pour
chaque type de journal. » à la page 84.
Écraser le(s) courrier(s) Saisissez une adresse de courrier électronique facultative à utiliser à la
électronique(s) du place du destinataire spécifié dans le profil de messagerie.
destinataire
Affichage des rapports

Surveillance > Rapports
Le pare-feu fournit plusieurs rapports (les 50 meilleurs) concernant les statistiques du trafic
pour le jour précédent ou un jour sélectionné au cours de la semaine précédente.
Pour afficher des rapports, cliquez sur leurs noms à droite de la page (rapports personnalisés,
rapports d'applications, rapports de trafics, rapports de menaces, rapports de filtrage d'URL
et rapports de récapitulation au format PDF).
Par défaut, tous les rapports sont affichés pour le jour calendaire précédent. Pour afficher les
rapports des jours précédents, sélectionnez une date de génération de rapport dans la liste
déroulante Sélectionner située en bas de la page.
Les rapports sont répertoriés par sections. Vous pouvez afficher des informations dans chaque
rapport pour la période sélectionnée. Pour exporter un journal au format CSV, cliquez sur
Exporter au format CSV. Pour ouvrir les informations d'un journal au format PDF, cliquez sur
Exporter au format PDF. Le fichier PDF s'ouvre dans une nouvelle fenêtre. Cliquez sur les
icônes situées en haut de la fenêtre pour imprimer ou enregistrer le fichier.

Génération de rapports personnalisés

Surveillance > Gérer des rapports personnalisés
Vous pouvez créer des rapports personnalisés qui peuvent éventuellement se baser sur des
modèles de rapports existants. Ces rapports peuvent être exécutés sur demande ou
programmés pour s'exécuter de nuit. Pour afficher des rapports précédemment définis,
sélectionnez Rapports dans le menu latéral.
Cliquez sur Ajouter pour créer un nouveau rapport personnalisé. Pour qu'un rapport se base
sur un modèle existant, cliquez sur Charger un modèle et sélectionnez un modèle.
Indiquez les paramètres suivants pour définir un rapport.
Tableau 127. Paramètres d'un rapport personnalisé

Champ Description
Donnez un nom au rapport (31 caractères maximum). Ce nom est sensible
Nom à la casse et doit être unique. Vous pouvez uniquement utiliser des lettres,
des nombres, des espaces, des traits d'union et des caractères de
soulignement.
Sélectionnez la base de données à utiliser comme source de données pour
Base de données
le rapport.
Sélectionnez un délai fixe ou choisissez Personnalisé et indiquez une date
Délai
et un délai.
Sélectionnez des options de tri afin d'organiser le rapport, y compris la
Trier par quantité d'informations à y inclure. Les options disponibles dépendent
du choix de base de données.
Sélectionnez des options de regroupement afin d'organiser le rapport, y
Regrouper par compris la quantité d'informations à inclure dans le rapport. Les options
disponibles dépendent du choix de base de données.
Cochez cette case pour exécuter le rapport de nuit. Ce rapport devient
Programmé
alors disponible en sélectionnant Rapports dans le menu latéral.
Dans la colonne Disponible, sélectionnez les colonnes à inclure dans le
rapport et utilisez les flèches orientées vers la droite pour les déplacer
vers la colonne Sélectionné. Les flèches vers le haut et vers le bas
Colonnes
permettent de réorganiser les colonnes sélectionnées et les flèches
orientées vers la gauche permettent de supprimer des colonnes
précédemment sélectionnées.

Tableau 127. Paramètres d'un rapport personnalisé (suite)

Champ Description
Pour générer une requête de rapport, indiquez les options suivantes et
cliquez sur Ajouter. Répétez ces différentes étapes, le cas échéant, pour
Requête et générateur de
formuler une requête complète.
requêtes
• Connecteur - Sélectionnez le connecteur (et/ou) devant précéder
l'expression que vous ajoutez.
• Attribut - Sélectionnez un élément de donnée. Les options disponibles
dépendent du choix de base de données.
• Opérateur - Sélectionnez des critères pour déterminer si un attribut
s'applique (comme =). Les options disponibles dépendent du choix de
base de données.
• Valeur - Indiquez la valeur de l'attribut à faire correspondre.
Par exemple, la figure suivante (basée sur la base de données Journal de
trafic) montre une requête qui correspond, à condition que l'entrée du
journal de trafic ait été reçue au cours des dernières 24 heures et qu'elle
provienne d'une zone « non sécurisée ».
Cochez cette case pour interpréter la requête en tant que refus. Dans
Refuser
l'exemple précédent, l'option de refus fait correspondre des entrées qui ne
figurent pas dans les dernières 24 heures ou qui ne proviennent pas d'une
zone « non sécurisée ».

Identification des applications inconnues et prise de mesures
Identification des applications inconnues et prise de

mesures
Il existe plusieurs méthodes permettant d'afficher des applications inconnues à l'aide de
l'interface Web des périphériques Palo Alto Networks :
• Application Command Center (ACC) - Les applications inconnues sont triées avec
d'autres applications dans l'ACC. Cliquez sur le lien d'une application inconnue pour
afficher ses détails, y compris les sources et destinations principales. Pour les sources
principales, cliquez sur un lien pour rechercher le propriétaire d'une adresse.
Lien pour rechercher le propriétaire d'une adresse
Figure 32. Applications inconnues dans la liste AAC

Identification des applications inconnues et prise de mesures
• Rapports d'une application inconnue - Les rapports d'une application inconnue sont
automatiquement exécutés sur une base quotidienne et stockés dans la section Rapports
de l'onglet Surveillance. Ces rapports peuvent fournir des informations utiles permettant
d'identifier des applications inconnues.
• Journaux de trafic détaillés - Vous pouvez utiliser des journaux de trafic détaillés pour
suivre des applications inconnues. Si la journalisation est activée pour le début et la fin de
la session, le journal de trafic va fournir des informations spécifiques concernant le début
et la fin d'une session inconnue. L'option de filtrage permet de limiter l'affichage aux
entrées correspondant à « tcp-inconnu », comme indiqué dans la figure suivante.
Figure 33. Applications inconnues dans les journaux de trafic
Actions à appliquer
Vous pouvez appliquer les actions suivantes pour gérer des applications inconnues :
• Utilisez une définition d'application personnalisée avec contrôle prioritaire sur
l'application (voir « Définition d'applications personnalisées avec contrôle prioritaire sur
l'application » à la page 221).
• Utilisez des applications personnalisées avec des signatures (voir « Applications

personnalisées avec signatures » à la page 255).
• Demandez un App-ID à Palo Alto Networks (voir « Demande d'un App-ID à Palo Alto
Networks » dans la section suivante).
Les politiques peuvent également être définies de sorte à contrôler des applications inconnues
par un protocole TCP inconnu, un protocole UDP inconnu ou en combinant une zone source,
une zone de destination et des adresses IP. Consultez la section « Politiques de contrôle
prioritaire sur l'application » à la page 221.
Remarque : Vous pouvez utiliser des signatures personnalisées dans les

définitions App-ID.

Prise de captures de paquets
Demande d'un App-ID à Palo Alto Networks

S'il est nécessaire d'identifier une application à l'aide de son contenu au lieu d'un port, d'un
protocole et d'une adresse IP, vous pouvez soumettre cette application à Palo Alto Networks à
des fins de classification. Cette étape est importante pour les applications qui s'exécutent sur
Internet et dont la personnalisation ne fonctionne pas. Vous pouvez soumettre une
application à Palo Alto Networks de l'une des manières suivantes :
• Si une application est facilement accessible sur Internet (par exemple, une application de
messagerie instantanée), soumettez alors son nom et son adresse URL à l'équipe chargée
de votre compte ou au site Web disponible à l'adresse suivante :
http://www.paloaltonetworks.com/researchcenter/tools.
• Si une application n'est pas facilement accessible (par exemple : une application de
gestion des relations clients), vous devez soumettre une capture de paquets (PCAP) de
l'application en cours d'exécution à l'aide de la fonction de capture de paquets de session
intégrée au pare-feu. Pour plus d'informations, contactez le support technique à l'adresse
suivante : support@paloaltonetworks.com.
Autre trafic inconnu

Le pare-feu peut indiquer qu'une application est « inconnue » dans l'ACC, des journaux ou
des rapports pour l'une des raisons suivantes :
• Incomplet - Un établissement de liaison s'est produit, mais aucun paquet de données n'a
été envoyé avant l'expiration du délai.
• Données insuffisantes - Un établissement de liaison s'est produit, suivi d'un ou de

plusieurs paquets de données. Toutefois, le nombre de paquets de données échangés
étaient insuffisants pour identifier l'application.

Surveillance > Capture de paquets
PAN-OS prend en charge la capture de paquets pour dépanner ou détecter des applications
inconnues. Vous pouvez définir des filtres de sorte à capturer uniquement les paquets
correspondant à ces filtres. Les captures de paquets sont stockées localement sur le
périphérique et peuvent être téléchargées sur votre ordinateur local.
Pour spécifier des options de filtrage et de capture, fournissez les informations mentionnées
dans le tableau suivant.
Pour effacer tous les paramètres de filtrage et de capture, cliquez sur Effacer tous les
paramètres.
Pour sélectionner des fichiers de capture à télécharger, cliquez sur le nom d'un fichier dans la
liste des fichiers de capture situés à droite de la page.

Tableau 128. Paramètres de capture de paquets

Champ Description
Filtrage
Gérer les filtres Cliquez sur Gérer les filtres, cliquez sur Ajouter pour ajouter un
nouveau filtre et indiquez les informations suivantes :
• ID - Saisissez ou sélectionnez un identifiant pour le filtre.
• Interface d'entrée - Sélectionnez l'interface de pare-feu.
• Source - Indiquez une adresse IP source.
• Destination - Indiquez une adresse IP de destination.
• Port source - Indiquez un port source.
• Port de destination - Indiquez un port de destination.
• Protocole - Indiquez un protocole de filtrage.
• Non IP - Indiquez la méthode de traitement du trafic non IP (exclure
tout le trafic IP, inclure tout le trafic IP, inclure uniquement le trafic IP
ou n'inclure aucun filtre IP).
• IPv6 - Cochez cette case pour inclure des paquets IPv6 dans le filtre.
Cliquez sur cette option pour activer ou désactiver des sélections de
Filtrage
filtrage.
Cliquez sur cette option ou activer ou désactiver l'option de
Correspondance avant correspondance avant analyse.
analyse L'option de correspondance avant analyse est ajoutée à des fins de
dépannage avancé. Lorsqu'un paquet arrive au port d'entrée, il passe par
plusieurs étapes de traitement avant d'être analysé pour identifier des
correspondances par rapport aux filtres préconfigurés.
Il est possible qu'un paquet, en raison d'un échec, n'atteigne pas à l'étape
de filtrage. Ceci peut se produire, par exemple, lors de l'échec de la
recherche d'un itinéraire.
Définissez le paramètre de correspondance avant analyse sur ACTIVÉ
afin d'émuler une correspondance positive pour chaque paquet entrant
dans le système. Ceci permet même au pare-feu de capturer les paquets
n'atteignant pas le processus de filtrage. Si un paquet peut arriver à
l'étape de filtrage, il est ensuite traité en fonction de la configuration du
filtre et supprimé s'il ne répond pas aux critères de filtrage.

Tableau 128. Paramètres de capture de paquets (suite)

Champ Description
Fichiers de capture
Capture Cliquez sur cette option pour activer ou désactiver la capture de paquets.
Cliquez sur Ajouter et indiquez les éléments suivants :
• Étape - Indique le point auquel un paquet doit être capturé :
Paramètres de capture
– supprimer - Lorsque le traitement d'un paquet rencontre une erreur
et que ce paquet doit être supprimé.
– pare-feu - Lorsqu'un paquet dispose d'une correspondance de
session ou qu'un premier paquet doté est correctement créé avec une
session.
– recevoir - Lorsqu'un paquet est reçu sur le processeur du panneau de
données.
– transmettre - Lorsqu'un paquet doit être transmis au processeur du
panneau de données.
• Fichier - Indiquez le nom du fichier de capture. Ce nom de fichier doit
commencer par une lettre et peut inclure des lettres, des chiffres, des
points, des caractères de soulignement ou des traits d'union.
• Nombre de paquets - Indiquez le nombre limite de paquets au-delà
desquels la capture s'arrête.
• Nombre d'octets - Indiquez le nombre limite d'octets au-delà desquels
la capture s'arrête.

Chapitre 7
Configuration du pare-feu pour
l'identification utilisateur
Ce chapitre décrit la configuration du pare-feu de manière à identifier les utilisateurs qui

tentent d'accéder au réseau.
• « Présentation de l'identification utilisateur » dans la section suivante
• « Agents d'identification utilisateur » à la page 308
• « Configuration du mappage d'utilisateur PAN-OS » à la page 317
• « Paramétrage de l'agent d'ID utilisateur » à la page 322
• « Paramétrage de l'agent Terminal Services » à la page 328
Présentation de l'identification utilisateur

L'identification utilisateur (ID utilisateur) est unefonction des pare-feu Palau Alto Networks
permettant aux administrateurs de configurer et d'appliquer des politiques de pare-feu en
fonction des utilisateurs et des groupes d'utilisateurs, au lieu ou en plus des adresses et zones
réseau.
L'ID utilisateur identifie l'utilisateur sur le réseau et les adresses IP des ordinateurs sur
lesquels l'utilisateur est connecté afin d'appliquer efficacement les politiques de pare-feu. L'ID
utilisateur peut également récupérer les informations relatives aux utilisateurs et aux groupes
contenues dans un annuaire LAP connecté, ce qui permet aux administrateurs de configurer
des politiques en fonction des groupes d'utilisateurs, qui sont ensuite traduites en une liste
d'utilisateurs.
Fonctionnement de l'identification utilisateur

La fonctionnalité fournie par l'ID utilisateur nécessite la collecte d'informations sur le réseau
et les serveurs d'annuaire. Les éléments suivants sont impliqués dans la collecte des
informations :
Palo Alto Networks Configuration du pare-feu pour l'identification utilisateur • 305

• Identification des utilisateurs sur le réseau

L'ID utilisateur fournit divers éléments permettant d'identifier les utilisateurs réseau et
leurs informations d'ouverture de session associées (ordinateurs et adresses réseau).
Certains de ces éléments nécessitent l'installation d'un agent d'ID utilisateur sur les
serveurs réseau afin d'offrir l'expérience utilisateur la plus transparente. Avec PAN-OS 5.0
et les versions ultérieures, vous pouvez utiliser la fonction Mappage d'utilisateur PAN-OS
intégrée qui dispose des mêmes capacités que l'agent d'ID utilisateur, mais ne nécessite
aucune installation de l'agent.
• Surveillance du journal des événements

A chaque fois qu''un utilisateur s'authentifie sur le domaine Active Directory (AD), un
serveur Microsoft Windows ou Microsoft Exchange, un journal des événements est
produit. Les utilisateurs peuvent être identifiés sur le réseau en surveillant les
événements de connexion correspondants sur ces serveurs.
• Surveillance de la session serveur

Une autre méthode est de surveiller continuellement les sessions réseau établies par les
utilisateurs sur les serveurs. Lorsqu''un utilisateur s'authentifie avec succès sur un
serveur, la table de sessions du serveur fournir le nom d'utilisateur et la source réseau à
partir desquels l'utilisateur se connecte.
• Sondage du client
Dans un environnement Microsoft Windows, le système client peut fournir des
informations sur les utilisateurs connectés via Windows Management Instrumentation
(WIM) pour les utilisateurs et services autorisés. Le sondage des clients Microsoft
Windows à la demande fournit des informations sur les utilisateurs connectés sur un
ordinateur client.
• API XML
D'autres méthodes d'identification ne sont pas directement prises en charge par les
fonctions et options de l'ID utilisateur. Pour ces cas, une interface XML sur SS est
disponible ; celle-ci permet aux solutions personnalisées d'enregistrer des utilisateurs
valides et leur adresse client correspondante sur le réseau avec l'ID utilisateur.
• Portail captif
Si l'utilisateur ne peut pas être identifié en fonction des informations de connexion, d'une
session établie ou d'un sondage du client, le pare-feu peut rediriger toute demande HTTP
sortante et l'utilisateur vers un formulaire Web. Ce dernier peut authentifier l'utilisateur
de manière transparente via une demande NFL, qui est automatiquement évaluée et
traitée par le navigateur Web ou via une page de connexion explicite.
• Ordinateurs partagés
Les ordinateurs partagés, tels que les serveurs Microsoft Terminal Server, sont
problématiques pour la plupart des implémentations, car de nombreux utilisateurs
partagent le même système et donc la même adresse réseau. Dans ce cas, un agent peut
être installé sur le serveur de terminaux ; celui-ci associe ensuite non seulement l'adresse
réseau, mais aussi les plages de ports allouées aux utilisateurs connectés.
306 • Configuration du pare-feu pour l'identification utilisateur Palo Alto Networks

Identification des utilisateurs et des groupes

La gestion des politiques en fonction de chaque utilisateur n'est pas possible ; par conséquent,
les utilisateurs doivent être associés et liés à des groupes d'utilisateurs. Chaque
environnement d'entreprise stocke les informations relatives aux utilisateurs dans un service
d'annuaire, tel que Microsoft Active Directory ou Novell directory. Tous ces services
d'annuaire sont accessibles via LAP ou LAP sur SS (LAPS).
Les services d'annuaire fournissent la résolution des noms d'utilisateurs et des groupes
d'utilisateurs associés, ce qui permet aux administrateurs de pare-feu de configurer des
politiques de sécurité pour des groupes d'utilisateurs plutôt que pour chaque utilisateur.
Interaction des composants d'ID utilisateur

L'agent d'ID utilisateur, PAN-OS et l'agent Terminal Services interagissent entre eux pour
fournir des services d'identification utilisateur complets.
Agent d'ID utilisateur

L'agent d'ID utilisateur identifie l'utilisateur sur le réseau à l'aide d'un ou de tous les éléments
décrits précédemment dans ce chapitre.
• Collecte des informations relatives aux utilisateurs et aux connexions

L'agent d'ID utilisateur peut être configuré pour surveiller les événements de connexion
utilisateur sur 10 serveurs Microsoft Windows maximum. Lorsque l'agent se connecte
pour la première fois à à un serveur, il récupère automatiquement une liste des derniers
événements de connexion sur le contrôleur de domaine. Lors des opérations normales, il
continue de recevoir de nouvelles informations relatives aux événements. L'agent d'ID
utilisateur fournit les informations collectées au pare-feu afin d'appliquer la politique en
fonction des utilisateurs et des groupes.
• Transfert des utilisateurs et des adresses réseau aux périphériques connectés

Pour fournir des informations relatives aux utilisateurs et aux adresses réseau, le pare-feu
établit une connexion avec l'agent d'ID utilisateur et récupère une liste de tous les
utilisateurs et adresses réseau identifiés lors de sa première connexion et toutes les heures.
Toutes les heures, le pare-feu récupère les modifications détectées par l'agent.
• Identification utilisateur à la demande

Si le pare-feu identifie une nouvelle adresse réseau sur le trafic réseau pour laquelle
aucun utilisateur n'est répertorié, il peut contacter l'agent d'ID utilisateur et lui demander
d'identifier l'utilisateur. L'identification utilisateur est effectuée via un sondage WIM ou
NetBIOS de l'adresse réseau spécifique. Lorsque le client identifie l'utilisateur, une
nouvelle association d'adresse réseau à un nom d'utilisateur est créée et fournie au
pare-feu.
Mappage d'utilisateur PAN-OS

La fonction Mappage d'utilisateur PAN-OS dispose des mêmes capacités que l'agent d'ID
utilisateur, mais ne nécessite aucune installation de l'agent sur les serveurs de domaine. Celle-
ci communique directement avec les serveurs Microsoft et Novell directory pour collecter les
informations de mappage des utilisateurs aux adresses IP et des utilisateurs aux groupes.
L'énumération des utilisateurs d'un groupe d'utilisateurs est également effectuée sur le pare-

Agents d'identification utilisateur
feu. La recherche LAP et l'authentification NFL sont également prises en charge. Reportez-
vous aux sections « Onglet Mappage d'utilisateur » à la page 311 et « Configuration du
mappage d'utilisateur PAN-OS » à la page 317.
Vous pouvez également configurer le pare-feu de manière à partager les informations de
mappage d'utilisateur avec les autres pare-feu PAN-OS de votre réseau. Cela est utile si vous
souhaitez désigner un ou plusieurs périphériques pour réaliser des fonctions de mappage
d'utilisateur, puis partager ces informations avec les autres pare-feu. Vous pouvez également
filtrer certains réseaux lors du processus de collecte, à l'aide des listes d'inclusion et
d'exclusion. Reportez-vous à la section « Configuration du mappage d'utilisateur PAN-OS » à
la page 317.
Agent Terminal Services

L'agent Terminal Services (TSE) résout le problème de l'utilisation simultanée de la même
machine (par exemple, un serveur Microsoft Terminal Server) par plusieurs utilisateurs. Une
fois installé sur le serveur, celui-ci alloue à chaque utilisateur des plages de ports spécifiques.
Chaque connexion utilisateur est établie à l'aide d'un port compris dans la plage de ports
spécifique allouée.
Lorsqu''une plage de ports est allouée à un utilisateur spécifique, l'agent Terminal Services
informe chaque pare-feu connecté de la plage de ports attribuée, de manière à ce que cette
politique puisse être appliquée en fonction des utilisateurs et des groupes d'utilisateurs.
Requête de groupe LAP PAN-OS

Outre l'application de la politique en fonction de chaque utilisateur, le pare-feu peut
également être configuré de manière à autoriser ou bloquer le trafic pour les groupes
d'utilisateurs. L'énumération des utilisateurs d'un groupe d'utilisateurs est effectuée par le
pare-feu.
Pour cela, une entrée de serveur LAP et des paramètres de mappage de groupe doivent être
configurés. La requête LAP résultante récupère les groupes d'utilisateurs et leur liste de
membres.
Cette opération est effectuée à chaque fois qu''une nouvelle configuration est envoyée. Les
modifications d'appartenance aux groupes sont détectées par des recherches LAP spécifiques
qui récupèrent uniquement les groupes et leur liste de membres modifiée depuis la dernière
recherche.

L'agent d'identification utilisateur (agent d'ID utilisateur) est une application Palau Alto
Networks installée sur votre réseau qui permet d'obtenir les informations de mappage
nécessaires entre les adresses IP et les utilisateurs réseau. L'agent d'ID utilisateur collecte les
informations de mappage des utilisateurs aux adresses IP à partir des journaux de sécurité du
contrôleur de domaine et les fournit au pare-feu afin qu''elles soient utilisées dans les journaux
et politiques de sécurité.
Reportez-vous à la section « Mappage d'utilisateur PAN-OS » à la page 307. Cette fonction
dispose des mêmes capacités que l'agent d'ID utilisateur, mais ne nécessite aucune installation
de l'agent sur les serveurs de domaine.

Le mappage des adresses IP aux noms d'utilisateurs repose sur les éléments suivants :
• Pour Active Directory, les journaux de sécurité sont continuellement surveillés sur le
contrôleur de domaine afin de détecter les événements de connexion utilisateur contenant
les informations relatives aux utilisateurs et aux adresses IP.
• Pour Active Directory, une connexion directe à tous les contrôleurs de domaine est
nécessaire pour surveiller l'activité d'ouverture de session utilisateur et déterminer les
adresses IP des utilisateurs.
• Pour directory, lorsqu''un utilisateur se connecte, les informations relatives aux

adresses IP sont stockées dans directory et récupérées par l'agent d'ID utilisateur.
• L'ordinateur hôte est sondé de manière à vérifier les informations relatives aux
utilisateurs et aux adresses IP à l'aide de Windows Management Instrumentation (WIM)
ou Network Basic Input/Output System (NetBIOS). Le sondage est effectué toutes les
20 minutes de manière à vérifier que le mappage des adresses IP aux noms d'utilisateurs
est toujours correct et également lorsqu''une adresse IP n'ayant aucun nom d'utilisateur
associé est détectée.
• L'API de l'agent d'ID utilisateur est utilisée pour envoyer des informations relatives aux
adresses IP des utilisateurs à l'agent d'ID utilisateur.
• Le mappage de groupe d'utilisateurs est effectué via des requêtes LAP sur les serveurs
d'annuaire. Le pare-feu effectue directement des requêtes LAP, mais peut également
utiliser un agent d'ID utilisateur configuré comme proxy LAP dans les cas où la mise en
cache est souhaitée ou l'accès direct au serveur d'annuaire n'est pas possible à partir du
pare-feu.
Remarque : le mappage d'identification utilisateur nécessite l'obtention par le

pare-feu de l'adresse IP source de l'utilisateur avant que celle-ci ne soit traduite
avec NAT. Si plusieurs utilisateurs disposent de la même adresse source, à cause de
NAT ou de l'utilisation d'un périphérique proxy, l'identification utilisateur
précise n'est pas possible.
Outre les agents d'ID utilisateur, le pare-feu prend en charge un agent Terminal Services (TSE)
lui permettant d'identifier chaque utilisateur pris en charge par le même serveur de
terminaux. Le pare-feu prend également en charge les portails captifs pour les situations dans
lesquelles l'agent d'ID utilisateur ne parvient pas à associer un utilisateur à une adresse IP.
Pour plus d'informations, reportez-vous aux sections suivantes :
• « Portails captifs » dans la section suivante
• « Configuration du pare-feu pour l'identification utilisateur » à la page 310
• « Paramétrage de l'agent d'ID utilisateur » à la page 322
• « Paramétrage de l'agent Terminal Services » à la page 328

Portails captifs
Si l'agent d'ID utilisateur ne parvient pas à associer un utilisateur à une adresse IP, un portail
captif peut authentifier l'utilisateur à l'aide d'un formulaire Web ou d'une demande NT LAN
Manager (NFL).
Pour recevoir le formulaire Web, les utilisateurs doivent utiliser un navigateur Web et être en
train de se connecter. Une fois l'authentification effectuée, les utilisateurs sont
automatiquement dirigés vers le site web demandé à l'origine. Le pare-feu peut désormais
exécuter des politiques en fonction des informations relatives aux utilisateurs pour toute
application traversant le pare-feu, pas seulement pour les applications utilisant un
navigateur Web.
Les règles suivantes s'appliquent aux portails captifs :
• Les règles des portails captifs fonctionnent pour le trafic Web HTTP et HTTP.
• Si l'action de la règle est « formulaire Web », un formulaire Web invite l'utilisateur à saisir
un mot de passe.
• Si la règle est « NFL » et que le navigateur est Internet Explorer ou Fiérot, le pare-feu
effectue une demande d'authentification NFL (transparente pour l'utilisateur). Si un autre
navigateur est utilisé, le formulaire Web est présenté.
Si les règles des portails captifs mentionnées ci-dessus ne s'appliquent pas parce que le trafic
n'est pas HTTP ou qu''il n'existe aucune correspondance de règle, le pare-feu applique les
politiques de sécurité en fonction de l'adresse IP (au lieu de l'utilisateur).
Configuration du pare-feu pour l'identification utilisateur

Périphérique > Identification utilisateur
Les paramètres se trouvant sur cette page vous permettent de configurer le pare-feu pour
l'identification utilisateur.
• Onglet Mappage d'utilisateur : spécifiez les paramètres d'utilisation de la fonction
Mappage d'utilisateur PAN-OS permettant le mappage précis entre les adresses IP et les
utilisateurs connectés, ainsi qu''entre les utilisateurs et les groupes. Cette option dispose
des mêmes capacités que l'agent d'ID utilisateur directement à partir du pare-feu, de
manière à ce qu''aucun agent ne soit nécessaire sur les contrôleurs de domaine.
• Onglet Agents d'ID utilisateur : spécifiez les paramètres de prise en charge de l'agent
d'identification utilisateur, permettant le mappage précis entre les adresses IP et les
utilisateurs connectés.
• Onglet Terminal Services spécifiez les paramètres de prise en charge de l'agent Terminal
Services. Reportez-vous à la section « Paramétrage de l'agent Terminal Services » à la
page 328.
• Onglet Paramètres de mappage de groupe : spécifiez les paramètres de prise en charge

du mappage d'utilisateurs à des groupes d'utilisateurs. Le mappage de groupe
d'utilisateurs est effectué par le pare-feu.
• Onglet Portail Captif : spécifiez les paramètres d'utilisation d'un portail captif pour
l'identification utilisateur. Reportez-vous à la section « Portails captifs » à la page 310.

Tableau 129. Paramètres de l'agent d'ID utilisateur

Champ Description
Onglet Mappage
d'utilisateur
Onglet Nom d'utilisateur : spécifiez le compte domaine\nom d'utilisateur qui
Authentification WIM est autorisé à effectuer des requêtes WIM sur les ordinateurs clients.
Mot de passe / Confirmer le mot de passe : spécifiez le mot de passe du
compte.
Onglet Surveillance du Activer le journal de sécurité : cochez cette case pour activer la
serveur surveillance des journaux de sécurité sur les serveurs Windows. Les
journaux de sécurité sont interrogés pour localiser les informations de
mappage des utilisateurs aux adresses IP sur les serveurs spécifiés dans la
liste Surveillance du serveur.
Fréquence de surveillance du journal du serveur (secondes) : spécifiez la
fréquence à laquelle le pare-feu interroge les serveurs Windows pour
obtenir les informations de mappage des utilisateurs aux adresses IP
(1 seconde par défaut, plage de 1 à 3600 secondes).
Activer la session : cochez cette case pour activer la surveillance des
sessions utilisateur sur les serveurs spécifiés dans la liste Surveillance du
serveur. Chaque fois qu''un utilisateur se connecte à un serveur, une
session est créée et ces informations peuvent également être utilisées pour
identifier l'adresse IP de l'utilisateur.
Fréquence de lecture de la session serveur (secondes) : spécifiez la
fréquence à laquelle le pare-feu interroge les sessions utilisateur Windows
Server pour obtenir les informations de mappage des utilisateurs aux
adresses IP (10 secondes par défaut, plage de 1 à 3 600 secondes).
Intervalle entre les requêtes Novell directory (secondes) : spécifiez la
fréquence à laquelle le pare-feu interroge les serveurs Windows pour
obtenir les informations de mappage des utilisateurs aux adresses IP
(30 seconde par défaut, plage de 1 à 3 600 secondes).
Onglet Sondage du Activer le sondage : cochez cette case pour activer le sondage WIM/
client NetBIOS de chaque ordinateur client identifié par le processus de
mappage d'utilisateur. Le sondage permet de s'assurer que le même
utilisateur est encore connecté sur l'ordinateur client afin de fournir des
informations précises de mappage d'utilisateur à une adresse IP.
Intervalle entre les sondages (minutes) : spécifiez l'intervalle de sondage
de l'ordinateur client (20 minutes par défaut, plage de 1 à 1 440 minutes).
Dans les déploiements massifs, il est important de définir un intervalle de
sondage appropriée permettant le sondage de chaque client identifié. Par
exemple, si vous disposez de 6 000 utilisateurs et d'un intervalle de
10 minutes, 10 requêtes WIM d'une seconde sont nécessaires pour chaque
client.
Remarque : pour que le sondage WIM fonctionne efficacement, le profil
Mappage d'utilisateur doit être configuré à l'aide d'un compte
administrateur de domaine, et une exception d'administration à distance
doit être configurée dans le pare-feu Windows pour chaque ordinateur
client sondé. Pour que le sondage NetBIOS fonctionne efficacement, le
port 139 dans le pare-feu Windows doit être autorisé et les services de
partage d'imprimantes et de fichiers doivent être activés sur chaque
ordinateur client sondé.

Tableau 129. Paramètres de l'agent d'ID utilisateur (suite)

Champ Description
Onglet Cache Activer le délai d'identification utilisateur : cochez cette case pour
activer une valeur de délai de saisie du mappage des utilisateurs aux
adresses IP. Lorsque la valeur de délai est atteinte, le mappage des
utilisateurs aux adresses IP est effacé et un nouveau mappage est collecté.
Cela permet de s'assurer que le pare-feu dispose des informations les plus
récentes lorsque les utilisateurs naviguent sur Internet et obtiennent de
nouvelles adresses IP.
Délai d'identification utilisateur (minutes) : définissez la valeur de délai
de saisie du mappage des utilisateurs aux adresses IP (45 minutes par
défaut, plage de 1 440).
Onglet NFL Activer l'authentification NFL : cochez cette case pour activer
l'authentification NT LAN Manager (NFL). Lorsque le portail captif est
configuré avec un formulaire Web pour obtenir les informations de
mappage des utilisateurs aux adresses IP, le client est authentifié de
manière transparente via une demande NFL. Lorsque cette option est
activée, le pare-feu collecte ces informations à partir du domaine NFL.
Si le collecteur d'ID utilisateur PAN-OS et l'agent d'ID utilisateur sont
installés sur les contrôleurs de domaine, les réponses NFL sont dirigées
directement vers le contrôleur de domaine. Lorsque le pare-feu est
configuré pour partager ses informations d'ID utilisateur avec les autres
pare-feu, il peut traiter des demandes NFL d'autres pare-feu PAN-OS,
remplaçant l'agent d'ID utilisateur.
Domaine : saisissez le nom du domaine NFL.
Nom d'utilisateur de l'administrateur : saisissez le compte
administrateur ayant accès au domaine NFL.
Mot de passe / Confirmer le mot de passe : saisissez le mot de passe du
compte administrateur ayant accès au domaine NTLM.
Remarque : vous ne pouvez pas cocher cette case pour plusieurs
systèmes virtuels.
Onglet Redistribution Nom du collecteur : spécifiez le nom du collecteur si vous souhaitez que
ce pare-feu agisse comme point de redistribution de mappage
d'utilisateur pour les autres pare-feu de votre réseau.
Le nom du collecteur et la clé prépartagée sont utilisés lors de la
configuration des agents d'ID utilisateur sur les pare-feu qui extraient les
informations de mappage d'utilisateur.
Pour permettre à un pare-feu d'agir comme point de redistribution, vous
devez également activer le
Service d'ID utilisateur dans Réseau > Profils réseau > Gestion de
l'interface.
Clé prépartagée / Confirmer la clé prépartagée : saisissez la clé

prépartagée utilisée par les autres pare-feu pour établir une connexion
sécurisée pour les transferts de mappage d'utilisateur.


Champ Description
Surveillance du serveur Cliquez sur Ajouter pour configurer le(s) serveur(s) de domaine que le
pare-feu contacte pour collecter les informations de mappage des
utilisateurs aux adresses IP et des utilisateurs aux groupes.
Nom : saisissez le nom du serveur de domaine.
Adresse réseau : saisissez l'adresse réseau du serveur de domaine.
Type : sélectionnez le type de serveur de domaine Microsoft Active
Directory, Microsoft Exchange ou Novell eDirectory).
Activer : cochez cette case pour activer le profil du serveur de domaine.
Détecter : cochez cette case pour détecter les serveurs Microsoft Active
Directory via DNS. Vous pouvez ensuite cocher la case en regard de
chaque serveur que vous souhaitez utiliser pour obtenir des informations
de mappage d'utilisateur.
Le pare-feu détecte les contrôleurs de domaine en fonction du nom de
domaine saisi dans le champ Domaine dans Périphérique >
Configuration > Gestion > Paramètres généraux.
Inclure/Exclure les Nom : saisissez un nom permettant d'identifier le profil qui inclut ou
réseaux exclut un réseau à des fins de détection. Cette option vous permet
d'inclure ou d'exclure une plage réseau pour le mappage des utilisateurs
aux adresses IP. Par exemple, si vous excluez 10.1.1.0/24, les utilisateurs
disposant de cette plage d'adresses IP ne seront pas ajoutés à la base de
données de mappage des utilisateurs aux adresses IP. Cela inclut ou
exclut également les plages pour les informations de mappage envoyées à
d'autres pare-feu PAN-OS.
Activé : cochez cette case pour activer le profil d'inclusion/exclusion.
Détection : cochez cette case pour Inclure ou Exclure la plage réseau
définie.
Adresse réseau : saisissez une plage réseau que vous souhaitez inclure ou
exclure pour la détection du mappage des utilisateurs aux adresses IP. Par
exemple, 10.1.1.0/24.
Onglet Agents d'ID

utilisateur
Nom Saisissez un nom permettant d'identifier l'agent d'ID utilisateur (jusqu'à
31 caractères). Celui-ci est sensible à la casse et doit être unique. Utilisez
uniquement des lettres, nombres, espaces, traits d'union et de
soulignement.
Système virtuel Sélectionnez le système virtuel dans la liste déroulante (si cette option est
prise en charge par le modèle de pare-feu).
Adresse IP Saisissez l'adresse IP du PC Windows sur lequel l'agent d'ID utilisateur
est installé.
Port Saisissez le numéro de port de l'hôte distant sur lequel le service Agent
d'ID utilisateur est configuré.
Lorsque vous utilisez un pare-feu PAN-OS comme point de
redistribution des informations de mappage d'utilisateur et que vous
configurez l'agent d'ID utilisateur de manière à se connecter à ce
périphérique, vous devez utiliser le port 5007.
Nom du collecteur Saisissez le nom du collecteur à partir duquel l'agent d'ID utilisateur
extrait les informations de mappage d'utilisateur. Reportez-vous à la
section « Onglet Mappage d'utilisateur » à la page 311.


Champ Description
Clé prépartagée du Saisissez la clé prépartagée utilisée pour permettre la connexion SSL entre
collecteur / Confirmer la l'agent d'ID utilisateur et le pare-feu agissant comme point de
clé prépartagée du redistribution pour le mappage d'utilisateur.
collecteur
Utiliser en tant que Cochez cette case si l'agent d'ID utilisateur doit être utilisé en tant que
proxy LDAP proxy LDAP plutôt que le pare-feu ne se connecte directement au service
d'annuaire.
Utiliser pour Cochez cette case pour utiliser l'agent d'ID utilisateur configuré afin de
l'authentification NTLM vérifier l'authentification du client NTLM à partir du portail captif avec le
domaine Active Directory.
Activé Cochez cette case pour activer l'agent d'identification utilisateur.
Rafraîchir les éléments Cliquez sur ce bouton pour rafraîchir l'état de la connexion des profils
connectés d'agent d'ID utilisateur. Ce bouton se trouve à droite des boutons Ajouter
et Supprimer.
Séquence des agents Cette option vous permet de définir l'ordre de séquence dans lequel les
personnalisée profils d'agent d'ID utilisateur se connectent au serveur donné. Par
exemple, si quatre agents ont été identifiés dans la liste de séquence, une
tentative de connexion au premier agent répertorié est d'abord effectuée.
Si la connexion échoue, c'est l'agent suivant qui est sollicité, etc. Si cette
option n'est pas configurée, la séquence de connexion suit l'ordre des
agents répertoriés sur la page principale.
Onglet Agent
Terminal Services
Nom Saisissez un nom permettant d'identifier l'agent TS (jusqu'à 31 caractères).
Celui-ci est sensible à la casse et doit être unique. Utilisez uniquement des
lettres, nombres, espaces, traits d'union et de soulignement.
Hôte Saisissez l'adresse IP du PC Windows sur lequel l'agent TS est installé.
Vous pouvez également spécifier des adresses IP de remplacement
(reportez-vous à la dernière entrée de ce tableau).
Port Saisissez le numéro de port de l'hôte distant sur lequel le service Agent
d'ID utilisateur est configuré.
Adresses IP de Saisissez des adresses IP supplémentaires, si le serveur dispose de
remplacement plusieurs adresses IP pouvant apparaître comme l'adresse IP source du
trafic sortant.


Champ Description
Onglet Paramètres de
mappage de groupe
Nom Saisissez un nom permettant d'identifier le mappage des utilisateurs aux
groupes pour l'identification utilisateur (jusqu'à 31 caractères). Celui-ci
est sensible à la casse et doit être unique. Utilisez uniquement des lettres,
nombres, espaces, traits d'union et de soulignement.
Sous-onglet Profil du Spécifiez les paramètres suivants :
serveur • Sélectionnez un profil de serveur LDAP dans la liste déroulante, puis
spécifiez l'intervalle (en secondes) après lequel la configuration est mise
à jour avec toute nouvelle information de profil de serveur.
• Objets de groupe
– Filtre de recherche : spécifiez une requête ?LDAP pouvant être
utilisée pour contrôler les groupes à récupérer et suivre.
– Classe d'objet : spécifiez la définition d'un groupe. Par exemple, le
paramètre par défaut est objectales=group, qui signifie que le
système récupère tous les objets de l'annuaire correspondant au filtre
de groupe et dont objectales=group.
– Nom du groupe : saisissez l'attribut spécifiant le nom du groupe. Par
exemple, dans Active Directory, cet attribut est « CNN » (Common
Name).
– Membre du groupe : saisissez l'attribut contenant les membres de ce
groupe. Par exemple, dans Active Directory, cet attribut est
« membre ».
• Objets utilisateur
– Filtre de recherche : spécifiez une requête ?LDAP pouvant être
utilisée pour contrôler les utilisateurs à récupérer et suivre.
– Classe d'objet : spécifiez la définition d'un objet utilisateur. Par
exemple, dans Active Directory, cet attribut est « user ».
– Nom d'utilisateur : spécifiez l'attribut du nom d'utilisateur. Par
exemple, dans Active Directory, cet attribut est
« samAccountName ».
Liste d'inclusion de Localisez les groupes dans la liste Groupes disponibles. Cliquez sur
groupes l'icône pour ajouter les groupes à la liste Inclus, puis sur l'icône
pour les supprimer de la liste.
Onglet Paramètres du
portail captif
Activer le portail captif Cochez cette case pour activer l'option de portail captif pour
l'authentification.
Emplacement Sélectionnez le système virtuel dans la liste déroulante (si cette option est
Horloge d'inactivité Saisissez la durée après laquelle la page du portail captif expire.
(plage de 1 à 1 440 minutes, 15 minutes par défaut).
Expiration Spécifiez l'intervalle du délai d'attente (plage de 1 à 1440 minutes,
60 minutes par défaut).


Champ Description
Rediriger l'hôte Spécifiez le nom d'hôte utilisé pour la redirection HTTP permettant
d'initier la demande NTLM envoyée au client.
Certificat du serveur Sélectionnez le certificat HTTP SSL utilisé pour le portail captif.
Certificat Choisissez le profil de certificat à utiliser pour l'authentification du client.
Profil d'authentification Choisissez le profil permettant de déterminer la source d'authentification
pour les connexions au portail captif.
Authentification NTLM Pour l'authentification NTLM, spécifiez les éléments suivants :
• Tentatives : spécifiez le nombre de tentatives après lequel
l'authentification NTLM échoue.
• Délai d'attente : spécifiez le nombre de secondes après lequel
l'authentification NTLM expire.
• Temps de restauration : spécifiez le temps après lequel le pare-feu
essaie de recontacter le premier agent de la liste des agents d'ID
utilisateur, après une indisponibilité de celui-ci.
Remarque : ces options s'appliquent uniquement à l'agent d'ID
utilisateur installé sur les serveurs de domaine et non à la fonction d'ID
utilisateur PAN-OS configurée dans l'onglet Mappage d'utilisateur de
la page Identification utilisateur.
Mode Choisissez si le portail captif utilise une redirection ou s'il est transparent
pour l'utilisateur.
La redirection est nécessaire pour NTLM et la mise en mémoire des
cookies de session. Le pare-feu peut définir un cookie pour les demandes
de connexion futures à l'aide de l'option de redirection. La redirection
future devient alors transparente pour l'utilisateur si le navigateur n'a pas
été fermé.
Pour les cookies de session, spécifiez les éléments suivants :
• Activer : cochez cette case pour configurer un intervalle après lequel la
redirection expire.
• Délai d'attente : si l'option Activer est sélectionnée, spécifiez l'intervalle
du délai d'attente (plage de 60 à 10 080 minutes, 1 440 minutes par
défaut).
• Itinérance : cochez cette case pour mettre en mémoire le cookie si
l'adresse IP change lorsque le navigateur est ouvert (par exemple, si le
client est déplacé d'un réseau avec fil à un réseau sans fil). Le cookie est
perdu lorsque le navigateur est fermé, que l'option Itinérance soit
sélectionnée ou pas.
Remarque : pour utiliser le portail captif en mode de redirection, vous
devez activer les pages de réponse sur le profil de gestion de l'interface
affecté à l'interface de couche 3 vers laquelle vous redirigez le portail
actif. Reportez-vous aux sections « Définition des profils de gestion de
l'interface » à la page 189 et « Configuration des interfaces de couche 3 »
à la page 136.

Configuration du mappage d'utilisateur PAN-OS

Cette section décrit les étapes de base nécessaires pour configurer un pare-feu de manière à
récupérer les données de mappage des utilisateurs aux adresses IP directement à partir des
serveurs de domaine. Cette fonction ne nécessite pas l'installation d'un agent d'ID utilisateur
sur les serveurs de domaine. Le pare-feu peut également être configuré de manière à
redistribuer les informations de mappage d'utilisateur aux autres pare-feu.
Reportez-vous aux sections suivantes :
• « Configuration du mappage d'utilisateur PAN-OS » dans la section suivante
• « Configuration d'un pare-feu pour le partage des données de mappage d'utilisateur » à

la page 320

Cette section décrit les informations de configuration nécessaires pour collecter les données de
mappage des utilisateurs aux adresses IP et aux groupes pour l'identification utilisateur.
Dans cet exemple, il n'est pas nécessaire d'installer un agent d'ID utilisateur sur le contrôleur
de domaine. Les composants suivants doivent être configurés :
• Compte de domaine : un compte de domaine est nécessaire pour interroger les
contrôleurs de domaine Microsoft Active Directory afin d'obtenir les informations
relatives aux utilisateurs à partir des journaux de sécurité et effectuer des requêtes LDAP.
• Agent d'ID utilisateur : à partir de PAN-OS 5.0, vous pouvez configurer l'agent d'ID
utilisateur à l'aide de l'onglet Mappage d'utilisateur, utilisé pour configurer la version
native de l'agent.
Dans les environnements étendus, où l'énumération du mappage d'utilisateur peut
entraîner des problèmes de performances sur le pare-feu, vous pouvez utiliser l'agent
installé sur les contrôleurs de domaine, qui est configuré dans l'onglet Agents d'ID
utilisateur. Pour plus d'informations sur l'installation de cet agent, reportez-vous à la
section « Paramétrage de l'agent d'ID utilisateur » à la page 322.
• Profil du serveur LDAP : ce profil est utilisé pour définir les informations serveur du
contrôleur de domaine que le pare-feu utilise pour effectuer des requêtes afin de collecter
les informations de mappage d'utilisateur et de groupe.
• Mappage de groupe : ces paramètres permettent au pare-feu d'associer les utilisateurs à

des groupes d'utilisateurs. Vous pouvez ensuite créer des politiques en fonction des
groupes de l'annuaire. Le profil du serveur LDAP est utilisé dans les paramètres de
mappage de groupe pour définir les serveurs qui sont interrogés.
• Politiques : vous devez configurer les profils de sécurité appropriés de manière à ce que
le pare-feu puisse communiquer avec les serveurs d'annuaire définis.
Suivez les étapes de base ci-dessous pour configurer le mappage d'utilisateur PAN-OS :
1. Obtenez un compte et un mot de passe de connexion disposant des autorisations sur les
serveurs et les hôtes que vous utiliserez pour récupérer les informations de mappage
d'utilisateur. Les autorisations nécessaires sont basées sur les méthodes que vous
activerez pour collecter les informations de mappage d'utilisateur, à partir de serveurs

Microsoft Active Directory, Microsoft Exchange, de serveurs de fichiers Microsoft, Novell

eDirectory ou utilisant WMI pour accéder aux ordinateurs clients.
Remarque : dans les domaines Windows 2008 ou d'une version ultérieure,

vous pouvez ajouter un compte au groupe « Lecteurs des journaux
d'événements » pour accéder aux journaux d'événements de manière à
obtenir les informations de mappage d'adresse IP. Dans les
domaines Windows 2003, des autorisations de gestion des journaux d'audit
et de sécurité doivent être affectées au compte via la politique de groupe.
Vous pouvez également ajouter le compte au groupe Opérateurs de

serveur » pour accorder des autorisations d'affichage des sessions serveur
ouvertes de manière à obtenir les informations de mappage d'adresse IP
pour les domaines Windows 2003 et 2008.
Pour les requêtes de groupe LDAP visant à identifier les informations de

mappage de groupe, aucune appartenance spéciale n'est nécessaire ; la
plupart des comptes peuvent obtenir l'appartenance aux groupes dans
Active Directory.
WMI est fiable et est sécurisé par l'authentification NTLM ou Ker béros.
Pour effectuer des requêtes WMI, un compte disposant des droits de
lecture de l'espace de noms CIMA2 est nécessaire sur le système client. Par
défaut, les administrateurs de domaine disposent de ces autorisations.
2. Sélectionnez Périphérique > Identification utilisateur, puis cliquez sur l'onglet Mappage
d'utilisateur.
3. Cliquez sur l'icône Modifier dans le coin supérieur droit de la fenêtre Configuration de
l'agent d'ID utilisateur Palo Alto Networks. Sur cette page, vous pouvez définir les
paramètres utilisés lors de la collecte des informations de mappage des utilisateurs aux
adresses IP sur les serveurs spécifiés dans la liste Surveillance du serveur. Renseignez
chaque onglet en fonction de vos besoins. Reportez-vous à la section « Onglet Mappage
d'utilisateur » à la page 311 pour obtenir une description des paramètres de mappage
d'utilisateur. L'onglet Redistribution est utile uniquement si vous prévoyez d'utiliser ce
pare-feu pour distribuer les informations de mappage d'utilisateur aux autres
périphériques.
4. Cliquez sur OK pour enregistrer les paramètres.
5. Dans la section Surveillance du serveur, cliquez sur Ajouter pour ajouter les serveurs de
domaine auxquels vous accéderez pour collecter les informations relatives aux
utilisateurs. Saisissez le nom du serveur, l'adresse réseau et le type (Microsoft Active
Directory, Microsoft Exchange ou Novell eDirectory).
Vous pouvez également cliquer sur l'icône Détecter pour détecter les contrôleurs de
domaine utilisant les recherches DNS. Le pare-feu détecte les contrôleurs de domaine en
fonction du nom de domaine saisi dans Périphérique > Configuration > Gestion >
Paramètres généraux.
6. Cochez la case en regard de chaque serveur de domaine que vous surveillerez.

7. Pour spécifier les réseaux qui seront inclus ou exclus dans les données de mappage
d'utilisateur, cliquez sur l'icône Ajouter de la section Inclure/Exclure, puis définissez les
réseaux que vous souhaitez filtrer. Cela vous permet d'envoyer les données de mappage
d'utilisateur filtrées aux autres pare-feu de votre réseau qui utilisent ce périphérique pour
extraire les informations de mappage d'utilisateur.
Remarque : vous pouvez également exclure une liste de comptes utilisateur du

mappage en créant une liste « ignore-user ». Lorsque vous utilisez la fonction
Mappage d'utilisateur Palo Alto Networks, la liste des comptes utilisateur à
exclure est créée dans le CLI à l'aide de la commande set user-id-collector
ignore-user <value>.
Vous pouvez ajouter autant de comptes que vous souhaitez à cette liste.
8. Cliquez sur Valider pour appliquer les modifications.
Vous pouvez vérifier l'état de la connexion du serveur d'annuaire en exécutant la

commande show user directory-server state ou show user directory-server
statistics.
Maintenant que l'agent d'ID utilisateur est configuré, vous devez configurer un profil LDAP.
1. Donnez un nom à votre configuration et laissez la case Pour les administrateurs

uniquement décochée.
2. Répertoriez les serveurs d'annuaire que le pare-feu doit utiliser dans la liste des serveurs.
Vous devez fournir au moins un serveur ; deux ou plus sont recommandés pour le
basculement. Le port LDAP standard pour cette configuration est 389.
3. Laissez le champ Domaine vide, à moins que vous ne souhaitiez configurer plusieurs
annuaires indépendants.
4. Sélectionnez le type d'annuaire. Le pare-feu peut renseigner les valeurs par défaut des
attributs et des classes d'objets utilisés pour les objets utilisateur et de groupe dans le
serveur d'annuaire, en fonction du type d'annuaire sélectionné.
5. Saisissez la base de l'annuaire LDAP dans le champ Base. Par exemple, si votre domaine
Active Directory est « paloaltonetworks.local », votre base est « dc=paloaltonetworks,
dc=local », à moins que vous ne souhaitiez exploiter un catalogue global Active Directory.
Dans le champ Nom unique de liaison, saisissez un nom d'utilisateur pour un utilisateur
disposant d'autorisations suffisantes pour lire l'arborescence LDAP. Dans un
environnement Active Directory, un nom d'utilisateur valide pour cette entrée peut être le
nom principal de l'utilisateur, par exemple « administrator@paloaltonetworks.local »
mais aussi le nom unique de l'utilisateur, par exemple,
« cn=Administrator,cn=Users,dc=paloaltonetworks,dc=local ».
6. Saisissez et confirmez le mot de passe d'authentification du compte utilisateur que vous

avez entré ci-dessus.
Si vous souhaitez créer des politiques en fonction des groupes d'annuaires, vous devez
configurer le mappage de groupe. Cette configuration définit la manière dont les groupes et
les utilisateurs sont récupérés de l'annuaire et les groupes d'utilisateurs à inclure pour les
utiliser dans les politiques.
1. Sélectionnez Périphérique > Identification utilisateur, puis cliquez sur l'onglet

Paramètres de mappage de groupe et sur Ajouter.

2. Dans la liste déroulante Profil du serveur, sélectionnez le profil LDAP que vous avez créé
dans la section précédente. Tous les attributs et classes d'objets LDAP seront renseignés
en fonction du type de serveur d'annuaire que vous avez sélectionné sur la page Profil du
serveur LDAP.
3. Ajustez l'Intervalle de mise à jour si nécessaire. Le paramètre par défaut est

3 600 secondes (1 heure).
4. Pour optimiser les requêtes LDAP et les configurations de politiques, vous pouvez
spécifier une liste de groupes d'utilisateurs que vous souhaitez inclure dans les politiques.
Pour cela, cliquez sur l'onglet Liste d'inclusion de groupes.
5. Le volet de gauche affiche les Groupes disponibles. Sélectionnez le groupe souhaité ou

recherchez les groupes que vous voulez inclure dans vos requêtes. Vous pouvez utiliser
les astérisques (*) pour des inclure des critères spéciaux dans vos recherches.
6. Sélectionnez le(s) groupe(s) souhaité(s), puis cliquez sur le symbole pour l'/les ajouter
dans le volet Groupes inclus.
7. Cliquez sur OK pour enregistrer le mappage de groupe.
Configuration d'un pare-feu pour le partage des données de

mappage d'utilisateur
Une fois que vous avez configuré un pare-feu pour récupérer les informations de mappage
d'utilisateur, tel que décrit dans la section « Configuration du mappage d'utilisateur PAN-OS » à
la page 317, vous pouvez désigner le pare-feu qui fournit ces informations aux autres pare-
feu PAN-OS sur votre réseau.
La Figure 34 montre qu'un pare-feu de redistribution communique avec le serveur de
domaine pour récupérer les informations de mappage des utilisateurs aux adresses IP. La
pare-feu de redistribution peut utiliser n'importe quelle méthode pour collecter les
informations de mappage d'utilisateur et de groupe, tel que décrit dans la section
« Fonctionnement de l'identification utilisateur » à la page 305, puis agir comme agent d'ID
utilisateur pour partager ces informations avec d'autres pare-feu. ?Les pare-feu 1, 2, etc., sont
configurés de manière à extraire les informations de mappage directement à partir du pare-
feu de redistribution et ne doivent pas communiquer directement avec les serveurs de
domaine.
Pare-feu 1
Pare-feu Pare-feu 2
de redistribution
Serveur de domaine
Pare-feu...
Figure 34. Pare-feu configuré pour le partage des informations de mappage d'utilisateur

1. Sélectionnez Périphérique > Identification utilisateur, puis cliquez sur l'onglet Mappage
d'utilisateur.
2. Cliquez sur l'icône Modifier dans le coin supérieur droit de la fenêtre Configuration de
l'agent d'ID utilisateur Palo Alto Networks, puis sur l'onglet Redistribution.
3. Saisissez le Nom du collecteur et la Clé prépartagée. Ces informations seront utilisées par
le(s) pare-feu qui extrairont les informations de mappage d'utilisateur.
4. Cliquez sur OK pour enregistrer vos modifications.
5. Sélectionnez Réseau > Profils réseau > Gestion de l'interface pour activer le service
Agent d'ID utilisateur.
6. Cliquez sur Ajouter un nouveau profil de gestion de l'interface ou modifiez-en un

existant. Cochez la case Service d'ID utilisateur pour activer le service.
Le pare-feu est désormais prêt à redistribuer les informations de mappage d'utilisateur aux
autres pare-feu.
Pour configurer un pare-feu de manière à récupérer les informations d'un pare-feu de

redistribution de mappage d'utilisateur, suivez les étapes ci-dessous :
1. Sélectionnez Périphérique > Identification utilisateur , puis cliquez sur l'onglet Agents
d'ID utilisateur. Reportez-vous à la section « Onglet Agents d'ID utilisateur » à la page 313 pour
plus d'informations sur la configuration.
2. Cliquez sur Ajouter, puis saisissez le Nom du profil de l'agent d'identification utilisateur
et renseignez les champs suivants :
a. Hôte : saisissez le nom d'hôte ou l'adresse IP du pare-feu configuré comme point de

redistribution de mappage d'utilisateur.
b. Port : saisissez 5007 pour le numéro de port. Il s'agit du port désigné pour l'utilisation
de ce service ; celui-ci ne peut pas être modifié.
c. Collecteur : saisissez le nom du collecteur du pare-feu configuré comme point de

redistribution de mappage d'utilisateur.
d. Clé prépartagée du collecteur : saisissez la clé prépartagée du collecteur du pare-feu
configuré comme point de redistribution de mappage d'utilisateur.
e. Utiliser en tant que proxy LDAP : cochez cette case pour utiliser le pare-feu en tant
que proxy LDAP, plutôt qu'il ne se connecte directement au serveur d'annuaire. Cela
permet d'effectuer des requêtes d'informations d'appartenance aux groupes et
relatives aux groupes d'annuaires.
f. Utiliser pour l'authentification NTLM : cochez cette case pour utiliser le pare-feu afin de
vérifier l'authentification du client NTLM à partir du portail captif avec le domaine Active
Directory.
g. Cochez la case Activé, puis cliquez sur OK pour enregistrer vos paramètres et sur
Valider pour appliquer la configuration.

Paramétrage de l'agent d'ID utilisateur
3. Dans la fenêtre Agent d'ID utilisateur, la colonne Connecté affiche la nouvelle

configuration de l'agent d'ID utilisateur. Une icône verte indique que la communication a
été établie avec le pare-feu qui fournit les données de mappage d'utilisateur.
Si une icône rouge s'affiche, vérifiez les journaux de trafic pour déterminer la raison pour
laquelle la communication ne fonctionne pas correctement. Vous pouvez également
vérifier si des données de mappage d'utilisateur ont été reçues en exécutant la commande
show user ip-user-mapping pour les afficher sur le panneau de données ou show user
ip-user-mapping-mp pour les afficher sur le panneau de gestion.
Remarque : lors de la redistribution des informations de mappage

d'utilisateur aux systèmes disposant de plusieurs systèmes virtuels, la
configuration suivante est nécessaire :
• Pare-feu de redistribution : le collecteur doit être configuré avec une clé

prépartagée sur chaque système virtuel. Reportez-vous à la section
« Onglet Redistribution » à la page 312. Vous devez également
autoriser les services Agent d'ID utilisateur dans Réseau > Profils
réseau > Gestion de l'interface.
• Pare-feu de réception : le nom du collecteur et la clé prépartagée sont

nécessaires pour déterminer les informations d'ID utilisateur du
système virtuel qui doivent être reçues.

L'agent d'ID utilisateur s'interface avec Active Directory ou eDirectory pour communiquer au
pare-feu le mappage des utilisateurs aux adresses IP.
L'agent d'ID utilisateur est disponible en téléchargement sur le site Web de Palo Alto
Networks. Vous pouvez installer l'agent sur un ou plusieurs PC Windows sur votre réseau
afin d'obtenir des informations spécifiques aux utilisateurs. Lorsque l'identification utilisateur
est configurée, le Centre de commande de l'application du pare-feu, la Portée application et
les journaux incluent tous le nom d'utilisateur en plus de l'adresse IP de l'utilisateur.
Suivez les instructions de cette section pour installer et configurer l'agent d'ID utilisateur.
Remarque : si la fonction Systèmes virtuels multiples est activée, vous pouvez configurer
un ou plusieurs agents par système virtuel. Cela permet de séparer l'identification utilisateur
en faveur des fournisseurs de services Internet ou d'autres entités qui conservent des
enregistrements utilisateur séparés.

Installation de l'agent d'ID utilisateur

L'agent d'ID utilisateur doit être installé sur l'une des versions de serveur d'annuaire/de
système d'exploitation suivantes :
Remarque : les versions 32 ou 64 bits des systèmes d'exploitation suivants sont

prises en charge.
Ordinateurs hôtes
• Microsoft Windows XP/Vista/7
• Microsoft Windows Server 2003/2008
Serveurs d'annuaire
• Microsoft Exchange
– 2003 (6.5)
– 2007 (8.0)
– 2010 (14.0)
• Microsoft Active Directory
– 2003
– 2003r2
– 2008
– 2008r2
• Novell eDirectory Server 8.8
Remarque : assurez-vous de choisir l'option d'installation correcte pour votre

système d'exploitation client (32 ou 64 bits).
Chaque ordinateur inclus pour l'identification utilisateur doit faire partie du domaine
d'authentification. Pour les machines qui ne font pas partie du domaine, vous pouvez utiliser
le portail captif pour afficher les utilisateurs et vérifier les noms d'utilisateur et les mots de
passe.
Pour plus d'informations, reportez-vous aux sections suivantes :
• « Configuration du pare-feu pour l'identification utilisateur » à la page 310 : configuration
du pare-feu pour communiquer avec les agents d'ID utilisateur et prendre en charge les
portails captifs.
• « Politiques de portail captif » à la page 223 : configuration des politiques de portail

captif.

Pour installer l'agent d'ID utilisateur, ouvrez le fichier d'installation et suivez les instructions à
l'écran.
Configuration de l'agent d'ID utilisateur

Pour ouvrir l'agent d'ID utilisateur :
1. Sélectionnez Démarrer > Tous les programmes > Palo Alto Networks > Agent d'ID
utilisateur.
Figure 35. Fenêtre Agent d'ID utilisateur
La fenêtre contient les zones et fonctions suivantes :

• Etat de l'agent : affiche l'état actuel de l'agent d'ID utilisateur.
• Périphériques connectés : affiche la liste des périphériques auxquels l'agent d'ID

utilisateur est actuellement connecté avec l'état associé.
• Serveurs connectés : affiche la liste des serveurs auxquels l'agent d'ID utilisateur est
actuellement connecté avec le type et l'état associés.

Pour configurer l'agent d'ID utilisateur :

1. Sélectionnez Démarrer > Tous les programmes > Palo Alto Networks > Agent
d'identification utilisateur.
2. Cliquez sur Configuration pour ouvrir la fenêtre de configuration.
Figure 36. Fenêtre de configuration de l'identification utilisateur
3. Une liste des paramètres de configuration actuels s'affiche en haut de la fenêtre. Pour
modifier les paramètres, cliquez sur Modifier en dessous du récapitulatif de la
configuration, puis spécifiez les paramètres suivants :
– Authentification : spécifiez le nom d'utilisateur et le mot de passe d'authentification

pour Active Directory, WMI, NetBIOS ou eDirectory.
– Surveillance du serveur : spécifiez la fréquence de surveillance du journal de sécurité

en secondes (1 seconde par défaut) et la fréquence de lecture de la session serveur en
secondes (10 secondes par défaut) pour le serveur Windows, ainsi que l'intervalle de
requête pour Novell eDirectory. (30 secondes par défaut).
– Sondage du client : cochez la case Activer le sondage WMI si vous souhaitez activer
le sondage WMI pour chaque station de travail et la case Activer le sondage NetBIOS
pour activer le sondage NetBIOS sur chaque station de travail. Spécifiez un intervalle
entre les sondages en secondes (20 secondes par défaut). Un intervalle de 0 désactive
cette fonction.

Remarque : pour que le sondage WMI fonctionne efficacement, le service Agent PAN
doit être configuré à l'aide d'un compte administrateur de domaine, et une exception
d'administration à distance doit être configurée dans le pare-feu Windows pour chaque
ordinateur client sondé.
Remarque : pour que le sondage NetBIOS fonctionne efficacement, le port 139 dans le
pare-feu Windows doit être autorisé et les services de partage d'imprimantes et de fichiers
doivent être activés sur chaque ordinateur client sondé.
– Cache : cochez cette case pour activer un délai de cache de groupe et d'ID utilisateur,
puis spécifiez l'intervalle (minutes) après lequel le cache expire (45 minutes par
défaut).
– Service Agent : spécifiez les ports TCP du service d'ID utilisateur (5007 par défaut) et
de l'API XML d'ID utilisateur (5006 par défaut). Cochez cette case pour activer
l'utilisation de l'API.
– eDirectory : spécifiez les paramètres suivants :
› Base de recherche : spécifiez le point de départ ou le contexte racine des

requêtes de l'agent. Exemple : dc=domain1, dc=example, dc=com.
› Nom unique de liaison : spécifiez le compte à lier au serveur LDAP.

Exemple : cn=admin, ou=IT, dc=domain1, dc=example, dc=com.
› Mot de passe de liaison : spécifiez le mot de passe du compte de liaison.
L'agent enregistre le mot de passe chiffré dans le fichier de configuration.
› Filtre de recherche : spécifiez la requête de recherche des entrées LDAP (le

paramètre par défaut est objectClass=Person).
› Intervalle de recherche : spécifiez l'intervalle entre les requêtes

consécutives de l'agent d'ID utilisateur (plage de 1-36000 secondes,
30 secondes par défaut).
› Préfixe du domaine de serveur : spécifiez un préfixe permettant d'identifier

l'utilisateur de manière unique. Utilisez cette option si des espaces de noms
se chevauchent. Exemple : différents utilisateurs portant le même nom et
provenant de deux annuaires différents.
› Utiliser SSL : cochez cette case pour utiliser SSL pour la liaison eDirectory.
Si cette option n'est pas sélectionnée, une fenêtre contextuelle vous avertit
que du texte en clair sera utilisé pour le compte et le mot de passe de
connexion.
› Vérifier le certificat du serveur : cochez cette case pour vérifier le certificat

du serveur eDirectory lorsque vous utilisez SSL. Cochez la case Activer le
cache de groupe pour activer le cache d'appartenance des utilisateurs aux
groupes. Lorsque cette option est sélectionnée, l'appartenance des
utilisateurs aux groupes est mise en cache. Au démarrage, celle-ci est
rechargée à partir du cache afin d'accélérer le processus de redémarrage.

4. Cliquez sur Enregistrer pour enregistrer la configuration.
L'agent d'ID utilisateur est redémarré si la configuration a été enregistrée avec succès.
Vous pouvez également cliquer sur le bouton OK pour enregistrer la configuration et
redémarrer l'agent d'ID utilisateur. Si vous ne souhaitez pas le redémarrer, cliquez sur
Annuler pour fermer la boîte de dialogue.
Remarque : vous pouvez exclure une liste de comptes utilisateur du mappage en

créant une liste « ignore-user ». Pour cela, créez un fichier « ignore_user_list.txt »
dans le dossier Agent d'ID utilisateur sur le serveur de domaine où l'agent est
installé.
A partir de PAN-OS 4.1, vous pouvez ajouter autant de comptes que vous
souhaitez à cette liste. Dans PAN-OS 4.0 et les versions antérieures, la limite était
de 100 utilisateurs.
Détection des contrôleurs de domaine

La liste des contrôleurs de domaine disponibles pour la connexion au domaine peut être récupérée
via DNS. Pour afficher les options de détection, cliquez sur Détecter dans le menu latéral. Vous
pouvez effectuer les tâches suivantes dans cette fenêtre :
• Ajoutez un paramètre de configuration permettant à un administrateur de configurer l'agent
d'ID utilisateur de manière à détecter automatiquement les contrôleurs de domaine
disponibles pour la surveillance du journal d'événements. Cliquez sur Ajouter ou Modifier
dans la zone Serveurs, puis spécifiez un nom de serveur, une adresse IP et un type (Microsoft
Active Directory, Microsoft Exchange ou Novell eDirectory).
• Spécifiez une liste de contrôle d'accès pour les réseaux. Cliquez sur Ajouter ou Modifier dans
la zone Inclure/Exclure les listes des réseaux configurés, choisissez l'option Inclure ou
Exclure et spécifiez le nom et l'adresse réseau. Vous pouvez également cloner puis modifier
une entrée existante.
• Cliquez sur Détection automatique pour récupérer automatiquement la liste des contrôleurs
de domaine disponibles via DNS et les ajouter à la liste des serveurs surveillés.
Surveillance du fonctionnement de l'agent d'ID utilisateur

Pour afficher la liste des mappages des noms d'utilisateur aux adresses IP actuellement détectés,
cliquez sur Surveillance dans le menu latéral. Vous pouvez rechercher des utilisateurs ou en
supprimer de la liste.
Pour afficher entrées de journal de l'agent d'ID utilisateur cliquez sur Journaux dans le menu
latéral. Dans cette fenêtre, vous pouvez rechercher des entrées de journal ou effacer le journal.
Désinstallation et mise à niveau de l'agent d'ID utilisateur

Pour désinstaller l'agent d'ID utilisateur, ouvrez le Panneau de configuration, puis sélectionnez
Ajouter ou supprimer des programmes et supprimez le programme Agent d'identification
utilisateur.
Si vous installez une nouvelle version de l'agent et que le programme d'installation détecte une
version existante sur votre ordinateur, celui-ci supprime automatiquement l'ancienne version
avant procéder à l'installation.
Nous vous recommandons de sauvegarder le fichier « config.xml » avant de mettre à niveau
l'agent d'ID utilisateur.

Paramétrage de l'agent Terminal Services

L'Agent Terminal Server (agent TS) permet au pare-feu de prendre en charge plusieurs
utilisateurs ayant la même adresse IP source en identifiant les utilisateurs du pare-feu que le
serveur de terminaux prend en charge.
L'agent TS surveille les sessions d'utilisateur distant et réserve une plage de ports
sources TCP/UDP différente pour chaque utilisateur. Une fois que la plage de ports est
allouée à l'utilisateur, l'agent TS fournit des informations pour le mappage de la plage de
ports sources au nom d'utilisateur.
De plus, l'agent TS exige que le pilote de transport TCP/UDP du serveur de terminaux alloue
le port source spécifié par l'agent TS au lieu du port éphémère déterminé par le système
d'exploitation pour le trafic TCP/UDP sortant. Lorsque le pare-feu reçoit le trafic TCP/UDP
du serveur de terminaux, il vérifie le port source et obtient l'ID utilisateur à partir des données
de mappage des ports aux utilisateurs pour le serveur de terminaux.
Pour plus d'informations sur la configuration du pare-feu pour les services de terminaux,
reportez-vous à la section « Configuration du pare-feu pour l'identification utilisateur » à la
page 310.
Installation ou mise à niveau de l'agent Terminal Server sur le serveur de

terminaux
Vous pouvez installer l'agent TS sur les plateformes suivantes :
• Microsoft Terminal Services 2003
• Microsoft Terminal Services 2008
• Citrix Metaframe Presentation Server 4.0
• Citrix Metaframe Presentation Server 4.5, Citrix XenApp 5, 6
Pour installer l'agent TS sur le serveur de terminaux :

1. Téléchargez et ouvrez le fichier d'installation.
2. Le programme d'installation vérifie d'abord la compatibilité de la plateforme. Si la

plateforme n'est pas compatible, un message d'erreur s'affiche.
3. Le programme d'installation vérifie si un agent TS se trouve déjà sur le système. Si le

programme d'installation détecte qu'un agent TS se trouve déjà sur le système (vous
mettez à jour l'agent TS), il désinstalle d'abord l'agent avant de procéder à l'installation.
– Si vous installez un agent TS disposant d'un pilote plus récent que celui de
l'installation existante, l'assistant d'installation vous invite à redémarrer le système
après la mise à niveau, afin de pouvoir utiliser le nouveau pilote.
– Si vous installez un agent TS disposant de la même version de pilote que l'installation

existante, vous pouvez procéder à l'installation lorsque vous y êtes invité et n'aurez
pas à redémarrer le système ensuite.
4. Suivez les instructions du programme d'installation pour spécifier un emplacement

d'installation et terminer l'installation.

Remarque : si vous spécifiez un dossier de destination différent de celui par défaut,

assurez-vous d'utiliser le même lorsque vous mettrez à niveau l'agent TS par la suite.
Si vous ne le faites pas, la configuration existante sera perdue et la configuration par
défaut sera utilisée.
5. Une fois l'installation terminée, redémarrez le serveur de terminaux, si vous y êtes invité.
Configuration de l'agent Terminal Server sur le serveur de terminaux

Pour configurer l'agent TS sur le serveur de terminaux :
1. Lancez l'application Agent TS à partir du menu Démarrer.
2. Le panneau de configuration s'ouvre avec Terminal Server Agent mis en surbrillance sur
le côté gauche de la fenêtre.
Figure 37. Configuration de l'agent Terminal Server - Panneau principal
La zone de liste des connexions affiche tous les périphériques Palo Alto Networks qui se
connectent à l'agent TS. La colonne Adresse IP du périphérique affiche l'adresse IP et le
port du périphérique ; la colonne Etat de la connexion indique l'état du périphérique :
Connecté, Déconnecté ou Connexion en cours. Les éléments déconnectés sont supprimés
de la zone de Liste des connexions lorsque vous fermez puis rouvrez la fenêtre de
configuration de l'agent TS.
3. Cochez la case Activer la liste de contrôle d'accès aux périphériques si vous souhaitez
répertorier de manière explicite les pare-feu que l'agent TS acceptera. Ajoutez l'adresse IP
de chaque périphérique, puis cliquez sur Ajouter. Cliquez sur Supprimer pour
supprimer une adresse de la liste. Cliquez sur Enregistrer pour enregistrer la liste
d'autorisation.

4. Cliquez sur Configurer pour afficher les paramètres de configuration.
Figure 38. Configuration de l'agent Terminal Server - Panneau Configuration
5. Configurez les paramètres, tel que décrit dans le tableau suivant, puis cliquez sur
Enregistrer.
Remarque : Si vous saisissez un paramètre incorrect puis essayez d'enregistrer la

configuration, un message s'affiche pour indiquer que la configuration ne sera pas
enregistrée à moins que vous ne modifiez correctement le paramètre.
Tableau 130. Paramètres de configuration de l'agent Terminal Server

Champ Description
Plage d'allocation de Affiche la plage de ports des processus système qui ne sont associés à
ports sources par le aucun utilisateur. Lorsqu'un processus serveur ouvre un socket pour
système envoyer un paquet UDP ou définit une connexion TCP, il doit obtenir un
port source à partir du système d'exploitation serveur. Le serveur alloue
automatiquement un port source (un port éphémère) à ce processus. Le
format est faible-élevé (1025-5000 par défaut).
La plage de ports système ne doit pas chevaucher la plage d'allocation de
ports sources. Si c'est le cas, une application utilisant la plage de ports
sources éphémères du système peut être identifiée par erreur comme
utilisateur particulier si le port source alloué par le système d'exploitation
se trouve dans la plage de ports allouée à cet utilisateur.
Remarque : Pour modifier cette valeur, vous devez vous rendre dans le Registre.
Ports sources réservés Affiche le(s) port(s) à exclure de l'allocation de ports sources par le
par le système système d'exploitation (car d'autres processus serveur peuvent les
utiliser).
Vous pouvez saisir une plage de format faible-élevé (aucun paramètre par
défaut).
Remarque : Pour modifier cette valeur, vous devez vous rendre dans le Registre.

Tableau 130. Paramètres de configuration de l'agent Terminal Server (suite)

Champ Description
Port d'écoute Saisissez le port sur lequel le serveur de terminaux écoute les
communications des pare-feu Palo Alto Networks (5009 par défaut).
Plage d'allocation de Saisissez une plage d'allocation de ports pour les sessions utilisateur.
ports sources Ce paramètre contrôle l'allocation de ports sources aux processus
appartenant à des utilisateurs distants (20000-39999 par défaut). Si une
demande d'allocation de ports provenant des services système ne peut
pas être identifiée comme processus utilisateur particulier, l'agent TS
laisse le système allouer le port source à partir de la plage de ports
système, excluant les ports sources réservés par le système.
Remarque : Assurez-vous que cette plage de ports système ne chevauche pas la
plage d'allocation de ports sources par le système. Si c'est le cas, une application
utilisant la plage de ports sources éphémères peut être identifiée par erreur en
tant qu'utilisateur particulier si le port source alloué par le système
d'exploitation se trouve dans la plage de ports allouée à cet utilisateur.
Ports sources réservés Saisissez la plage d'allocation de ports réservée pour les sessions
utilisateur. Ces ports ne sont pas disponibles pour les sessions utilisateur.
Pour inclure plusieurs plages, utilisez des virgules et aucun espace,
comme dans cet exemple : 2000-3000,3500,4000-5000.
Le format est faible-élevé (aucun paramètre par défaut).
Taille de début Saisissez le nombre de ports que l'agent TS alloue d'abord lorsque
d'allocation de ports par l'utilisateur distant se connecte (200 par défaut).
utilisateur Lorsque l'utilisateur distant se connecte, l'agent TS alloue une plage de
ports de la taille donnée à partir de la plage d'allocation de ports sources.
Cela permet l'identification du trafic utilisateur en fonction du port
source.
Taille maximale Saisissez le nombre maximum de ports que l'agent TS peut allouer à une
d'allocation de ports par session d'utilisateur distant (200 par défaut).
utilisateur Si le paramètre Taille de début d'allocation de ports par utilisateur n'est
pas suffisant pour la session utilisateur, l'agent TS alloue des ports
supplémentaires jusqu'à ce nombre maximum.
Echec de la liaison des Cochez cette case de manière appropriée :
ports lorsque tous les • Si cette case est cochée (paramètre par défaut), la demande de ports
ports disponibles sont provenant de l'application utilisateur échoue si celle-ci a utilisé tous les
utilisés ports disponibles. Par conséquent, il se peut que l'application ne
parvienne pas à envoyer le trafic.
• Si cette case est décochée, la demande de ports provenant de
l'application utilisateur est accordée à partir de la Plage d'allocation de
ports sources par le système, même si l'application utilisateur a utilisé
tous les ports disponibles. L'application peut envoyer le trafic ;
cependant, l'ID utilisateur du trafic est inconnue.

6. Cliquez sur Surveillance pour afficher les informations d'attribution des ports pour tous
les utilisateurs du serveur de terminaux.
Figure 39. Configuration de l'agent Terminal Server - Panneau Surveillance
7. Consultez les informations affichées. Pour obtenir une description du type d'informations
affichées, reportez-vous au tableau suivant.
Tableau 131. Informations de surveillance de l'agent Terminal Server

Champ Description
Nom d'utilisateur Affiche le nom d'utilisateur.
Plage de ports Affiche les ports sources actuellement alloués à cet utilisateur. Les
différentes plages sont séparées par des virgules (par exemple « 20400-
20799, 20500-20599 »).
La taille des plages de ports est limitée par les paramètres de
configuration Taille de début d'allocation de ports par utilisateur et Taille
maximale d'allocation de ports par utilisateur, tel que décrit dans le
Tableau 130.
Nombre de ports Indique le nombre de ports utilisés.
8. Cliquez sur le bouton Rafraîchir le nombre de ports pour mettre à jour le champ Nombre
de ports manuellement, ou cochez la case Intervalle de rafraîchissement, puis configurez
un intervalle de rafraîchissement pour mettre à jour ce champ automatiquement.
Le tableau suivant répertorie les options de menu disponibles dans la fenêtre de l'application
Agent TS.
Tableau 132. Options de menu de l'agent Terminal Server

Champ Description
Configuration Ouvre le panneau Configuration.
Surveillance Ouvre le panneau Surveillance.

Tableau 132. Options de menu de l'agent Terminal Server (suite)

Champ Description
Redémarrer le service Redémarre le service Agent TS. Cette option n'est pas nécessaire en temps
normal et est réservée pour le dépannage.
Afficher les journaux Affiche le journal de dépannage.
Débogage Affiche les options de débogage (Aucun, Erreur, Informations, Débogage
ou Commentaires).
Quitter Quitte l'application Agent TS.
Aide Affiche les informations de version de l'agent TS.
Désinstallation de l'agent Terminal Server sur le serveur de terminaux

Pour désinstaller l'agent TS, ouvrez le panneau de configuration sur le serveur, puis
sélectionnez Ajouter ou supprimer des programmes. Supprimez l'application Agent
Terminal Server. Vous devez redémarrer le système pour terminer la désinstallation.


Chapitre 8
Configuration des tunnels IPSec
Ce chapitre décrit la technologie VPN (Virtual Private Network) de base et explique la

configuration de VPN IPSec (IP Security) dans les pare-feux Palo Alto Networks.
Consultez les sections suivantes :
• « Réseaux privés virtuels » dans la section suivante
• « IPSec et IKE » à la page 337
• « Paramétrage des VPN IPSec » à la page 339
• « Exemple de configuration VPN » à la page 347
• « Déploiement d'un VPN à grande échelle avec GlobalProtect » à la page 351
Palo Alto Networks Configuration des tunnels IPSec • 335

Réseaux privés virtuels
Réseaux privés virtuels

Les réseaux privés virtuels (VPN) permettent aux systèmes de se connecter en toute sécurité à
un réseau public comme s'ils se connectaient à un réseau LAN (Local Area Network). Les
ensembles de protocoles IPSec permettent de paramétrer un tunnel sécurisé pour le trafic
VPN et les informations privées contenues dans les paquets TCP/IP sont cryptées lors de leur
envoi via le tunnel IPSec. Le pare-feu de Palo Alto Networks prend en charge les tunnels IPv4,
ainsi que l'option permettant d'activer IPv6 dans la configuration du tunnel. Cette option vous
permet de router le trafic IPv6 vers le tunnel IPv4 afin d'assurer la confidentialité entre les
réseaux IPv6 en cas d'indisponibilité de la connectivité IPv6 WAN.
La fonctionnalité VPN à grande échelle de GlobalProtect Palo Alto Networks dispose d'un
mécanisme hautement simplifié permettant de déployer un VPN en étoile qui utilise des
certificats d'authentification et actualise de façon périodique et automatique les informations
d'authentification. Consultez la section « Déploiement d'un VPN à grande échelle avec
Remarque : En plus des VNP IPSec, le pare-feu prend également en charge les
VNP SSL (Secure Sockets Layer) permettant aux utilisateurs distants d'établir des
connexions VPN à travers le pare-feu. Pour plus d'informations, consultez le
Chapitre 9, « Configuration de GlobalProtect ».
La figure suivante illustre un tunnel IPSec standard entre deux périphériques. Cette
configuration se compose d'un moniteur de tunnels situé de chaque côté du tunnel pour
informer l'administrateur de périphériques de la défaillance du tunnel et procéder à un
basculement automatique. Les moniteurs de tunnels sont utiles pour faire basculer le trafic
IPSec vers une autre interface.
Figure 40. Configuration standard d'IPSec
Commutateur Internet Commutateur

Routeur Routeur Pare-feu
Pare-feu
Tunnel IPSec
Réseau Réseau
local local
336 • Configuration des tunnels IPSec Palo Alto Networks

IPSec et IKE
Vous pouvez configurer des VNP de routage pour connecter les pare-feux Palo Alto
Networks à des sites centraux et distants ou à des périphériques de sécurité tiers à des
emplacements autres. Grâce aux VNP de routage, le pare-feu prend une décision de routage
en fonction de l'adresse IP de destination. Si le trafic est routé vers une destination spécifique
via un tunnel VPN, il est alors crypté en tant que trafic VPN. Vous n'avez pas besoin de définir
des règles spéciales ou de faire explicitement référence à un tunnel VPN ; les décisions de
routage et de cryptage sont uniquement déterminées par l'adresse IP de destination.
The pare-feu peut également interopérer avec des périphériques VPN tiers basés sur une
politique. Pour vous connecter à un VPN basé sur une politique, configurez l'ID de proxy du
tunnel. Si plusieurs tunnels de phase 2 sont requis, configurez les différents ID de proxy pour
chacun d'entre eux. Consultez la section « Paramétrage des tunnels IPSec » à la page 342.
Pour la connexion IPSec entre les pare-feux, le paquet IP complet (en-tête et charge utile) est
intégré à une autre charge utile IP et un nouvel en-tête est appliqué. Ce dernier utilise
l'adresse IP de l'interface du pare-feu sortant en tant qu'adresse IP source et l'interface du
pare-feu entrant situé à l'extrémité du tunnel en tant qu'adresse IP de destination. Lorsque le
paquet arrive au pare-feu situé à l'extrémité du tunnel, le paquet d'origine est décrypté et
envoyé à l'hôte de destination actuel.
Des associations de sécurité (SA) IPSec sont définies à chaque extrémité du tunnel IPSec afin
d'appliquer tous les paramètres requis pour une transmission sécurisée, notamment l'index de
paramètres de sécurité (SPI), le protocole de sécurité, les clés cryptographiques et l'adresse IP
de destination. Le cryptage, l'authentification des données, l'intégrité des données et
l'authentification des points d'extrémité sont fournis par les SA IPSec.
Tunnels VPN
Pour paramétrer des VPN, il est important que vous compreniez la topologie de votre réseau
et que vous soyez capable de déterminer le nombre de tunnels requis. Par exemple :
• Un seul tunnel VPN peut suffire à établir une connexion entre un site central unique et un
site distant.
• Les connexions entre un site central et plusieurs sites distants exigent des tunnels VPN
pour chaque paire de sites central-distant.
Chaque tunnel est lié à une interface de tunnel. Vous devez assigner l'interface de tunnel à un
même routeur virtuel en tant que trafic entrant (en texte clair). Ainsi, lorsqu'un paquet arrive
au niveau du pare-feu, la fonction de recherche d'itinéraire peut déterminer le tunnel adéquat
à utiliser. L'interface de tunnel apparaît dans le système en tant qu'interface standard et
l'infrastructure de routage existante peut être appliquée.
Chaque interface de tunnel peut contenir un maximum de 10 tunnels IPSec. Vous pouvez
ainsi paramétrer des tunnels IPSec pour des réseaux individuels qui sont associés à la même
interface de tunnel sur le pare-feu.
IPSec et IKE
Il existe deux méthodes permettant de sécuriser des tunnels VPN IPSec :
• Configurez le tunnel en utilisant des clés de sécurité manuelles. Cette méthode est
déconseillée.
• Générez des clés grâce à l'échange de clés Internet (IKE).

IPSec et IKE
Cette même méthode doit s'appliquer aux deux extrémités du tunnel IPSec. Dans le cas de clés
manuelles, la même clé est saisie aux deux extrémités ; dans le cas d'un IKE, les mêmes
méthodes et attributs sont appliqués aux deux extrémités.
IKE fournit un mécanisme standard permettant de générer et de maintenir les clés de sécurité :
• Identification - Le processus d'identification consiste à reconnaître des homologues aux
deux extrémités du tunnel IPSec. Chaque homologue est identifié par une adresse IP ou
un ID d'homologue (figurant dans la charge utile du paquet IP). Le pare-feu ou un autre
périphérique de sécurité situé à chaque extrémité du tunnel ajoute l'identification d'un
homologue situé à l'autre extrémité à sa configuration locale.
• Authentification - Il existe deux types de méthodes d'authentification : clé et PKI prépartagés.

À l'heure actuelle, seule la méthode de clé prépartagée est prise en charge par les pare-feux
Palo Alto Networks.
Le pare-feu prend en charge la définition de passerelles IKE, qui fournit les informations de
configuration nécessaires à la négociation du protocole IKE avec les passerelles homologues.
Les options de configuration IKE incluent le groupe Diffie-Hellman pour l'accord de clés, un
algorithme de cryptage et le hachage pour l'authentification des messages.
Profils crypto IPSec et IKE

Les profils crypto sont associés à des champs de proposition standard dans la négociation IKE.
• Un IKE de phase 1 authentifie les pare-feux les uns par rapport aux autres et paramètre un
canal de contrôle sécurisé. Il utilise le profil crypto IKE pour la négociation d'une SA IKE.
• Un IKE de phase 2 correspond à la négociation, via une SA de phase 1, d'un tunnel actif pour
le trafic entre des réseaux situés derrière leurs pare-feux respectifs. Il utilise le profil crypto
IPSec pour la négociation d'une SA IPSec.
Vous pouvez définir des profils crypto IPSec et IKE qui déterminent les protocoles et les
algorithmes utilisés pour la négociation des SA IPSec et IKE.
Options d'une SA IKE :
• Groupe Diffie-Hellman (DH) - Sélectionnez les groupes DH à utiliser lors de la génération de
clés publiques pour IKE.
• Cryptage - Sélectionnez des algorithmes de cryptage.
• Algorithme de hachage - Sélectionnez des algorithmes de hachage.
• Durée de vie - Indiquez la durée pendant laquelle une clé négociée va rester opérationnelle.
Options d'une SA IPSec :

• Encapsulation de la charge utile de sécurité (ESP) - Sélectionnez les options pour
l'authentification, l'intégrité des données, la confidentialité et le cryptage.
• En-tête d'authentification (AH) - Sélectionnez les options pour l'authentification et l'intégrité

des données. Cette option est peu utilisée.
• Groupe Diffie-Hellman (DH) de confidentialité de transmission parfaite (PFS) -

Sélectionnez les groupes DH à utiliser lors de la génération de clés indépendantes pour IPSec.
• Durée de vie - Indiquez la durée pendant laquelle la clé négociée va rester opérationnelle.

Paramétrage des VPN IPSec
Pour plus d'informations sur les protocoles et algorithmes spécifiques pris en charge dans les
profils crypto IPSec et IKE, consultez les sections « Définition des profils crypto IKE » à la page 345
et « Définition des profils crypto IPSec » à la page 346.

Cette section décrit le processus en plusieurs étapes utilisé pour paramétrer des tunnels VPN
IPSec. Pour obtenir des instructions détaillées, consultez les différentes sections figurant dans
le présent guide. Un exemple de configuration est disponible dans la section « Exemple de
configuration VPN » à la page 347.
Remarque : Avant de commencer, vérifiez que vos interfaces Ethernet, vos routeurs
virtuels et vos zones sont correctement configurés. Consultez les sections « Interfaces du
pare-feu » à la page 133, « Routeurs virtuels et protocoles de routage » à la page 162 et
Pour paramétrer des VPN IPSec :

1. Planifiez la topologie du réseau et déterminez le nombre de tunnels requis.
2. Définissez les passerelles IKE à l'aide des informations de configuration pour la

négociation de protocoles IKE avec des passerelles homologues. Consultez la section
« Définitions des passerelles IKE » à la page 340.
3. Configurez les protocoles et les algorithmes pour l'identification, l'authentification et le

cryptage dans les tunnels VPN à l'aide de la négociation de SA IKE :
– Pour un IKEv1 de phase 1, consultez la section « Paramétrage des tunnels IPSec » à la

page 342.
– Pour un IKEv1 de phase 2, consultez la section « Définition des profils crypto IPSec » à
la page 346.
4. Configurez les paramètres requis pour établir des tunnels VPN IPSec. Consultez la section
« Paramétrage des tunnels IPSec » à la page 342.
5. Indiquez la manière dont le pare-feu va surveiller les tunnels IPSec. Consultez la section
« Affichage du statut du tunnel IPSec sur le pare-feu » à la page 347.
6. Paramétrez des itinéraires statiques ou assignez des protocoles de routage pour rediriger
le trafic vers les nouveaux tunnels établis. Le protocole BGP (Border Gateway Protocol), le
protocole RIP (Routing Information Protocol) et les options OSPF (Open Shortest Path
First) sont pris en charge ; vous pouvez les activer dans l'interface de tunnel. Consultez la
section « Routeurs virtuels et protocoles de routage » à la page 162.
7. Définissez des politiques de sécurité pour filtrer et inspecter le trafic comme décrit dans la
section « Politiques de sécurité » à la page 201. Définissez les zones sources et de
destination et spécifiez les attributs des politiques de la manière suivante :
– Trafic sortant entrant dans le tunnel - Pour la source, utilisez la zone en texte clair.
Pour la destination, utilisez la zone de l'interface de tunnel.
– Trafic entrant sortant du tunnel - Pour la source, utilisez la zone de l'interface de

tunnel. Pour la destination, utilisez la zone en texte clair.

Après avoir défini les zones pour la règle de la politique de sécurité, définissez les
adresses sources et de destination, les applications, les services et les profils de sécurité
afin de contrôler l'accès au tunnel VPN.
Remarque : Si l'interface de tunnel se trouve dans la même zone que le trafic

en texte clair de destination, les mêmes politiques vont être utilisées pour le
trafic VPN et en texte clair. Dans l'idéal, il est souhaitable de placer l'interface
de tunnel dans une zone distincte, afin que le trafic par tunnel puisse utiliser
des politiques différentes.
Une fois ces tâches terminées, le tunnel est prêt à être utilisé. Le trafic destiné aux adresses
définies pour les tunnels est correctement routé de façon automatique et crypté en tant que
trafic VPN en fonction de l'itinéraire de destination spécifique ajouté à la table de routage.
Remarque : En l'absence de règles de sécurité correspondantes, le trafic VPN va

être supprimé par le pare-feu lorsqu'une règle de sécurité est requise.
Le protocole IKE va être déclenché chaque fois que cela est nécessaire (par exemple,
lorsque le trafic est routé vers un tunnel IPSec sans clé ou avec des clés ayant expiré).
Si une règle de refus figure à la fin de la base de règles de sécurité, le trafic intra-zone
est bloqué, sauf autorisation contraire. Les règles pour autoriser des applications IKE
et IPSec doivent être explicitement incluses au-dessus de la règle de refus.
Définitions des passerelles IKE

Réseau > Profils réseaux > Passerelles IKE
La page Passerelles IKE permet de définir des passerelles contenant les informations de
configuration nécessaires à la négociation du protocole IKE avec les passerelles homologues.
Tableau 133. Paramètres d'une passerelle IKE

Champ Description
Nom Saisissez un nom pour identifier la passerelle (31 caractères maximum).
Interface Indiquez l'interface du pare-feu sortant.
Adresse IP locale Sélectionnez l'adresse IP de l'interface locale correspondant au point
d'extrémité du tunnel.
Type d'homologue Adresse IP statique ou option dynamique de l'homologue située à
l'extrémité du tunnel.
Adresse IP de Si l'option statique est sélectionnée pour un type d'homologue, indiquez
l'homologue l'adresse IP de l'homologue située à l'extrémité du tunnel.
Clé prépartagée Saisissez une clé de sécurité à utiliser pour l'authentification dans le
Confirmer la clé tunnel. Elle s'applique aux types d'homologues statiques et dynamiques.
prépartagée

Tableau 133. Paramètres d'une passerelle IKE (suite)

Champ Description
Remarque : Les champs avancés suivants sont visibles si vous cochez la case du lien Afficher les options
avancées de la phase 1.
Identification locale Sélectionnez l'un des types suivants et saisissez une valeur : Adresse IP,
FQDN (nom d'hôte), FQDN utilisateur (adresse électronique), KEYID
(chaîne d'ID au format binaire hexadécimal). Si aucune valeur n'est
indiquée, l'adresse IP locale va être utilisée comme valeur d'identification
locale.
Identification de Sélectionnez l'un des types suivants et saisissez une valeur : Adresse IP,
l'homologue FQDN (nom d'hôte), FQDN utilisateur (adresse électronique), KEYID
(chaîne d'ID au format binaire hexadécimal). Si aucune valeur n'est
indiquée, l'adresse IP de l'homologue va être utilisée comme valeur
d'identification de l'homologue.
Mode d'échange Sélectionnez Auto, Agressif ou Principal.
Profil crypto IKE Sélectionnez un profil existant ou conservez le profil par défaut.
Activer le mode passif Sélectionnez cette option pour que le pare-feu réponde uniquement aux
connexions IKE sans jamais les initier.
Activer le parcours NAT Sélectionnez cette option pour utiliser l'encapsulation UDP sur les
protocoles IKE et UDP, en les autorisant à passer par des périphériques
NAT intermédiaires.
Le parcours NAT est utilisé lorsque l'adressage NAT est en place entre les
points de terminaison VPN IPSec.
Détection des Cochez cette case pour activer cette option et saisissez un intervalle (2 -
homologues arrêtés 100 secondes) et un délai avant toute nouvelle tentative (2 - 100 secondes).
La détection des homologues arrêtés identifie les homologues IKE inactifs
ou indisponibles à l'aide d'une requête ping ICMP et permet de restaurer
des ressources perdues en cas d'indisponibilité d'un homologue.
Remarque : Lorsqu'un périphérique est paramétré pour utiliser le mode

d'échange Auto, il peut accepter des demandes de négociation en mode Principal et
Agressif. Toutefois, chaque fois que cela est possible, il initie une négociation et
autorise des échanges en mode Principal.
Vous devez configurer le périphérique homologue avec le mode d'échange

correspondant afin qu'il puisse accepter des demandes de négociation initiées à
partir du premier périphérique.

Paramétrage des tunnels IPSec

Réseau > Tunnels IPSec
La page Tunnels IPSec permet de configurer des paramètres afin d'établir des tunnels VPN
IPSec entre les pare-feux.
Tableau 134. Paramétrages des tunnels IPSec

Champ Description
Onglet Général
Nom Saisissez un nom pour identifier le tunnel (63 caractères maximum). Ce nom
est sensible à la casse et doit être unique. Vous pouvez uniquement utiliser
des lettres, des nombres, des espaces, des traits d'union et des caractères de
soulignement.
La limite de 63 caractères de ce champ inclut le nom du tunnel, en plus de
l'ID de proxy, séparé par deux-points.
Interface de tunnel Sélectionnez une interface de tunnel existante ou cliquez sur Nouvelle
interface de tunnel pour créer une nouvelle interface de tunnel. Pour plus
d'informations sur la création d'une interface de tunnel, consultez la section
Type Indiquez si une clé de sécurité générée automatiquement ou saisie
manuellement doit être utilisée. L'option Clé automatique est recommandée.

Tableau 134. Paramétrages des tunnels IPSec (suite)

Champ Description
Clé automatique Si vous choisissez Clé automatique, indiquez les options suivantes :
• Passerelle IKE - Pour plus d'informations sur les paramètres d'une
passerelle IKE, consultez la section « Définitions des passerelles IKE » à
la page 340.
• Profil crypto IPSec - Sélectionnez un profil existant ou conservez le
profil par défaut. Pour définir un nouveau profil, cliquez sur Nouveau
et suivez les instructions de la section « Définition des profils crypto
IPSec » à la page 346.
Avancé
• Activer la protection contre les attaques par rejeu - Sélectionnez cette
option pour vous protéger des attaques par rejeu.
• Copier l'en-tête TOS - Permet de copier l'en-tête type de service (TOS) à
partir de l'en-tête IP entrant vers l'en-tête IP sortant des paquets
encapsulés afin de conserver les informations TOS d'origine.
• Moniteur de tunnels - Cette option permet d'informer l'administrateur
de périphériques de la défaillance d'un tunnel et de basculer
automatiquement vers une autre interface. Notez que vous devez
assigner une adresse IP à l'interface de tunnel à surveiller.
– IP de destination - Indiquez une adresse IP de l'autre côté du tunnel
que le moniteur de tunnels va utiliser pour déterminer si le tunnel
fonctionne correctement.
– Profil - Sélectionnez un profil existant qui va déterminer les actions
prises en cas de défaillance d'un tunnel. Si l'action spécifiée dans le
profil de surveillance est En attente de récupération, le pare-feu va
continuer à utiliser l'interface de tunnel pour router les décisions
comme si le tunnel était actif. Si l'action de basculement est utilisée, le
pare-feu va désactiver l'interface de tunnel, désactivant ainsi les
itinéraires de la table de routage qui utilisent l'interface. Pour plus
d'informations, consultez la section « Définition des profils de
surveillance » à la page 190.
Clé manuelle Si vous choisissez Clé manuelle, indiquez les options suivantes :
• SPI local - Indiquez l'index de paramètres de sécurité (SPI) local pour le
parcours du paquet entre le pare-feu local et l'homologue. SPI est un
index hexadécimal ajouté à l'en-tête du tunnel IPSec permettant de
différencier les flux de trafic IPSec.
• Interface - Sélectionnez l'interface correspondant au point d'extrémité
du tunnel.
• Adresse locale - Sélectionnez l'adresse IP de l'interface locale
correspondant au point d'extrémité du tunnel.
• SPI distant - Indiquez l'index de paramètres de sécurité (SPI) distant
pour le parcours du paquet entre le pare-feu distant et l'homologue.
• Protocole - Sélectionnez le protocole utilisé pour le trafic passant par le
tunnel (ESP ou AH).
• Authentification - Sélectionnez le type d'authentification pour accéder
au tunnel (SHA1, SHA256, SHA384, SHA512, MD5 ou Aucun).
• Clé/Clé de confirmation - Saisissez et confirmez une clé
d'authentification.
• Cryptage - Sélectionnez une option de cryptage pour le trafic du tunnel
(3des, aes128, aes192, aes256, aes128ccm16 ou null [aucun cryptage]).
• Clé/Clé de confirmation - Saisissez et confirmez une clé de cryptage.

Tableau 134. Paramétrages des tunnels IPSec (suite)

Champ Description
Satellite GlobalProtect Si vous choisissez Satellite GlobalProtect, indiquez les options suivantes :
Pour une vue d'ensemble du concept GlobalProtect Satellites, consultez la
section « Déploiement d'un VPN à grande échelle avec GlobalProtect » à la
page 351.
• Nom - Saisissez un nom pour identifier le tunnel (31 caractères maximum).
Ce nom est sensible à la casse et doit être unique. Vous pouvez uniquement
• Interface de tunnel - Sélectionnez une interface de tunnel existante ou
cliquez sur Nouvelle interface de tunnel. Pour plus d'informations sur la
création d'une interface de tunnel, consultez la section « Configuration des
interfaces de tunnel » à la page 156.
• Adresse du portail - Saisissez l'adresse IP du portail GlobalProtect.
• Interface - Sélectionnez l'interface dans la liste déroulante correspondant à
l'interface de sortie permettant d'atteindre le portail GlobalProtect.
• Adresse IP locale - Saisissez l'adresse IP de l'interface de sortie qui se
connecte au portail GlobalProtect.
Options avancées
• Publier tous les itinéraires statiques et connectés à la passerelle -
Sélectionnez cette option afin de publier tous les itinéraires entre le
périphérique satellite et la passerelle GlobalProtect à laquelle ce satellite est
connecté.
• Sous-réseau - Cliquez sur Ajouter pour ajouter manuellement des sous-
réseaux locaux à l'emplacement d'un satellite. Si d'autres satellites utilisent
les mêmes informations de sous-réseau, vous devez traduire l'adresse
réseau (NAT) de l'ensemble du trafic vers l'IP de l'interface de tunnel. De
plus, le satellite ne doit partager aucun itinéraire dans ce cas de figure, le
routage entier sera alors réalisé via l'IP de tunnel.
• Autorité de certification externe - Sélectionnez cette option si vous
prévoyez d'utiliser une autorité de certification (CA) externe pour gérer les
certificats. Une fois vos certificats générés, vous devrez les importer dans le
périphérique et sélectionner le Certificat local et le Profil du certificat à
utiliser.
Onglet ID de proxy
ID de proxy Cliquez sur Ajouter et saisissez un nom pour identifier le proxy.
Local Saisissez une adresse IP ou un sous-réseau au format adresse_ip/masque
(par exemple : 10.1.2.1/24).
Distant Si l'homologue l'exige, saisissez une adresse IP ou un sous-réseau au
format adresse_ip/masque (par exemple : 10.1.1.1/24).
Protocole Spécifiez le protocole et les numéros de port pour les ports locaux et
distants :
• Numéro - Indiquez un numéro de protocole (pour assurer
l'interopérabilité avec des périphériques tiers).
• Indifférent - Autorisez le trafic TCP et/ou UDP.
• TCP - Indiquez les numéros de port TCP locaux et distants.
• UDP - Indiquez les numéros de port UDP locaux et distants.
Remarque : Chaque ID de proxy configuré va être inclus dans la
capacité du tunnel VPN IPSec du pare-feu.

Éléments importants à prendre en compte lors de la configuration de VPN IPSec

Respectez les consignez suivantes lorsque vous configurez des VPN IPSec :
• Un itinéraire vers le réseau distant acheminé par tunnel doit être défini.
• Des clés prépartagées peuvent être mal saisies sur l'un des périphériques. Ces clés doivent
toujours correspondre.
• Le mode de négociation de phase 1 (agressif/principal) risque de ne pas correspondre sur

les périphériques. Ce mode de négociation doit toujours correspondre.
• Une mauvaise configuration couramment rencontrée est l'activation de la confidentialité

de transmission parfaite sur un seul côté. Elle doit être activée sur les deux côtés.
• Si les protocoles de routage dynamique publient des itinéraires vers les adresses IP
publiques via le tunnel IPSec, le périphérique établissant le tunnel peut tenter une
négociation de phase 1 avec l'IP public comme destination définie, au lieu du point
d'extrémité du tunnel IPSec. Par conséquent, la connexion n'est jamais créée et le routage
échoue. Pour résoudre ce problème, vérifiez que seules les adresses IP privées effectuent
un routage via le tunnel et qu'il n'existe aucune adresse IP publique ou aucun autre
itinéraire par défaut dans la table de routage qui pointe vers le tunnel.
• Un ID de proxy peut être mal saisi pour le périphérique situé à l'extrémité du tunnel
IPSec. Cette situation peut se produire car certains fournisseurs génèrent un ID de proxy
par défaut pour des communications IPSec qui n'est pas facilement identifié par
l'utilisateur final.
Définition des profils crypto IKE

Réseau > Profils réseaux > Crypto IKE
La page Profils crypto IKE permet de spécifier des protocoles et des algorithmes pour
l'identification, l'authentification et le cryptage dans les tunnels VPN en fonction de la
négociation SA IPSec (IKEv1
de phase 1). Pour plus d'informations, consultez la section « Réseaux privés virtuels » à la
page 336.
Pour modifier l'ordre d'affichage d'un algorithme ou d'un groupe, sélectionnez un élément
puis cliquez sur l'icône Monter ou Descendre. L'ordre détermine le premier choix lors de la
négociation des paramètres avec un homologue distant. Un essai du paramètre situé en tête
de liste est réalisé en premier, puis en descendant dans la liste jusqu'à ce qu'un essai soit
réussi.

Tableau 135. Paramètres d'un profils crypto IKE

Champ Description
Groupe DH Indiquez la priorité des groupes Diffie-Hellman (DH). Cliquez sur
Ajouter et sélectionnez les groupes. Pour une sécurité maximale,
sélectionnez un élément, puis cliquez sur l'icône Monter ou Descendre
pour déplacer les groupes, dont les identifiants numériques sont les plus
élevés, en tête de liste. Par exemple, déplacez groupe14 au-dessus de
groupe2.
Authentification Indiquez la priorité des algorithmes de hachage. Cliquez sur Ajouter et
sélectionnez des algorithmes (md5, sha1, sha256, sha384 ou sha512). Pour
une sécurité optimale, utilisez les flèches pour déplacer sha1 en tête de
liste.
Cryptage Cochez les cases des options d'authentification pour l'encapsulation de la
charge utile de sécurité (ESP) de votre choix. Cliquez sur Ajouter et
sélectionnez des algorithmes (aes256, aes192, aes128 ou 3des). Pour une
sécurité maximale, sélectionnez un élément, puis cliquez sur l'icône
Monter ou Descendre afin d'obtenir l'ordre suivant : aes256, aes192,
aes128, 3des.
Durée de vie Sélectionnez les unités et saisissez la durée pendant laquelle la clé
négociée va rester opérationnelle.
Définition des profils crypto IPSec

Réseau > Profils réseaux > Crypto IPSec
La page Profils crypto IPSec permet de spécifier des protocoles et des algorithmes pour
l'identification, l'authentification et le cryptage dans les tunnels VPN en fonction de la négociation
SA IPSec (IKEv1 de phase 2). Pour plus d'informations, consultez la section « Réseaux privés
virtuels » à la page 336.
Tableau 136. Paramètres d'un profil crypto IPSec

Champ Description
Nom Saisissez un nom pour identifier le profil (31 caractères maximum). Ce
Protocole IPSec Choisissez une option dans la liste déroulante.
ESP :
• Cliquez sur Ajouter sous Cryptage et sélectionnez les algorithmes de
cryptage ESP de votre choix. Pour une sécurité maximale, utilisez les
flèches afin d'obtenir l'ordre suivant : 3des, aes128, aes192, aes256 ou
aes128ccm16.
• Cliquez sur Ajouter sous Authentification et sélectionnez les
algorithmes d'authentification ESP de votre choix (md5, sha1, sha256,
sha384, sha512 ou aucun).
AH :
• Cliquez sur Ajouter sous Authentification et sélectionnez les
algorithmes d'authentification AH de votre choix (md5, sha1, sha256,
sha384 ou sha512).

Exemple de configuration VPN
Tableau 136. Paramètres d'un profil crypto IPSec (suite)

Champ Description
Groupe DH Sélectionnez le groupe DH. Pour une sécurité maximale, choisissez le
groupe dont l'identifiant est le plus élevé.
Durée de vie Sélectionnez les unités et saisissez la durée pendant laquelle la clé
négociée va rester opérationnelle. La valeur par défaut est 1 heure.
Taille réelle Sélectionnez des unités facultatives et saisissez la quantité de données
qu'une clé peut utiliser pour le cryptage.
Pour modifier l'ordre d'affichage d'un algorithme ou d'un groupe, sélectionnez un élément
puis cliquez sur l'icône Monter ou Descendre. L'ordre affiché détermine l'ordre dans lequel
les algorithmes sont appliqués et peut affecter les performances d'un tunnel.
Affichage du statut du tunnel IPSec sur le pare-feu

Réseau > Tunnels IPSec
Pour afficher le statut des tunnels VPN IPSec actuellement définis, ouvrez la page Tunnels
IPSec. Les informations suivantes concernant le statut sont signalées sur la page :
• Statut du tunnel (première colonne du statut) - La couleur verte indique un tunnel SA
IPSec. La couleur rouge indique qu'une SA IPSec est indisponible ou a expiré.
• Statut de la passerelle IKE - La couleur verte indique une SA IKE de phase 1 valide. La
couleur rouge indique qu'une SA IKE de phase 1 est indisponible ou a expiré.
• Statut de l'interface de tunnel - La couleur verte indique que l'interface de tunnel est
active (car le moniteur de tunnels est désactivé ou car le statut du moniteur de tunnels
affiche ACTIF). La couleur rouge indique que l'interface de tunnel est inactive, car le
moniteur de tunnels est activé et le statut est inactif.

Cette section utilise un exemple pour expliquer la configuration VPN. Dans cet exemple, le
bureau d'une filiale est connecté à un bureau du siège social et les utilisateurs du bureau de
cette filiale sont autorisés à accéder à une ferme de serveurs centraux.
Consultez les rubriques suivantes :
• « Topologie existante » dans la section suivante
• « Nouvelle topologie » à la page 348
• « Configuration de la connexion VPN » à la page 349
• « Dépannage de la connectivité VPN » à la page 350
Topologie existante
Siège social (SS) :
• L'IP public du pare-feu est 61.1.1.1, sur l'interface ethernet1/1, qui se trouve dans la zone
« ISP », routeur virtuel « SS ».

• Le réseau de la ferme de serveurs est 10.100.0.0/16, connecté via l'interface ethernet1/5

(IP 10.100.0.1), qui se trouve dans la zone « serveur », routeur virtuel « SS ».
Bureau de la filiale :
• L'IP public du pare-feu est 202.101.1.1, sur l'interface ethernet1/2, qui se trouve dans la
zone « filiale ISP », routeur virtuel « filiale ».
• Un réseau PC de 192.168.20.0/24, connecté via l'interface ethernet1/10, qui se trouve dans

la zone « bureau-filiale », routeur virtuel « filiale » (le même que pour ethernet1/2).
• Politique de sécurité afin d'autoriser le trafic entre la zone « bureau-filiale » et la zone «

filiale ISP » pour un accès à Internet depuis le réseau PC.
La figure suivante illustre la topologie existante.
Figure 41. Exemple de configuration VPN - Topologie existante

Pare-feu Pare-feu
du siège social du bureau de la filiale
Internet 192.168.20.0/24
Réseau PC
eth1/1 eth1/2 eth1/10
61.1.1.1 202.101.1.1 192.168.20.1/24
Zone : ISP Zone : filiale-ISP Zone : bureau-filiale
eth1/5 Routeur virtuel : SS Routeur virtuel : filiale Routeur virtuel : filiale
10.100.0.1/16
Zone : serveur
Routeur virtuel : SS
10.100.0.0/16
Ferme de
serveurs
Nouvelle topologie
Siège social :
• Créez une nouvelle zone de sécurité « vpn-filiale ».
• Ajoutez l'interface de tunnel tunnel.1 à la zone « vpn-filiale » et assignez une adresse IP

issue d'une plage privée (par exemple : 172.254.254.1/24).
• Ajoutez un itinéraire statique au trafic direct à 192.168.20.0/24 (le réseau du bureau de la

filiale) dans l'interface de tunnel tunnel.1.
• Ajoutez une politique de sécurité pour autoriser le trafic entre la zone « vpn-filiale » et la
zone « serveur ».
– Créez une nouvelle zone de sécurité « vpn-central ».
– Ajoutez l'interface de tunnel tunnel.2 à la zone « vpn-central » et assignez une adresse

IP issue d'une plage privée (par exemple : 172.254.254.20/24).
– Ajoutez un itinéraire statique au trafic direct à 10.100.0.0/16 (le réseau de la ferme de

serveurs) dans l'interface de tunnel tunnel.2.
– Ajoutez une politique de sécurité pour autoriser le trafic entre la zone « bureau-filiale »
et la zone « vpn-central ».

La figure suivante illustre les informations de tunnel pour la nouvelle topologie.
Figure 42. Exemple de configuration VPN - Nouvelles informations de tunnel
Pare-feu Pare-feu
du siège social du bureau de la filiale
192.168.20.0/24
Internet Réseau PC
eth1/1 eth1/2 eth1/10
61.1.1.1 202.101.1.1 192.168.20.1/24
Zone : ISP Zone : filiale-ISP Zone : bureau-filiale
eth1/5
Routeur virtuel : SS Routeur virtuel : filiale Routeur virtuel : filiale
10.100.0.1/16
______________
Zone : serveur
Interface de tunnel : tunnel.2
Routeur virtuel : SS
172.254.254.20/24
_________________
Zone : VPN-central
Interface de tunnel : tunnel.1
10.100.0.0/16 Routeur virtuel : filiale
Ferme de Zone : vpn-filiale
serveurs Routeur virtuel : SS
Configuration de la connexion VPN

Siège social :
• Créez une passerelle IKE « branch-1-gw » avec les paramètres suivants :
– Adresse homologue : dynamic (ou 202.101.1.1)
– Adresse locale : ethernet1/1
– ID homologue : de type FQDN : branch1.my.domain
– Authentification : pre-shared-key newvpn
– Protocole : conservez les valeurs par défaut
• Créez un tunnel IPSec « branch-1-vpn » avec les paramètres suivants :
– profil-passerelle-ike : branch-1-gw
– profil-crypto-ipsec : laissez les valeurs par défaut
– Interface de tunnel : bind with tunnel.1
• Pour les serveurs de la ferme, consultez la table de routage et vérifiez que la destination
192.168.20.0/24 est joignable via 10.100.0.1.
• Créez une passerelle IKE « central-gw » avec les paramètres suivants :
– Adresse homologue : 61.1.1.1
– Adresse locale : ethernet1/2
– ID local : de type FQDN : branch1.my.domain
– Authentification : pre-shared-key newvpn
– Protocole : conservez les valeurs par défaut

• Créez un tunnel IPSec « central-vpn » avec les paramètres suivants :
– profil-passerelle-ike : central-gw
– profil-crypto-ipsec : laissez les valeurs par défaut
– Interface de tunnel : bind with tunnel.2
Remarques sur la configuration :

• Si 202.101.1.1 est défini pour le paramètre Adresse homologue dans « branch-1-gw » sur
le site central, la définition des paramètres ID local et ID homologue devient inutile (ces
champs peuvent être laissés vides). Notez que le traitement de ces deux paramètres doit
être identique, car des correspondances sont établies entre ces deux champs au cours de la
négociation IKE.
• L'ID de proxy est laissé vide pour les VPN de routage de ce type.
Après avoir configuré les paramètres et validé la configuration, le nouveau VPN devrait
fonctionner. En cas de problèmes de connectivité, consultez la section « Dépannage de la
connectivité VPN » dans la section suivante.
Dépannage de la connectivité VPN

Remarque : Les valeurs des paramètres figurant dans cette section se réfèrent à
l'exemple de configuration. Consultez la section « Configuration de la connexion
VPN » à la page 349.
Pour résoudre des problèmes concernant la connectivité VPN :

1. Vérifiez à deux reprises les configurations des deux sites.
2. L'utilitaire ping permet de vérifier la connectivité entre les bureaux centraux et des filiales
(202.101.1.1 et 61.1.1.1). Pour ce faire, l'interface doit contenir un profil de gestion qui
autorise le recours à l'utilitaire ping.
3. L'utilitaire ping permet de vérifier la connectivité entre la ferme de serveurs et le pare-feu

central (ethernet1/5). Pour ce faire, l'interface doit contenir un profil de gestion qui
autorise le recours à l'utilitaire ping.
4. L'utilitaire ping permet de vérifier la connectivité entre le réseau de la filiale et l'interface

du pare-feu de la filiale (ethernet1/10). Pour ce faire, l'interface doit contenir un profil de
gestion qui autorise le recours à l'utilitaire ping.
5. Sur le site du bureau de la filiale, utilisez les commandes CLI test vpn ike-sa gateway
central-gw et show vpn ike-sa gateway central-gw pour vérifier que des SA IKE de
phase 1 peuvent être créées à partir du bureau de la filiale.
6. Sur le site central, utilisez la commande CLI show vpn ike-sa gateway branch-1-gw pour
vérifier que des SA IKE de phase 1 peuvent être créées à partir du bureau de la filiale.
7. Sur le site du bureau de la filiale, utilisez les commandes CLI test vpn ipsec-sa tunnel
central-vpn et show vpn ipsec-sa tunnel central-vpn pour vérifier que des SA IKE de
phase 2 peuvent être créées à partir du bureau de la filiale.
8. Sur le site central, utilisez la commande CLI show vpn ipsec-sa tunnel branch-1-vpn
pour vérifier que des SA IKE de phase 2 peuvent être créées à partir du bureau de la
filiale.

Déploiement d'un VPN à grande échelle avec GlobalProtect
9. Consultez la table de routage du serveur dans la ferme de serveurs. La destination

192.168.20.0/24 doit être accessible via l'adresse IP de l'interface ethernet1/5 du pare-feu
central.
10. Pour vérifier le paramètre de routage, exécutez la commande traceroute depuis n'importe
quel ordinateur du réseau de bureaux de la filiale où l'un des serveurs de la ferme sert de
destination.
11. Exécutez l'utilitaire ping depuis n'importe quel ordinateur du réseau de bureaux de la
filiale où l'un des serveurs de la ferme sert de destination. Consultez les compteurs de
cryptage et de décryptage affichés dans la sortie de la commande CLI show vpn flow.
Vérifiez que la valeur de ces compteurs augmente, contrairement à celle des compteurs
d'erreurs.
12. Examinez les détails des messages d'erreurs de la négociation IKE dans le syslog ou
utilisez la commande
debug ike pcap pour capturer les paquets IKE au format PCAP.
Déploiement d'un VPN à grande échelle avec

GlobalProtect
Cette section contient les rubriques suivantes :
• « Vue d'ensemble » dans la section suivante
• « Déploiement d'un réseau VPN à grande échelle » à la page 352
• « Protocoles de routage dynamique et VPN à grande échelle » à la page 362
• « Sauvegarde du portail GlobalProtect » à la page 362
Vue d'ensemble
Le déploiement de réseaux VPN à grande échelle peut être un processus très long et très
compliqué. Pour ce faire, vous devez faire face à de nombreux défis en termes de planification,
d'exigences d'authentification, de configuration des tunnels, de planification des routages,
d'approvisionnement et de mise au rebut des composants et périphériques. Avec les pare-feux
Palo Alto Networks, ce processus a été sensiblement simplifié en tirant parti des méthodes de
déploiement et de gestion utilisées dans la fonctionnalité VPN de GlobalProtect qui était
auparavant utilisée uniquement pour l'accès à distance des ordinateurs clients.
L'illustration de la Figure 43 montre que chaque satellite se connecte au portail pour obtenir
un certificat d'authentification, puis qu'il télécharge une configuration VPN initiale. Une fois
la configuration initiale terminée, le périphérique satellite établit un VPN dans toutes les
passerelles configurées définies sur le portail à l'aide du même certificat sécurisé, créant ainsi
un réseau VPN en étoile. Les informations de réseau et de routage sont ensuite partagées entre
la passerelle et les périphériques satellites afin de créer plusieurs chemins d'accès pour
s'assurer que la connectivité entre les bureaux du siège social et des filiales est toujours
maintenue.

Réseau du Réseau du
siège social 1 siège social 2
Portail et passerelles
GlobalProtect
portal.paloaltonetworks.com Passerelle GlobalProtect Passerelle GlobalProtect
Pare-feux des satellites Site de la

Site de la filiale 4
filiale 1
Figure 43. Déploiement VPN à grande échelle
Déploiement d'un réseau VPN à grande échelle

Lors du déploiement d'un réseau VPN à grande échelle avec des pare-feux Palo Alto
Networks et GlobalProtect, vous devez d'abord configurer la/les passerelle(s) GlobalProtect,
le portail GlobalProtect et les certificats qui vont être utilisés pour authentifier des
périphériques satellites. Après avoir configuré les périphériques du portail et des passerelles,
il ne vous reste plus qu'à établir la connectivité WAN dans le périphérique satellite, fournir
une interface de tunnel et saisir le nom d'hôte de l'interface du portail GlobalProtect accessible
par Internet et la configuration du périphérique satellite est initiée. Ce périphérique satellite
va ensuite établir et gérer des tunnels entre tous les périphériques passerelles configurés et
utiliser la surveillance de tunnel pour identifier des défaillances et initier un basculement. Une
fois le portail et les passerelles configurés, vous pouvez facilement ajouter des périphériques
satellites supplémentaires.
Veillez à ne pas oublier ce qui suit lors du déploiement de plusieurs bureaux de filiales :
• Si vous avez des bureaux de filiales qui ont l'intention d'utiliser des sous-réseaux en
double, le périphérique satellite doit traduire l'adresse réseau (NAT) de l'ensemble du
trafic vers un IP ou un sous-réseau unique. L'une des options les plus simples consiste à
traduire l'adresse réseau source de l'ensemble du trafic initié par le satellite vers l'IP de
l'interface de tunnel. Lorsque vous spécifiez l'interface de tunnel en tant que NAT source
effectuée, le pare-feu va utiliser l'adresse IP assignée à l'interface de tunnel par la
passerelle ayant la priorité la plus élevée. Si plusieurs passerelles alimentent différents
réseaux, il est recommandé de fournir une adresse IP ou un sous-réseau unique pour
chaque satellite qui pourra être routé par l'ensemble des périphériques passerelles. Lors

de l'utilisation de sous-réseaux en double, vérifiez que les satellites ne sont pas autorisés à
partager des itinéraires connectés avec les passerelles, au risque de provoquer des
problèmes de routage.
• Les satellites doivent utiliser la surveillance de tunnel (à l'aide d'une configuration

fournie par les passerelles) afin d'identifier les défaillances d'une passerelle. Ceci permet
aussi de s'assurer que les tunnels sont gérés en l'absence de trafic vers la passerelle.
La section suivante décrit les composants et les étapes de base requises pour déployer un
réseau VPN à grande échelle à l'aide de GlobalProtect.
• « Certificats et répondeur OCSP » à la page 353
• « Configuration de la passerelle GlobalProtect » à la page 356
• « Configuration du portail GlobalProtect » à la page 358
• « Configuration du satellite GlobalProtect » à la page 361
• « Protocoles de routage dynamique et VPN à grande échelle » à la page 362
Certificats et répondeur OCSP

Dans un environnement VPN à grande échelle, les certificats permettent de fournir un plan
d'authentification mutuel pour les périphériques satellites et d'automatiser leur déploiement
afin de réduire le nombre d'étapes requises pour les préparer.
Le portail GlobalProtect est configuré en tant que CA racine qui va signer les certificats
d'authentification des périphériques satellites et passerelles. La passerelle utilise un profil de
certificat avec la CA racine du portail pour autoriser les satellites à s'authentifier dans les
passerelles. Pour ajouter un nouveau périphérique satellite au réseau VPN, ajoutez
simplement le numéro de série du périphérique à la configuration du portail ou créez un nom
d'utilisateur et un mot de passe que l'administrateur de satellites va utiliser pour lancer la
configuration initiale. Sur le satellite, saisissez l'adresse du portail dans la page Tunnels IPSec,
le satellite va ensuite se connecter au portail et envoyer une demande de signature de certificat
(CSR). Puis, le portail signe et renvoie le certificat du client au satellite, ainsi que le certificat de
la CA racine pour autoriser les communications.
Dans le cas des certificats de passerelles, le portail va créer un certificat de serveur qui est
importé dans la passerelle et le certificat de la CA racine du portail est défini dans le profil du
certificat sur la passerelle. Ceci va permettre à tous les satellites de s'authentifier dans les
passerelles définies.

Pour gérer des certificats dans cet environnement, créez un profil OCSP (Online Certificate
Status Protocol) sur le portail qui permettra de gérer le statut de révocation des certificats
locaux envoyés aux périphériques satellites et passerelles. Sur chaque périphérique satellite et
passerelle, configurez l'option OCSP de sorte qu'elle pointe vers le portail.
Remarque : Vous pouvez également utiliser une autorité de certification (CA)
racine externe pour le déploiement d'un VPN avec GlobalProtect.
Pour plus d'informations sur les certificats, consultez la section « Importation, exportation et
génération de certificats de sécurité » à la page 93. Pour plus d'informations sur le répondeur
OCSP, consultez la section « Répondeur OCSP » à la page 97.
Configuration d'un répondeur OCSP :
Le répondeur OCSP doit être configuré en premier étant donné qu'il va être utilisé lors de la
création de certificats pour les périphériques satellites et passerelles.
1. Allez dans Périphérique > Gestion des certificats > Répondeur OCSP.
2. Cliquez sur Ajouter et saisissez un nom pour le répondeur OCSP.
3. Saisissez le Nom d'hôte du portail.
Configuration d'un profil de gestion pour le répondeur OCSP :
Ce profil permet d'autoriser les périphériques satellites et passerelles à se connecter au portail

pour émettre des demandes OCSP via le protocole HTTP.
1. Allez dans Réseau > Profils réseaux > Gestion de l'interface.
2. Cliquez sur Ajouter et donnez un nom au profil.
3. Cochez la case HTTP OCSP. Vous pouvez aussi activer l'utilitaire ping à des fins de test.
5. Assignez le nouveau profil de gestion à l'interface d'entrée du portail en allant dans

Réseau > Interfaces.
6. Sélectionnez l'interface qui sera utilisée comme entrée pour les périphériques VPN et
cliquez sur l'onglet Avancé.
7. Dans l'onglet Autres informations et dans la liste déroulante Profil de gestion,

sélectionnez le profil de gestion OCSP que vous avez créé.
8. Cliquez sur Valider pour activer vos modifications.
Génération d'un certificat de l'autorité de certification (CA) racine :
Une CA racine du portail va signer et envoyer des certificats aux périphériques satellites et
passerelles pour fournir une authentification mutuelle aux périphériques faisant partie du
réseau VPN à grande échelle. La passerelle va aussi disposer d'un profil de certificat avec la
CA racine du portail pour autoriser l'authentification dans les périphériques satellites.
1. Allez dans Périphérique > Gestion des certificats > Certificats.
2. Cliquez sur Générer et donnez un nom au certificat.

3. Saisissez le Nom commun correspondant à l'IP ou au nom FQDN qui va apparaître sur le
certificat. Le nom commun est le nom FQDN ou l'adresse IP de l'interface à laquelle les
satellites vont se connecter.
4. Cochez la case Autorité de certification.
5. Dans le champ Répondeur OCSP, saisissez le nom du répondeur OCSP que vous avez
créé précédemment.
Génération d'un certificat de serveur pour le portail :
Ce certificat permet d'authentifier les périphériques satellites et d'autoriser des demandes

OCSP provenant des satellites et des passerelles.
1. Dans le portail GlobalProtect, allez dans Périphérique > Gestion des certificats >
Certificats.
2. Cliquez sur Générer, puis donnez un nom au certificat et saisissez un nom commun.
Important : Le nom commun correspond au nom FQDN ou à l'adresse IP de l'interface
utilisée pour les connexions satellites et sera unique dans le portail.
3. Dans la liste déroulante Signé par, sélectionnez la CA racine du portail. Définissez des
paramètres cryptographiques et d'autres attributs de votre choix, puis cliquez sur
Générer.
Génération et importation de certificats de passerelles :
Chaque passerelle qui va jouer un rôle dans le réseau VPN doit disposer d'un certificat de
serveur signé par la CA racine du portail GlobalProtect et le certificat de la CA racine du
portail doit aussi être importé dans chaque passerelle. Ceci va permettre aux passerelles de
communiquer avec le portail et d'autoriser les périphériques satellites à se connecter à la
passerelle pour établir la connectivité VPN.
Dans les étapes ci-dessous, vous pouvez également exporter la CA racine du portail jusqu'à la
passerelle, puis générer un certificat de passerelle directement sur la passerelle à l'aide de la
CA racine importée pour signer ce certificat.
Dans le portail GlobalProtect, allez dans Périphérique > Gestion des certificats > Certificats.
1. Cliquez sur Générer, puis donnez un nom au certificat et saisissez un nom commun.
Important : Le nom commun correspond au nom FQDN ou à l'adresse IP de l'interface
utilisée pour que le satellite se connecte à la passerelle et sera unique pour chaque
passerelle.
2. Dans la liste déroulante Signé par, sélectionnez la CA racine du portail.
3. Dans le Répondeur OCSP, vous devez obligatoirement saisir l'URL du portail au format
suivant : http://adresse IP ou nom FQDN/CA/ocsp, par exemple :
http://paloaltonetworks.com/CA/ocsp. Ce chemin est automatiquement généré dans
les certificats émis par le portail.
4. Définissez des paramètres cryptographiques et d'autres attributs de votre choix, puis

cliquez sur Générer.
5. Sélectionnez le certificat que vous venez de créer, puis cliquez sur Exporter, sélectionnez
le format de fichier Clé privée et certificat cryptés (PKCS12). Saisissez et confirmez une
phrase secrète qui sera utilisée lors de l'importation du certificat.
6. Suivez ces mêmes étapes pour exporter le certificat de la CA racine.

7. Dans la passerelle GlobalProtect, allez dans Périphérique > Gestion des certificats >
Certificats.
8. Cliquez sur Importer, entrez un Nom de certificat, puis cliquez sur Parcourir et
sélectionnez le certificat de serveur de la passerelle que vous avez exporté précédemment.
9. Sélectionnez le format de fichier Clé privée et certificat cryptés (PKCS12). Saisissez et

confirmez la phrase secrète que vous avez utilisée lors de l'exportation du certificat et
cliquez sur OK.
10. Suivez la même procédure pour la CA racine du portail.
Configurez un profil de certificat sur la passerelle :
Le profil du certificat permet d'authentifier le périphérique satellite dans la passerelle afin

d'établir un VPN.
1. Allez dans Périphérique > Gestion des certificats > Profil du certificat.
2. Cliquez sur Ajouter et donnez un nom au profil. Les champs Nom d'utilisateur et
Domaine sont facultatifs lorsque seuls les périphériques Palo Alto Networks se
connectent à la passerelle. Vous devrez configurer ces options si vous avez des clients
VPN tiers qui se connectent à la passerelle, comme les périphériques iOS et Android.
3. Dans la fenêtre Certificats CA, cliquez sur Ajouter et dans la liste déroulante Certificat
CA, sélectionnez le certificat CA racine que vous avez importé depuis le portail.
4. Dans le champ URL OCSP par défaut, saisissez l'URL du répondeur OCSP à l'aide de
l'adresse IP ou du nom FQDN du portail. Vous devez obligatoirement saisir l'URL du
portail au format suivant : http://adresse IP ou nom FQDN/CA/ocsp, par exemple :
http://paloaltonetworks.com/CA/ocsp.
Si vous disposez d'un autre périphérique pouvant également gérer les demandes OCSP,
vous pouvez ajouter un certificat pour ce profil dans la liste déroulante Certificat CA
pour la vérification OCSP.
5. Cliquez sur OK.
6. Dans la fenêtre Profil du certificat, cochez la case Utiliser OCSP.
8. Cliquez sur Valider pour activer la configuration du certificat.
Configuration de la passerelle GlobalProtect

Le périphérique satellite du bureau de la filiale va se connecter à la passerelle GlobalProtect
pour établir une connectivité VPN avec les ressources de l'entreprise. Le satellite va utiliser
chaque passerelle définie dans la configuration satellite du portail GlobalProtect afin de créer
un réseau VPN en étoile. Les périphériques passerelles peuvent également gérer plusieurs
tunnels sur une interface de tunnels unique, vous n'avez donc pas besoin d'une interface de
tunnel distincte pour chaque périphérique satellite déployé. Les certificats signés par la CA du
portail gèrent l'authentification entre le satellite et la passerelle. Une fois configurées et une
fois le VPN établi, les informations de routage sont aussi partagées dynamiquement entre les
périphériques satellites et passerelles.

Configuration du périphérique passerelle GlobalProtect :

1. Vous devrez déjà avoir généré et importé le certificat du serveur de la passerelle et le
certificat CA racine du portail. Consultez la section « Certificats et répondeur OCSP » à la
page 353.
2. Créez une interface de tunnel qui sert d'interface logique pour terminer les tunnels VPN.
Vous pouvez utiliser l'interface de tunnel prédéfinie ou en créer une nouvelle. L'interface
doit aussi être liée au routeur virtuel et placée dans une zone de sécurité.
Il est recommandé de créer une nouvelle zone, afin que vous puissiez contrôler les
politiques entre la filiale et la zone contenant vos ressources protégées. Vous pouvez
placer l'interface de tunnel dans la même zone que les ressources protégées, ce qui va
permettre aux périphériques satellites d'accéder aux ressources, mais vous n'aurez aucun
contrôle granulaire des politiques sur les réseaux satellites.
Consultez la section « Configuration des interfaces de tunnel » à la page 156.
3. Sur le pare-feu qui va être utilisé comme passerelle GlobalProtect, allez dans Réseau >
GlobalProtect > Passerelles, puis cliquez sur l'onglet Général.
4. Cliquez sur Ajouter et donnez un nom à la passerelle.
5. Sélectionnez l'interface dotée d'une connectivité Internet à laquelle les périphériques

satellites vont se connecter afin d'établir la connectivité VPN et sélectionnez aussi une
Adresse IP.
6. Sélectionnez le certificat du serveur de la passerelle qui a été signé par le portail et

importé dans la passerelle.
7. Sélectionnez le profil du certificat dans la liste déroulante Profil du certificat.
8. Cliquez sur le sous-onglet Configuration du satellite et cochez la case Configuration du

tunnel.
9. Sélectionnez l'interface de tunnel que vous avez créée ou sélectionnez l'interface de tunnel
par défaut. Vous pouvez aussi définir Détection des attaques par rejeu ou Copier TOS
(facultatif).
10. Définissez la Configuration de l'intervalle d'actualisation. Il s'agit du paramètre que

chaque satellite va utiliser pour déterminer la fréquence à laquelle le périphérique
satellite doit vérifier la disponibilité des mises à jour de configuration du portail, comme
l'ajout d'une nouvelle passerelle que les satellites peuvent utiliser. La valeur par défaut est
24 heures et la plage horaire est comprise entre 1 et 48 heures.
11. Cochez la case Surveillance de tunnel et saisissez un IP de destination. Vous pouvez

saisir n'importe quelle adresse IP joignable de votre choix, ou si vous laissez ce champ
vide, le profil de surveillance va envoyer des requêtes ping à l'adresse IP de l'interface de
tunnel de la passerelle.
12. Dans la liste déroulante Profil du moniteur de tunnel, configurez un nouveau profil et
vérifiez que l'action affiche basculement.
13. Dans le Profil crypto IPSec, configurez un nouveau profil ou sélectionnez la valeur par
défaut.
14. Cliquez sur le sous-onglet Paramètres réseau et renseignez les informations concernant le
DNS, le pool d'adresses IP et l'itinéraire d'accès que les périphériques satellites vont
utiliser. Le pool d'adresses IP se compose d'une plage d'adresses IP qui vont être assignées
à l'interface de tunnel du périphérique satellite qui se connecte à la passerelle lors de

l'établissement d'un VPN. Ce pool doit être suffisamment volumineux pour gérer tous les
satellites qui vont se connecter à la passerelle.
Pour les champs DNS principaux et secondaires, vous pouvez sélectionner Source de
l'héritage, ainsi qu'une interface existante qui va être utilisée pour fournir ces
informations aux périphériques satellites.
15. Saisissez les informations de votre choix concernant l'Itinéraire d'accès que vous
souhaiteriez limiter dans les périphériques satellites. Par exemple, vous pouvez fournir
des itinéraires d'accès pour implémenter la segmentation de tunnel, de sorte que le trafic
Internet issu du bureau de la filiale ne passe pas dans le VPN. Si aucun itinéraire d'accès
n'est fourni, tout le trafic va passer par le tunnel.
16. Cliquez sur l'onglet Filtre d'itinéraire et laissez cette option décochée pour accepter tous
les itinéraires envoyés par le satellite ou cliquez sur Accepter les itinéraires publiés et
indiquez une liste de sous-réseaux qui vont filtrer tous les autres itinéraires. Si vous
utilisez une traduction NAT, qui va utiliser l'IP de l'interface de tunnel, aucun filtrage
n'est nécessaire étant donné qu'aucun itinéraire n'a besoin d'être publié dans la passerelle.
17. Cliquez sur Valider pour activer la configuration de la passerelle.
Configuration du portail GlobalProtect

Le portail permet de gérer l'environnement VPN. Il prend en charge le processus d'inscription
des nouveaux périphériques satellites, gère la liste des passerelles que les satellites doivent
utiliser et peut agir en tant que CA racine pour les passerelles et satellites. Vous pouvez
également utiliser une autorité de certification (CA) externe, le cas échéant.
Lorsque le périphérique satellite reçoit sa configuration initiale et les certificats du portail, une
connexion VPN est établie avec toutes les passerelles définies. Ainsi, aucun VPN n'est requis
entre le portail et les passerelles. Le seul moment où la passerelle devra communiquer avec le
portail concerne les demandes OCSP qui exigent uniquement un accès HTTP.
Vous pouvez également configurer le portail en tant que passerelle. Vous disposerez alors
d'un point d'accès à la passerelle pour les périphériques satellites au même endroit que le
portail. Vous pouvez ensuite ajouter des passerelles externes supplémentaires pour d'autres
emplacements dans votre réseau VPN global.
• « Création d'un profil d'authentification » à la page 358
• « Zone de sécurité et interface » à la page 359
• « Configuration du portail GlobalProtect » à la page 359
Création d'un profil d'authentification

Un profil d'authentification détermine la méthode d'authentification qui va être utilisée par
les périphériques satellites pour se connecter au portail. Si vous utilisez cette méthode,
l'administrateur du périphérique satellite va saisir un nom d'utilisateur et un mot de passe
lors de sa première connexion au portail. Une fois le périphérique authentifié, il va ajouter un
numéro de série et un nom d'hôte au portail. Vous pouvez utiliser un compte de base de
données local, RADIUS, LDAP avec Active Directory ou Kerberos. Dans ce cas,
l'administrateur du portail n'a pas besoin d'ajouter le numéro de série d'un périphérique
satellite à la configuration satellite du portail. Consultez la section « Profils

Vous pouvez aussi ajouter le numéro de série d'un périphérique satellite comme décrit dans la
section « Configuration du portail GlobalProtect » à la page 359. Cependant, dans les deux
cas, vous devez disposer d'un profil d'authentification défini afin de valider votre
configuration. Si vous ajoutez manuellement le numéro de série d'un périphérique à la
configuration du portail, le profil d'authentification n'est pas utilisé, mais reste obligatoire.
Configuration d'un profil d'authentification :
1. Pour utiliser un compte local pour l'authentification, dans le portail, allez dans
Périphérique > Base de données des utilisateurs locaux> Utilisateurs et cliquez sur
Ajouter.
2. Saisissez un nom d'utilisateur dans le champ Nom, puis entrez un mot de passe dans les
champs Mot de passe/Confirmer le mot de passe. Vous pouvez aussi utiliser un hachage
de mot de passe en appuyant sur le bouton Hacher le mot de passe et en collant un
hachage de mot de passe dans le champ.
3. Cliquez sur OK pour créer un compte.
4. Allez dans Périphérique > Profil d'authentification et cliquez sur Ajouter.
5. Saisissez un nom de profil dans le champ Nom et dans la liste déroulante

Authentification, sélectionnez Base de données locale. Si vous prévoyez d'utiliser
RADIUS, LDAP ou Kerberos, sélectionnez l'une de ces options et configurez le serveur.
Une fois la configuration terminée, vous pouvez ensuite sélectionner les noms
d'utilisateurs disponibles sur ces systèmes.
6. Dans la Liste d'autorisation, cliquez sur Ajouter, puis sélectionnez l'utilisateur local que
vous avez créé.
Zone de sécurité et interface

Pour chaque périphérique qui va participer au VPN (portail, passerelle, satellite), vous devrez
configurer une interface qui pourra accéder aux autres périphériques dans l'environnement
VPN et les placer dans la zone de sécurité de votre choix. Ceci va permettre à chaque
périphérique de communiquer sur le WAN. Il est recommandé de créer une nouvelle zone,
afin que vous puissiez contrôler les politiques entre le bureau de la filiale et la zone qui
contient vos ressources protégées.
La connexion initiale entre le satellite et le portail pour télécharger un certificat et la
configuration initiale vont utiliser le protocole SSL. Une fois le satellite configuré, il va établir
un VPN IPSec avec les passerelles configurées. Vérifiez que la case Activer l'identification
utilisateur est cochée dans les zones de sécurité que vous avez créées, afin que les utilisateurs
du bureau de la filiale puissent être identifiés si User-ID est configuré. Ceci est obligatoire
pour les zones qui vont être utilisées sur la passerelle GlobalProtect. Consultez la section
« Zones de sécurité » à la page 160.
Configuration du portail GlobalProtect

La configuration du portail définit l'interface réseau qui va être utilisée pour l'inscription de
satellites, l'authentification et l'apparence du portail. Il peut également servir de CA racine et
de répondeur OCSP.
1. Allez dans Réseau > GlobalProtect > Portails.
2. Cliquez sur Ajouter et donnez un nom au portail.
3. Sélectionnez l'interface qui va servir d'interface d'entrée pour les périphériques satellites,
puis sélectionnez l'adresse IP accessible par Internet dans la liste déroulante.

4. Sélectionnez le certificat de serveur du portail que vous avez créé précédemment.

Consultez la section « Certificats et répondeur OCSP » à la page 353.
5. Sélectionnez le Profil d'authentification que vous avez créé précédemment. Le profil

d'authentification est obligatoire, même si le périphérique satellite ne va pas l'utiliser
lorsque vous ajoutez le numéro de série du périphérique satellite à la configuration du
portail.
6. Dans ce cas, le portail n'a pas besoin d'un certificat client étant donné qu'il génère
automatiquement des certificats clients pour les périphériques satellites à l'aide de la CA
racine.
7. Sélectionnez un profil de certificat à utiliser pour l'authentification de satellites. Sinon,

vous pouvez saisir le numéro de série du satellite dans le sous-onglet Configuration du
satellite, ainsi l'administrateur du satellite n'aura pas à saisir les informations de
connexion.
8. Vous pouvez éventuellement configurer les paramètres d'apparence.
9. Cliquez sur l'onglet Configuration du satellite pour définir les options des périphériques
satellites qui vont se connecter au portail.
10. Cliquez sur Ajouter et donnez un nom au profil Satellite GlobalProtect. Ce profil va
définir les périphériques satellites, la méthode d'inscription et la liste des passerelles que
les satellites vont utiliser dans l'environnement VPN.
11. Définissez la Configuration de l'intervalle d'actualisation. Il s'agit du paramètre que

chaque satellite va utiliser pour déterminer la fréquence à laquelle le périphérique
satellite doit vérifier les mises à jour de la configuration du portail, comme l'ajout de
nouvelles passerelles.
12. Dans l'onglet Périphériques, vous pouvez ajouter manuellement des numéros de série
aux périphériques satellites ou la liste sera mise à jour lors de la première connexion d'un
périphérique satellite au portail à l'aide d'un ID utilisateur et d'un mot de passe pour
l'authentification.
L'étape suivante fournit des informations sur les méthodes d'inscription.
13. Le portail peut être configuré de sorte à autoriser deux types de méthodes
d'authentification pour l'inscription initiale (vous pouvez configurer les deux options
suivantes) :
– Dans la page Réseau > GlobalProtect > Portails > Configuration du satellite, ajoutez
manuellement le numéro de série du périphérique satellite au portail. Cliquez sur
Ajouter > Périphériques, puis cliquez une nouvelle fois sur Ajouter et saisissez le
numéro de série du périphérique satellite. Une fois ce dernier configuré dans le bureau
de la filiale et après avoir établi une connexion initiale au portail, aucune
authentification n'est requise. Lorsque le périphérique satellite est connecté, le nom
d'hôte va automatiquement s'ajouter à la configuration du portail.
– Utilisez une invite de nom d'utilisateur et de mot de passe dans le périphérique

satellite en ajoutant un utilisateur ou un groupe d'inscription au portail dans la page
Réseau > GlobalProtect > Portails > Configuration du satellite. Cliquez sur
Ajouter > Utilisateur/Groupe d'utilisateurs d'inscription, puis cliquez une nouvelle
fois sur Ajouter et sélectionnez un utilisateur ou un groupe dans la liste déroulante ou
Indifférent.
Si vous utilisez cette méthode, vous n'avez pas à saisir d'informations sur le portail
concernant le périphérique satellite. Lors de la connexion du périphérique,

l'administrateur configurant le périphérique satellite va être invité à se connecter. Une

fois authentifié, le numéro de série et le nom d'hôte du satellite vont automatiquement
s'ajouter à la liste de satellites du portail.
14. Dans l'onglet Passerelles, saisissez l'adresse IP ou le nom d'hôte de la ou des passerelle(s)
que la liste définie de périphériques satellites va utiliser pour la connectivité VPN. Vous
pouvez également définir la priorité de routage de la passerelle dans cette page. Si le
périphérique satellite dispose de tunnels menant vers plusieurs passerelles, il est possible
que des itinéraires soient en double. En définissant la priorité, la passerelle dont la
priorité est la plus élevée va être utilisée en premier. En cas d'échec de la passerelle, la
priorité la plus élevée suivante va être utilisée. La plage de priorité est comprise entre 1 et
25, étant donné que 25 correspond à la limite du nombre de passerelles qu'un satellite
peut utiliser.
15. Cliquez sur OK pour enregistrer vos modifications, puis sous CA racine de confiance,
cliquez sur Ajouter et sélectionnez la CA racine du portail.
16. Dans la liste déroulante Publication du certificat, sélectionnez aussi la CA racine du

portail. Il s'agit du certificat qui va être utilisé pour générer automatiquement des
certificats pour les périphériques satellites lors de leur inscription.
17. Vous pouvez modifier la période de validité et la période de renouvellement du certificat,

le cas échéant. La période de validité définit la durée de vie du certificat et la période de
renouvellement définit la fréquence de renouvellement du certificat. Si vous ne voulez
pas que vos certificats arrivent à expiration, vérifiez que la valeur de la période de
renouvellement est inférieure à celle de la période de validité.
18. Dans la liste déroulante Répondeur OCSP, sélectionnez le répondeur OCSP du portail
que vous avez créé précédemment, puis cliquez sur OK pour enregistrer vos
modifications.
19. Cliquez sur Valider pour activer vos modifications.
Configuration du satellite GlobalProtect

Dans le périphérique satellite du bureau de la filiale, vous devez d'abord configurer une
interface dotée de la connectivité WAN et paramétrer une zone de sécurité, ainsi qu'une
politique afin d'autoriser le réseau LAN du bureau de la filiale à communiquer avec Internet.
Le périphérique satellite est ensuite configuré à l'aide de l'hôte ou de l'adresse IP du portail.
Une fois la configuration validée, le satellite va communiquer avec le portail GlobalProtect, les
certificats sont signés et téléchargés avec la configuration VPN et les informations de routage
initiales. Le satellite se connecte ensuite à l'ensemble des passerelles GlobalProtect configurées
afin d'établir la connectivité VPN entre la filiale et le bureau du siège social. Pour obtenir un
descriptif des champs, consultez la section « Satellite GlobalProtect » à la page 344.
1. Sur les périphériques du portail, vous devez déjà avoir saisi le numéro de série du
périphérique satellite en cours de configuration ou créé un nom d'utilisateur et de
connexion pouvant être utilisé pour la configuration initiale. Consultez la section
« Configuration du portail GlobalProtect » à la page 359.
2. Allez dans la page Réseau > Tunnels IPSec.
3. Cliquez sur Ajouter pour créer un nouveau tunnel IPSec.
4. Saisissez un Nom pour le profil du tunnel et sélectionnez l'Interface de tunnel par défaut
dans la liste déroulante ou créez une nouvelle interface de tunnel.

5. Sélectionnez Type Satellite GlobalProtect et saisissez l'Adresse du portail (IP ou nom

d'hôte).
6. Sélectionnez l'Interface à utiliser pour se connecter au portail, puis sélectionnez l'Adresse

IP locale de l'interface. Dans l'exemple d'illustration de la Figure 43 à la page 352,
l'Adresse du portail doit être « portal.paloaltonetworks.com ».
7. Cliquez sur l'onglet Avancé et configurez les options avancées de votre choix. Il est
recommandé d'activer Publier tous les itinéraires statiques et connectés sur la
passerelle, afin que tous les itinéraires soient partagés entre l'ensemble des périphériques
du réseau VPN.
Remarque : Si ce bureau de la filiale dispose de sous-réseaux comme les autres bureaux
de la filiale dans le VPN, il est déconseillé d'activer cette option à moins d'avoir recours à
une traduction NAT.
8. Cliquez sur Valider pour activer les modifications sur le périphérique satellite.
Vous pouvez maintenant tester la connectivité entre les périphériques et les passerelles
satellites. Pour afficher le statut du VPN sur le périphérique satellite, allez dans
Réseau >Tunnels IPSec. Un indicateur d'état doit s'afficher en vert dans la colonne Statut.
Protocoles de routage dynamique et VPN à grande échelle

Lorsque vous utilisez des protocoles de routage dynamique dans votre réseau VPN à grande
échelle, le comportement suivant doit être signalé en termes de saturation et de réplication :
• Protocole d'informations de routage (RIP) - Les paquets de contrôle sont saturés dans tous les tunnels
(terminaisons) de l'interface de sortie (entre le concentrateur et l'ensemble des terminaisons). Les
paquets de contrôle ne sont pas répliqués dans les tunnels restants (terminaisons) lorsqu'un
tunnel reçoit un paquet d'une terminaison entrante dans les terminaisons restantes.
• OSPF - Il est recommandé d'utiliser P2MP (Point to Multipoint). En mode Diffusion, le
comportement de réplication est identique à celui de RIP.
Le comportement de réplication multicast est identique à RIP et les paquets de données ne sont
pas répliqués. Aussi, la distribution multicast dans un environnement VPN à grande échelle est
prise en charge à l'emplacement de la source multicast derrière la passerelle et les receveurs se
trouvent derrière les périphériques VPN satellites. Les déploiements dans lesquels se trouve la
source multicast dans un emplacement satellite ne sont pas actuellement pris en charge.
Sauvegarde du portail GlobalProtect

Dans une configuration VPN à grande échelle, le portail GlobalProtect est un élément critique de
l'environnement qui gère la configuration VPN, tous les certificats utilisés pour l'authentification,
ainsi que la liste des pare-feux satellites faisant partie du réseau VPN. Les informations concernant
le certificat et le satellite sont dynamiques, changent fréquemment et ne font pas partie de la
configuration du périphérique.
La fonctionnalité « Exporter l'état du périphérique » permet d'exporter des informations

dynamiques et de configuration à partir d'un pare-feu configuré en tant que portail GlobalProtect
avec la fonctionnalité VPN à grande échelle activée. Le fichier d'exportation contient une liste de
tous les périphériques satellites gérés par le portail, la configuration active au moment de

l'exportation, ainsi que toutes les informations concernant le certificat (CA racine, serveur et
certificats des satellites). En cas de défaillance du portail, le fichier d'exportation peut être importé
afin de restaurer les informations dynamiques du portail.
Important : Vous devez exporter manuellement l'état du périphérique via Périphérique >
Paramétrage > Opérations en cliquant sur l'option Exporter l'état du périphérique ou vous
pouvez créer un script API XML programmé pour exporter ce fichier vers un serveur distant.
Cette tâche doit être régulièrement exécutée étant donné que les certificats des satellites peuvent
fréquemment faire l'objet de modifications.
Pour créer le fichier d'état d'un périphérique à partir de la CLI, exécutez save device state.
Le nom du fichier sera device_state_cfg.tgz et il sera stocké dans /opt/pancfg/mgmt/device-
state. La commande opérationnelle pour exporter le fichier d'état du périphérique est scp
export device-state (vous pouvez également utiliser « tftp device-state export »).
Pour plus d'informations sur l'utilisation de l'API XML, consultez le document « Guide
d'utilisation de l'API REST XML PAN-OS » à l'adresse suivante : https://live.paloaltonetworks.com/
community/documentation.


Chapitre 9
Configuration de GlobalProtect
Ce chapitre décrit GlobalProtect qui permet de se connecter en toute sécurité à partir de

systèmes client aux quatre coins du monde :
• « Présentation » dans la section suivante
• « Paramétrage de GlobalProtect » à la page 367
• « Paramétrage et activation de l'agent de GlobalProtect » à la page 383
Présentation
GlobalProtect permet de sécuriser les systèmes client, des ordinateurs portables par exemple,
utilisés sur le terrain en permettant une connexion simple et sécurité où que vous soyez.
GlobalProtect protège les utilisateurs contre les menaces et ce, même s'ils ne se trouvent pas
sur le réseau de l'entreprise, en envoyant leur trafic via un pare-feu Palo Alto Networks à
proximité. Le niveau d'accès de l'utilisateur est déterminé par un profil d'informations sur
l'hôte (HIP) qui indique au pare-feu la configuration locale de l'utilisateur. Les informations
HIP peuvent être utilisées pour un contrôle d'accès granulaire basé sur les programmes de
sécurité exécutés sur l'hôte, les valeurs du registre et de nombreuses autres vérifications telles
que l'activation ou non du cryptage du disque sur l'hôte.
L'agent de GlobalProtect peut également être un périphérique satellite (pare-feu) Palo Alto
Networks. Toutefois, plutôt que de télécharger le logiciel de l'agent, seul le certificat
nécessaire à l'authentification et à la configuration du VPN est requis. Pour plus
d'informations sur les périphériques satellites, reportez-vous à « Déploiement d'un VPN à
grande échelle avec GlobalProtect » à la page 351.
Les éléments suivants sont utilisés pour le bon fonctionnement de GlobalProtect :
• Portail: le pare-feu Palo Alto Networks qui offre une gestion centralisée du système
GlobalProtect.
• Passerelles : les pare-feux Palo Alto Networks qui renforcent la sécurité du trafic
provenant des agents de GlobalProtect.
• Agent: l'application installée sur le système client et configurée pour se connecter au

portail et aux passerelles pour permettre aux systèmes utilisateur d'accéder au réseau.
L'agent fournit également aux passerelles des informations sur la configuration locale de
l'utilisateur.
Palo Alto Networks Configuration de GlobalProtect • 365

Présentation
• Satellite : un périphérique satellite est un pare-feu Palo Alto Networks généralement

installé dans une succursale et initialisé et géré par un portail GlobalProtect. Lorsque le
satellite reçoit sa configuration initiale du portail, il se connecte à toutes les passerelles
configurées afin d'établir une connexion au VPN. GlobalProtect permet d'installer
rapidement les pare-feux dans les succursales avec une configuration initiale minime.
Reportez-vous à « Déploiement d'un VPN à grande échelle avec GlobalProtect » à la
page 351.
Le processus de connexion se déroule comme suit :

1. L'utilisateur télécharge l'agent de GlobalProtect du portail sur un système client, un
ordinateur portable par exemple. L'agent se connecte au portail via une connexion SSL et
télécharge un fichier de configuration. Ce fichier de configuration fournit des
informations sur les diverses passerelles GlobalProtect pouvant être utilisées pour la
connexion.
2. L'agent effectue une recherche de DNS afin de déterminer si le système client se trouve
actuellement sur le réseau interne d'entreprise ou sur un réseau externe.
3. Si la connexion concerne le réseau externe, l'agent tente d'établir des connexions SSL avec
toutes les passerelles externes, puis sélectionne la meilleure passerelle.
4. En fonction de la configuration, un tunnel IPSec ou SSL est établi entre l'agent et la

passerelle, et une route par défaut est insérée afin d'acheminer l'ensemble du trafic via le
tunnel aux fins de contrôle de politique et d'analyse des menaces.
5. L'agent fournit le comportement du système client, à savoir les informations HIP.
GlobalProtect permet d'utiliser des profils HIP dans des profils de sécurité. Un objet HIP
indique un ensemble de critères du système client qui est considéré comme une unité lors de
la définition des profils HIP. Par exemple, un objet HIP peut spécifier le cryptage du disque
entier ou la correction logicielle.
Les profils HIP peuvent intégrer des objets HIP sur la base d'une correspondance ou d'une
non-correspondance. Par exemple, un profil HIP peut inclure une correspondance pour des
objets HIP spécifiant que le système client inclut le cryptage du disque entier et certains
correctifs logiciels à installer.
Le portail stocke les configurations du client et gère les listes de passerelles internes et
externes. Il indique également l'autorité de certification (AC) utilisée par les passerelles et les
agents pour l'authentification mutuelle.
Chaque passerelle peut fonctionner en mode tunnel (passerelles externes) ou en mode non-
tunnel (passerelles internes). Les passerelles en mode non-tunnel reçoivent uniquement les
informations HIP des clients. Toutes les communications ont lieu entre les agents et les
passerelles ; il n'existe pas de communication entre passerelles.
Les politiques s'appliquent aux passerelles en fonction des informations relatives à
l'utilisateur ou des informations HIP, et les correspondances d'objets et de profil HIP sont
consignées dans la base de données HIP de la passerelle. Ces informations sont affichées dans
le Centre de commande de l'application (ACC), dans les journaux et dans les rapports
personnalisés.
Authentification GlobalProtect
La connectivité entre toutes les parties de l'infrastructure GlobalProtect est authentifiée à
l'aide de certificats SSL. Le portail peut agir en tant qu'autorité de certification (AC) du
système (à l'aide d'un subordonné auto-signé ou importé émettant un certificat AC sur le
366 • Configuration de GlobalProtect Palo Alto Networks

Paramétrage de GlobalProtect
portail), ou des clients peuvent générer des certificats à l'aide de leurs propres AC. Il est
recommandé (mais pas obligatoire) que le portail, les passerelles et les agents du logiciel
GlobalProtect utilisent des certificats signés par la même AC. Avant de transférer des
informations, l'agent vérifie le certificat du serveur du portail. Si le certificat présenté par le
portail n'est pas signé par une AC de confiance, l'agent renvoie une boîte de dialogue
d'avertissement et attend une réponse de l'utilisateur pour continuer ou annuler.
Dans l'ensemble de configuration envoyé au client, le portail inclut le certificat public de l'AC
ainsi que le certificat et la clé client nécessaires. Le certificat client est utilisé par les passerelles
GlobalProtect pour authentifier et identifier le client.
Si une AC interne est utilisée, le certificat est généré automatiquement et ne requiert pas
l'intervention de l'utilisateur. Le portail peut exporter le certificat et la clé du serveur
nécessaires pour les passerelles. Si une AC externe est utilisée, un support est proposé pour
importer le certificat AC, un certificat et une clé du serveur pour le portail et les passerelles,
ainsi qu'un certificat et une clé client pour les clients.
Pour plus d'informations sur l'authentification, reportez-vous à « Profils d'authentification » à
la page 67 et à « Séquence d'authentification » à la page 73.
Le paramétrage de GlobalProtect sur le pare-feu implique les tâches suivantes :
1. Définir des objets HIP, comme décrit dans « Paramétrage d'objets HIP » à la page 368.
2. Créer des profils HIP, comme décrit dans « Paramétrage de profils HIP » à la page 371.
3. Paramétrer le portail, comme décrit dans « Paramétrage du portail GlobalProtect » à la

page 372.
4. Paramétrer les passerelles, comme décrit dans « Paramétrage des passerelles

5. Définir des politiques de sécurité incluant des profils HIP, comme décrit dans « Définition
de politiques de sécurité » à la page 202.
6. Distribuer l'agent de GlobalProtect, comme décrit dans « Paramétrage de l'agent de

7. Surveiller l'activité du client, comme décrit dans « Affichage des journaux » à la page 287.

Paramétrage d'objets HIP

Objets > GlobalProtect > Objets HIP
Utilisez cette page pour définir des paramètres à utiliser dans des profils HIP pour
GlobalProtect. Chaque objet HIP définit un ensemble de critères du système client qui est
considéré comme une unité lors de la définition des profils HIP.
Tableau 137. Paramètres d'objet HIP

Champ Description
Onglet Général
Nom Donnez un nom à l'objet HIP (31 caractères maximum). Le nom est
Partagé Cochez cette case pour que l'objet soit accessible à tous les systèmes
virtuels.
Infos sur l'hôte Cochez cette case pour fournir des informations sur l'hôte.
Domaine Pour faire correspondre des domaines, choisissez un opérateur dans la
liste déroulante et saisissez une chaîne de correspondance.
OS Utilisez les listes déroulantes pour préciser le système d'exploitation (OS)
de l'agent de GlobalProtect.
Version du client Pour faire correspondre la version du système d'exploitation sur le client,
choisissez un opérateur dans la liste déroulante et saisissez une chaîne de
correspondance.
Onglet Gestion des

correctifs
Gestion des correctifs Cochez cette case pour inclure la gestion des correctifs logiciels dans les
informations HIP. Lorsque cette case est cochée, les paramètres sont
activés. Vous pouvez alors définir des fournisseurs de gestion des
correctifs, Microsoft par exemple, et autoriser uniquement les clients sur
lesquels certains niveaux de correctifs sont installés.
Critères Précisez les paramètres suivants dans ce sous-onglet :
• Est activé : déterminez si les paramètres de cet onglet sont activés (oui),
désactivés (non) ou non disponibles.
• Est installé : cochez cette case si les correctifs sont installés.
• Gravité : déterminez l'importance des correctifs manquants.
• Vérifier : déterminez comment le système doit rechercher des
correctifs.
• Correctifs : cliquez sur Ajouter et saisissez les noms de fichiers des
correctifs.
Constructeur Cliquez sur Ajouter pour préciser des produits de gestion des correctifs.
Choisissez un fournisseur dans la liste déroulante, puis cliquez sur
Ajouter pour sélectionner un produit spécifique. Cliquez sur OK pour
sauvegarder les paramètres et revenir à l'onglet Gestion des correctifs.

Tableau 137. Paramètres d'objet HIP (suite)

Champ Description
Onglet Pare-feu
Pare-feu Cochez cette case pour activer l'onglet, puis précisez les paramètres
suivants :
• Est activé : déterminez si les paramètres de cet onglet sont activés (oui),
désactivés (non) ou non disponibles.
• Est installé : cochez si le pare-feu est installé.
• Constructeur et Produit : cliquez sur Ajouter pour préciser des pare-
feux spécifiques. Choisissez un fournisseur dans la liste déroulante,
puis cliquez sur Ajouter pour sélectionner une version de pare-feu
spécifique. Cliquez sur OK pour sauvegarder les paramètres et revenir
à l'onglet Pare-feu.
• Exclure le fournisseur : cochez cette case si vous souhaitez exclure (et
non inclure) les fournisseurs et produits indiqués.
Onglet Antivirus
Antivirus Cochez cette case pour activer l'onglet, puis précisez les paramètres
suivants :
• Protection en temps réel : déterminez si une protection en temps réel (si
disponible) est nécessaire.
• Est installé : choisissez une version dans la liste déroulante.
• Version de définition des virus : choisissez une option dans la liste
déroulante. Si vous choisissez Dans ou Pas avant, précisez le nombre de
jours ou de versions de correspondance.
• Version du produit : choisissez un opérateur dans la liste déroulante et
précisez une chaîne de correspondance.
• Heure de la dernière analyse : choisissez une option dans la liste
• Constructeur et Produit : cliquez sur Ajouter pour préciser des
produits antivirus. Choisissez un fournisseur dans la liste déroulante,
puis cliquez sur Ajouter pour sélectionner un produit spécifique.
Cliquez sur OK pour sauvegarder les paramètres et revenir à l'onglet
Antivirus.


Champ Description
Onglet Antispyware
(protection anti-
espion)
Antispyware (protection Cochez cette case pour activer l'onglet, puis précisez les paramètres
anti-espion) suivants :
• Protection en temps réel : déterminez si une protection en temps réel (si
disponible) est nécessaire.
• Version de définition des virus : choisissez une option dans la liste
• Version du produit : choisissez un opérateur dans la liste déroulante et
précisez une chaîne de correspondance.
• Heure de la dernière analyse : choisissez une option dans la liste
produits antispyware. Choisissez un fournisseur dans la liste
déroulante, puis cliquez sur Ajouter pour sélectionner un produit
à l'onglet Antispyware (protection anti-espion).
Onglet Sauvegarde
du disque
Sauvegarde du disque Cochez cette case pour activer l'onglet, puis précisez les paramètres
suivants :
• Heure de la dernière sauvegarde : choisissez une option dans la liste
produits de sauvegarde du disque. Choisissez un fournisseur dans la
liste déroulante, puis cliquez sur Ajouter pour sélectionner un produit
à l'onglet Sauvegarde du disque.
Onglet Cryptage du
disque
Cryptage du disque Cochez cette case pour activer l'onglet, puis précisez les paramètres
suivants :


Champ Description
Critères Précisez les paramètres suivants dans ce sous-onglet :
• Est installé : cochez cette case si un logiciel de cryptage du disque est
installé.
• Emplacements cryptés : cliquez sur Ajouter pour préciser le lecteur ou
le chemin d'accès d'un magasin de données crypté.
– Emplacements cryptés : choisissez l'emplacement dans la liste
déroulante.
– Etat : précisez l'état de l'emplacement crypté en choisissant un
opérateur et une valeur dans la liste déroulante.
Cliquez sur OK pour sauvegarder les paramètres et revenir à l'onglet
Cryptage du disque.
Constructeur Cliquez sur Ajouter pour préciser des produits de cryptage du disque
spécifiques. Choisissez un fournisseur dans la liste déroulante, puis
cliquez sur Ajouter pour sélectionner un produit spécifique. Cliquez sur
OK pour sauvegarder les paramètres et revenir à l'onglet Cryptage du
disque.
Onglet Vérifications
personnalisées
Liste des processus Cliquez sur Ajouter pour préciser la liste des processus à vérifier sur le
système client afin de savoir s'ils sont en cours d'exécution. Par exemple,
pour déterminer si une application est en cours d'exécution, ajoutez le
nom du fichier exécutable à la liste des processus.
Clé de registre Cliquez sur Ajouter pour préciser qu'une clé de registre spécifique est
présente ou comporte une valeur.
Plist Les Plists correspondent à des fichiers de préférences sous Mac OS.
Définissez le chemin d'accès à un fichier plist spécifique. Vous pouvez
également inclure des clés et valeurs de préférences à vérifier dans le
fichier.
Paramétrage de profils HIP

Objets > GlobalProtect > Profils HIP
Après avoir défini des objets HIP (reportez-vous à « Paramétrage d'objets HIP » à la page 368),
utilisez cette page pour créer des profils HIP pour GlobalProtect. Lors de la définition de
profils HIP, vous précisez des critères de correspondance basés sur les objets HIP
précédemment définis.
Tableau 138. Paramètres de profil HIP

Champ Description
Nom Donnez un nom au profil HIP (31 caractères maximum). Le nom est

Tableau 138. Paramètres de profil HIP (suite)

Champ Description
Partagé Cochez cette case pour que le profil soit accessible à tous les systèmes
virtuels.
Faire correspondre Définissez un ou plusieurs objets HIP que vous souhaitez vérifier sur le
client. Saisissez les objets HIP à inclure ou cliquez sur Ajouter un critère
de correspondance pour créer des objets. Lorsque vous incluez plusieurs
objets HIP, vous pouvez utiliser les opérateurs ET, OU et PAS pour créer
une expression Booléenne. Cette méthode vous permet de créer des
profils HIP complexes, pour vérifier si un antivirus est installé ET si un
cryptage du disque est installé et activé sur vos clients par exemple.
Paramétrage du portail GlobalProtect

Réseau > GlobalProtect > Portails
Utilisez cette page pour configurer des portails pour GlobalProtect.
Tableau 139. Paramètres de portail GlobalProtect

Champ Description
Onglet Configuration du portail
Nom Donnez un nom au portail (31 caractères maximum). Le nom est sensible
à la casse et doit être unique. N'utilisez que des lettres, chiffres, espaces,
traits d'union et traits de soulignement.
Emplacement Sélectionnez le système virtuel, si l'option Systèmes virtuels multiples est
activée.
Paramètres réseau
Interface Sélectionnez l'interface du pare-feu qui servira d'interface d'entrée pour
les clients/pare-feux distants.
Adresse IP Précisez l'adresse IP sur laquelle le service Web du portail GlobalProtect
sera exécuté.
Certificat du serveur Sélectionnez le certificat SSL du portail GlobalProtect.
Authentification
Profil d'authentification Choisissez un profil d'authentification pour l'accès au portail. Reportez-
vous à « Profils d'authentification » à la page 67.
Certificat du client Sélectionnez le certificat qui sera utilisé par le client pour se connecter aux
passerelles.
Profil du certificat Sélectionnez le profil du certificat utilisé pour authentifier les utilisateurs
de smartcard sur le portail.
Apparence
Page de connexion Choisissez une page de connexion personnalisée facultative pour l'accès
personnalisée utilisateur au portail.
Page d'aide Choisissez une page d'aide personnalisée facultative pour faciliter l'accès
personnalisée de l'utilisateur au portail.

Tableau 139. Paramètres de portail GlobalProtect (suite)

Champ Description
du client
Paramètres du sous- Cliquez sur Ajouter pour afficher les sous-onglets, puis précisez les
onglet Général paramètres suivants dans le sous-onglet Général :
• Nom : saisissez un nom pour identifier cette configuration du client.
• Utiliser l'ouverture de session unique : cochez cette case pour que
GlobalProtect utilise les informations d'identification de connexion
Windows des utilisateurs pour se connecter et s'authentifier de manière
transparente au portail GlobalProtect et aux passerelles. Aucun nom
d'utilisateur ni mot de passe n'est nécessaire dans la configuration de
l'agent de GlobalProtect.
• Intervalle de rafraîchissement de la configuration (heures) : précisez
l'intervalle de rafraîchissement, en jours, de la configuration de l'agent de
GlobalProtect (par défaut, 24 heures,
plage de 1 à 168 jours).
• Connecter la méthode :
– à la demande : sélectionnez cette option pour autoriser les utilisateurs à
établir une connexion à la demande. Grâce à cette option, l'utilisateur
peut établir explicitement la connexion. Cette fonction est
principalement utilisée pour les connexions à distance.
– Ouverture de session utilisateur : lorsque cette option est définie,
l'agent de GlobalProtect établit automatiquement une connexion lorsque
les utilisateurs se connectent à leurs ordinateurs. Si vous sélectionnez
Utiliser l'ouverture de session unique, les nom d'utilisateur et mot de
passe utilisés pour se connecter à Windows sont détectés par l'agent de
GlobalProtect et utilisés pour l'authentification.
– Pre Logon : sélectionnez cette option pour conserver les services avant et
après connexion fournis par une infrastructure d'entreprise où que se
trouve la machine de l'utilisateur. GlobalProtect établit une connexion
avant la connexion de l'utilisateur à l'ordinateur. Ainsi, une entreprise
peut créer un « réseau logique » qui gère la sécurité et
des fonctionnalités de gestion généralement obtenues via un réseau
physique. La sélection et l'établissement du tunnel ont lieu avant la
connexion en fonction des certificats de la machine qui doivent être
préalablement déployés sur les systèmes client en dehors de
GlobalProtect.
Quelques exemples de services pouvant être gérés incluent les suivants :

application d'une politique de groupe Active Directory, gestion la
correspondance entre lecteur et ressources serveur, et la possibilité de
recevoir à distance des téléchargements de déploiements logiciels
centralisés. Un exemple spécifique de la fonction Pre Logon est tel que si
un utilisateur à distance oublie son mot de passe, étant donné que
GlobalProtect peut se connecter, utiliser les informations d'identification
mises en cache et établir un VPN avant l'affichage de l'invite de
connexion, un administrateur de domaine peut réinitialiser le mot de
passe de l'utilisateur si celui-ci s'est connecté directement à un contrôleur
de domaine du réseau physique.
– VPN tiers : cliquez sur Ajouter pour ajouter à la liste des clients VPN à
accès distant tiers pouvant être présents sur le système. Si cette option
est configurée, GlobalProtect ignore ces clients et leurs paramètres
d'itinéraires pour ne pas interférer ou entrer en conflit avec eux.


Champ Description
Sous-onglet Général – Détection d'hôte interne : grâce à cette option, GlobalProtect tente de
(suite) résoudre le nom d'hôte configuré par l'adresse IP configurée. En cas
d'échec, GlobalProtect suppose que l'ordinateur se trouve en dehors
du réseau d'entreprise et établit un tunnel avec l'une des passerelles
externes disponibles et configurées dans l'onglet Passerelles. Cochez
cette case pour activer la détection d'hôte interne via une recherche
DNS. Précisez les paramètres suivants :
– Adresse IP : saisissez une adresse IP interne pour la détection d'hôte
interne.
– Nom d'hôte : saisissez le nom d'hôte permettant de résoudre
l'adresse IP ci-dessus sur le réseau interne.
Paramètres du sous- Précisez l'utilisateur ou le groupe d'utilisateurs auquel la configuration
onglet Utilisateur/ du client spécifique s'applique.
Groupe d'utilisateurs
Sous-onglet Passerelles Précisez les paramètres de la passerelle :
• Heure limite : précisez le délai (en secondes) après lequel l'agent ignore
la réponse d'une passerelle. L'agent ignore les réponses de la passerelle
après l'heure limite configurée ou une fois le délai de socket écoulé. Si la
valeur 0 est définie, l'heure limite est ignorée par l'agent.
• Passerelles internes : précisez les passerelles internes que l'agent
authentifie et auxquelles il envoie des rapports HIP.
• Passerelles externes : précisez la liste des pare-feux avec lesquels
l'agent tente d'établir un tunnel lorsqu'ils ne se trouvent pas sur le
réseau d'entreprise. L'agent contacte toutes les passerelles et établit un
tunnel avec le pare-feu proposant la réponse la plus rapide et la priorité
la plus basse.
Cochez la case Manuel(le) si vous souhaitez autoriser les utilisateurs à
sélectionner manuellement une autre passerelle lorsque leur VPN est
connecté. L'agent de GlobalProtect peut se connecter à une quelconque
passerelle externe sur laquelle l'option Manuel(le) est activée. Lors de la
connexion à une nouvelle passerelle, le tunnel existant est déconnecté et
un nouveau tunnel est établi. Les passerelles manuelles peuvent
également proposer des méthodes d'authentification différentes de
celles de la passerelle principale. Si le système client est redémarré ou si
une nouvelle découverte est exécutée, l'agent de GlobalProtect se
connecte à la passerelle principale. Cette fonction est utile si un groupe
d'utilisateurs doit se connecter temporairement à une passerelle
spécifique afin d'accéder à un segment sécurisé de votre réseau.
Remarque : vous pouvez vous connecter uniquement aux passerelles

définies dans le portail, vous ne pouvez pas vous connecter à d'autres
portails et passerelles.


Champ Description
Sous-onglet Agent Précisez les paramètres suivants :
• Activer la vue avancée : décochez cette case pour limiter l'interface
utilisateur côté client à la vue minimale de base. Le paramètre de vue
avancée est activé par défaut sur tous les agents de GlobalProtect.
• L'utilisateur peut enregistrer son mot de passe : cochez cette case pour
autoriser les utilisateurs à sauvegarder leurs mots de passe.
• Contrôle prioritaire sur l'agent : sélectionnez une option de contrôle
prioritaire :
– Désactivé : le contrôle prioritaire est désactivé.
– Avec commentaires : l'utilisateur est invité à saisir un
commentaire lors de la désactivation de l'agent de GlobalProtect.
– Avec code d'accès : l'utilisateur doit fournir le code d'accès pour
utiliser le contrôler prioritaire sur l'agent de GlobalProtect.
– Avec ticket : cette option active un mécanisme de défi/réponse
afin d'autoriser la désactivation de GlobalProtect sur le client.
Lorsque cette option est sélectionnée, l'utilisateur est invité à
indiquer un défi lors de la désactivation de GlobalProtect. Le
défi est ensuite transmis hors bande à l'administrateur du pare-
feu et celui-ci peut valider le défi via l'interface de gestion du
pare-feu. Le pare-feu génère une réponse renvoyée à l'utilisateur
qui peut alors désactiver GlobalProtect en saisissant la réponse
dans GlobalProtect.
• Délai de contrôle prioritaire sur l'agent : précisez le temps d'attente
maximum (secondes) avant l'expiration de la collecte de données.
• Contrôle prioritaire max. sur l'agent : précisez le nombre maximum de
fois qu'un utilisateur peut désactiver GlobalProtect avant la nécessité
d'une connexion réussie à un pare-feu.
• Afficher la page d'accueil : cochez cette case pour autoriser l'affichage
d'une page d'accueil du portail.
• Page de bienvenue : choisissez la page de bienvenue d'usine par défaut
ou cliquez sur Importer pour importer une autre page. Si vous
choisissez Aucun(e) et que vous sélectionnez l'option Afficher la page
d'accueil, une page vierge s'affiche.
• Redétecter le réseau : cochez cette case pour autoriser l'utilisateur à
redétecter manuellement le réseau.
• Soumettre de nouveau les informations sur l'hôte : cochez cette case
pour autoriser l'utilisateur à soumettre de nouveau manuellement les
dernières informations HIP.
• Mise à jour du client : déterminez si le client doit être invité à mettre à
jour après un changement de configuration (invite) ou la mise à niveau
doit être exécutée en arrière-plan sans invite utilisateur (transparent).


Champ Description
Sous-onglet Collecte de Précisez les paramètres suivants dans ce sous-onglet :
données • Temps d'attente max. : précisez le temps d'attente maximum (secondes)
avant l'expiration de la collecte de données.
• Exclure les catégories : cliquez sur Ajouter pour préciser des catégories
de configuration logicielle et du client spécifiques à exclure de la
collecte de données. Choisissez un fournisseur dans la liste déroulante,
puis cliquez sur Ajouter pour sélectionner un produit spécifique.
Cliquez sur OK pour sauvegarder les paramètres.
• Vérifications personnalisées : précisez les informations suivantes :
– Clé de registre : (Windows) cliquez sur Ajouter pour préciser qu'une
clé de registre spécifique est présente ou comporte une valeur.
– Plist : (Mac) cliquez sur Ajouter pour préciser qu'une clé plist
spécifique est présente ou comporte une valeur.
– Liste des processus : cliquez sur Ajouter pour préciser la liste des
processus à vérifier sur les systèmes des utilisateurs finals afin de
savoir s'ils sont en cours d'exécution. Par exemple, pour déterminer
si une application est en cours d'exécution, ajoutez le nom du fichier
exécutable à la liste des processus.
AC racine de confiance Précisez l'autorité de certification (AC) racine ou qui émet les certificats
auxquels l'agent de GlobalProtect fait confiance lors de la connexion à une
passerelle. Si une passerelle présente un certificat au client qui n'a pas été
émis par l'une des AC répertoriées, le client rejette l'établissement de
liaison et ferme la connexion.
Cliquez sur Ajouter pour préciser un certificat d'AC racine.
Clé de contrôle Lorsque vous créez un contrôle prioritaire sur l'agent de GlobalProtect
prioritaire sur l'agent/ Agent avec ticket, qui peut être utilisé pour permettre aux utilisateurs de
Confirmer la clé de désactiver l'agent, vous pouvez utiliser cette clé de hachage pour valider
contrôle prioritaire sur le client lorsqu'il tente de désactiver avec le ticket.
l'agent
Pour plus d'informations sur l'utilisation de GlobalProtect pour le
Configuration
déploiement de VPN à grande échelle, reportez-vous à « Déploiement
satellite d'un VPN à grande échelle avec GlobalProtect » à la page 351.
Sous-onglet Général Cliquez sur Ajouter pour afficher les sous-onglets, puis précisez les
paramètres suivants dans le sous-onglet Satellite GlobalProtect >
Général :
• Nom : saisissez un nom pour identifier le profil de périphérique satellite
GlobalProtect.
• Intervalle de rafraîchissement de la configuration (heures) : précisez
la fréquence selon laquelle les périphériques satellites doivent
rechercher des mises à jour de la configuration sur le portail (par défaut
24 heures, plage de 1 à 48 heures).
Sous-onglet Cliquez sur Ajouter pour ajouter manuellement un périphérique satellite
Périphériques à l'aide de son numéro de série. Si vous utilisez cette option, lorsque le
périphérique satellite se connecte pour la première fois afin de recevoir le
certificat d'authentification et la configuration initiale, aucune invite de
connexion ne s'affiche. Une fois le périphérique satellite authentifié, le
Nom (nom d'hôte) est automatiquement ajouté au portail.


Champ Description
Sous-onglet Inscription Cliquez sur Ajouter pour ajouter un utilisateur ou un groupe d'utilisateur
d'utilisateur/de groupe qui sera utilisé pour authentifier le périphérique satellite lors de sa
d'utilisateurs première connexion au portail. Sélectionnez Indifférent pour autoriser
l'authentification d'un utilisateur ou d'un groupe d'utilisateurs
quelconque. Lorsque le périphérique satellite se connecte pour la
première fois au portail, l'administrateur est invité à fournir un nom/mot
de passe de connexion.
Sous-onglet Passerelles Cliquez sur Ajouter pour saisir l'adresse IP ou le nom d'hôte de la ou des
passerelles qui feront partie du réseau VPN. Chaque périphérique
satellite ajouté au portail crée un tunnel IPSec vers chaque passerelle. Les
informations de routage sont également partagées entre les satellites et les
passerelles.
Vous pouvez définir une priorité de routage vers les passerelles.
Lorsqu'un satellite dispose de tunnels VPN vers plusieurs passerelles, des
doublons de routes sont possibles. En définissant une priorité, la
passerelle dont la priorité est la plus élevée sera utilisée en premier. En
cas d'échec de la passerelle, la priorité la plus élevée suivante sera utilisée.
La plage de priorités est comprise entre 1 et 25, 25 étant le nombre limite
de passerelles auxquelles un satellite peut se connecter.
Le satellite partage également ses informations de réseau et de routage
avec les passerelles si l'option Publier tous les itinéraires statiques et de
connexion à la passerelle (configurée sur le satellite dans l'onglet Tunnel
IPSec > Satellite > Avancé) est sélectionnée. Reportez-vous à « Satellite
Lors de l'ajout d'une passerelle, dans la configuration du portail, vous
créez une nouvelle clé et un certificat utilisant la même AC émettrice que
celle utilisée pour créer les certificats du satellite et des autres passerelles.
Vous exportez le certificat en tant que fichier PKCS12 et l'importez dans la
passerelle avec le certificat de l'AC émettrice.
AC racine de confiance Cliquez sur Ajouter et sélectionnez une AC (autorité de certification)
racine de confiance existante ou générez une nouvelle AC racine de
confiance qui sera utilisée pour émettre des certificats du client vers tous
les périphériques satellites et les passerelles du profil de satellite
GlobalProtect.
Publication du certificat Définit le certificat utilisé par le portail pour émettre de nouveaux
certificats client IPSec vers les périphériques satellites et passerelles.
Période de validité Précisez la durée de vie du certificat de satellite GlobalProtect émis (par
(jours) défaut, 7 jours, plage de 7 à 365 jours).
Période de Précisez la période de renouvellement du certificat de satellite
renouvellement du GlobalProtect (par défaut, 3 jours, plage de 3 à 30 jours). Cette période
certificat (jours) détermine la fréquence selon laquelle les certificats doivent être
renouvelés.
Répondeur OCSP Sélectionnez le répondeur OCSP utilisé par le portail pour déterminer le
statut de révocation de la passerelle et des périphériques satellites.

Paramétrage des passerelles GlobalProtect

Réseau > GlobalProtect > Passerelles
Utilisez cette page pour configurer des passerelles pour GlobalProtect. La passerelle peut être
utilisée pour fournir des connexions VPN aux PC client ou aux périphériques satellites
GlobalProtect.
Tableau 140. Paramètres de passerelle GlobalProtect

Champ Description
Onglet Général
Nom Donnez un nom à la passerelle (31 caractères maximum). Le nom est
Emplacement Sélectionnez le système virtuel, si l'option Systèmes virtuels multiples est
activée.
Paramètres réseau
Interface Sélectionnez l'interface du pare-feu qui servira d'interface d'entrée pour
les clients/pare-feux distants.
Adresse IP Précisez l'adresse IP sur laquelle le service Web du portail GlobalProtect
sera exécuté.
Certificat du serveur Choisissez le certificat du serveur pour la passerelle.
Authentification
Profil d'authentification Choisissez un profil ou une séquence d'authentification pour l'accès au
portail. Reportez-vous à « Profils d'authentification » à la page 67.
Profil du certificat Choisissez le profil du certificat pour l'authentification du client.
du client
Sous-onglet Paramètres
de tunnels

Tableau 140. Paramètres de passerelle GlobalProtect (suite)

Champ Description
Mode tunnel Cochez cette case pour activer le mode tunnel, puis précisez les
• Interface de tunnel : choisissez l'interface de tunnel pour l'accès à la
passerelle.
• Nombre max. d'utilisateurs : précisez le nombre maximum
d'utilisateurs pouvant accéder à la passerelle simultanément. Si le
nombre maximum d'utilisateurs est atteint, les utilisateurs suivants se
voient refuser l'accès et un message d'erreur indiquant que le nombre
maximum d'utilisateurs est atteint s'affiche.
• Activer IPSec : cochez cette case pour activer le mode IPSec pour le
trafic client, IPSec devenant ainsi la méthode principale et SSL-VPN la
méthode de secours.
• Activer la prise en charge X-Auth : cochez cette case pour activer la
prise en charge Extended Authentication (X-Auth) dans la passerelle
GlobalProtect lorsque le mode IPSec est activé. La prise en charge X-
Auth permet aux clients VPN IPSec tiers prenant en charge X-Auth (le
client VPN IPSec sur Apple iOS et Android par exemple) d'établir un
tunnel VPN avec la passerelle GlobalProtect. L'option X-Auth permet
simplement d'accéder depuis le client VPN à une passerelle
GlobalProtect spécifique, elle ne fournit pas un contrôle complet et les
fonctions HIP de l'agent de GlobalProtect installé sur les PC. Pour plus
d'informations sur la configuration d'une passerelle GlobalProtect pour
autoriser des clients X-Auth IPSec, reportez-vous aux notes techniques
« GlobalProtect Config for Apple iOS VPN » et « GlobalProtect Config
for Android VPN » dans la section Tech Note à l'adresse
– Si le nom et le mot de passe de groupe sont précisés, la première
phase d'authentification requiert que les deux parties utilisent ces
informations d'identification pour s'authentifier. La seconde phase
requiert un nom d'utilisateur et un mot de passe valides, qui sont
définis dans le profil d'authentification configuré dans la section
Authentification.
– Si aucun nom et mot de passe de groupe ne sont définis, la première
phase d'authentification est basée sur un certificat valide présenté
par le client VPN tiers. Ce certificat est ensuite validé dans le profil
du certificat configuré dans la section Authentification.
Configuration du délai Précisez les paramètres de délai suivants :
avant expiration • Durée de vie de la connexion : précisez le nombre de jours, heures ou
minutes autorisés pour une session de connexion de passerelle.
• Déconnexion en cas d'inactivité : précisez le nombre de jours, heures
ou minutes après lesquels une session inactive est déconnectée
automatiquement.
réseau
Source de l'héritage Sélectionnez une source pour la propagation du serveur DNS et d'autres
paramètres entre le client DHCP ou l'interface client PPPoE sélectionné et
la configuration des agents de GlobalProtect. Grâce à ce paramètre,
l'ensemble de la configuration du réseau client, les serveurs DNS et WINS
par exemple, est hérité de la configuration de l'interface sélectionnée dans
Source de l'héritage.


Champ Description
DNS principal Saisissez les adresses IP des serveurs principal et secondaire qui
DNS secondaire fournissent le service DNS aux clients.
WINS principal Saisissez les adresses IP des serveurs principal et secondaire qui
WINS secondaire fournissent le service WINS (Windows Internet Naming Service) aux
clients.
Vérifier le statut de Cliquez sur le lien pour consulter les paramètres du serveur actuellement
l'héritage attribués aux interfaces client.
Suffixe DNS Cliquez sur Ajouter pour saisir un suffixe que le client doit utiliser
localement lorsqu'un nom d'hôte non qualifié qu'il ne peut pas résoudre
est saisi.
Les suffixes sont utilisés dans l'ordre dans lequel ils apparaissent. Pour
changer l'ordre d'un suffixe, sélectionnez une entrée, puis cliquez sur le
bouton Déplacer en haut ou Déplacer en bas. Pour supprimer une
entrée, sélectionnez-la, puis cliquez sur Supprimer.
Hériter des suffixes DNS Cochez cette case pour hériter des suffixes DNS de la source de l'héritage.
Pool d'adresses IP Cliquez sur Ajouter pour préciser des paramètres de pool d'adresses IP.
Utilisez cette section pour créer une plage d'adresses IP à attribuer aux
utilisateurs distants. Une fois le tunnel établi, une interface est créée sur
l'ordinateur de l'utilisateur distant avec une adresse de cette plage.
Remarque : Le pool d'adresses IP doit être suffisamment important pour
prendre en charge toutes les connexions simultanées. L'attribution d'adresse IP
est dynamique et ne s'applique plus une fois l'utilisateur déconnecté. La
configuration de plusieurs plages à partir de différents sous-réseaux permet au
système de fournir aux clients une adresse IP non conflictuelle avec les autres
interfaces du client.
Les serveurs/routeurs des réseaux doivent acheminer le trafic de ce pool

d'adresses IP vers le pare-feu.
Par exemple, pour le réseau 192.168.0.0/16, un utilisateur distant peut se
voir attribuer l'adresse 192.168.0.10.
Accéder à l'itinéraire Cliquez sur Ajouter pour préciser des options d'itinéraire d'accès.
Utilisez cette section pour ajouter des itinéraires qui seront appliqués sur
l'ordinateur de l'utilisateur distant et pour déterminer ainsi les éléments
envoyés par l'ordinateur de l'utilisateur via la connexion VPN.
Par exemple, vous pouvez paramétrer une segmentation des tunnels pour
permettre aux utilisateurs distants d'accéder à Internet sans recourir au
tunnel VPN.
Si aucun itinéraire n'est ajouté, chaque demande est alors acheminée via
le tunnel (pas de segmentation des tunnels). Dans les deux cas, chaque
demande Internet passe par le pare-feu puis vers le réseau. Cette méthode
permet d'empêcher une partie externe d'accéder à l'ordinateur de
l'utilisateur et ainsi accéder au réseau interne (l'ordinateur de l'utilisateur
servant alors de pont).


Champ Description
Sous-onglet
Notification HIP
Notification HIP Cliquez sur Ajouter pour préciser des options de notification.
Sélectionnez Activer pour activer l'option de correspondance ou de non-
correspondance d'un message.
Choisissez une option de notification dans la liste déroulante Monter la
notification en tant que, puis préciser le message de correspondance ou
de non-correspondance. Utilisez ces paramètres pour informer
l'utilisateur final de l'état de la machine, pour renvoyer un message
d'avertissement par exemple.
Remarque : Les pages de notification HIP peuvent être formatées en HTML
enrichi qui peut inclure des liens vers des sites Web externes et des ressources.
Utilisez l'icône de lien dans la barre d'outils des paramètres de texte enrichi
pour ajouter des liens.
satellite
de tunnels
Configuration des Cochez la case Configuration des tunnels et sélectionnez une interface de
tunnels tunnel existante ou cliquez sur Nouvelle interface de tunnel. Pour plus
d'informations sur la création d'une interface de tunnel, reportez-vous à
Détection des attaques par rejeu : protégez-vous contre les attaques par
rejeu.
Copier ToS : copiez l'en-tête ToS (Type of Service) de l'en-tête IP entrant
vers l'en-tête IP sortant des paquets encapsulés afin de préserver les
informations ToS d'origine.
Intervalle de rafraîchissement de la configuration (heures) : précisez la
fréquence selon laquelle les périphériques satellites doivent rechercher
des mises à jour de la configuration sur le portail (par défaut 24 heures,
plage de 1 à 48 heures).
Surveillance des tunnels Cochez la case Surveillance des tunnels pour activer la surveillance des
tunnels VPN entre le périphérique satellite et les passerelles. Ceci est
recommandé pour permettre le basculement si l'une des passerelles ne
parvient pas à communiquer avec le satellite.
IP de destination : précisez une adresse IP de l'autre côté du tunnel qui
sera utilisée par la surveillance des tunnels pour déterminer si le tunnel
fonctionne correctement.
Profil de l'utilitaire de surveillance de tunnels : sélectionnez le profil de
surveillance par défaut ou créez-en un nouveau. Un profil de surveillance
permet de basculer automatiquement vers un autre tunnel. Reportez-
vous à « Définition des profils de surveillance » à la page 190.
Profils crypto Sélectionnez un Profil crypto IPSec ou créez un nouveau profil. Celui-ci
détermine les protocoles et algorithmes d'identification,
d'authentification et de cryptage des tunnels VPN. Reportez-vous à
« Définition des profils crypto IPSec » à la page 346.


Champ Description
réseau
Source de l'héritage Sélectionnez une source pour la propagation du serveur DNS et d'autres
paramètres entre le client DHCP ou l'interface client PPPoE sélectionné et
la configuration du satellite GlobalProtect. Grâce à ce paramètre,
l'ensemble de la configuration, les serveurs DNS par exemple, est hérité
de la configuration de l'interface sélectionnée dans Source de l'héritage.
DNS principal Saisissez les adresses IP des serveurs principal et secondaire qui
DNS secondaire fournissent le service DNS aux satellites.
Suffixe DNS Cliquez sur Ajouter pour saisir un suffixe que le satellite doit utiliser
localement lorsqu'un nom d'hôte non qualifié qu'il ne peut pas résoudre
est saisi.
Les suffixes sont utilisés dans l'ordre dans lequel ils apparaissent. Pour
changer l'ordre d'un suffixe, sélectionnez une entrée, puis cliquez sur le
bouton Déplacer en haut ou Déplacer en bas. Pour supprimer une
entrée, sélectionnez-la, puis cliquez sur Supprimer.
Hériter du suffixe DNS Cochez cette case pour envoyer le suffixe DNS aux périphériques
satellites à utiliser localement lorsqu'un nom d'hôte non qualifié qu'ils ne
peuvent pas résoudre est saisi.
Pool d'adresses IP Cliquez sur Ajouter pour préciser des paramètres de pool d'adresses IP.
Utilisez cette section pour créer une plage d'adresses IP à attribuer aux
périphériques satellites. Une fois le tunnel établi, une interface est créée
sur le périphérique satellite avec une adresse de cette plage.
Remarque : Le pool d'adresses IP doit être suffisamment important pour
prendre en charge toutes les connexions simultanées. L'attribution d'adresse IP
est dynamique et ne s'applique plus une fois le satellite déconnecté. La
configuration de plusieurs plages à partir de différents sous-réseaux permet au
système de fournir aux satellites une adresse IP non conflictuelle avec les autres
interfaces du périphérique.
Les serveurs/routeurs des réseaux doivent acheminer le trafic de ce pool

d'adresses IP vers le pare-feu.
Par exemple, pour le réseau 192.168.0.0/16, un satellite peut se voir
attribuer l'adresse 192.168.0.10.
Accéder à l'itinéraire Cliquez sur Ajouter pour préciser des options d'itinéraire d'accès.
Utilisez cette section pour ajouter des itinéraires qui seront appliqués sur
les satellites, déterminant ainsi les itinéraires utilisés par le satellite pour
transmettre du trafic via la connexion VPN
Par exemple, vous pouvez paramétrer une segmentation des tunnels pour
permettre aux satellites d'accéder à Internet sans recourir au tunnel VPN.
Si aucun itinéraire n'est ajouté, chaque demande est alors acheminée via
le tunnel (pas de segmentation des tunnels).
Cliquez sur Ajouter pour saisir un itinéraire.
Sous-onglet Filtre Cochez la case Accepter les itinéraires publiés, puis saisissez les sous-
d'itinéraire réseaux satellites qui sont ajoutés à la table d'itinéraires de la passerelle
lorsque des informations de routage sont partagées. Les sous-réseaux
satellites ne figurant pas dans la liste sont filtrés.

Paramétrage et activation de l'agent de GlobalProtect

Périphérique > Client GlobalProtect
La page Client GlobalProtect répertorie les versions GlobalProtect disponibles. Lorsque le

client se connecte, le système vérifie la version et installe la version actuellement activée du
logiciel de l'agent si elle est différente de celle installée sur le client.
Remarque : Pour le téléchargement et l'installation initiaux de l'agent de

GlobalProtect, l'utilisateur du système client doit être connecté avec des droits
d'administrateur. Des droits d'administrateur ne sont pas nécessaires pour les
mises à niveau ultérieures.
Pour télécharger et activer l'agent de GlobalProtect :

1. Cliquez sur le lien Télécharger de la version souhaitée. Le téléchargement démarre et une
fenêtre contextuelle indiquant la progression du téléchargement s'affiche. Une fois le
téléchargement terminé, cliquez sur Fermer.
2. Pour activer une version téléchargée, cliquez sur le lien Activer de la version. Si une
version existante du logiciel client a déjà été téléchargée et activée, un message contextuel
indiquant que la nouvelle version sera téléchargée à la prochaine connexion du client
s'affiche.
3. Pour activer le client précédemment installé à l'aide du bouton Charger, cliquez sur le
bouton Activer depuis le fichier. Une fenêtre contextuelle s'affiche. Sélectionnez le fichier
dans la liste déroulante, puis cliquez sur OK.
4. Pour supprimer une version téléchargée du logiciel client du pare-feu, cliquez sur l'icône
Supprimer dans la dernière colonne à droite.

Paramétrage de l'agent de GlobalProtect

L'agent de GlobalProtect (Agent PanGP) est une application installée sur le système client (un
ordinateur portable généralement) pour prendre en charge des connexions entre
GlobalProtect et des portails et des passerelles et qui est prise en charge par le service
GlobalProtect (Service PanGP).
Remarque : Veillez à choisir l'option d'installation appropriée pour votre système

d'exploitation hôte (32 ou 64 bits). Si vous installez sur un hôte 64 bits, utilisez
l'option combinée navigateur/Java 64 bits pour l'installation initiale.
Pour installer l'agent, ouvrez le fichier du programme d'installation et suivez les instructions à
l'écran.
Pour configurer l'agent :
1. Choisissez Démarrer > Tous les programmes > Palo Alto Networks > GlobalProtect >
GlobalProtect.
L'interface client s'ouvre dans l'onglet Paramètres.
Figure 44. GlobalProtect - Onglet Paramètres
2. Précisez le nom d'utilisateur et le mot de passe à utiliser pour l'authentification

GlobalProtect, puis cochez la case Mémoriser mes informations (facultatif).
3. Saisissez l'adresse IP du pare-feu servant de portail GlobalProtect.
4. Cliquez sur Appliquer.

Utilisation de l'agent de GlobalProtect

Les onglets de l'agent de GlobalProtect contiennent des informations utiles sur le statut et les
paramètres, et fournissent des informations pour faciliter la résolution des problèmes de
connexion.
• Onglet Statut : indique le statut de la connexion actuelle et répertorie les éventuels
avertissements ou erreurs.
• Onglet Détails : fournit des informations sur la connexion actuelle, notamment les
adresses IP et le protocole du portail, et propose des statistiques d'octets et de paquets sur
la connexion réseau.
• Onglet Etat de l'hôte : fournit les informations stockées dans HIP. Cliquez sur une
catégorie à gauche de la fenêtre pour afficher les informations configurées pour cette
catégorie à droite de la fenêtre.
• Onglet Dépannage : fournit des informations afin de faciliter le dépannage.
– Configurations du réseau : indique la configuration actuelle du système client.
– Table de routage : fournit des informations sur la méthode d'acheminement actuelle

de la connexion GlobalProtect.
– Sockets : fournit des informations sur les sockets des connexions actives.
– Journaux : permet de consulter les journaux de l'agent de (Agent PanGP) et du service

(PanGP Service) de GlobalProtect. Choisissez le type de journal et le niveau de
débogage. Cliquez sur Démarrer pour commencer la journalisation et sur Arrêter pour
l'arrêter.


Chapitre 10
Configuration de la qualité de service
Ce chapitre explique comment configurer la qualité de service (QoS) sur le pare-feu :

• « Prise en charge du pare-feu pour la QoS » dans la section suivante
• « Définition des profils de QoS » à la page 390
• « Définition des politiques de QoS » à la page 391
• « Affichage des statistiques de QoS » à la page 395
Prise en charge du pare-feu pour la QoS

Le pare-feu prend en charge les paramètres de QoS affinés pour un trafic en texte clair et par
tunnel dès sa sortie du pare-feu (le traitement de la QoS entrante n'est pas pris en charge). Les
profils de QoS sont liés aux interfaces physiques afin d'indiquer la méthode de mappage des
classes de trafic vers la bande passante (garantie, maximale) et la priorité. La politique de QoS
permet ensuite de mapper des sessions spécifiques vers des classes de QoS. La classification
de QoS est prise en charge par tous les types d'interfaces, sauf les interfaces Ethernet agrégées.
Le pare-feu prend en charge les paramètres de QoS suivants :
• La page Réseau > QoS permet de configurer les paramètres de QoS des interfaces de pare-
feu et de spécifier les critères du trafic en texte clair et par tunnel qui sort du pare-feu via
ces interfaces. Consultez la section « Configuration de la QoS pour les interfaces du pare-
• Pour chaque interface, vous pouvez définir des profils de QoS qui déterminent la
méthode de traitement des classes de trafic QoS. Vous pouvez définir des limites globales
sur la bande passante, quelle que soit la classe, mais aussi définir des limites pour des
classes individuelles. Vous pouvez également attribuer des priorités aux différentes
classes. Ces priorités déterminent la méthode de traitement du trafic en cas de contention.
Consultez la section « Définition des profils de QoS » à la page 390.
• La page Politiques > QoS permet de configurer des politiques pour activer des restrictions
de QoS. Consultez la section « Définition des politiques de QoS » à la page 391.
Palo Alto Networks Configuration de la qualité de service • 387

Éléments importants à prendre en compte lors de la configuration de la prise en

charge de la QoS sur le pare-feu.
• Lors du paramétrage du profil de QoS, les paramètres de sortie garantis et maximums
définis pour les classes ne doivent pas dépasser les paramètres de sortie garantis et
maximums définis pour le profil lui-même.
• Le trafic qui ne correspond pas à la politique de QoS se verra attribué la classe 4 par
défaut. Par conséquent, veillez à attribuer une bande passante et une priorité garanties
maximales.
• Chaque modèle de pare-feu prend en charge un nombre de ports maximums pouvant être
configurés avec la QoS. Consultez la feuille de spécifications de votre modèle de pare-feu
à l'adresse suivante : http://www.paloaltonetworks.com.
Configuration de la QoS pour les interfaces du pare-feu

Réseau > QoS
La page QoS permet de configurer les limites de bande passante des interfaces de pare-feu.
Tableau 141. Paramètres de la QoS

Champ Description
Interface physique
Nom de l'interface Sélectionnez l'interface de pare-feu.
Sortie max. (Mbits/s) Entrez une limite pour le trafic sortant du pare-feu via cette interface
(Mbits/s).
Activer la fonctionnalité Cochez cette case pour activer les fonctionnalités de QoS.
de QoS sur cette
interface
Profil par défaut : Sélectionnez les profils de QoS par défaut pour le trafic en texte clair et par
Interface en texte clair tunnel. Vous devez spécifier un profil par défaut pour chacun. Pour le trafic
en texte clair, le profil par défaut s'applique à l'ensemble du trafic en texte
et de tunnel
clair en tant que profil agrégé. Pour le trafic par tunnel, le profil par défaut
s'applique individuellement à chaque tunnel ne disposant d'aucune
attribution de profil spécifique dans la section de configuration détaillée.
Pour obtenir des instructions concernant la définition de profils de QoS,
consultez la section « Définition des profils de QoS » à la page 390.
Indiquez les paramètres suivants dans les onglets Trafic par tunnel et
Trafic en texte clair et Trafic en texte clair. Ces valeurs s'appliquent, sauf si elles sont écrasées
par tunnel en paramétrant la zone Configuration détaillée, comme décrit plus bas
dans ce tableau.
Sortie garantie (Mbits/s) Saisissez la bande passante garantie pour le trafic par tunnel depuis cette
interface.
Sortie max. (Mbits/s) Entrez une limite pour le trafic sortant du pare-feu via cette interface
(Mbits/s).
388 • Configuration de la qualité de service Palo Alto Networks

Tableau 141. Paramètres de la QoS (suite)

Champ Description
Ajouter Cliquez sur Ajouter dans les onglets Trafic en texte clair ou Trafic par
tunnel pour définir une granularité supplémentaire dans le traitement du
trafic en texte clair ou pour écraser l'attribution d'un profil par défaut à des
tunnels spécifiques. Si vous laissez cette section vide, les valeurs spécifiées
dans Configuration du groupe seront utilisées.
Prenons comme exemple la configuration de deux sites, dont l'un dispose
d'une connexion à 45 Mbits/s et l'autre d'une connexion T1 au pare-feu. Vous
pouvez appliquer des paramètres de QoS restrictifs au site T1 afin que la
connexion ne soit pas saturée, tout en autorisant des paramètres plus
flexibles pour le site disposant d'une connexion à 45 Mbits/s.
Pour ajouter de la granularité au trafic en texte clair, cliquez sur l'onglet Texte
clair, cliquez sur Ajouter, puis sur les entrées individuelles pour configurer
les paramètres suivants :
• Nom - Donnez un nom à ces paramètres afin de les identifier.
• Profil de QoS - Sélectionnez le profil de QoS à appliquer à l'interface et au
sous-réseau spécifiés. Pour obtenir des instructions concernant la définition
de profils de QoS, consultez la section « Définition des profils de QoS » à la
page 390.
• Les règles de QoS pour le trafic en texte clair sont appliquées dans l'ordre spécifié.
Pour modifier leur ordre, cochez la case correspondant à une entrée et cliquez sur
Monter ou Descendre.
• Interface source - Sélectionnez l'interface de pare-feu.
• Sous-réseau source - Sélectionnez un sous-réseau pour limiter les
paramètres au trafic provenant de cette source ou conservez la valeur
Indifférent par défaut pour appliquer les paramètres à n'importe quel
trafic de l'interface spécifiée.
Pour écraser le profil par défaut d'un tunnel spécifique, cliquez sur l'onglet
Trafic par tunnel, cliquez sur Ajouter, puis sur les entrées individuelles pour
configurer les paramètres suivants :
• Interface de tunnel - Sélectionnez l'interface de tunnel sur le pare-feu.
• Profil de QoS - Sélectionnez le profil de QoS à appliquer à l'interface de
tunnel spécifiée.
Pour supprimer une entrée de trafic en texte clair ou par tunnel, cochez la
case de l'entrée correspondante et cliquez sur Supprimer.

Définition des profils de QoS
Définition des profils de QoS

Réseau > Profils réseaux > Profils de QoS
Pour chaque interface, vous pouvez définir des profils de QoS qui déterminent la méthode de
traitement des classes de trafic de QoS. Vous pouvez définir des limites globales sur la bande
passante, quelle que soit la classe, mais aussi définir des limites pour des classes individuelles.
Vous pouvez également attribuer des priorités aux différentes classes. Ces priorités
déterminent la méthode de traitement du trafic en cas de contention.
Remarque : Pour plus d'informations sur la configuration d'interfaces de pare-

feu pour la QoS, consultez la section « Configuration de la QoS pour les interfaces
du pare-feu » à la page 388 et pour configurer des politiques qui vont activer les
restrictions de QoS, consultez la section « Définition des politiques de QoS » à la
page 391.
Tableau 142. Paramètres d'un profil de QoS

Champ Description
Nom de profil Saisissez un nom pour identifier le profil (31 caractères maximum). Ce
Sortie max. Saisissez la bande passante maximale autorisée pour ce profil (Mbits/s).
Sortie garantie Saisissez la bande passante garantie pour ce profil (Mbits/s).
Classes Indiquez la méthode de traitement des classes de QoS individuelles. Vous
pouvez sélectionnez une ou plusieurs classes pour configurer :
• Classe - Si vous ne configurez aucune classe, vous pouvez toujours
l'inclure dans une politique de QoS. Dans ce cas, le trafic est soumis à
des limites de QoS globales. Le trafic qui ne correspond pas à une
politique de QoS sera assigné à la classe 4.
• Priorité - Cliquez et sélectionnez une priorité à assigner à cette classe.
Elles sont classées dans l'ordre mentionné (les plus élevées en premier) :
– temps réel
– élevé
– moyen
– faible
• Sortie max. - Cliquez et saisissez une valeur (Mbits/s) pour cette classe.
• Sortie garantie - Cliquez et saisissez une valeur (Mbits/s) pour cette
classe.
En cas de contention, le trafic assigné à une priorité inférieure est
supprimé. La priorité en temps réel utilise sa propre file d'attente
distincte.

Définition des politiques de QoS

Politiques > QoS
La politique de QoS détermine la méthode de classification utilisée pour le traitement du trafic

lorsqu'il passe par une interface où la QoS est activée. Pour chaque règle, vous devez spécifier
l'une des huit classes disponibles. Vous pouvez également assigner un planning afin
d'indiquer la règle qui est active. Le trafic non classé est automatiquement assigné à la classe 4.
Remarque : Pour plus d'informations sur la configuration des interfaces de pare-

feu pour la QoS, consultez la section « Configuration de la QoS pour les interfaces
du pare-feu » à la page 388 et pour plus d'informations sur la configuration des
classes de services, consultez la section « Définition des profils de QoS » à la
page 390.
Pour afficher uniquement les règles d'un système virtuel spécifique, sélectionnez le système
dans la liste déroulante Système virtuel et cliquez sur Aller. Pour appliquer un filtre à la liste,
sélectionnez Règles de filtrage dans la liste déroulante. Pour afficher uniquement les règles de
zones spécifiques, sélectionnez une zone dans les listes déroulantes Zone source et/ou Zone
de destination et cliquez sur Filtrer par zone.
Remarque : Les politiques partagées provenant de Panorama s'affichent en vert et

ne peuvent pas être modifiées au niveau du périphérique.
Pour ajouter une nouvelle règle de QoS, procédez de l'une des manières suivantes :
• Cliquez sur Ajouter en bas de la page. Une nouvelle règle avec des paramètres par défaut
est ajoutée en bas de la liste et se voit attribuée le numéro de règle suivant le plus élevé.
• Cliquez avec le bouton droit de la souris sur le numéro d'une règle que vous voulez
copier et sélectionnez la règle Cloner ou sélectionnez une règle en cliquant sur l'espace
vide de la règle et choisissez Cloner en bas de la page (une règle sélectionnée affiche un
arrière-plan de couleur jaune). La règle copiée est insérée sous la règle sélectionnée et les
règles suivantes sont renumérotées.
Tableau 143. Paramètres d'une règle de QoS

Champ Description
Onglet Général
Nom Saisissez un nom pour identifier la règle (31 caractères maximum). Ce
Étiquette Si vous devez étiqueter une politique, cliquez sur Ajouter pour indiquer
l'étiquette à utiliser.

Tableau 143. Paramètres d'une règle de QoS (suite)

Champ Description
Onglet Source
Zone source Sélectionnez une ou plusieurs zones sources (la valeur par défaut est «
Indifférent »). Les zones doivent être du même type (couche 2, couche 3
ou câble virtuel). Pour définir de nouvelles zones, consultez la section
Adresse source Indiquez une combinaison d'adresses IPv4 ou IPv6 sources dont
l'application identifiée peut être écrasée. Pour sélectionner des adresses
spécifiques, choisissez Sélectionner dans la liste déroulante et procédez
de l'une des manières suivantes :
• Cochez la case située en regard des adresses et/ou des groupes
d'adresses appropriés dans la colonne Disponible et cliquez sur
Ajouter pour ajouter vos sélections à la colonne Sélectionné.
pour afficher toutes les adresses et groupes d'adresses commençant par
ces caractères. La sélection d'un élément de la liste va cocher une case
dans la colonne Disponible. Répétez ce processus aussi souvent que
• Saisissez une ou plusieurs adresses IP (une par ligne), avec ou sans
masque réseau. Le format général est le suivant :
<adresse_ip>/<masque>
• Pour supprimer des adresses, cochez la case appropriée dans la colonne
Sélectionné et cliquez sur Supprimer ou sélectionnez Indifférent pour
effacer toutes les adresses et groupes d'adresses.
Pour ajouter de nouvelles adresses pouvant être utilisées dans cette
politique ou dans d'autres politiques, cliquez sur Nouvelle adresse (voir
« Définition des applications » à la page 251). Pour définir de nouveaux
groupes d'adresses, consultez la section « Définition des groupes
d'adresses » à la page 248.
Utilisateur source Indiquez les utilisateurs et groupes sources auxquels la politique de QoS
va s'appliquer.
Refuser Cochez cette case pour que la politique s'applique en cas de NON-
correspondance des informations spécifiées dans cet onglet.
Onglet Destination
Zone de destination Sélectionnez une ou plusieurs zones sources (la valeur par défaut est «
Indifférent »). Les zones doivent être du même type (couche 2, couche 3
ou câble virtuel). Pour définir de nouvelles zones, consultez la section


Champ Description
Adresse de destination Indiquez une combinaison d'adresses IPv4 ou IPv6 sources dont
l'application identifiée peut être écrasée. Pour sélectionner des adresses
spécifiques, choisissez Sélectionner dans la liste déroulante et procédez
de l'une des manières suivantes :
• Cochez la case située en regard des adresses et/ou des groupes
d'adresses appropriés dans la colonne Disponible et cliquez sur
Ajouter pour ajouter vos sélections à la colonne Sélectionné.
pour afficher toutes les adresses et groupes d'adresses commençant par
ces caractères. La sélection d'un élément de la liste va cocher une case
dans la colonne Disponible. Répétez ce processus aussi souvent que
• Saisissez une ou plusieurs adresses IP (une par ligne), avec ou sans
masque réseau. Le format général est le suivant :
<adresse_ip>/<masque>
• Pour supprimer des adresses, cochez la case appropriée dans la colonne
Sélectionné et cliquez sur Supprimer ou sélectionnez Indifférent pour
effacer toutes les adresses et groupes d'adresses.
Pour ajouter de nouvelles adresses pouvant être utilisées dans cette
politique ou dans d'autres politiques, cliquez sur Nouvelle adresse (voir
« Définition des applications » à la page 251). Pour définir de nouveaux
groupes d'adresses, consultez la section « Définition des groupes
d'adresses » à la page 248.
Refuser Cochez cette case pour que la politique s'applique en cas de NON-
correspondance des informations spécifiées dans cet onglet.
Onglet Application
Application Sélectionnez des applications spécifiques pour la règle de QoS. Pour
définir de nouvelles applications, consultez la section « Définition des
applications » à la page 251. Pour définir des groupes d'applications,
consultez la section « Définition des groupes d'applications » à la
page 257.
Si une application dispose de plusieurs fonctions, vous pouvez
sélectionner l'application globale ou des fonctions individuelles. Si vous
sélectionnez l'application globale, toutes les fonctions sont incluses et la
définition de l'application est automatiquement mise à jour au fur et à
mesure de l'ajout de fonctions à venir.
Si vous utilisez des groupes d'applications, des filtres ou un conteneur
dans la règle de QoS, vous pouvez afficher les détails de ces objets en
passant la souris sur l'objet qui figure dans la colonne Application,
cliquez sur la flèche vers le bas et sélectionnez Valeur. Ceci vous permet
de faciliter la consultation des membres d'une application directement
depuis la politique, sans aller dans l'onglet Objet.


Champ Description
Onglet
Catégorie de service/
URL
Service Sélectionnez les services devant être limités à des numéros de port TCP
et/ou UDP spécifiques. Choisissez l'une des options suivantes dans la
liste déroulante :
• Indifférent - Les applications sélectionnées sont autorisées ou refusées
quel que soit le protocole ou port.
• Valeurs par défaut de l'application - Les applications sélectionnées
sont autorisées ou refusées uniquement sur les ports par défaut définis
par Palo Alto Networks. Cette option est recommandée pour les
politiques d'autorisation.
• Sélectionner - Cliquez sur Ajouter. Choisissez un service existant, un
Service ou un Groupe de services pour indiquer une nouvelle entrée.
Consultez les sections « Services » à la page 259 et « Groupes de
services » à la page 259.
Catégorie d'URL Sélectionnez des catégories d'URL pour la règle de QoS.
• Sélectionnez Indifférent pour vous assurer qu'une session peut
correspondre à cette règle de QoS, quelle que soit la catégorie d'URL.
• Pour spécifier une catégorie, cliquez sur Ajouter et sélectionnez une
liste déroulante. Vous pouvez ajouter plusieurs catégories. Pour plus
d'informations sur la définition de catégories personnalisées, consultez
la section « Catégories d'URL personnalisées » à la page 261.
Onglet Autres
paramètres
Classe Sélectionnez la classe de QoS à assigner à la règle et cliquez sur OK. Les
caractéristiques d'une classe sont définies dans le profil de QoS. Pour plus
d'informations sur la configuration de paramètres pour les classes de
QoS, consultez la section « Définition des profils de QoS » à la page 390.
Calendrier Sélectionnez l'icône représentant un calendrier afin de définir un
calendrier pour la politique de QoS à appliquer.

Affichage des statistiques de QoS

Réseau > QoS
Le tableau de la page Politiques de QoS indique le moment où la QoS est activée et inclut un
lien permettant d'afficher les statistiques de QoS. Consultez l'exemple disponible dans la
figure suivante.
Figure 45. Statistiques de QoS
Le panneau de gauche affiche le tableau de l'arborescence de QoS et le panneau de droite

affiche des données dans les onglets suivants :
• Bande passante de QoS - Affiche les diagrammes de bande passante en temps réel pour
le nœud et les classes sélectionnés. Ces informations sont mises à jour toutes les deux
secondes.
• Navigateur de session - Affiche les sessions actives du nœud et/ou de la classe

sélectionné(e)(s).
• Vue de l'application - Affiche toutes les applications actives du nœud et/ou de la classe
de QoS sélectionné(e)(s).


Chapitre 11
Configuration d'un Pare-feu série VM
Ce chapitre décrit l'installation du Pare-feu série VM :

• « Configuration système requise et limitations » à la page 398
• « Licence du Pare-feu série VM » à la page 399
• « Installation du Pare-feu série VM » à la page 400
• « Dépannage » à la page 403
Présentation
Le Pare-feu série VM de Palo Alto Networks est une instance virtuelle de PAN-OS. Il est destiné à être
utilisé dans un environnement de centre de données virtualisé et convient parfaitement aux
déploiements de clouds publics et privés. Grâce à la technologie de la machine virtuelle, il est possible
d'installer cette solution sur n'importe quel périphérique x86 capable d'exécuter VMware ESXi, sans
qu'il soit nécessaire de déployer du matériel Palo Alto Networks.
Le Pare-feu série VM présente de nombreux points communs avec les pare-feu matériels Palo Alto
Networks, notamment au niveau des caractéristiques et des interfaces de gestion. La principale
différence réside dans les méthodes de déploiement utilisées dans un environnement virtuel, en fonction
des besoins identifiés. Une fois le pare-feu virtuel installé, il s'utilise et se gère comme un pare-feu
matériel.
Le Pare-feu série VM est distribué au format Open Virtualization Format (OVF), devenu la norme en
matière de configuration en package et de déploiement de machines virtuelles.
Remarque : Cette section décrit les étapes d'installation de base requises pour le déploiement d'un
Pare-feu série VM. Pour en savoir plus et consulter des études de cas, reportez-vous à la note technique
du Pare-feu série VM sur le site https://live.paloaltonetworks.com/community/documentation.
Palo Alto Networks Configuration d'un Pare-feu série VM • 397

Configuration système requise et limitations
Configuration système requise et limitations

Cette section décrit la configuration système et les limitations du pare-feu VM-Series.
Configuration requise
Le Pare-feu série VM requiert la configuration système suivante :
• VMware ESX(i) avec vSphere 4.1 et 5.0.
• Au minimum deux vCPU par Pare-feu série VM. Un vCPU sera utilisé pour le plan de
gestion, l'autre pour le plan de données. Il est possible d'ajouter jusqu'à huit vCPU
supplémentaires pour le plan de données selon les incréments suivants : 2, 4 ou 8 vCPU.
• Au minimum deux interfaces réseau (vmNIC). Une vmNIC sera dédiée à l'interface de
gestion, l'autre au port de données. Il est possible d'ajouter jusqu'à huit vmNIC
supplémentaires pour le trafic de données.
Il est nécessaire que le mode « promiscuous » soit activé sur le groupe de ports du
commutateur virtuel utilisé par le Pare-feu série VM, ou sur les ports de données
individuels qui seront utilisés.
• Au minimum 4 Go de mémoire. Toute mémoire supplémentaire sera utilisée par le plan

de gestion seulement.
• Au minimum 40 Go d'espace disque virtuel. Il est possible d'ajouter un disque

supplémentaire à des fins de journalisation.
Limitations
Les fonctionnalités du Pare-feu série VM sont similaires à celles des pare-feu matériels Palo
Alto Networks, mais avec les limitations suivantes :
• Seule la configuration Haute disponibilité (HD) allégée est prise en charge (active/
passive sans basculement à inspection d'état).
• La configuration Haute disponibilité (HD) « Surveillance des liaisons » n'est prise en

charge que sur les installations VMware ESXi qui acceptent les E/S DirectPath.
• Au total, 10 ports peuvent être configurés. Un port sera utilisé pour la gestion et jusqu'à
9 ports peuvent être utilisés pour les données. Il s'agit d'une limitation propre à VMware.
• Les systèmes virtuels ne sont pas pris en charge.
• Seul le pilote vmxnet3 est pris en charge.
• Une seule instance du Pare-feu série VM peut être déployée à la fois sur un hôte ESXi.
• vMotion n'est pas pris en charge.
• Des cœurs de processeurs dédiés sont requis.
• Les trames Jumbo ne sont pas prises en charge.
• L'agrégation des liaisons n'est pas prise en charge.
398 • Configuration d'un Pare-feu série VM Palo Alto Networks

Licence du Pare-feu série VM
Licence du Pare-feu série VM

Il existe trois licences pour le Pare-feu série VM (VM-100, VM-200 et VM-300) en fonction des
capacités allouées pour les sessions, les règles, les zones de sécurité, les objets adresse, les
tunnels VPN IPSec et les tunnels VPN SSL. Lors de l'achat d'une licence, il est nécessaire de
vérifier que vos besoins sont couverts.
A l'achat, vous recevrez un code d'authentification et un numéro de série temporaire. Si vous
ne possédez pas de compte, vous pouvez utiliser le code d'authentification pour vous
enregistrer. Une fois votre compte vérifié et l'enregistrement terminé, vous pourrez vous
identifier et télécharger le logiciel du Pare-feu série VM. Si vous possédez déjà un compte,
vous pouvez suivre le lien « VM-Series Authentication Code » sur la page de support du
logiciel pour gérer vos licences Pare-feu série VM et télécharger le logiciel.
L'enregistrement de votre Pare-feu série VM est obligatoire pour poursuivre l'installation.
Une fois celle-ci terminée, vous devrez activer la licence depuis la page Device > Licenses à
l'aide de votre code d'authentification. Le périphérique contactera le serveur de licences de
Palo Alto Networks et mettra votre compte à jour avec un nouveau numéro de série
permanent. Si votre périphérique n'a pas accès au site de support, vous pouvez exporter
manuellement votre licence temporaire puis l'activer depuis la page de chargement « VM-
Series Authentication Code » du site de support.
Remarque : Pour finaliser le processus d'installation de la licence, vous devez

redémarrer votre Pare-feu série VM.
Une fois le Pare-feu série VM installé, il est également possible d'acheter des licences
supplémentaires, comme s'il s'agissait d'un pare-feu matériel, dont les suivantes : Prévention
des menaces, Filtrage des URL, GlobalProtect et WildFire.

Installation du Pare-feu série VM

Cette section décrit les étapes requises pour l'installation du pare-feu VM-Series. Une machine
virtuelle doit déjà avoir été installée et configurée.
Remarque : Il n'est pas possible d'exécuter la version pour machine virtuelle de
Panorama et le pare-feu VM-Series de Palo Alto Networks sur la même machine
virtuelle.
Installation d'un Pare-feu série VM :

1. Achetez une licence VM-Series, puis téléchargez le modèle Open Virtualization Format
(OVF) depuis le site du logiciel https://support.paloaltonetworks.com.
Le modèle OVF est téléchargé sous forme d'archive compressée contenant trois fichiers :
– Extension OVF — Fichier descripteur OVF qui contient toutes les métadonnées au
sujet du package et de son contenu.
– Extension MF — Fichier manifeste OVF qui contient les résumés SHA-1 des fichiers
individuels du package.
– Extension VMDK — Fichier image du disque qui contient la version virtualisée du

pare-feu PAN-OS.
Remarque : Les fichiers ci-dessus sont les fichiers d'installation de base. Une fois
cette installation terminée, vous devrez télécharger et installer la version la plus
récente du logiciel du Pare-feu série VM depuis le site de support. Vous profiterez
ainsi des derniers correctifs appliqués depuis la création du fichier OVF de base.
2. Avant de déployer le modèle, il est recommandé de paramétrer un ou plusieurs commutateurs

standard virtuels et un ou plusieurs commutateurs distribués virtuels, dont vous aurez besoin pour
le Pare-feu série VM. Il est nécessaire que le mode « promiscuous » soit activé sur tout
commutateur virtuel associé au Pare-feu série VM.
Pour configurer un commutateur standard virtuel :
a. Configurez un commutateur standard virtuel depuis le client vSphere en accédant à

Home > Inventory > Hosts and Clusters.
b. Cliquez sur l'onglet Configuration puis, sous Hardware, cliquez sur Networking.
Pour chaque commutateur virtuel standard associé au Pare-feu série VM, cliquez sur
Properties.
c. Sélectionnez le commutateur virtuel et cliquez sur Edit. Dans les propriétés vSwitch,
cliquez sur l'onglet Security et pourPromiscuous Mode, choisissez Accept et cliquez
sur OK. Cette modification sera appliquée à l'ensemble des groupes de ports sur le
commutateur virtuel.
Pour configurer un commutateur distribué virtuel :
a. Accédez à Home > Inventory > Networking. Sélectionnez le Distributed Port Group
à modifier, puis l'onglet Summary.
b. Cliquez sur Edit Settings et sélectionnez Policies > Security. Pour le Promiscuous
Mode, choisissez Accept et cliquez sur OK.

3. Déployez le modèle OVF :
a. Connectez-vous à vCenter à l'aide du client vSphere. Il est également possible

d'accéder directement à l'hôte ESXi cible, si besoin.
b. Depuis le client vSphere, sélectionnez File > Deploy OVF Template.

c. Accédez au modèle OVF que vous avez téléchargé à l'étape 1, sélectionnez le fichier,
puis cliquez sur Next. Passez en revue les détails du modèle, puis cliquez à nouveau
sur Next.
d. Attribuez un nom à l'instance du Pare-feu série VM dans la fenêtre Inventory

Location,sélectionnez un centre de données et un dossier, et cliquez sur Next.
e. Sélectionnez un hôte ESXi pour le Pare-feu série VM et cliquez sur Next.

f. Sélectionnez le magasin de données à utiliser pour le Pare-feu série VM et cliquez sur
Next.
g. Conservez les paramètres par défaut pour le provisionnement du magasin de données

et cliquez sur Next. L'option par défaut est « Thick Provision Lazy Zeroed ».

h. Sélectionnez les réseaux à utiliser pour les deux premières vmNIC. Une vmNIC sera
dédiée à l'interface de gestion, l'autre au premier port de données. Vérifiez que les
Source Networks sont associés aux bons Destination Networks.
i. Passez en revue les détails, cochez la case Power on after deployment, puis cliquez sur
Next.
Vous pouvez suivre la progression du déploiement depuis la liste Recent Tasks. Une fois
le déploiement terminé, cliquez sur l'onglet Summary pour afficher le statut actuel.
4. Pour procéder à la configuration initiale du Pare-feu série VM, suivez ces étapes :
a. L'adresse IP de gestion par défaut est 192.168.1.1. Pour la modifier, lancez la console
vSphere, cliquez sur l'onglet Summary, puis sous Commands, cliquez sur Open
Console. Vous pouvez également faire un clic droit sur la machine virtuelle et
sélectionner Open Console.
b. Connectez-vous à l'aide du nom d'utilisateur admin et du mot de passe admin par

défaut, puis entrez configure pour passer en mode configuration.
c. Paramétrez l'adresse IP, le masque réseau, la passerelle et le DNS de votre choix.

Exemple :
set deviceconfig system ip-address 10.1.1.5 netmask
255.255.255.0 default-gateway 10.1.1.1 dns-setting servers
primary 10.0.0.245
d. Entrez commit pour activer les modifications.

e. Testez la connectivité réseau entre votre passerelle par défaut et un serveur connu.
Exemple :
ping host 10.1.1.1 ou ping host 10.0.0.245.

Dépannage
5. Maintenant que le Pare-feu série VM est connecté au réseau et que le logiciel PAN-OS de
base est installé, il est nécessaire de passer à la dernière version de PAN-OS (une licence
de support est requise).
Remarque : Le logiciel de base du Pare-feu série VM est installé avec le fichier

OVF. Il est recommandé d'effectuer la mise à jour et de passer à la version la plus
récente de PAN-OS pour bénéficier des derniers correctifs. A chaque mise à niveau
des fonctions, une nouvelle image de base est créée au sein du fichier OVF.
a. Depuis l'interface Web, accédez à Device > Licenses, et vérifiez que vous disposez de la
licence correcte pour le Pare-feu série VM et qu'elle est activée.
Pour en savoir plus sur l'obtention et l'installation de licences, reportez-vous à la section

« Installation d'une licence » à la page 53.
b. Pour mettre à niveau le logiciel PAN-OS du Pare-feu série VM, accédez à Device >
Software.
c. Cliquez sur Refresh pour afficher la dernière version du logiciel et consultez les Release
Notes pour obtenir la description des modifications de la version et le chemin d'accès pour
l'installation du logiciel.
d. Cliquez sur Télécharger pour obtenir le logiciel, puis sur Install pour l'installer.
Pour en savoir plus sur le téléchargement et l'installation du logiciel PAN-OS,

reportez-vous à la section « Mise à niveau vers une version ultérieure/antérieure du
logiciel PAN-OS » à la page 53.
Dépannage
La plupart des étapes de dépannage pour le Pare-feu série VM sont similaires à celles des versions
matérielles de PAN-OS. En cas de problème, consultez les compteurs de l'interface, les fichiers
journaux du système, et si nécessaire, utilisez le débogage pour créer des captures. Pour en savoir
plus sur le dépannage de PAN-OS, reportez-vous à la note technique de dépannage à base de
paquets sur le site https://live.paloaltonetworks.com/community/documentation.
Comme dans un environnement physique, il est parfois utile de disposer d'un client de dépannage
distinct pour capturer le trafic de l'environnement virtualisé. Il peut être intéressant de partir d'une
nouvelle instance d'OS avec installation d'outils de dépannage courants, tels que : tcpdump,
nmap, hping, traceroute, iperf, tcpedit, netcat, etc. Par la suite, à chaque fois que cela est nécessaire,
le client de dépannage peut être rapidement déployé sur le ou les commutateurs virtuels
concernés et utilisé pour isoler les problèmes de connectivité réseau.
En cas de problème de performance du pare-feu, commencez par consulter le Dashboard depuis

l'interface Web du pare-feu. Pour obtenir des informations sur le serveur VM, accédez à Home >
Inventory > VMs and Templates depuis le client vSphere, sélectionnez l'instance du Pare-feu
série VM et cliquez sur l'onglet Summary. Sous Resources, consultez les statistiques relatives à la
consommation de mémoire, de la capacité processeur et de stockage. Pour obtenir l'historique des
ressources, cliquez sur l'onglet Performance et contrôlez la consommation des ressources.
Vous pouvez également afficher des alertes ou créer un dossier de support technique ou un fichier
de vidage des statistiques depuis Device > Support. Pour en savoir plus, reportez-vous à la
section « Affichage des informations de support » à la page 126.

Dépannage

Chapitre 12
Paramétrage de Panorama
Ce chapitre décrit comment paramétrer le système de gestion centralisée Panorama :

• « Paramétrage de Panorama en tant qu'appareil virtuel » à la page 406
• « Paramétrage de Panorama sur un appareil série M » à la page 410
• « Configuration de la haute disponibilité (HD) » à la page 411
Remarque : Pour plus d'informations sur l'utilisation de Panorama, reportez-vous à

« Gestion centralisée des périphériques à l'aide de Panorama » à la page 417.
Présentation
Panorama constitue le système de gestion centralisée de la gamme de pare-feux Palo Alto
Networks de dernière génération, et est disponible en tant que plate-forme matérielle dédiée ou en
tant qu'appareil virtuel VMware répondant à vos besoins de regroupement de serveurs.
Panorama permet de visualiser et de gérer de manière centralisée tous les périphériques de votre
réseau. Panorama présentant le même aspect basé sur le Web que l'interface de chaque
périphérique, vous pouvez passer sans problèmes à la gestion centralisée des périphériques et
réduire les efforts administratifs de gestion de plusieurs périphériques.
Pour plus d'informations sur l'installation de Panorama sur VMware ESX(i) 3.5 ou version
ultérieure, reportez-vous à « Paramétrage de Panorama en tant qu'appareil virtuel » à la page 406
Pour plus d'informations sur le paramétrage du matériel basé sur l'appareil de gestion M-100,
reportez-vous à « Paramétrage de Panorama sur un appareil série M » à la page 410.
Palo Alto Networks Paramétrage de Panorama • 405

Paramétrage de Panorama en tant qu'appareil virtuel

Les conditions préalables au paramétrage d'un appareil virtuel Panorama sont les suivantes :
• Configuration système requise
– VMware ESX(i) 3.5 ou version ultérieure
– Processeur 2 GHz
– 2 à 4 Go de RAM (4 Go recommandés si 10 pare-feux ou plus sont actifs)
– 34 Go d'espace disque
– Client VMware vSphere 4.x ou client VMware Infrastructure 3.5
• Utilisez le numéro de série attribué pour enregistrer Panorama sur le site de support à
l'adresse https://support.paloaltonetworks.com et téléchargez le dernier fichier image de base
Panorama sur le serveur sur lequel vous souhaitez installer Panorama.
La procédure d'installation de l'appareil virtuel requiert un fichier modèle au format Open

Virtual Machine (OVF), qui est inclus dans l'image de base. Une fois Panorama enregistré sur
le site de support, vous aurez accès à la page de téléchargements du logiciel Panorama.
Installation de Panorama
Procédez comme suit pour installer Panorama sur votre serveur ESX(i) :
1. Décompressez le fichier zip de Panorama pour rechercher le fichier modèle
panorama-esx.ovf pour l'installation.
2. Ouvrez le client VMware vSphere et connectez-vous à votre serveur VMware via l'écran
de connexion.
3. Choisissez Fichier > Déployer le modèle OVF.
4. Recherchez le fichier panorama-esx.ovf dans l'image de base de Panorama que vous venez
de décompresser, sélectionnez-le, puis cliquez sur Suivant.
5. Vérifiez que le nom et la description du produit correspondent bien à la version

téléchargée, puis cliquez sur Suivant.
6. Donnez un nom à l'image Panorama, puis cliquez sur Suivant.
7. Sélectionnez l'emplacement du magasin de données où installer l'image de Panorama,

puis cliquez sur Suivant.
8. Si vous y êtes invité, choisissez Format d'approvisionnement étendu pour le format du

disque, puis cliquez sur Suivant.
9. Vérifiez les options sélectionnées, puis cliquez sur Terminer pour démarrer le processus
d'installation.
10. Une fois l'installation terminée, choisissez l'image de Panorama que vous venez
d'installer, puis cliquez sur le bouton Démarrer.
Le processus d'installation est terminé au démarrage de la machine virtuelle Panorama.

Passez à la section suivante pour utiliser la console et procéder au paramétrage initial.
406 • Paramétrage de Panorama Palo Alto Networks

Configuration de l'interface réseau de Panorama

Pour configurer l'interface réseau de Panorama à l'aide de la console de la machine virtuelle
Panorama sur votre serveur ESX(i) :
1. Connectez-vous à la CLI (interface de ligne de commande). Saisissez admin dans les
champs nom d'utilisateur et mot de passe.
2. A l'invite, saisissez configure pour passer en mode de configuration.
3. Définissez la configuration de l'accès au réseau de l'interface de gestion. Saisissez les

commandes suivantes sur une ligne.
set deviceconfig system ip-address <IP Panorama> masque réseau <masque
réseau> default-gateway <IP passerelle> dns-setting servers primary
<IP DNS>
où <IP Panorama> correspond à l'adresse IP, <masque réseau> au masque de sous-réseau,

<IP passerelle> à l'adresse IP de la passerelle du réseau et <IP DNS> à l'adresse IP du
serveur du système de noms de domaine (DNS).
4. Saisissez commit pour sauvegarder les modifications et les appliquer.
5. Saisissez Exit pour quitter le mode de configuration.
6. Testez la connectivité du réseau vers votre passerelle par défaut ou un autre serveur
(<IP cible>). ping host <IP cible>
Assurez-vous que vous pouvez exécuter une commande ping sur la passerelle et Internet.
Etapes suivantes
• Pour vous connecter à Panorama, et pour modifier le mot de passe par défaut, reportez-
vous à « Connexion à Panorama » à la page 411.
• Pour paramétrer une capacité supplémentaire de stockage des journaux pour votre
appareil virtuel Panorama, reportez-vous à « Extension de la capacité de stockage des
journaux » à la page 408.
• Pour configurer la haute disponibilité, reportez-vous à « Configuration de la haute

disponibilité (HD) » à la page 411.
• Pour commencer à gérer des périphériques à l'aide de Panorama, reportez-vous aux

sections suivantes :
– Pour ajouter des périphériques, reportez-vous à « Rôles, profils et comptes

Administrateur de Panorama » à la page 425.
– Pour vérifier que chaque périphérique géré est configuré avec l'adresse IP du serveur
Panorama, reportez-vous à « Paramétrage du système, configuration et gestion des
licences » à la page 32.

Extension de la capacité de stockage des journaux

Par défaut, Panorama gère le stockage interne des journaux et des données statistiques.
L'installation par défaut de Panorama est paramétrée avec une seule partition de disque pour
toutes les données, et 10 Go d'espace sont alloués pour le stockage des journaux sur la
partition. Pour prendre en charge des environnements nécessitant un espace de stockage plus
important, vous pouvez le choix entre deux options :
• Créez un disque virtuel personnalisé jusqu'à 2 To pour ESX ou ESXi. Pour obtenir des
instructions, reportez-vous à « Ajout d'un disque virtuel » à la page 408.
ou,
• Configurez un magasin de données NFS externe. Pour obtenir des instructions, reportez-
vous à « Paramétrage des partitions de stockage » à la page 409.
Ajout d'un disque virtuel

Si vous avez besoin de plus d'espace de stockage que les 10 Go fournis par défaut sur le
périphérique Panorama, procédez comme suit pour créer un disque virtuel personnalisé :
1. Sur votre serveur ESX(i), sélectionnez la machine virtuelle Panorama.
2. Cliquez sur Modifier les paramètres.
3. Cliquez sur Ajouter pour démarrer l'assistant Ajouter un matériel.
4. Choisissez Disque dur dans la liste des types de matériels, puis cliquez sur Suivant.
5. Choisissez l'option Créer un disque virtuel, puis cliquez sur Suivant.
6. Choisissez SCSI comme type de disque virtuel, puis cliquez sur Suivant.
7. Sélectionnez Préciser un magasin de données dans le champ de l'emplacement, puis

saisissez un nom et un chemin d'accès ou sélectionnez-le à l'aide du bouton Parcourir.
8. Cliquez sur Terminer.
Le nouveau disque apparaît dans la liste des périphériques de la machine virtuelle.
9. Démarrez la machine virtuelle Panorama.
Au premier démarrage après l'ajout d'un nouveau disque, Panorama l'initialise pour
pouvoir l'utiliser. Ce processus peut prendre entre plusieurs minutes et quelques heures
en fonction de la taille du nouveau disque.
Lorsque le système démarre avec le nouveau disque, les journaux existants sur le disque par
défaut sont déplacés vers le nouveau disque virtuel, et toutes les entrées de journal ultérieures
sont écrites sur le nouveau disque. Si le disque virtuel est supprimé, Panorama rétablit
automatiquement la journalisation sur le disque de 10 Go interne par défaut.
Si vous avez déjà ajouté un disque virtuel et que vous souhaitez le remplacer par un disque
virtuel plus important ou un autre disque virtuel, vous devez tout d'abord supprimer le
disque virtuel installé. Toutefois, lorsque le premier disque virtuel est supprimé, vous ne
pouvez plus accéder aux journaux présents sur ce disque.

Remarque : Pour permettre la redondance, utilisez le disque virtuel dans une

configuration RAID. RAID 10 offre les meilleures performances d'écriture
d'applications dotées de caractéristiques de journalisation avancées. Pour obtenir de
meilleures performances encore, optimisez les lecteurs pour l'écriture séquentielle d'un
petit nombre de fichiers volumineux.
Paramétrage des partitions de stockage

Panorama > Configuration > Paramétrage de la partition de stockage
Pour configurer un magasin de données NFS externe :

Cliquez sur le lien Paramétrage de la partition de stockage sur la page Configuration de
Panorama, puis précisez les paramètres suivants.
Remarque : Vous devez redémarrer le serveur Panorama après la configuration

des paramètres de partition de stockage.
Tableau 144. Paramètres de partition de stockage

Champ Description
Gère l'espace de stockage des fichiers journaux et des données statistiques
Interne
sur le périphérique Panorama.
Précise un point de montage du serveur NFS externe pour le stockage.
NFS V3 Configurez les paramètres suivants :
• Serveur : précisez le nom de domaine complet (FQDN) ou l'adresse IP
du serveur NFS.
• Répertoire des journaux : précisez le chemin d'accès complet du
répertoire dans lequel les journaux seront stockés.
• Protocole : précisez le protocole de communication avec le serveur NFS
(UDP ou TCP).
• Port : précisez le port de communication avec le serveur NFS.
• Read Size : précisez la taille (octets) maximale des opérations de lecture
NFS (plage de 256 à 32 768).
• Ecrire la taille : précisez la taille (octets) maximale des opérations
d'écriture NFS (plage de 256 à 32 768).
• Copier lors de la configuration : cochez cette case pour monter la
partition NFS et pour copier les journaux existants dans le répertoire de
destination sur le serveur au démarrage du périphérique Panorama.
• Partition de journalisation test : sélectionnez cette option pour tester le
montage de la partition NFS et afficher un message de réussite ou
d'échec.

Paramétrage de Panorama sur un appareil série M
Paramétrage de Panorama sur un appareil série M

La solution Panorama basée sur du matériel utilise le périphérique M-100. Reportez-vous au
Guide de référence du matériel M-100 pour plus d'informations sur le montage en rack de
l'appareil et sa mise en marche.
Exécutez les tâches suivantes avant de procéder au paramétrage initial.
• Enregistrez votre périphérique M-100 à l'adresse http://support.paloaltonetworks.com
pour obtenir les dernières mises à jour logicielles et pour activer le support.
• Obtenez une adresse IP pour Panorama auprès de votre administrateur système.
• Définissez l'adresse IP de votre ordinateur sur 192.168.1.2 et le masque de sous-réseau sur

255.255.255.0.
Exécution du paramétrage initial

Le paramétrage initial vous permet d'utiliser l'adresse IP par défaut afin d'accéder à la console
de gestion de Panorama, puis d'attribuer une adresse IP sur l'interface de gestion afin de
pouvoir gérer le périphérique via le réseau.
Pour exécuter le paramétrage initial :
1. Connectez votre ordinateur au port de gestion (MGT) à l'aide d'un câble Ethernet RJ-45
(fourni).
2. Mettez votre ordinateur sous tension.
3. Connectez-vous à Panorama.
a. Démarrez un navigateur Internet sur votre ordinateur et saisissez https://192.168.1.1.
b. Saisissez admin dans les champs Nom et Mot de passe.
c. Cliquez sur Connexion.
4. Cliquez sur Panorama > Configuration. Cliquez sur l'icône en forme de petit engrenage
(Modifier) de la table Paramètres de l'interface de gestion.
5. Saisissez la nouvelle adresse IP ainsi que les informations d'accès au réseau associées à
l'aide de l'interface de gestion (MGT) de votre réseau de gestion d'entreprise. Cliquez sur
OK.
6. Validez vos modifications sur le périphérique. Cliquez sur Valider, sélectionnez

Panorama comme Type de validation, puis cliquez sur OK.
7. Déconnectez votre ordinateur du périphérique M-100.
8. Connectez le port MGT en façade du M-100 au réseau de gestion d'entreprise. Votre

périphérique est désormais paramétré pour l'accès via votre réseau.
Etapes suivantes :
• Pour vous connecter et vérifier l'accès à la console de gestion de Panorama. Reportez-
vous à « Connexion à Panorama » à la page 411.
• Pour modifier les informations d'identification de connexion par défaut, reportez-vous à

« Modification du mot de passe par défaut » à la page 411.

Connexion à Panorama
Connexion à Panorama
Pour vous connecter à l'interface Web de Panorama :
1. Démarrez un navigateur Web et saisissez https://<adresse IP de Panorama>.
Le navigateur ouvre automatiquement la page de connexion Palo Alto Networks.
2. Saisissez admin dans les champs Nom et Mot de passe.
3. Cliquez sur Connexion.
Modification du mot de passe par défaut

Panorama est configuré avec un mot de passe par défaut. Pour une meilleure sécurité, nous
vous conseillons de renforcer le mot de passe à la première connexion.
1. Choisissez Panorama > Administrateurs > admin.
2. Saisissez admin dans le champ Ancien mot de passe.
3. Saisissez un nouveau mot de passe (sensible à la casse, 15 caractères maximum) dans le

champ Nouveau mot de passe, puis saisissez-le de nouveau dans le champ Confirmer le
nouveau mot de passe.
4. Cliquez sur OK.
5. Cliquez sur Valider, puis sélectionnez Panorama comme Type.
6. Cliquez sur OK.
Configuration de la haute disponibilité (HD)

Panorama > Haute disponibilité
Remarque : La haute disponibilité, HD, est prise en charge uniquement pour les
périphériques exécutés sous la version 4.0 ou ultérieure. Elle n'est pas
rétrocompatible avec la version 3.1 ou antérieure.
La haute disponibilité (HD) permet la redondance en cas d'échec d'un périphérique. Pour
garantir le bon fonctionnement de HD, vous pouvez déployer une paire d'appareils Panorama
basés sur des matériels ou une paire d'appareils virtuels Panorama dans une configuration
d'homologues HD qui permet d'obtenir des connexions synchronisées avec les pare-feux
gérés. Parmi les homologues de la configuration HD, un périphérique doit être désigné
comme étant actif et l'autre passif. Les homologues maintiennent une pulsation, ou une
requête ping ICMP régulière, pour vérifier le statut opérationnel. Si le périphérique Panorama
actif n'est plus disponible, le serveur passif est temporairement activé. Lorsque l'option de
préemption est activée (par défaut) et si le périphérique actif est de nouveau disponible, le
périphérique passif perd le contrôle et revient à l'état passif.

Remarque : Pour configurer une paire HD d'appareils virtuels Panorama, vous

devez disposer de deux licences Panorama avec un numéro de série unique pour
chaque instance virtuelle.
Lors de la configuration de HD pour des appareils virtuels Panorama, vous devez également
préciser un niveau de priorité, principal ou secondaire, pour chaque homologue de la paire.
Cette configuration principale ou secondaire détermine l'homologue destinataire principal
des journaux envoyés par les pare-feux gérés. Vous pouvez configurer Panorama pour qu'il
utilise le même emplacement de stockage externe des journaux pour les périphériques
principal et secondaire désignés (option Network File System ou NFS) ou configurer une
journalisation en interne. Si vous utilisez l'option NFS, seul le destinataire principal reçoit les
journaux envoyés par les pare-feux gérés. Toutefois, si la journalisation locale est activée, les
journaux sont envoyés par défaut aux destinataires principal et secondaire.
Pour activer HD sur Panorama, configurez les paramètres suivants.
Tableau 145. Paramètres HD de Panorama

Champ Description
Configuration
Activer HD Cochez cette case pour activer la haute disponibilité.
Adresse IP des HD Saisissez l'adresse IP de l'interface HA1 précisée dans la configuration
homologues Liaison de contrôle du pare-feu de l'homologue.
Activer le cryptage Activez le cryptage après l'exportation de la clé HD de l'homologue HD et
son importation sur ce périphérique. La clé HD de ce périphérique doit
également être exportée de ce périphérique et importée sur l'homologue HD.
Configurez ce paramètre pour l'interface HA1 principale.
L'importation/exportation de la clé est exécutée sur la page Certificats.
Reportez-vous à « Importation, exportation et génération de certificats de
Remarque : La connectivité Hd utilise le port TCP 28 avec le cryptage activé et les

ports 28769 et 49160 lorsque le cryptage est désactivé.
Temps d'attente pour Saisissez la durée (en millisecondes) d'attente du système avant d'intervenir
la surveillance (ms) suite à un échec de la liaison de contrôle (1 000 à 60 000 ms, 3 000 ms par
défaut).

Tableau 145. Paramètres HD de Panorama (suite)

Champ Description
Paramètres de
sélection
Priorité Choisissez Principal ou Secondaire.
Préemptif Cochez cette case pour permettre au périphérique Panorama principal de
reprendre l'état actif après la récupération d'un échec. Si ce paramètre est
désactivé, le périphérique secondaire reste actif même si le périphérique
prioritaire récupère d'un échec.
Délai de maintien de Saisissez la durée d'attente d'un périphérique passif avant de prendre l'état
préemption (min) du périphérique actif (plage de 1 à 60 min, 1 par défaut).
Délai de maintien de Saisissez la durée d'attente du périphérique secondaire avant de basculer
promotion (ms) (plage de 0 à 60 000 ms, 2 000 par défaut).
Intervalle Hello (ms) Saisissez la durée en millisecondes entre chaque paquet Hello envoyé afin de
vérifier que l'autre périphérique est opérationnel (plage de 8 000 à 60 000 ms,
8 000 par défaut).
Intervalle de Précisez la fréquence à laquelle Panorama envoie des requêtes ping ICMP à
pulsation (ms) l'homologue HD (plage de 1 000 à 60 000 ms, 1 000 par défaut).
Temps d'attente actif Précisez l'intervalle d'attente de Panorama de suivi d'un échec de
après l'échec de la surveillance du chemin avant de passer de nouveau à l'état passif (0 ms par
surveillance (ms) défaut). Pendant cette période, le périphérique ne peut pas prendre l'état actif
en cas d'échec.
Temps d'attente actif Précisez l'intervalle pendant lequel le périphérique préemptif reste à l'état
principal passif avant de basculer vers l'état actif (7 000 ms par défaut).
supplémentaire (ms)

Tableau 145. Paramètres HD de Panorama (suite)

Champ Description
Surveillance des chemins
Activé Cochez cette case pour activer la surveillance des chemins. La surveillance
des chemins permet à Panorama de surveiller les adresses IP de destination
précisées en envoyant des messages ping ICMP afin de vérifier qu'elles
répondent.
Condition d'échec Sélectionnez cette option en cas d'échec lorsqu'un ou tous les groupes de
chemins surveillés ne répondent pas.
Groupe de chemins Définissez un ou plusieurs groupes de chemins afin de surveiller des
adresses de destination spécifiques. Pour ajouter un groupe de chemins,
précisez les informations suivantes, puis cliquez sur Ajouter :
• Nom : donnez un nom au groupe de chemins.
• Activé : cochez cette case pour activer le groupe de chemins.
• Condition d'échec : sélectionnez cette option en cas d'échec lorsqu'une ou
toutes les adresses de destination précisées ne répondent pas.
• Intervalle des pings : précisez une durée entre les messages d'écho ICMP
afin de vérifier que le chemin est opérationnel (plage de 1 000 à 60 000 ms,
5 000 par défaut).
• IP de destination : saisissez une ou plusieurs adresses de destination à
surveiller (les adresses doivent être séparées par des virgules).
• Intervalle des pings : précisez l'intervalle entre les requêtes ping envoyées
à l'adresse de destination (plage de 1 000 à 60 000 millisecondes,
5 000 millisecondes par défaut).
• Nombre de pings : précisez le nombre d'échecs de requêtes ping avant de
déclarer un échec (plage de 3 à 10 pings, 3 pings par défaut).
Pour supprimer un groupe de chemins, sélectionnez le groupe, puis cliquez
sur Supprimer.
Changement de la priorité de journalisation dans une paire HD

En cas de basculement entre des appareils virtuels Panorama d'une configuration HD avec
journalisation basée sur NFS, la fonctionnalité de journalisation est interrompue. Pour
réactiver la journalisation suite à un échec, vous devez promouvoir le périphérique Panorama
secondaire pour fonctionner en tant que périphérique principal afin qu'il puisse établir une
connexion avec la partition des journaux basée sur NFS.
Remarque : Pour les configurations utilisant la journalisation interne plutôt que
NFS, suivez les instructions de l'Etape 2 de la procédure de cette section pour
modifier la priorité du périphérique secondaire en principal.
Pour la procédure ci-dessous, supposons que le périphérique principal actif est exécuté sur le
serveur S1 et que le périphérique secondaire passif est exécuté sur le serveur S2. Un échec s'est
produit et le serveur S2 est devenu le périphérique secondaire actif.
Pour désigner le serveur S2 en tant que destinataire principal des journaux, procédez comme suit :
1. Mettez S1 hors tension.
2. Configurez S2 comme périphérique principal et validez la configuration :
a. Choisissez Panorama > Haute disponibilité.

b. Modifiez les paramètres de sélection et changez Priorité de Secondaire à Principal.

c. Validez les modifications en redémarrant le périphérique lorsque vous y êtes invité.
Un redémarrage est nécessaire car la configuration fait référence au stockage NFS.
3. Exécutez la commande CLI request high-availability convert-to-primary.
Si S1 est connecté en tant qu'homologue HD à S2 et que le stockage NFS est défini, la

commande convert-to-primary échouera et indiquera que l'homologue HD (S1) doit être
mis hors tension pour permettre la bonne exécution de l'opération. Si l'homologue n'est
pas connecté, le système monte le disque NFS de manière dynamique, transfère la
propriété de la partition à S2, puis démonte la partition.
4. Redémarrez S2.
Une fois démarré, S2 peut écrire dans la partition des journaux basée sur NFS.


Chapitre 13
Gestion centralisée des périphériques à
l'aide de Panorama
Ce chapitre décrit comment utiliser le système de gestion centralisée Panorama pour gérer
plusieurs pare-feux :
• « Accès à l'interface Web de Panorama » dans la section suivante
• « Utilisation de l'interface de Panorama » à la page 418
• « Ajout de périphériques » à la page 422
• « Rôles, profils et comptes Administrateur de Panorama » à la page 425
• « Précision des domaines d'accès Panorama des administrateurs » à la page 429
• « Utilisation d'objets » à la page 433
• « Utilisation de politiques » à la page 430
• « Modèles » à la page 438
• « Journalisation » à la page 442
• « Affichage des informations de déploiement du pare-feu » à la page 455
• « Sauvegarde des configurations du pare-feu » à la page 456
• « Planification de l'exportation de la configuration » à la page 456
• « Mise à niveau du logiciel Panorama » à la page 457
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 417
Accès à l'interface Web de Panorama
Accès à l'interface Web de Panorama

Pour accéder à l'interface de Panorama pour gérer les pare-feux de manière centralisée,
connectez-vous à l'interface Web du serveur Panorama :
1. Démarrez votre navigateur Web et saisissez https://adresse IP de Panorama.
Le navigateur ouvre automatiquement la page de connexion Palo Alto Networks.
2. Saisissez le nom et le mot de passe de connexion, puis cliquez sur Connexion.
Utilisation de l'interface de Panorama

Panorama vous permet d'afficher des informations sur plusieurs périphériques de votre
réseau et de gérer des périphériques à partir d'une interface Web centralisée.
Pour afficher des informations relatives aux pare-feux Palo Alto Networks du réseau, les
périphériques doivent être connectés au serveur Panorama.
Procédez comme suit pour permettre la connexion des périphériques :
1. Ajoutez l'adresse IP du serveur Panorama à chaque périphérique. Reportez-vous à
« Définition des paramètres de gestion » à la page 32.
2. Utilisez l'interface Panorama pour ajouter les périphériques. Reportez-vous à « Rôles,

profils et comptes Administrateur de Panorama » à la page 425.
Certains onglets de configuration de Panorama n'apparaissent pas tant que les composants
correspondants ne sont pas configurés. Par exemple, les onglets Politiques et Objets
n'apparaissent qu'après l'ajout de groupes de périphériques Panorama > Groupes de
périphériques, et les onglets Périphérique et Réseau n'apparaissent qu'après l'ajout de
modèles via Panorama > Modèles.
Les onglets Panorama sont décrits dans le tableau ci-dessous.
Tableau 146. Récapitulatif des onglets Panorama

Page Description
Tableau de bord Affiche des informations générales sur les périphériques gérés, la version
logicielle, le statut opérationnel de chaque interface, l'utilisation des ressources
par exemple, et les 10 dernières entrées maximum dans les journaux des menaces,
de configuration et système. Tous les diagrammes disponibles s'affichent par
défaut, mais chaque utilisateur peut supprimer et ajouter des diagrammes si
nécessaire.
ACC Affiche les niveaux de risques et de menaces généraux des périphériques gérés.
Reportez-vous à « Utilisation du centre de commande de l'application » à la
page 275 et à « Identification des applications inconnues et prise de mesures » à la
page 300.
Surveillance Vous permet de consulter les journaux et rapports. Reportez-vous à « Affichage
des rapports » à la page 297.
Politiques Vous permet de définir des politiques à partager entre des pare-feux gérés.
Reportez-vous à « Journalisation et génération de rapports » à la page 442 pour
plus d'informations sur l'utilisation des pages de cet onglet.
418 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Tableau 146. Récapitulatif des onglets Panorama (suite)

Page Description
Objets Vous permet de définir des objets de politique qui sont partagés entre les pare-
feux gérés. Reportez-vous à « Journalisation et génération de rapports » à la
page 442.
Réseau Vous permet d'appliquer des options de configuration du réseau entre des pare-
feux gérés à l'aide de modèles. Reportez-vous à « Modèles » à la page 438.
Périphérique Vous permet d'appliquer des options de configuration de périphérique entre des
pare-feux gérés à l'aide de modèles. Reportez-vous à « Modèles » à la page 438.
Panorama Vous permet de configurer Panorama et de gérer des pare-feux déployés.
Reportez-vous à « Onglet Panorama » dans la section suivante.
Onglet Panorama
L'onglet Panorama est similaire à l'onglet Périphériques du pare-feu, sauf que les paramètres
s'appliquent au périphérique Panorama et non aux pare-feux gérés. Le tableau suivant décrit
les pages de cet onglet. Pour accéder à une page, cliquez sur le lien du nom de page dans le
menu latéral.
Tableau 147. Récapitulatif des pages Panorama

Page Description
Configuration Vous permet de préciser le nom d'hôte Panorama, les paramètres réseau de
l'interface de gestion et les adresses des serveurs du réseau (DNS et NTP).
Reportez-vous à « Définition des paramètres de gestion » à la page 32.
Modèles Vous permet de créer des modèles pouvant être utilisés pour gérer des
options de configuration selon les onglets Périphériques et Réseau, vous
permettant ainsi de déployer des modèles sur plusieurs périphériques
disposant de configurations similaires. Reportez-vous à « Modèles » à la
page 438.
Audit de Vous permet de consulter et de comparer des fichiers de configuration.
configuration Reportez-vous à « Définition des paramètres des opérations » à la page 39.
Périphériques gérés Vous permet d'ajouter des périphériques à gérer par Panorama, d'appliquer
une configuration partagée à des périphériques gérés et d'exécuter des audits
de configuration complets sur des périphériques ou des groupes de
périphériques. Reportez-vous à « Ajout de périphériques » à la page 422.
Groupes de Vous permet de définir des ensembles de périphériques traités comme une
périphériques seule et même unité lors de la création d'objets et de l'application de politiques
dans Panorama. Reportez-vous à « Définition des groupes de périphériques »
à la page 423.
Tableau 147. Récapitulatif des pages Panorama (suite)

Page Description
Collecteurs gérés Vous permet de configurer et de gérer les périphériques du collecteur de
journaux qui seront utilisés dans votre environnement pour distribuer les
informations de journalisation des pare-feux qui sont gérés par Panorama.
Vous pouvez également utiliser cette page pour mettre à niveau le logiciel de
vos collecteurs de journaux. Téléchargez tout d'abord la dernier logiciel
Panorama puis appliquez la version mise à jour à vos collecteurs de journaux
en cliquant sur Installer dans la page Collecteurs gérés.
Remarque : Les collecteurs de journaux sont constitués du logiciel du collecteur de

journaux (inclut dans le module logiciel Panorama) et de la plate-forme matérielle M-
100. La M-100 peut être configurée en tant que gestionnaire Panorama, collecteur de
journaux, ou les deux. La commande opérationnelle permettant de changer le mode
d'un M-100 est request system logger-mode [panorama | logger].
Pour connaître le mode actuel, exécutez la commande show system info |
match logger_mode.
Lorsqu'un M-100 est en mode collecteur de journaux, seule la CLI est disponible pour
la gestion.
Reportez-vous à « Gestion des collecteurs de journaux » à la page 447.

Groupes de Vous permet de regrouper des collecteurs de journaux afin de pouvoir
collecteurs appliquer les mêmes paramètres de configuration à tous les collecteurs du
groupe. Vous pouvez également utiliser le groupe de collecteurs pour
attribuer des pare-feux aux collecteurs de journaux.
Remarque : Vous pouvez ajouter jusqu'à 4 périphériques collecteurs de
journaux par groupe de collecteurs. Reportez-vous à « Définition des groupes
de collecteurs de journaux » à la page 450.
Rôles admin Vous permet de préciser les privilèges et responsabilités qui sont attribués aux
utilisateurs qui doivent accéder à Panorama. Reportez-vous à « Définition des
rôles Administrateur » à la page 62.
Profils de mot de Vous permet de définir des profils de mot de passe, qui peuvent ensuite être
passe appliqués aux administrateurs de Panorama. Vous pouvez configurer les options
de profil suivantes :
• Période de modification du mot de passe requise (jours)
• Avertissement avant la date d'expiration (jours)
• Nombre d'ouvertures de session Administrateur après expiration
• Période de grâce après expiration (jours)
Administrateurs Vous permet de définir les comptes des utilisateurs qui doivent accéder à
Panorama. Reportez-vous à « Création de comptes administratifs » à la page 64.
Remarque : Dans la page Administrateurs, une icône de verrouillage s'affiche dans la
colonne de droite si un compte est verrouillé. L'administrateur peut cliquer sur l'icône
pour déverrouiller le compte.
Haute disponibilité Vous permet de configurer une paire de périphériques Panorama pour la prise en
charge de la haute disponibilité (HD). Reportez-vous à « Configuration de la
haute disponibilité (HD) » à la page 411.
Gestion des Vous permet de configurer et de gérer des profils de certificat, des autorités de
certificats certification de confiance et des répondeurs OCSP. Reportez-vous à
« Importation, exportation et génération de certificats de sécurité » à la page 93.

Page Description
Paramètres des Vous permet de définir des récepteurs de pièges SNMP (Simple Network
journaux Management Protocol), serveurs syslog et adresses e-mail de distribution des
messages des journaux. Reportez-vous à « Configuration de la
journalisation » à la page 76.
Profils de serveur Vous permet de préciser les profils des serveurs qui fournissent des services à
Panorama.
Reportez-vous aux sections suivantes :
• « Configuration des paramètres de notification par courrier électronique » à
la page 90
• « Configuration des destinations de pièges SNMP » à la page 82
• « Configuration des paramètres du serveur RADIUS » à la page 70
• « Configuration des paramètres du serveur LDAP » à la page 71
• « Configuration des paramètres de Kerberos (authentification Active
Directory native) » à la page 72.
• « Configuration des paramètres de Netflow » à la page 92
Profil Vous permet de préciser un profil d'authentification pour l'accès à Panorama.
d'authentification Reportez-vous à « Profils d'authentification » à la page 67.
Séquence Vous permet de préciser un ensemble de profils d'authentification à utiliser
d'authentification pour l'accès à Panorama. Reportez-vous à « Séquence d'authentification » à la
page 73.
Domaine Permet de limiter l'accès des administrateurs aux groupes de périphériques,
modèles et aux contextes de périphérique peut les administrateurs peuvent
modifier en fonction des profils. Reportez-vous à « Rôles, profils et comptes
Administrateur de Panorama » à la page 425.
Exportation Vous pouvez de collecter des configurations en cours d'exécution des
programmée des périphériques gérés et de les transmettre chaque jour à un serveur FTP (File
configurations Transfer Protocol) ou à l'aide de SCP (Secure Copy) afin de transférer en toute
sécurité des données entre le serveur Panorama et un hôte distant. Reportez-
vous à « Planification de l'exportation de la configuration » à la page 456.
Logiciel Vous permet de consulter les versions du logiciel Panorama disponibles, puis
de télécharger et d'installer une version logicielle sélectionnée. Reportez-vous
à « Mise à niveau du logiciel Panorama » à la page 457.
Mises à jour Vous permet de consulter les dernières définitions d'applications et
dynamiques informations sur les dernières menaces de sécurité telles que des signatures
antivirus (licence de protection contre les menaces requise) et de mettre à jour
Panorama avec les nouvelles définitions. Reportez-vous à « Mise à jour des
définitions des menaces et des applications » à la page 59.
Support Vous permet d'accéder aux alertes produit et de sécurité de Palo Alto
Networks. Reportez-vous à « Affichage des informations de support » à la
page 126.
Ajout de périphériques

Page Description
Déploiement Vous permet de consulter les informations sur la licence actuelle sur les
périphériques gérés et d'installer un logiciel, des clients et du contenu
dynamique sur les périphériques. Reportez-vous à « Affichage des
informations de déploiement du pare-feu » à la page 455.
Clé principale et Vous permet de préciser une clé principale afin de crypter des clés privées sur
diagnostics le pare-feu. Les clés privées sont stockées sous forme cryptée par défaut,
même si une nouvelle clé principale n'est pas précisée. Reportez-vous à
« Cryptage de clés privées et de mots de passe sur le pare-feu » à la page 98.
Panorama > Périphériques gérés
La page Périphériques gérés vous permet de créer une liste de périphériques pour la gestion
centralisée.
Si les périphériques font partie d'une paire HD, vous devez ajouter les deux périphériques ou
systèmes virtuels des homologues (en mode de système multivirtuel) au même groupe de
périphériques, et Panorama doit ensuite appliquer la configuration aux deux périphériques
homologues HD simultanément. Si vous ciblez une règle sur des pare-feux spécifiques en
mode de configuration HD, veillez à inclure les deux pare-feux dans la sélection cible.
Remarque : Panorama peut gérer des périphériques PAN-OS exécutant la même

version principale ou des versions antérieures prises en charge mais pas des
périphériques exécutant une version ultérieure. Par exemple, Panorama 4.0 peut
gérer des périphériques PAN-OS exécutant la version 4.0 ou des versions antérieures
prises en charge mais ne peut pas gérer des périphériques PAN-OS exécutant la
version 4.1.
Remarque : Les périphériques gérés communiquent avec Panorama via SSL sur le
port TCP 3978.
Pour ajouter des périphériques :

1. Dans l'onglet Panorama, cliquez sur Périphériques gérés pour ouvrir la page
Périphériques gérés.
2. Cliquez sur Ajouter pour ouvrir une fenêtre d'édition.
3. Saisissez le numéro de série du périphérique à ajouter, puis cliquez sur Ajouter.
4. Ajoutez d'autres périphériques si nécessaire.
5. Cliquez sur OK. La fenêtre se ferme et la page Périphériques gérés est actualisée pour
afficher les périphériques ajoutés.
6. Pour supprimer un périphérique :
a. Cochez la case en regard du périphérique dans le tableau Périphériques gérés.

b. Cliquez sur Supprimer.
c. Cliquez sur OK.
7. Cochez la case Regrouper les homologues HD pour regrouper les périphériques en
mode haute disponibilité (HD).
Cette option vous permet d'identifier facilement les périphériques en mode HD. Lors de
l'application de politiques partagées, vous pouvez l'appliquer à la paire regroupée plutôt
qu'à chaque périphérique. De plus, lors de l'ajout d'un nouveau périphérique à la page
Périphériques gérés, et s'ils se trouvent en mode HD, les deux périphériques s'affichent
ensemble afin que vous puissiez les ajouter tous les deux.
Lors de l'affichage d'une paire HD et si la configuration ne correspond pas, un indicateur

d'avertissement s'affiche. Un indicateur s'affiche également si les périphériques HD se
trouvent dans des groupes de périphériques différents.
Cette option est également indépendante pour chaque section et l'activation ou la

désactivation dans une zone n'active/ne désactive pas toutes les zones. L'option
Regrouper les homologues HD est présente dans les zones Panorama suivantes :
– Périphériques gérés
– Modèles
– Groupes de périphériques
– Onglet Politiques (onglet Cible de tous les types de politiques)
– Boîte de dialogue de validation
Définition des groupes de périphériques

Panorama > Groupes de périphériques
Les groupes de périphériques permettent de gérer des politiques partagées et des objets. Vous
pouvez définir des groupes de périphériques constitués de pare-feux et/ou de systèmes
virtuels que vous souhaitez gérer en tant que groupe tels que les pare-feux qui gèrent un
groupe de succursales ou de services dans une entreprise. Chaque groupe est considéré
comme une unité lors de l'application de politiques dans Panorama.
Vous pouvez ajouter chaque périphérique à un groupe de périphériques maximum. Les

systèmes virtuels étant considérés comme des entités distinctes dans Panorama, vous pouvez
attribuer des systèmes virtuels d'un périphérique à différents groupes de périphériques.
La page Groupes de périphériques répertorie les groupes de périphériques ainsi que les
informations indiquées dans le tableau suivant.
Tableau 148. Paramètres du groupe de périphériques

Champ Description
Nom du groupe de Donnez un nom pour identifier le groupe (31 caractères maximum).
périphériques Le nom est sensible à la casse et doit être unique. N'utilisez que des
lettres, chiffres, espaces, traits d'union et traits de soulignement.
Description Saisissez une description du groupe.
Périphériques Cochez la case en regard du périphérique dans le tableau
Périphériques gérés, cliquez sur Déplacer, choisissez le nouveau
groupe, puis cliquez sur OK.
Périphérique principal Sélectionnez un périphérique à utiliser comme périphérique
principal. Le périphérique principal est le pare-feu à partir duquel
Panorama collecte des informations d'ID utilisateur à utiliser dans
les politiques. Les informations de correspondance d'utilisateur et
de groupe collectées sont spécifiques à un groupe de périphériques
et ne proviennent que d'un seul périphérique (principal) du groupe.
Regrouper les homologues HD Cochez cette case pour regrouper les périphériques en mode haute
disponibilité (HD).
Cette option vous permet d'identifier facilement les périphériques
en mode HD. Lors de l'application de politiques partagées, vous
pouvez l'appliquer à la paire regroupée plutôt qu'à chaque
périphérique. De plus, lors de l'ajout d'un nouveau périphérique à
la page Périphériques gérés, et s'ils se trouvent en mode HD, les
deux périphériques s'affichent ensemble afin que vous puissiez les
ajouter tous les deux.
Lors de l'affichage d'une paire HD et si la configuration ne
correspond pas, un indicateur d'avertissement s'affiche. Un
indicateur s'affiche également si les périphériques HD se trouvent
dans des groupes de périphériques différents.
Cette option est également indépendante pour chaque section et
l'activation ou la désactivation dans une zone n'active/ne désactive
pas toutes les zones. L'option Regrouper les homologues HD est
présente dans les zones Panorama suivantes :
• Périphériques gérés
• Modèles
• Groupes de périphériques
• Onglet Politiques (onglet Cible de tous les types de politiques)
• Boîte de dialogue de validation
Rôles, profils et comptes Administrateur de Panorama

Panorama prend en charge les options suivantes pour authentifier des utilisateurs
administrateurs qui tentent de se connecter au périphérique :
• Base de données locale : les informations de connexion et de mot de passe utilisateur sont
saisies directement dans la base de données Panorama.
• RADIUS : les serveurs Remote Authentication Dial In User Service (RADIUS) existants
sont utilisés pour authentifier les utilisateurs.
• LDAP : les serveurs Lightweight Directory Access Protocol (LDAP) existants sont utilisés
pour authentifier les utilisateurs.
• Kerberos : les serveurs Kerberos existants sont utilisés pour authentifier les utilisateurs.
• Certificat du client : les certificats du client existants sont utilisés pour authentifier les
utilisateurs.
Lorsque vous créez un compte administratif, vous précisez le certificat du client (pas de profil
d'authentification) ou un profil d'authentification (RADIUS, LDAP, Kerberos ou base de
données locale). Ce paramètre détermine comment le mot de passe de l'administrateur est
vérifié. Si vous ne précisez pas de profil, le compte utilisera l'authentification locale.
Remarque : Certains administrateurs de Panorama peuvent ne pas avoir accès au menu

Panorama > Administrateurs. Dans ce cas, l'administrateur peut cliquer sur son nom
d'utilisateur à gauche du lien de verrouillage situé au bas de l'interface Web pour modifier
son mot de passe.
Les rôles administrateur déterminent les fonctions que l'administrateur est autorisé à exécuter
après sa connexion. Vous pouvez attribuer des rôles à un compte d'administrateur
directement ou définir des profils du rôle qui précisent des privilèges détaillés, puis les
attribuer aux comptes d'administrateur.
Reportez-vous aux sections suivantes pour plus d'informations :
• « Paramétrage de profils d'authentification » à la page 67.
• « Définition des rôles Administrateur de Panorama » à la page 426.
• « Profil du certificat » à la page 96.
• « Précision des domaines d'accès Panorama des administrateurs » à la page 429.
• « Profil du certificat » à la page 96.
Définition des rôles Administrateur de Panorama

Panorama > Rôles admin
Utilisez la page Rôles admin pour définir des profils de rôle qui déterminent l'accès et les
responsabilités disponibles pour les utilisateurs administrateurs. Pour obtenir des instructions
sur l'ajout de comptes d'administrateur, reportez-vous à « Création de comptes Panorama
administratifs » à la page 427.
Remarque : Le rôle administrateur peut être mappé via des attributs VSA
(Vendor-Specific Attributes) RADIUS à l'aide de l'attribut suivant : « PaloAlto-
Panorama-Admin-Role = <AdminRoleName>, ».
Tableau 149. Paramètres du rôle Administrateur de Panorama

Champ Description
Nom Donnez un nom pour identifier ce rôle administrateur (31 caractères
Description Saisissez une description du rôle (facultatif).
Permissions Sélectionnez l'étendue de la responsabilité administrative (Panorama ou
Groupe de périphériques et Modèle).
Webui Cliquez sur les icônes des zones précisées pour indiquer le type d'accès
autorisé pour l'interface Web :
• Accès en lecture/écriture à la page indiquée.
• Accès en lecture seule à la page indiquée.
• Pas d'accès à la page indiquée.
Api XML Sélectionnez le type d'accès de l'API XML
• Rapport : accès aux rapports du périphérique.
• Journal : accès aux journaux du périphérique.
• Configuration : autorisations pour récupérer ou modifier la
configuration du périphérique.
• Requêtes opérationnelles : autorisations pour exécuter des commandes
opérationnelles.
• Valider : autorisations pour valider la configuration.
• Agent d'ID utilisateur : accès à l'agent d'ID utilisateur.
• Exporter : autorisations pour exporter des fichiers du périphériques,
notamment la configuration, des pages de blocage ou de réponse, des
certificats, des clés et plus encore.
• Importer : autorisations pour importer des fichiers sur le périphérique,
notamment le logiciel ,le contenu, la licence, la configuration, les
certificats, les pages de blocage, les journaux personnalisés et plus
encore.
Ligne de commande Sélectionnez le type du rôle d'accès de la CLI :
• Aucun(e) : l'accès à la CLI du périphérique n'est pas autorisé.
• Super lecteur : accès en lecture seule au périphérique actuel.
• Admin Panorama : accès complet à un périphérique sélectionné, sauf
pour la définition de nouveaux comptes ou systèmes virtuels.
Création de comptes Panorama administratifs

Panorama > Administrateurs
Les comptes d'administrateur contrôlent l'accès à Panorama. Chaque administrateur peut

disposer d'un accès complet ou en lecture seule à Panorama et à tous les périphériques gérés,
ou peut se voir attribuer un accès administrateur Panorama, mais ne sera pas autorisé à créer
des comptes d'admin ou à modifier des rôles d'admin, ce qui permet d'accéder à la
configuration de Panorama mais pas des périphériques gérés. Le compte admin prédéfini
dispose d'un accès complet à Panorama et aux périphériques gérés.
Les options d'authentification suivantes sont prises en charge :
• Authentification par mot de passe : l'utilisateur saisit un nom d'utilisateur et un mot de
passe pour se connecter. Aucun certificat n'est requis.
• Authentification du certificat du client (Web) : si vous cochez cette case, un nom

d'utilisateur et un mot de passe ne sont pas requis ; le certificat suffit pour authentifier
l'accès au pare-feu.
• Authentification des clés publiques (SSH) : l'utilisateur peut générer une paire de clés
publique/privée sur la machine qui doit accéder au pare-feu, puis charger la clé publique
sur le pare-feu pour permettre un accès sécurisé sans que l'utilisateur ne saisisse un nom
d'utilisateur et un mot de passe.
Remarque : Pour garantir la sécurité de l'interface de gestion des périphériques, il

est recommandé que l'administrateur change son mot de passe régulièrement en
utilisant des lettres en minuscules, en majuscules et des chiffres. Vous pouvez
également activer le paramètre Complexité minimale des mots de passe dans
Tableau 150. Paramètres du compte d'administrateur

Champ Description
Nom Donnez un nom de connexion à l'utilisateur (15 caractères
N'utilisez que des lettres, chiffres, traits d'union et traits de
soulignement.
Profil d'authentification Sélectionnez un profil d'authentification pour l'authentification de
l'administrateur en fonction des paramètres du profil
d'authentification spécifié. Ce paramètre peut être utilisé pour
l'authentification RADIUS, LDAP ou Kerberos.
Pour obtenir des instructions sur la configuration des profils
d'authentification, reportez-vous à « Paramétrage de profils
Utiliser uniquement Cochez cette case pour utiliser l'authentification du certificat du
l'authentification du certificat client pour l'accès au Web. Si vous cochez cette case, un nom
client (Web) d'utilisateur et un mot de passe ne sont pas requis ; le certificat suffit
pour authentifier l'accès à Panorama.
Tableau 150. Paramètres du compte d'administrateur (suite)

Champ Description
Mot de passe/Confirmer le Saisissez et confirmez un mot de passe sensible à la casse pour
mot de passe l'utilisateur (15 caractères maximum). Vous pouvez également
activer le paramètre Complexité minimale des mots de passe dans
Certains administrateurs de Panorama peuvent ne pas avoir accès
au menu Panorama > Administrateurs. Dans ce cas,
l'administrateur peut cliquer sur son nom d'utilisateur à gauche du
lien de verrouillage situé au bas de l'interface Web pour modifier
son mot de passe.
Utiliser l'authentification à Cochez cette case pour utiliser l'authentification de clé publique
clef publique (SSH) SSH. Cliquez sur Importer la clé et recherchez le fichier de clé
publique à sélectionner. La clé chargée s'affiche dans la zone de
texte en lecture seule.
Les formats de fichier de clé pris en charge sont IETF SECSH et
OpenSSH. Les algorithmes de clé pris en charge sont DSA
(1 024 bits) et RSA (768 à 4 096 bits).
Remarque : En cas d'échec de l'authentification de clé publique, une
invite de connexion et de mot de passe est présentée à l'utilisateur.
Rôle Sélectionnez une option d'attribution d'un rôle à cet utilisateur. Le
rôle détermine les éléments que l'utilisateur peut consulter et
modifier.
• Dynamique, vous pouvez sélectionner l'un des rôles prédéfinis
suivants dans la liste déroulante :
– Super utilisateur : accès complet au périphérique actuel.
– Super lecteur (Lecture seule) : accès en lecture seule au
périphérique actuel.
– Administrateur de Panorama : accès complet aux instances de
Panorama.
• A base de rôles : accès basés sur les rôles attribués, tels que définis
dans « Définition des rôles Administrateur de Panorama » à la
page 426.
Si vous choisissez A base de rôles, sélectionnez un profil de rôle
prédéfini dans la liste déroulante. Pour obtenir des instructions sur
la définition de profils de rôle, reportez-vous à « Définition des
rôles Administrateur de Panorama » à la page 426
Pour l'accès basé sur des rôles, lorsque vous sélectionnez un profil
attribué au rôle administrateur Groupe de périphériques et
Modèle, l'onglet Contrôle d'accès s'affiche. Cet onglet Contrôle
d'accès vous permet de définir l'accès aux Groupes de
périphériques, Modèles et Contexte du périphérique. Les
définitions de ces champs sont identiques aux informations fournies
dans « Précision des domaines d'accès Panorama des
administrateurs » à la page 429.
Remarque : Dans la page Administrateurs de Panorama, une icône de

verrouillage s'affiche dans la colonne de droite si un compte est verrouillé.
L'administrateur peut cliquer sur l'icône pour déverrouiller le compte.
Précision des domaines d'accès Panorama des administrateurs
Précision des domaines d'accès Panorama des

administrateurs
Panorama > Domaine
Utilisez la page Domaine pour préciser les domaines des administrateurs basés sur des rôles
qui ont accès aux groupes de périphériques et aux modèles. L'ajout d'un groupe de
périphériques à un domaine vous permet de gérer des politiques et des objets pour ce groupe
de périphériques. L'ajout d'un pare-feu à un domaine vous permet de basculer vers le contenu
de périphérique de ce pare-feu.
Le domaine d'accès est lié aux attributs spécifiques au fournisseur (VSA) RADIUS et n'est pris
en charge que si un serveur RADIUS est utilisé pour l'authentification de l'administrateur. Si
RADIUS n'est pas utilisé, les paramètres du domaine d'accès de cette page sont ignorés.
Remarque : Le domaine peut être mappé via des attributs VSA RADIUS à l'aide
de l'attribut suivant : « PaloAlto-Panorama-Admin-Access-Domain =
<AccessDomainName>, ».
Tableau 151. Paramètres du domaine d'accès

Champ Description
Nom Donnez un nom au domaine d'accès (31 caractères maximum). Le
nom est sensible à la casse et doit être unique. N'utilisez que des
lettres, chiffres, traits d'union et traits de soulignement.
Groupes de périphériques Cliquez sur Ajouter pour préciser des groupes de périphériques
prédéfinis à inclure au domaine.
Contexte du périphérique Sélectionnez le ou les périphériques sur lesquels l'administrateur
peut accéder au contexte afin d'autoriser les modifications locales
de la configuration.
Modèles Cliquez sur Ajouter pour préciser des modèles prédéfinis à inclure
au domaine.
Groupes de périphériques
Les groupes de périphériques Panorama vous permettent de regrouper des pare-feux, puis de
définir des politiques et des objets pouvant être partagés entre ces groupes de périphériques.
Les sections suivantes décrivent comment définir des politiques et des objets pour des
groupes de périphériques :
• « Utilisation de politiques » dans la section suivante
• « Utilisation d'objets » à la page 433
Utilisation de politiques
Politiques
Panorama vous permet de définir des politiques qui sont partagées entre les pare-feux gérés.
Vous pouvez appliquer des règles avant et après qui s'appliqueront à un groupe de
périphériques et vous pouvez ajouter d'autres règles avant et après globales qui s'appliquent à
tous les groupes de périphériques. Vous créez ainsi une approche en couche d'application de
politiques aux périphériques gérés. La première couche correspond aux règles du niveau
périphérique qui sont locales au périphérique, appliquer ensuite des règles avant et après aux
groupes de périphériques, puis ajouter une autre couche de règles avant et après globales qui
s'appliquent à tous les groupes de périphériques de l'instance de Panorama comme illustré
dans la Figure 46.
Figure 46. Classement de politique partagée
Règles avant partagées globales
Règles avant du groupe de périphérique
Règles spécifiques au pare-feu
Règles après du groupe de périphérique
Règles après partagées globales
Des informations générales sur l'utilisation des politiques sont disponibles dans « Politiques »
à la page 197. Cette section décrit les modifications et les meilleures pratiques qui s'appliquent
aux politiques dans Panorama.
Les meilleures pratiques suivantes s'appliquent aux politiques dans Panorama :
• Règles avant : les règles avant sont évaluées avant les règles spécifiques au périphérique
et constituent généralement la majorité de la base de règle partagée d'un déploiement.
N'ajoutez pas de règle avant si des exceptions au niveau périphérique sont nécessaires.
Si vous ne souhaitez pas que les administrateurs puissent autoriser des applications à des
sites spécifiques, vous pouvez inclure une règle de refus pour toutes les zones,
utilisateurs et applications comme dernière règle de l'ensemble de règles avant.
• Règles spécifiques au pare-feu : définissez des règles pour un pare-feu afin de créer des
politiques spécifiques à un site.
• Règles après : utilisez ces règles pour préciser ce qu'il se passe pour le trafic non couvert
par les règles avant et les règles spécifiques au pare-feu. Par exemple, si une règle avant
précise certaines applications autorisées et que la règle après les refuse toutes, les
applications non couvertes par la règle avant sont alors arrêtées. Vous pouvez ensuite
ajouter des règles pour autoriser d'autres applications en fonction de la requête de
l'utilisateur. Vous pouvez également créer des règles d'autorisation au niveau
périphérique telles que des exceptions pour des applications spécifiques sont autorisées à
un emplacement unique.
• Règles avant globales : les règles avant globales sont évaluées avant des règles
spécifiques au pare-feu ou du groupe de périphériques, et sont appliquées à tous les
périphériques de groupes de périphériques gérés.
• Règles après globales : utilisez ces règles pour préciser ce qu'il se passe pour le trafic non
couvert par les règles avant du groupe de périphériques et les règles spécifiques au pare-
feu. Ces règles sont évaluées en dernier et uniquement après les règles avant du groupe
de périphériques.
Les règles partagées globales peuvent être créées et modifiées par l'administrateur ou le
super utilisateur de Panorama uniquement. Ces règles peuvent donc être utilisées pour
appliquer des politiques avant et après des règles appliquées par des administrateurs de
groupe de périphériques.
Les points suivants s'appliquent lors de la définition de politiques dans Panorama :

Panorama applique des politiques à des groupes de périphériques spécifiés et des
politiques partagées globales appliquent une autre couche de politiques aux groupes de
périphériques.
Lorsque vous créez une règle de groupe de périphériques à partir de l'instance de

Panorama, vous sélectionnez l'onglet Politiques, vous choisissez le groupe de
périphériques pour lequel vous souhaitez créer des règles, puis vous définissez vos
règles. Pour créer des règles globales qui s'appliquent à tous les périphériques gérés des
groupes de périphériques, vous choisissez l'option Partagé dans la liste déroulante
Groupe de périphériques comme illustré dans la Figure 47.
Figure 47. Politique partagée de Panorama
Vous pouvez également préciser que des objets partagés sont prioritaires sur les objets du
groupe de périphériques en cochant la case Priorité des objets partagés dans Panorama >
Configuration > Gestion > Paramètres de Panorama. Cette option est un paramètre à
l'échelle du système et est désactivée par défaut. Lorsque cette option est désactivée, les
groupes de périphériques remplacent les objets correspondants de même nom. Si l'option
est activée (cochée), les objets du groupe de périphériques ne peuvent pas remplacer les
objets correspondants de même nom à partir d'un emplacement partagé et tout objet du
groupe de périphériques portant le même nom d'un objet partagé est ignoré.
• Vous pouvez cibler une règle de politique sur des périphériques particuliers d'un groupe
de périphériques pour lequel la règle est définie. Pour cibler un périphérique après la
création d'une politique, cliquez sur une entrée dans la colonne Cible et sélectionnez les
périphériques dans la fenêtre contextuelle. Pour appliquer la règle à tous les
périphériques d'un groupe de périphériques SAUF le périphérique ciblé, cochez la case
Installer sur tous les périphériques sauf sur ceux indiqués.
Figure 48. Ciblage de règles de politique sur des périphériques particuliers dans
Panorama
• Des zones ne sont pas créées dans Panorama, mais vous pouvez en sélectionner en
fonction des noms de zones collectés à l'aide d'un modèle correspondant aux mêmes
périphériques que ceux inclus dans un groupe de périphériques. Si une zone n'est pas
disponible dans les modèles, vous devez saisir manuellement un nom de zone lorsque
vous créez une règle. Pour les règles suivantes, vous pouvez saisir de nouvelles zones ou
choisir parmi les zones déjà saisies.
Remarque : La collecte d'objets à partir de modèles s'applique non seulement aux

zones mais également à tous les objets pouvant être référencés dans l'onglet
Politique/Objets qui se trouve dans les onglets Périphérique/Réseau. Ceci inclut les
éléments suivants : zones, interfaces, certificats, Profils réseau > Surveillance,
profils serveur (syslog, messagerie, pièges SNMP), systèmes virtuels de règles PBF
et les bases de données d'utilisateurs locales des utilisateurs/groupes.
• Chaque type de politique indiqué dans le menu latéral inclut des pages permettant de
définir des règles avant et après, ainsi que des règles partagées globales qui sont
prioritaires sur les règles avant et après du groupe de périphériques. Consultez page 430
pour plus d'informations sur les meilleures pratiques d'utilisation de politiques.
Utilisation d'objets
Panorama prend en charge le partage d'objets définis dans Panorama. Vous pouvez créer des
objets dans Panorama, puis appliquer les configurations d'objet aux pare-feux gérés. Les
objets peuvent alors être utilisés dans des politiques définies sur chaque pare-feu géré.
Remarque : Tous les objets personnalisés doivent porter un nom unique, et les noms
prédéfinis tels que tout ou défaut doivent être évités. Plus particulièrement, l'utilisation
de noms d'objets identiques dans différents groupes de périphériques peut porter à
confusion sur les périphériques et dans Panorama.
Tous les objets de l'onglet Objets et certains objets de l'onglet Périphérique peuvent être gérés
de manière centralisée. Les objets de l'onglet Périphérique sont gérés sous l'onglet Panorama
et inclut les éléments suivants : certificats, pages de réponse, profils serveur (piège SNMP,
syslog, messagerie, RADIUS, LDAP et Kerberos), profils et séquences d'authentification et
profils du certificat. Ces objets incluent un champ Emplacement qui vous permet de
sélectionner où l'objet doit se trouver dans le déploiement (device-group-test par exemple). Le
tableau suivant explique les options d'attribution et de partage d'objet disponibles dans le
champ Emplacement.
Tableau 152. Options d'attribution et de partage d'objet

Champ Description
Panorama Panorama prend en charge la conservation locale des objets et leur non
application sur des périphériques gérés. Pour cela, choisissez Panorama
dans la liste déroulante Emplacement lors de la définition de l'objet.
Cette option est disponible dans l'onglet Panorama uniquement et pour
les éléments suivants uniquement :
• profils serveur, notamment piège SNMP, syslog, messagerie, RADIUS
(Remote Authentication Dial In User Service), LDAP (Lightweight
Directory Access Protocol) et Kerberos
• profils et séquences d'authentification et profils du certificat
Groupes de Les groupes de périphériques sont utilisés pour rendre des objets et des
périphériques politiques définis dans Panorama disponibles dans des ensembles de
périphériques spécifiés. Pour plus d'informations sur la création de
groupes de périphériques, reportez-vous à « Définition des groupes de
périphériques » à la page 423.
• Dans l'onglet Politiques ou Objets, choisissez le groupe de
périphériques dans la liste déroulante Groupes de périphériques lors
de la définition de l'objet.
Remarque : Si vous disposez d'objets du même nom lorsqu'un objet est partagé
est un autre est spécifique à un groupe de périphérique, l'objet spécifique au
groupe de périphériques est utilisé pour ce groupe.
• Dans l'onglet Panorama, choisissez un groupe de périphériques dans la

liste déroulante Emplacement lors de la définition de l'objet.
Tableau 152. Options d'attribution et de partage d'objet (suite)

Champ Description
Partagé La création d'un objet partagé permet d'utiliser l'objet dans n'importe
quel groupe de périphériques. Seuls les administrateurs de Panorama
peuvent créer des objets dans un emplacement partagé.
• Dans l'onglet Panorama, choisissez Partagé dans la liste déroulante
Emplacement lors de la définition de l'objet.
• Dans l'onglet Objets, cochez la case Partagé lors de la définition de
l'objet.
Utilisation de périphériques
Changer de contexte permet à un administrateur de passer de la gestion d'une politique
partagée dans Panorama à la gestion de paramètres spécifiques à un périphérique sur un
pare-feu particulier (politique spécifique à un périphérique, mise en réseau et configuration
du périphérique par exemple). Utilisez la liste déroulante Contexte située au-dessus du menu
latéral pour choisir un périphérique particulier ou la vue Panorama complète. Vous pouvez
sélectionner le nom d'un périphérique ajouté pour être géré via Panorama (reportez-vous à
« Rôles, profils et comptes Administrateur de Panorama » à la page 425). Lorsque vous
sélectionnez un périphérique, l'interface Web est actualisée pour afficher tous les onglets et
options du périphérique, vous permettant ainsi de gérer tous les aspects du périphérique à
partir de Panorama.
Remarque : Vous ne pouvez changer de contexte que pour les périphériques

connectés. Les périphériques déconnectés n'apparaissent pas dans la liste
déroulante.
Figure 49. Choix du contexte
Opération de validation dans Panorama

Pour valider les changements de configuration de Panorama, cliquez sur l'icône Valider pour
afficher la boîte de dialogue de validation. Cette boîte de dialogue vous permet de valider des
zones spécifiques de l'environnement de Panorama, consultez la Figure 50.
Figure 50. Boîte de dialogue de validation de Panorama
Les options suivantes sont disponibles dans la boîte de dialogue de validation :
Remarque : Lors de l'exécution d'opérations de validation dans Panorama, il est

recommandé de valider la configuration de Panorama en premier avant de valider
des mises à jour de configuration sur des périphériques gérés.
– Type de validation : choisissez le type de validation :
› Panorama : validez la configuration candidate actuelle pour Panorama.
› Modèle : validez les changements de modèle de Panorama vers les périphériques

sélectionnés. Lors de la validation de modèles, vous pouvez sélectionner un sous-
ensemble de périphériques si vous le souhaitez.
› Groupe de périphériques : validez des changements de configuration de

périphériques de Panorama vers le ou les périphériques/systèmes virtuels
sélectionnés.
› Groupes de collecteurs : validez uniquement les changements de Panorama vers

des groupes de collecteurs. Cette opération valide les modifications apportées dans
la page Panorama > Groupes de collecteurs et les applique au périphérique
collecteur de journaux.
– Inclure les modèles des réseaux et périphériques : cette option est disponible lors de
la validation d'un groupe de périphériques à partir de Panorama. Il s'agit d'une
opération combinée qui inclut les modifications apportées au modèle du périphérique
et du réseau. Le modèle qui s'applique au périphérique est le modèle auquel le
périphérique appartient, tel que défini dans Panorama > Modèles. Vous pouvez
également sélectionner Type de validation du modèle pour valider des modèles sur
des périphériques.
– Forcer les valeurs du modèle : lors d'une opération Type de validation du modèle,
vous pouvez sélectionner cette option pour supprimer des objets des périphériques ou
systèmes virtuels sélectionnés qui ont été remplacés par la configuration locale. Lors
d'une opération Type de validation Groupe de périphériques, vous devez également
cocher la case Inclure les modèles des réseaux et périphériques car le remplacement
n'est possible que pour les options de configuration du modèle. Les objets remplacés
héritent ainsi des paramètres du modèle. Reportez-vous à « Contrôle prioritaire sur les
paramètres du modèle » à la page 440.
– Fusionner avec la configuration du candidat : choisissez cette option pour que le

périphérique inclut sa configuration candidate locale lorsque la validation est appelée
depuis Panorama. Si cette option n'est pas cochée, la configuration candidate locale du
périphérique n'est pas incluse.
Il est important que cette option soit décochée lorsque des administrateurs locaux
apportent des modifications sur un périphérique et que vous ne souhaitez pas inclure
ces modifications lors de l'application d'une configuration à partir de Panorama.
– Prévisualiser les modifications : cliquez sur ce bouton pour afficher une fenêtre
d'audit de configuration qui indique les modifications proposées dans la configuration
candidate par rapport à la configuration actuelle. Vous pouvez choisir le nombre de
lignes de contexte à afficher ou d'afficher toutes les lignes en fonction des éléments
ajoutés, modifiés ou supprimés. Cette option n'est disponible qu'avec le type de
validation Groupe de périphériques, Modèle ou Panorama.
Vous pouvez également connaître l'état de validation des périphériques en accédant à
Panorama > Périphériques gérés et en consultant la colonne Etat de la dernière
validation.
La fonction Périphérique > Audit de configuration a la même finalité, reportez-vous à
« Comparaison des fichiers de configuration » à la page 52.
Une fois la validation terminée, un message de succès de la validation s'affiche. En cas

d'avertissement, un message de succès de la validation avec des avertissements s'affiche. Pour
consulter les avertissements, accédez à Panorama > Périphériques gérés, consultez la colonne
Etat de la dernière validation, puis cliquez sur le texte pour consulter les détails.
Rétrocompatibilité de Panorama
Lors de la mise à niveau de Panorama vers la version 5.0, et si vous gérez des périphériques
avec PAN-OS 4.0 ou une version antérieure, les profils de protection contre les vulnérabilités
et antispyware de style simple sont automatiquement convertis en règles de signification
équivalente sur ces périphériques. Les profils de style personnalisé sont convertis en
exceptions qui précisent des actions spécifiques à une signature et sans règles requises. Après
la migration, un ensemble limité de modifications peut être apporté dans les profils migrés
dans Panorama si une compatibilité avec des périphériques exécutant PAN-OS 4.0 ou une
version antérieure est requise.
En ce qui concerne les règles créées lors de la conversion à partir d'un profil de style simple,
l'action des règles migrées peut être modifiée et d'autres règles d'autorisation peuvent être
ajoutées à la liste d'exceptions. Si un profil de style personnalisé a été converti en un profil
basé sur des exceptions, la liste d'exceptions peut être librement modifiée mais aucune règle
ne peut être créée. Si l'administrateur tente de valider à l'aide d'un profil incompatible, la
validation échoue et l'erreur est indiquée dans la colonne Etat de la dernière validation de la
liste Périphériques gérés.
Pour gérer des périphériques exécutant des versions logicielles différentes, vous devez
sélectionner, dans la configuration Groupes de périphériques, un périphérique principal qui
exécute la version logicielle la plus antérieure de l'agent d'ID utilisateur pour maintenir la
rétrocompatibilité et pour pouvoir appliquer des règles basées sur l'utilisateur à des pare-feux
antérieurs.
Modèles
Modèles
Panorama > Modèles
La page Panorama Modèles permet de créer des modèles pouvant être utilisés pour gérer des options de
configuration selon les onglets Périphériques et Réseau, vous permettant ainsi de déployer des
configurations sur plusieurs périphériques qui requièrent des paramètres similaires. Vous pouvez
également déployer une configuration de base et, si nécessaire, remplacer des paramètres spécifiques sur
le périphérique. Par exemple, vous pouvez déployer une configuration de base sur un groupe global de
périphériques, mais configurer des paramètres de fuseau horaire spécifique directement sur les
périphériques selon leur emplacement.
Lors de la gestion de la configuration du périphérique avec Panorama, vous pouvez utiliser une
combinaison de paramètres de configuration Groupe de périphériques et de paramètres Modèles, mais
ces fonctions sont gérées séparément en raison des différences en termes d'éléments pouvant être
configurés. Le modèle vous permet d'appliquer des paramètres de périphérique et de réseau alors que
les groupes de périphériques sont utilisés pour gérer des politiques partagées et des objets. Pour plus
d'informations sur l'ajout et la configuration de modèles Panorama, reportez-vous à « Configuration des
modèles de Panorama » à la page 439.
Tableau 153 Paramètres du modèle (Panorama)

Champ Description
Donnez un nom au modèle (31 caractères maximum). N'utilisez que des
lettres, chiffres, espaces, traits d'union, points et traits de soulignement. Le
nom est sensible à la casse et doit être unique.
Nom
Ce nom s'affichera dans les onglets Périphérique et Réseau du menu
déroulant Modèle. Lors de la sélection d'un modèle dans l'un de ces onglets,
les paramètres modifiés s'appliquent uniquement au modèle sélectionné.
Description Saisissez une description du modèle.
Cochez cette case si le modèle sera utilisé sur des périphériques avec plusieurs
systèmes virtuels. Lors de la définition de paramètres de modèle pour un
périphérique à plusieurs systèmes virtuels, vous devez vous assurer que les
paramètres sont configurés pour chaque système virtuel que vous souhaitez
Systèmes virtuels configurer. Pour les périphériques sans système virtuel, le modèle s'applique
au contexte vsys1 par défaut.
Remarque : les modèles à plusieurs systèmes virtuels ne peuvent pas être
appliqués à des périphériques à un seul système virtuel. De même, vous ne
pouvez pas utiliser de modèle pour créer des systèmes virtuels.
Mode opérationnel Définissez le mode opérationnel PAN-OS du modèle : normal, fips ou cc.
Cochez cette case pour masquer toutes les options liées au VPN dans les
onglets Périphérique et Réseau. La possibilité d'installer des licences de
portail ou de passerelle GlobalProtect est également désactivée dans ce mode.
Mode VPN Remarque : cette option s'applique aux pays n'autorisant pas la connectivité
désactivé VPN. Les modèles matériels Palo Alto Networks incluant l'indicateur -NV
dans le nom du modèle sont codés afin de ne pas autoriser de configurations
VPN. Cette option doit donc être utilisée lors de la création de modèles pour
ces matériels.
Modèles
Tableau 153 Paramètres du modèle (Panorama)

Champ Description
Cette fenêtre indique tous les périphériques gérés par Panorama ainsi que les
groupes de périphériques. Cochez la case en regard des périphériques pour les
inclure en tant que membre du modèle. Vous pouvez également ajouter tous
les périphériques d'un groupe de périphériques en cochant la case en regard
Périphériques du groupe de périphériques.
Remarque : les modèles sont basés sur des périphériques et non des groupes
de périphériques. L'ajout d'un nouveau périphérique à un groupe de
périphérique ne l'ajoute pas automatiquement à un modèle.
Cochez cette case pour regrouper les périphériques en mode haute
disponibilité (HD).
Cette option vous permet d'identifier facilement les périphériques en mode
HD. Lors de l'application de politiques partagées, vous pouvez l'appliquer à la
paire regroupée plutôt qu'à chaque périphérique. De plus, lors de l'ajout d'un
nouveau périphérique à la page Périphériques gérés, et s'ils se trouvent en
mode HD, les deux périphériques s'affichent ensemble afin que vous puissiez
les ajouter tous les deux.
Lors de l'affichage d'une paire HD et si la configuration ne correspond pas, un
indicateur d'avertissement s'affiche. Un indicateur s'affiche également si les
Regrouper les
périphériques HD se trouvent dans des groupes de périphériques différents.
homologues HD
Cette option est également indépendante pour chaque section et l'activation
ou la désactivation dans une zone n'active/ne désactive pas toutes les zones.
L'option Regrouper les homologues HD est présente dans les zones Panorama
suivantes :
• Périphériques gérés
• Modèles
• Groupes de périphériques
• Onglet Politiques (onglet Cible de tous les types de politiques)
• Boîte de dialogue de validation
Configuration des modèles de Panorama

Panorama > Modèles
Pour configurer des modèles Panorama, vous devez tout d'abord créer le modèle puis ajouter des
périphériques à celui-ci. Une fois le premier modèle créé, un menu déroulant Modèle s'affiche dans les
onglets Périphérique et Réseau. Sélectionnez le modèle souhaité dans le menu déroulant Modèle et
configurez des paramètres du périphérique et du réseau comme si vous gériez un seul périphérique.
Toutes les options définies ne s'appliquent cependant qu'au modèle sélectionné. Une fois le modèle
configuré, vous pouvez procéder à une validation depuis Panorama qui s'applique uniquement aux
modèles.
Pour créer et configurer un modèle, procédez comme suit :
Ajout d'un nouveau modèle

1. Dans l'onglet Panorama, cliquez sur Modèles pour ouvrir la page des modèles.
2. Cliquez sur Ajouter et entrez les options de configuration du modèle. Reportez-vous à

« Paramètres du modèle (Panorama) » à la page 438.
Modèles
3. Dans le champ Périphériques, la liste de tous les périphériques gérés par Panorama
s'affiche. Cochez la case en regard de chaque élément pour l'inclure en tant que membre
du nouveau modèle. Si vous sélectionnez un groupe de périphériques, tous les
périphériques de ce groupe sont sélectionnés.
4. Cliquez sur OK pour sauvegarder le modèle.
Configuration d'un modèle

1. Maintenant qu'un modèle est créé, cliquez sur l'onglet Périphérique ou Réseau. Un menu
déroulant Modèle s'affiche comme illustré dans la Figure 51.
Figure 51. Menu Modèle
2. Cliquez sur la liste déroulante Modèle et sélectionnez le modèle que vous souhaitez
configurer.
3. Cliquez sur l'onglet Périphérique ou Réseau et définissez les options de configuration

souhaitées pour le modèle.
Remarque : Lorsqu'un modèle est sélectionné dans l'onglet Périphérique ou

Réseau, vous ne pouvez définir que des options faisant partie de la configuration.
Vous ne pouvez pas définir d'options de type opérationnel telles que le passage du
périphérique en mode à plusieurs systèmes virtuels et la définition d'une clé
principale.
4. Une fois toutes les modifications de configuration apportées, cliquez sur Valider puis,
dans le menu déroulant Type de validation, sélectionnez Modèle. Vous pouvez
également utiliser l'option de validation Groupe de périphériques et cocher la case
Inclure les modèles des réseaux et périphériques pour appliquer les modèles à un
groupe de périphériques.
5. Cochez la case en regard de chaque modèle à valider, puis cliquez sur OK. Vous pouvez
également prévisualiser vos modifications dans la fenêtre Valider en cliquant sur le
bouton Prévisualiser les modifications. Une fenêtre contextuelle s'affiche et indique l'état
de la validation.
Contrôle prioritaire sur les paramètres du modèle

Lorsque vous appliquez un modèle pour contrôler les paramètres de périphérique et du
réseau sur un pare-feu, vous souhaiterez peut-être remplacer certains d'entre eux et qu'ils
soient contrôlés par la configuration locale du périphérique. Exemple : vous pouvez déployer
une configuration de base sur un groupe global de périphériques, mais configurer des
paramètres de fuseau horaire spécifique directement sur les périphériques selon leur
emplacement à l'aide d'un contrôle prioritaire.
Modèles
Pour remplacer un paramètre de périphérique et de réseau appliqué par un modèle, passez

simplement au contexte de périphérique ou accédez directement au périphérique, accédez au
paramètre souhaité, puis cliquez sur le bouton Contrôle prioritaire. Le paramètre est copié
dans la configuration locale du périphérique et n'est plus contrôlé par le modèle. Vous pouvez
également annuler la modification en cliquant sur le bouton Restaurer. Le paramètre est alors
de nouveau hérité du modèle. Lors d'une opération de validation de Panorama sur un
périphérique géré contenant des contrôles prioritaires, vous pouvez cocher la case Forcer les
valeurs du modèle pour que les modèles Panorama soient prioritaires sur les objets
remplacés.
Lors du remplacement de paramètres Périphérique > Configuration et Périphérique > Haute
disponibilité, les contrôles prioritaires s'appliquent aux valeurs et aux paramètres des
arborescences de configuration et non à l'ensemble d'une configuration d'arborescence. Ceci
inclut des éléments tels que des paramètres de serveurs DNS, d'adresse IP de gestion ou de
serveur NTP. Pour les éléments tels que des interfaces et des profils de serveur RADIUS, vous
appliquez les contrôles prioritaires à l'ensemble de l'objet et non à des valeurs internes.
Pour identifier les paramètres auxquels des modèles sont appliqués, les indicateurs suivants
s'affichent comme illustré dans la Figure 52 :
Figure 52. Indicateurs de modèle
L'icône verte indique qu'un modèle a été appliqué et qu'il n'existe aucun contrôle
prioritaire. L'icône verte et orange indique qu'un modèle a été appliqué et que certains
modèles ont été remplacés.
Suppression de modèles
Pour supprimer un modèle, vous devez le désactiver sur le périphérique local. Sur le
périphérique géré, accédez à l'onglet Périphérique > Configuration > Gestion, modifiez la
page Paramètres de Panorama, puis cliquez sur le bouton Désactiver les modèles des
périphériques et réseaux. La suppression du périphérique de la configuration dans
Panorama > Modèles ne supprime pas les valeurs du modèle sur le périphérique local.
Journalisation
Journalisation
Panorama exécute deux fonctions : la gestion des périphériques et la collecte des journaux.
Pour simplifier l'évolutivité dans les déploiements d'envergure, vous pouvez utiliser
l'appareil M-100 pour séparer les fonctions de gestion et de collecte des journaux dans
Panorama.
Les sections suivantes décrivent les options disponibles pour la collecte des journaux :
• « Journalisation et génération de rapports » dans la section suivante
• « Utilisation de Panorama pour la consignation de l'ensemble » à la page 442
Journalisation et génération de rapports

Les journaux et rapports Panorama fournissent des informations sur l'activité de l'utilisateur
sur le réseau géré. Les statistiques de rapport sont exécutées toutes les 15 minutes pour être
utilisées dans des rapports prédéfinis et personnalisés planifiés, et les statistiques sont
transmises à Panorama toutes les heures. Si le transfert des journaux est activé, les journaux
sont envoyés lorsqu'ils sont générés sur le périphérique.
L'onglet ACC de Panorama fournit des informations pour les pare-feux connectés ; ceux-ci ne
requièrent pas un transfert explicite des journaux. Le transfert des journaux est nécessaire
pour le stockage des journaux sur le long terme et pour la génération de rapports sur les
journaux stockés localement dans Panorama. Dans l'onglet ACC, toutes les tables
transmettent des informations sur les pare-feux de manière dynamique.
Génération de rapports d'activité des utilisateurs

Surveillance > Rapports PDF > Rapport d'activité des utilisateurs
Le rapport d'activité des utilisateurs de Panorama résume l'activité des utilisateurs sur tous
les pare-feux gérés. Il est basé sur les données de pare-feu qui ont été transmises à Panorama.
Reportez-vous à « Gestion des rapports d'activité des utilisateurs » à la page 295 pour obtenir
des informations générales sur la création de rapports d'activité des utilisateurs.
Utilisation de Panorama pour la consignation de l'ensemble

L'appareil Panorama offre une solution de collecte des journaux complète des pare-feux Palo Alto Networks.
Grâce au M-100, cette solution supprime la surcharge de traitement de la collecte des journaux actuellement
gérée par le serveur de gestion Panorama. Une fois déployé, chaque pare-feu de votre environnement géré
peut être configuré pour envoyer ses journaux à un ou plusieurs collecteurs de journaux. La configuration de
plusieurs collecteurs de journaux par pare-feu permet de répartir la capacité de stockage entre les collecteurs,
créant ainsi un environnement plus flexible et redondant.
Les vues ACC, Rapports PDF et Journaux de Panorama permettent de rechercher des informations sur tous
les pare-feux gérés. Il s'agit du même processus que celui utilisé si les journaux étaient envoyés directement à
Panorama, mais dans ce cas, Panorama demande aux collecteurs de journaux de collecter les informations.
Pour plus d'informations sur le matériel M-100, reportez-vous au Guide de référence du matériel M-100.
Journalisation
Remarque : L'appareil M-100 est fourni avec Panorama préchargé et les

fonctions de gestion et de collecte des journaux de Panorama sont activées par
défaut. Si le M-100 doit être utilisé pour la collecte des journaux uniquement, vous
devez passer en mode logger-mode. La commande opérationnelle permettant de
changer de mode est request system logger-mode [panorama | logger].
Pour connaître le mode actuel, exécutez la commande show system info |
match logger_mode
Lorsque le M-100 est en mode collecteur de journaux, seule la CLI est disponible
pour la gestion.
Pour utiliser des appareils distincts pour la gestion et pour la collecte des
journaux, les pare-feux de votre réseau doivent exécuter le logiciel PAN-OS 5.0.
Les sections suivantes décrivent comment déployer des collecteurs de journaux :

• « Déploiement d'une consignation de l'ensemble distribuée » dans la section suivante
• « Configuration du M-100 en tant que collecteur de journaux » à la page 444
• « Configuration du serveur Panorama pour la gestion du collecteur de journaux » à la

page 446
• « Gestion des collecteurs de journaux » à la page 447
• « Définition des groupes de collecteurs de journaux » à la page 450
• « Stockage du collecteur de journaux » à la page 453
Déploiement d'une consignation de l'ensemble distribuée

Plusieurs points doivent être pris en compte lors du déploiement d'une solution de
consignation de l'ensemble distribuée, notamment :
• Déterminez l'emplacement des appareils M-100 en fonction de la topologie de votre
réseau et de l'emplacement de vos pare-feux. Le serveur de gestion Panorama, les pare-
feux et les collecteurs de journaux doivent idéalement être connectés les uns aux autres
sur un réseau de gestion. Vous pouvez configurer les pare-feux pour qu'ils soient
connectés à plusieurs collecteurs de journaux en cas d'erreurs. Il est ainsi important que
chaque pare-feu puisse atteindre le ou les collecteurs qui lui sont attribués. Le serveur
Panorama et les collecteurs de journaux doivent normalement être installés dans des
centres de données.
Journalisation
• Déterminez les besoins de stockage sur disque pour la collecte des journaux en fonction
du nombre de pare-feux gérés et de la durée de conservation souhaitée. Vous devez
analyser votre environnement actuel afin de déterminer le nombre de journaux et de
rapports qui sont générés.
La Figure 53 illustre un déploiement de collecte de journaux de base. Les pare-feux gérés sont
configurés pour envoyer des informations de journaux au collecteur de journaux M-100. Les
serveurs Panorama en mode HD peuvent alors communiquer avec les collecteurs de journaux
pour générer des rapports et pour consulter les informations de journaux collectées sur les
pare-feux gérés.
Dans les déploiements d'envergure où plusieurs collecteurs de journaux sont disponibles,

vous attribuez deux collecteurs de journaux ou plus à chaque pare-feu. Le premier collecteur
de journaux que vous indiquez sera le collecteur de journaux principal du pare-feu. En cas
d'échec du collecteur de journaux principal, le pare-feu met temporairement les informations
de journaux en mémoire cache afin qu'aucune information ne soit perdue, puis envoie les
journaux au collecteur de journaux secondaire. Quelles que soient les attributions entre pare-
feu et collecteur de journaux, les journaux sont répartis entre tous les collecteurs de journaux
du groupe afin de préserver l'utilisation du stockage entre le groupe de collecteurs.
Figure 53. Consignation de l'ensemble distribuée
Serveur de gestion Panorama
Requêtes du gestionnaire Panorama

journaux des collecteurs de journaux
Collecteurs de journaux
Les pare-feux envoient

les journaux aux
collecteurs de journaux
Pare-feux gérés
Configuration du M-100 en tant que collecteur de journaux

Pour configurer un collecteur de journaux, vous définissez tout d'abord l'adresse IP du
serveur Panorama qui gérera le collecteur de journaux, puis vous configurez les informations
IP du port de gestion (MGT) pour l'accès à votre réseau. Les autres paramètres peuvent alors
être configurés et appliqués à partir du serveur de gestion Panorama.
Journalisation
1. Connectez-vous à la CLI à l'aide du nom d'utilisateur admin et du mot de passe admin

par défaut. Pour obtenir des instructions sur l'accès à la CLI, reportez-vous au Guide de
référence de l'interface de ligne de commande. Le M-100 est doté d'un connecteur série à
9 broche pour le port de console et un adaptateur 9 broches est fourni avec le
périphérique.
2. Vérifiez que le périphérique est en mode logger en exécutant la commande show system
info | match logger_mode. Si le périphérique est en mode Panorama, exécutez la
commande request system logger-mode logger. Répondez Oui pour confirmer la
modification. Le périphérique redémarre.
Remarque : Lorsque le M-100 est en mode collecteur de journaux, seule la CLI est
disponible pour la gestion. Une grande partie de la configuration est exécutée sur le
gestionnaire Panorama.
3. Configurez l'adresse IP ou le FQDN du serveur Panorama qui sera utilisé pour gérer le
collecteur de journaux.
set deviceconfig system panorama-server ip-address <IP Panorama>.
Si votre serveur Panorama est en mode HD, entrez l'adresse IP du périphérique
homologue :
set deviceconfig system panorama-server-2 ip-address <IP Panorama>.
4. Obtenez une adresse IP auprès de votre administrateur réseau à utiliser pour le port de
gestion (MGT) du collecteur de journaux, puis configurez le port de gestion.
set deviceconfig system ip-address <IP gestion> netmask <masque réseau>
default-gateway <IP passerelle>
Vous pouvez également définir le DNS en ajoutant dns-settings à la commande ci-dessus
mais alors que vous pouvez communiquer via l'adresse IP du serveur Panorama, vous
pouvez définir le DNS et les autres options depuis le serveur de gestion Panorama.
Le port MGT sera utilisé pour toutes les communications, notamment la gestion des
périphériques, la collecte des journaux et les communications entre collecteurs de
journaux.
5. Vous pouvez utiliser le serveur Panorama pour définir le mot de passe sur chaque
collecteur de journaux. Pour définir manuellement le mot de passe, exécutez la
commande set mgt-config users admin password. Appuyez sur la touche Entrée,
puis confirmez le mot de passe.
6. Saisissez commit pour activer la modification, puis exit pour quitter le mode de
configuration. Si vous étiez connecté au port de gestion, vous perdez la connectivité car
l'adresse IP a changé.
7. Testez la connectivité du réseau vers votre passerelle par défaut ou un autre serveur
depuis le port de console, ou testez à partir du serveur de gestion Panorama pour vérifier
que vous pouvez atteindre le collecteur de journaux.
ping host <IP cible> ou à partir du serveur de gestion Panorama ping host <IP
gestion collecteur de journaux>
Désormais que le collecteur de journaux est doté de la configuration de base nécessaire,

terminez la configuration à partir du serveur de gestion Panorama. Reportez-vous à
« Configuration du serveur Panorama pour la gestion du collecteur de journaux » dans la
section suivante.
Journalisation
Configuration du serveur Panorama pour la gestion du collecteur de journaux

Le serveur de gestion Panorama est utilisé pour configurer et gérer le collecteur de journaux
M-100 une fois la connectivité réseau établie entre les deux systèmes. Dans Panorama, vous
gérez tous les paramètres du collecteur de journaux, de stockage, de conservation des
journaux, les paramètres SNMP ainsi que l'affectation entre pare-feu géré et collecteurs de
journaux à l'aide de groupes de collecteurs. Une fois les collecteurs de journaux en place,
Panorama leur demande des rapports. Reportez-vous à « Définition des groupes de
collecteurs de journaux » à la page 450.
Remarque : Vous ne pouvez pas migrer des journaux de pare-feu existants vers le
M-100 ; seules les nouvelles données sont transférées une fois la configuration
terminée.
Pour obtenir une description détaillée de chaque champ de la page Collecteurs gérés,
reportez-vous à « Gestion des collecteurs de journaux » à la page 447.
Pour configurer des collecteurs de journaux à partir de Panorama :
1. Assurez-vous que le collecteur de journaux que vous souhaitez gérer dispose d'une
connectivité réseau de base afin que le serveur de gestion Panorama puisse communiquer
avec lui. Reportez-vous à « Configuration du M-100 en tant que collecteur de journaux » à
la page 444.
2. Sur le serveur de gestion Panorama, accédez à Panorama > Collecteurs gérés, puis
cliquez sur Ajouter pour ajouter un collecteur de journaux.
3. Dans l'onglet Général, précisez le numéro de série et le nom (nom d'hôte) du collecteur de
journaux. Précisez ensuite l'adresse IP, DNS, NTP, fuseau horaire et emplacement du
serveur Panorama.
4. Utilisez l'onglet Authentification pour mettre à jour le mot de passe du compte admin
local sur le collecteur de journaux. Vous ne pouvez utiliser qu'un hachage du mot de
passe dans ce champ. Vous pouvez créer un hachage du mot de passe à l'aide de la
commande CLI de Panorama request password-hash password mot de passe.
Appuyez sur Entrée, la valeur de hachage s'affiche. Copiez le hachage et collez-le dans les
champs Hachage du mot de passe et Confirmer le hachage du mot de passe.
5. L'onglet Gestion est utilisé pour configurer le port de gestion sur le collecteur de
journaux et est nommé MGT sur la face avant du M-100. Vous pouvez définir les
paramètres du MTU et d'autres interfaces, les services autorisés et définir la liste des
adresses IP autorisées à gérer le collecteur de journaux. La plupart de ces paramètres doit
avoir été configurée lors de la configuration initiale du collecteur de journaux visant à
définir l'appareil sur votre réseau.
Le port MGT sera utilisé pour toutes les communications entre le collecteur de journaux
et les périphériques gérés.
Reportez-vous à « Définition des groupes de collecteurs de journaux » à la page 450.
6. Cliquez sur Valider puis, dans la liste déroulante Type de validation, sélectionnez
Panorama et cliquez sur OK.
Groupes de collecteurs, sélectionnez le collecteur de journaux ou le groupe que vous
souhaitez valider, puis cliquez sur OK. Les modifications sont ainsi appliquées au ou aux
collecteurs de journaux sélectionnés.
Une fenêtre contextuelle s'affiche pour indiquer l'état de la validation.
Journalisation
8. Le collecteur de journaux doit désormais être configuré. La procédure suivante consiste à

créer des Groupes de collecteurs afin d'attribuer des pare-feux aux collecteurs de
journaux. Reportez-vous à « Définition des groupes de collecteurs de journaux » à la
page 450.
Gestion des collecteurs de journaux

Panorama > Collecteurs gérés
Utilisez la page Collecteurs gérés pour configurer, gérer et mettre à jour des périphériques de
collecte de journaux.
Les paramètres de cette page figurent également dans la CLI du collecteur de journaux.
Tableau 154 Page Collecteurs gérés

Champ Description
Onglet Général
N° de série du collecteur Saisissez le numéro de série du périphérique de collecte de
journaux.
Nom du collecteur Donnez un nom pour identifier ce collecteur de journaux
(31 caractères maximum). Le nom est sensible à la casse et doit
être unique. N'utilisez que des lettres, chiffres, espaces, traits
Il s'agit du nom d'hôte du collecteur de journaux.
Serveur IP de Panorama Précisez l'adresse IP du serveur Panorama utilisé pour gérer ce
collecteur.
Serveur IP 2 de Panorama Précisez l'adresse IP du périphérique secondaire si le serveur de
gestion Panorama est en mode HD.
Serveur DNS principal Saisissez l'adresse IP ou le nom d'hôte du serveur DNS principal.
Le serveur est utilisé pour les requêtes DNS provenant du
collecteur de journaux, pour rechercher le serveur Panorama par
exemple.
Serveur DNS secondaire Saisissez l'adresse IP ou le nom d'hôte d'un serveur DNS
secondaire à utiliser si le serveur principal n'est pas disponible
(facultatif).
Serveur NTP principal Saisissez l'adresse IP ou le nom d'hôte du serveur NTP principal
(le cas échéant). Si vous n'utilisez pas de serveur NTP, vous
pouvez définir l'heure du périphérique manuellement.
Serveur NTP secondaire Saisissez l'adresse IP ou le nom d'hôte de serveurs NTP
secondaires à utiliser si le serveur principal n'est pas disponible
(facultatif).
Fuseau horaire Sélectionnez le fuseau horaire du collecteur de journaux.
Latitude Saisissez la latitude (-90,0 à 90,0) du collecteur de journaux utilisé
dans les cartes du trafic et des menaces de portée d'application.
Longitude Saisissez la longitude (-180,0 à 180,0) du collecteur de journaux
utilisé dans les cartes du trafic et des menaces de portée
d'application.
Journalisation

Champ Description
Onglet Authentification
Nom d'utilisateur Ce champ indique toujours admin et est utilisé pour le nom de
connexion à la CLI locale du collecteur de journaux.
Mode Sélectionnez Mot de passe pour saisir et confirmer
manuellement un mot de passe à utiliser pour l'authentification
de CLI locale, ou sélectionnez Hachage du mot de passe pour
saisir une valeur de hachage.
Pour créer un hachage du mot de passe à partir de la CLI du
serveur de gestion Panorama, exécutez la commande suivante :
request password-hash password password123
Une valeur de hachage est alors renvoyée pour le mot de
passepassword123 (Example- $1$urlishri$aLP2by.u2A1IQ/
Njh5TFy9).
Copiez la valeur de hachage de la CLI et collez-la dans le champ
Hachage du mot de passe. Lorsque vous validez vos
modifications, le nouveau hachage est appliqué au collecteur de
journaux et le nouveau mot de passe de connexion administratif
local est password123.
Tentatives échouées Précisez le nombre d'échecs de tentatives de connexion autorisés
pour l'interface Web et la CLI avant le verrouillage du compte.
(1 à 10, 0 par défaut). 0 signifie qu'il n'y a aucune limite.
Durée de verrouillage (min) Précisez le nombre de minutes pendant lesquelles un utilisateur
est verrouillé (0 à 60 minutes) si le nombre d'échecs de tentatives
est atteint. La valeur par défaut 0 signifie qu'il n'y a aucune limite
quant au nombre de tentatives.
Onglet Gestion Configurez les paramètres du port de gestion nommé MGT sur
la face avant du périphérique. Ce port est utilisé pour toutes les
communications du collecteur de journaux.
Interface L'interface ne peut pas être modifiée et l'intitulé par défaut est
MGT.
Vitesse et duplex Sélectionnez la vitesse de l'interface en Mbits/s (10, 100 ou 1 000)
et le mode de transmission de l'interface : duplex intégral
(Intégral), semi-duplex (Semi) ou négocié automatiquement
(Auto).
Adresse IP Saisissez l'adresse IP de l'interface de gestion du collecteur de
journaux.
L'adresse IP par défaut est 192.168.1.1.
Masque réseau Saisissez le masque réseau de l'adresse IP, 255.255.255.0 par
exemple.
Passerelle par défaut Saisissez l'adresse IP du routeur par défaut (il doit se trouver sur
le même sous-réseau que le port de gestion).
Adresse IPv6 Saisissez l'adresse IPv6 de l'interface de gestion du collecteur de
journaux.
Passerelle par défaut IPv6 Saisissez l'adresse IPv6 du routeur par défaut (il doit se trouver
sur le même sous-réseau que le port de gestion).
Journalisation

Champ Description
MTU Saisissez l'unité de transmission maximale (MTU) en octets par
paquet envoyé sur cette interface (plage de 512 à 1 500, 1 500 par
défaut).
Services de l'interface de Sélectionnez les services activés sur l'interface gérée du
gestion périphérique de collecte des journaux :
• SSH : cochez cette case pour activer « secure shell ».
• Ping : cochez cette case pour activer « ping ».
• SNMP : cochez cette case pour activer le protocole
« Simple Network Managed ».
Adresses IP autorisées Cliquez sur Ajouter pour saisir la liste des adresses IP à partir
desquelles la gestion est autorisée.
Onglet Disques Cliquez sur Ajouter pour définir la paire de disques RAID 1 qui
sera utilisée pour stocker les journaux. Vous pouvez alors ajouter
d'autres paires de disques si nécessaire pour augmenter votre
capacité de stockage.
Par défaut, le M-100 est fourni avec la première paire RAID 1
activée lorsque des lecteurs sont installés dans les baies A1/A2.
Vous pouvez ajouter jusqu'à 3 paires RAID 1 supplémentaires
afin d'augmenter la capacité de stockage en plaçant de nouvelles
paires RAID 1 dans les baies B1/B2, C1/C2 et D1/D2. Dans le
logiciel, la paire RAID 1 des baies A1/A2 est nommée la paire de
lecteurs <A|B|C|D>.
Reportez-vous à « Stockage du collecteur de journaux » à la
page 453.
Journalisation
Définition des groupes de collecteurs de journaux

Panorama > Groupes de collecteurs
Les groupes de collecteurs sont utilisés pour attribuer des pare-feux gérés Panorama aux
collecteurs de journaux qui seront utilisés pour supprimer la tâche de collecte de journaux
généralement traitée par le serveur de gestion Panorama. Une fois les collecteurs de journaux
en place et les pare-feux configurés, les journaux définis pour chaque périphérique sont
envoyés aux collecteurs de journaux et Panorama recherche alors sur les collecteurs de
journaux afin d'afficher ou d'interroger les journaux cumulés. Vous pouvez également utiliser
des groupes de collecteurs pour définir des paramètres de conservation du stockage et SNMP.
Pour obtenir une description détaillée de chaque paramètre de la page Groupes de collecteurs,
reportez-vous à « Paramètres des groupes de collecteurs » à la page 451.
Pour configurer des groupes de collecteurs de journaux :
1. Sur le serveur de gestion Panorama, accédez à Panorama > Groupes de collecteurs.
2. Cliquez sur Ajouter et donnez un nom pour identifier le groupe de collecteurs.
3. Dans la zone Période de conservation minimale (jours), saisissez la période de

conservation de tous les collecteurs de journaux du groupe. Une entrée de violation est
créée dans le journal système une fois la période de conservation écoulée. Ce journal est
généré en fonction de la date de réception de la dernière entrée du journal, qui est ensuite
soustraite de la date actuelle puis comparée au paramètre de la période de conservation.
4. Cliquez sur l'onglet Surveillance et définissez les paramètres SNMP de votre

environnement afin de gérer vos périphériques via une solution de gestion système.
5. Cliquez sur l'onglet Transfert des journaux puis, dans la fenêtre Collecteurs, cliquez sur
Ajouter et sélectionnez les collecteurs de journaux qui feront partie de ce groupe de
collecteurs. Cette liste est déterminée par les collecteurs définis dans Panorama >
Collecteurs gérés.
Remarque : Lorsque vous ajoutez le numéro de série du périphérique au groupe de

collecteurs, le périphérique géré envoie tous les journaux au groupe de collecteurs.
Pour que le périphérique géré renvoie les journaux au gestionnaire Panorama,
supprimez tout simplement le périphérique du groupe de collecteurs. Ceci peut
également être nécessaire lors de la migration de périphériques gérés vers une autre
installation du gestionnaire Panorama. Si vous ne procédez pas ainsi, vous devrez
exécuter la commande opérationnelle delete log-collector
preference-list sur le périphérique géré.
6. Configurez le mappage qui définit les périphériques transférés vers une liste de
collecteurs préférés et dans un ordre bien spécifique. Dans l'onglet Transfert des
journaux, cliquez sur Ajouter sous les fenêtres des listes Périphériques et Collecteurs, la
fenêtre Périphériques s'affiche alors.
7. Dans la liste déroulante Périphériques, sélectionnez un pare-feu géré puis, sous

Collecteurs, cliquez sur Ajouter et sélectionnez un collecteur de journaux. Si vous
sélectionnez plusieurs collecteurs, le premier collecteur ajouté sera le collecteur principal,
le second le collecteur secondaire, etc. En cas d'échec du collecteur principal, les journaux
seront envoyés au collecteur secondaire.
Cliquez sur OK pour sauvegarder vos modifications.
Panorama et cliquez sur OK.
Journalisation
Groupe de collecteurs et cliquez sur OK. Une fois la validation du groupe de collecteurs
terminée, les pare-feux gérés attribués aux collecteurs commencent à transférer leurs
journaux aux collecteurs.
Désormais que les journaux des pare-feux sont envoyés aux collecteurs de journaux, vous
pouvez utiliser les vues ACC, Rapports PDF et Journaux de Panorama pour rechercher
des informations sur tous vos pare-feux gérés. L'ACC recherche des données directement
sur les collecteurs de journaux, ce qui signifie que l'ACC recherche dans les données
transférées du pare-feu. Si vous déployez un M-100 en tant que gestionnaire Panorama et
collecteur de journaux, l'ACC recherche également les données transférées au collecteur
de journaux qui se trouvent sur le même périphérique.
Tableau 155 Paramètres des groupes de collecteurs

Champ Description
Onglet Général
Nom Donnez un nom pour identifier le groupe de collecteur qui sera
utilisé pour regrouper des collecteurs de journaux à des fins de
configuration et de mise à jour logicielle (31 caractères
N'utilisez que des lettres, chiffres, espaces, traits d'union et traits
de soulignement.
Stockage du journal Indique les quotas de stockage de journaux actuels du groupe de
collecteurs. Si vous cliquez sur le texte de la capacité, la fenêtre
des paramètres Stockage du journal s'affiche. Dans celle-ci, vous
pouvez allouer du stockage à diverses fonctions du journal telles
que le trafic, les menaces, la configuration, le système et l'alarme.
Vous pouvez également cliquer sur Rétablir les valeurs par
défaut pour utiliser les paramètres d'allocation du journal par
défaut.
Période de conservation Précisez la période de conservation en jours avant la purge
minimale (jours) des journaux les plus anciens (plage de 1 à 2 000 jours).
Onglet Surveillance
Journalisation
Tableau 155 Paramètres des groupes de collecteurs (suite)

Champ Description
SNMP L'option SNMP vous permet de collecter des informations sur les
collecteurs de journaux, notamment : état de la connexion,
statistiques du lecteur de disque, version logicielle, utilisation
moyenne du processeur, moyenne de journal/seconde et durée
de stockage par type de base de données (par exemple, minutes,
heures, jours, semaines). Les informations dépendent du groupe
de collecteurs.
Précisez les paramètres SNMP suivants :

• Emplacement : précisez l'emplacement du périphérique de
collecte de journaux.
• Contact : précisez un e-mail pour ce périphérique.
• Accéder aux paramètres : précisez la version SNMP qui sera
utilisée pour communiquer avec le serveur de gestion Panorama
(V2c ou V3).
Si vous sélectionnez V3, précisez les informations suivantes :
– Vues : cliquez sur Ajouter et configurez les paramètres
suivants :
› Vue : donnez un nom à une vue.
› OID : précisez l'identifiant d'objet (OID).
› Option (inclure ou exclure) : choisissez si l'OID doit être

inclus ou exclus de la vue.
› Masque : précisez une valeur de masque pour un filtre

sur l'OID au format hexadécimal (par exemple, 0xf0)
– Utilisateurs : cliquez sur Ajouter et configurez les paramètres

suivants :
› Utilisateurs : précisez un nom d'utilisateur qui sera
utilisé pour l'authentification entre le collecteur de
journaux et le serveur de gestion SNMP.
› Vue : précisez le groupe de vues de l'utilisateur.
› MdPAuth : précisez le mot de passe d'authentification

de l'utilisateur (8 caractères minimum). Seul
l'algorithme SHA (Secure Hash Algorithm) est pris en
charge.
› Privpwd (mot de passe privé) : précisez le mot de passe

de cryptage de l'utilisateur (8 caractères minimum).
Seule la norme AES (Advanced Encryption Standard)
est prise en charge.
• Chaîne de communauté SNMP : précisez la chaîne de

communauté SNMP utilisée par votre environnement de
gestion SNMP. SNMPv2c uniquement (public par défaut).
Journalisation
Tableau 155 Paramètres des groupes de collecteurs (suite)

Champ Description
Onglet Transfert des
journaux
Collecteurs Cliquez sur Ajouter et sélectionnez le collecteur de journaux
dans la liste déroulante qui fera partie de ce groupe. La liste
déroulante indique tous les collecteurs de journaux disponibles
dans la page Panorama > Collecteurs gérés.
Périphériques Cliquez sur Ajouter puis sur la liste déroulante Périphériques et
sélectionnez le pare-feu géré qui fera partie de ce groupe de
collecteurs.
Cliquez sur Ajouter dans la fenêtre Collecteurs et sélectionnez le
collecteur que vous souhaitez attribuer à ce pare-feu pour le
transfert des journaux.
Cliquez sur OK pour sauvegarder vos modifications.
Lors de l'affichage de la fenêtre Périphériques, la colonne
Périphériques répertorie chaque pare-feu et la colonne
Collecteurs répertorie le ou les collecteurs attribués au pare-feu.
Le premier collecteur que vous indiquez sera le collecteur
principal du pare-feu. En cas d'échec du collecteur principal, le
pare-feu envoie les journaux au collecteur secondaire. En cas
d'échec du collecteur secondaire, le collecteur tertiaire est utilisé,
et ainsi de suite.
Remarque : lorsque vous ajoutez le numéro de série du
périphérique au groupe de collecteurs, le périphérique géré
envoie tous les journaux au groupe de collecteurs. Pour que le
périphérique géré renvoie les journaux au gestionnaire
Panorama, supprimez tout simplement le périphérique du
groupe de collecteurs. Ceci peut également être nécessaire lors de
la migration de périphériques gérés vers une autre installation du
gestionnaire Panorama. Si vous ne procédez pas ainsi, vous
devrez exécuter la commande opérationnelle delete log-
collector preference-list sur le périphérique géré.
Stockage du collecteur de journaux

À mesure que votre environnement évolue, vous devez augmenter la capacité de stockage des
appareils M-100 de collecteur de journaux ou ajouter éventuellement de nouveaux collecteurs
de journaux.
Par défaut, le M-100 est fourni avec la première paire RAID 1 activée lorsque des lecteurs sont
installés dans les baies A1/A2. Vous pouvez ajouter jusqu'à 3 paires RAID 1 supplémentaires
afin d'augmenter la capacité de stockage en ajoutant de nouvelles paires RAID 1 dans les baies
B1/B2, C1/C2 et D1/D2. Dans le logiciel, la paire RAID 1 dans les baies A1/A2 est nommée la
paire de disques A, B1/B2 la paire de disques B, C1/C2 la paire de disques C et D1/D2 la
paire de disques D.
Pour plus d'informations sur le remplacement physique des lecteurs sur le M-100, reportez-
vous au Guide de référence du matériel M-100.
Journalisation
Remarque : La baie de disques RAID 1 sur le M-100 requiert que chaque paire de disques en
miroir soit installée sur les baies de disques appropriées. Le périphérique est livré avec les
lecteurs A1/A2 installés et mis en miroir. Pour ajouter d'autres disques, vous installez la paire
suivante dans la paire de disques suivante, à savoir les baies B1/B2, C1/C2, puis D1/D2. Vous
ne pouvez pas installer de nouveaux disques dans B1 et C1 par exemple, puis tenter de les
mettre en miroir.
Pour augmenter le stockage sur disque d'un M-100 à l'aide de la baie de disques B1/B2 :
1. Procurez-vous deux lecteurs de disques M-100 identiques auprès de Palo Alto Networks.
2. Vous ne devez pas mettre le collecteur de journaux hors tension pour ajouter de nouveaux
lecteurs. Si vous préférez mettre le périphérique hors tension, exécutez la commande
request shutdown system via la CLI.
3. Retirez les baies de lecteurs vides B1/B2 et installez les nouveaux disques dans les baies
de lecteurs pour la paire de disques B.
4. Réinsérez les baies de lecteurs dans les baies B1/B2.
5. Accédez à la CLI sur le collecteur de journaux et exécutez la commande request

system raid add B1. Le lecteur B1 est alors initialisé et formaté.
6. Exécutez de nouveau la commande sur le lecteur B2 request system raid add B2.
Le miroir RAID 1 est créé et les lecteurs sont désormais prêts à être ajoutés au groupe de
collecteurs à partir du serveur de gestion Panorama.
Remarque : La durée de mise en miroir des données sur le lecteur peut varier entre
plusieurs minutes et quelques heures en fonction de la quantité de données sur le
lecteur. Utilisez la commande show system raid detail pour contrôler la
progression de la configuration RAID.
7. Sur le serveur de gestion Panorama qui gère ce collecteur de journaux, accédez à

Panorama > Collecteurs gérés, puis cliquez sur le collecteur de journaux pour ouvrir la
fenêtre Collecteur. Sélectionnez l'onglet Disques.
8. Le disque A doit déjà exister. Cliquez sur Ajouter, sélectionnez Paire de disques B, puis
cliquez sur OK pour que la nouvelle paire de disques soit disponible sur le système.
Lorsque vous augmentez ou diminuer le stockage d'un collecteur de journaux, les

informations sur la nouvelle capacité de stockage sont reconnues par le serveur de gestion
Panorama et les groupes de collecteurs de journaux sont mis à jour afin d'équilibrer la
journalisation. Quelles que soient les attributions entre pare-feu et collecteur, les journaux
sont répartis entre tous les collecteurs du groupe afin de préserver l'utilisation du stockage
entre le groupe de collecteurs. Notez que pendant ce processus de rééquilibrage, vous pouvez
constater qu'un trafic réseau important sous forme de données de journaux est déplacé entre
les collecteurs.
Pour consulter la capacité du disque d'un groupe de collecteurs de journaux ou d'un

collecteur de journaux particulier, accédez à l'interface Web du serveur de gestion Panorama,
accédez à Panorama > Groupes de collecteurs, cliquez sur le nom d'un groupe, puis sur
l'onglet Général. En regard de Stockage du journal, un lien indiquant la quantité de stockage
totale et disponible s'affiche. Cliquez sur ce lien pour afficher la fenêtre des paramètres
Stockage du journal dans laquelle vous pouvez allouer du stockage à diverses fonctions.
Affichage des informations de déploiement du pare-feu
Affichage des informations de déploiement du pare-feu

Panorama > Déploiement
Ouvrez les pages Déploiement pour consulter les informations de déploiement actuel sur les
périphériques gérés et gérer les versions logicielles des périphériques tel que décrit dans le
tableau suivant.
Tableau 156. Pages Déploiement de Panorama

Champ Description
Répertorie les versions du logiciel du pare-feu qui sont disponibles pour
Logiciel
installation sur les pare-feux gérés.
Répertorie les versions du logiciel du client VPN SSL qui sont disponibles
Client VPN SSL
pour installation sur les pare-feux gérés.
Répertorie les versions du logiciel du client GlobalProtect qui sont
Client GlobalProtect
disponibles pour installation sur les pare-feux gérés.
Mises à jour Répertorie les définitions des menaces et des applications qui sont
dynamiques disponibles pour utilisation sur les pare-feux gérés. Reportez-vous à
« Mise à jour des définitions des menaces et des applications » à la
page 59 pour plus d'informations sur l'utilisation de cette page.
Licences Répertorie chaque périphérique géré et l'état de la licence actuelle.

Chaque entrée indique si la licence est active (icône ) ou inactive
(icône ), ainsi que la date d'expiration des licences actives.
• Cliquez sur Rafraîchir pour mettre à jour la liste.
• Cliquez sur Activer pour activer une licence. Sélectionnez les
périphériques gérés pour l'activation et saisissez le code
d'authentification fourni pour le périphérique par Palo Alto Networks.
Exécutez l'une des fonctions suivantes sur la page Logiciel, VPN SSL ou GlobalProtect :
• Cliquez sur Rafraîchir pour connaître les dernières versions logicielles disponibles auprès de
Palo Alto Networks.
• Cliquez sur Notes de version pour consulter une description des modifications apportées
dans une version.
• Cliquez sur Télécharger pour installer une nouvelle version à partir du site de
téléchargement. Une fois le téléchargement terminé, une coche s'affiche dans la colonne
Téléchargé. Pour installer une version téléchargée, cliquez sur Installer en regard de la
version.
Pendant l'installation, il vous êtes demandé de redémarrer une fois l'installation terminée.
Une fois l'installation terminée, vous êtes déconnecté lorsque le pare-feu est redémarré. Le
pare-feu est redémarré si cette option a été sélectionnée.
• Cliquez sur Charger pour installer ou activer une version préalablement stockée sur votre PC.
Recherchez et sélectionnez le module logiciel, puis cliquez sur Installer depuis le fichier.
Choisissez le fichier que vous venez de sélectionner dans la liste déroulante, puis cliquez sur
OK pour installer l'image.
• Cliquez sur l'icône Supprimer pour supprimer une version obsolète.
Sauvegarde des configurations du pare-feu
Sauvegarde des configurations du pare-feu
Panorama > Configuration
Panorama enregistrement automatiquement chaque configuration validée sur les pare-feux

gérés. Vous pouvez configurer le nombre de versions à conserver sur le périphérique
Panorama à l'aide des paramètres de gestion sous Configuration dans l'onglet Panorama. Le
nombre par défaut est de 100. Pour obtenir des instructions sur la configuration du nombre de
versions, reportez-vous à « Définition des paramètres de gestion » à la page 32.
Pour gérer des sauvegardes sur Panorama, choisissez Panorama > Périphériques gérés, puis
cliquez sur Gérer dans la colonne Sauvegardes d'un périphérique. Une fenêtre indiquant les
configurations sauvegardées et validées du périphérique s'affiche. Cliquez sur un lien
Charger pour restaurer la sauvegarde de la configuration candidate, apportez les
modifications souhaitées, puis cliquez sur Valider pour restaurer la configuration chargée sur
le périphérique. Pour supprimer une configuration sauvegardée, cliquez sur l'icône .
Planification de l'exportation de la configuration

Panorama > Exportation programmée des configurations
Panorama enregistre une sauvegarde des configurations en cours d'exécution de tous les
périphériques gérés en plus de ses propres configurations actuelles. Utilisez la page
Exportation programmée des configurations pour collecter les configurations en cours
d'exécution de tous les périphériques gérés, regroupez-les dans un fichier gzip, puis planifiez
une livraison quotidienne du module sur un serveur FTP ou à l'aide de la fonction SCP
(Secure Copy) afin de transférer les données à un hôte distant et en toute sécurité. Les fichiers
sont au format XML et leurs noms sont basés sur les numéros de série des périphériques.
Utilisez cette page pour configurer un calendrier de collecte et d'exportation des
configurations des périphériques gérés.
Tableau 157. Planification de l'exportation de la configuration

Champ Description
Nom Donnez un nom pour identifier la tâche d'exportation de l'ensemble
de configuration (31 caractères maximum). Le nom est sensible à la
casse et doit être unique. N'utilisez que des lettres, chiffres, traits
Activer Cochez cette case pour activer la tâche d'exportation.
Type de journal Sélectionnez le type de journal que vous souhaitez exporter (trafic,
menaces, URL, données, correspondance Hip).
Heure (quotidienne) de début Précisez l'heure du jour de démarrage de l'exportation (horloge
de l'exportation programmée 24 heures, format HH:MM).
Protocole Sélectionnez le protocole à utiliser pour l'exportation des journaux
entre le pare-feu et un hôte distant. Vous pouvez utiliser le
protocole SCP pour exporter les journaux en toute sécurité ou le
protocole non sécurisé FTP.
Mise à niveau du logiciel Panorama
Tableau 157. Planification de l'exportation de la configuration (suite)

Champ Description
Nom d'hôte Saisissez l'adresse IP ou le nom d'hôte du serveur FTP cible.
Port Saisissez le numéro de port du serveur cible.
Chemin Précisez le chemin sur le serveur FTP qui sera utilisé pour stocker
les informations exportées.
Activer le mode passif FTP Cochez cette case pour utiliser le mode passif FTP.
Nom d'utilisateur Précisez le nom d'utilisateur sur le système cible.
Mot de passe Précisez le mot de passe de l'utilisateur sur le système cible.
Confirmer le mot de passe
Tester la connexion au Cliquez sur ce bouton pour tester la communication entre le pare-
serveur SCP feu et l'hôte/le serveur SCP.
Pour permettre le transfert sécurisé des données, vous devez
vérifier et accepter la clé d'hôte du serveur SCP. La connexion n'est
pas établie tant que la clé d'hôte n'est pas acceptée.
Panorama > Logiciel
Pour mettre à niveau vers une nouvelle version du logiciel Panorama, vous devez consulter
les dernières versions du logiciel Panorama disponibles auprès de Palo Alto Networks, lire les
notes de version de chaque version, puis sélectionner la version que vous souhaitez
télécharger et installer (une licence est requise).
Pour mettre à niveau le logiciel Panorama, cliquez sur Rafraîchir pour connaître les dernières
versions logicielles disponibles auprès de Palo Alto Networks. Pour consulter une description
des modifications apportées dans une version, cliquez sur Notes de version en regard de la
version.
Remarque : Panorama contrôle régulièrement l'intégrité du système de fichiers

(FSCK) afin d'éviter une corruption des fichiers du système Panorama. Ce contrôle
a lieu après 8 redémarrage ou lors d'un redémarrage 90 jours après le dernier
contrôle d'intégrité du système de fichiers. Lorsque Panorama exécute un contrôle
FSCK, un avertissement s'affiche sur l'interface Web et sur les écrans de
connexion SSH et indique qu'un contrôle FSCK est en cours et que vous ne pouvez
pas vous connectez tant que celui-ci n'est pas terminé. La durée d'exécution de ce
processus varie en fonction de la taille du système de stockage et plusieurs heures,
en fonction de la taille, peuvent être nécessaires avant que vous ne puissiez vous
reconnecter à Panorama.
Pour consulter la progression, configurez l'accès de la console à Panorama.
1. Pour installer une nouvelle version :
a. Cliquez sur Télécharger en regard de la version à installer. Une fois le téléchargement

terminé, une coche s'affiche dans la colonne Téléchargé.
b. Pour installer une version téléchargée, cliquez sur Installer en regard de la version.
Une fois l'installation terminée, vous êtes déconnecté lorsque le système Panorama est
redémarré.
2. Pour supprimer une version obsolète, cliquez sur en regard de la version.
Remarque : Le logiciel est supprimé afin de libérer de l'espace pour les

téléchargements de nouvelles versions. Cette opération est automatique et ne peut
pas être contrôlée manuellement.
Chapitre 14
Configuration de WildFire
Ce chapitre décrit l'utilisation de WildFire pour l'analyse et la création de rapports sur les
logiciels malveillants qui traversent le pare-feu :
• « A propos de WildFire » dans la section suivante
• « Paramétrage de WildFire sur le pare-feu » à la page 463
• « Configuration du transfert de WildFire » à la page 464
• « Journal de filtrage des données WildFire » à la page 465
• « Utilisation du portail WildFire » à la page 466
A propos de WildFire
WildFire permet aux utilisateurs d'envoyer des fichiers à l'environnement Palo Alto Networks
sécurisé, en nuage et virtualisé, où ils sont automatiquement analysés pour détecter toute
activité malveillante. Le système WildFire permet l'exécution de fichiers dans un
environnement vulnérable, et surveille de nombreux comportements et techniques
malveillants spécifiques, tels que la modification de fichiers système, la désactivation de
fonctions de sécurité ou l'utilisation de diverses méthodes pour échapper à la détection.
Palo Alto Networks Configuration de WildFire • 461

A propos de WildFire
Les types de fichiers pris en charge incluent les fichiers Win32 PE (Portable Executable), p. ex. exe,
dll et scr. Lorsque vous choisissez les types de fichiers dans le profil des objets, vous pouvez
sélectionner PE pour prendre en charge tous les types de fichiers Win32 PE.
Les types de fichiers peuvent être analysés même s'ils sont compressés (zip, gzip) ou sur SSL si le
chiffrement est activé dans la politique. Les types de fichiers PE sont également pré-analysés
directement sur le périphérique, afin de rechercher les contenus présentant un risque élevé avant
de les transférer à WildFire.
Remarque : Lorsque vous choisissez PE dans la colonne Types de fichiers du

profil des objets, n'ajoutez aucun type de fichier faisant partie de cette
catégorie,sinon vous trouverez des entrées redondantes dans les journaux de
filtrage des données. Par exemple, si vous choisissez PE, vous ne devez pas
ajouter exe. Cela s'applique également au type de fichier zip, car les types de
fichiers pris en charge compressés seront automatiquement envoyés à WildFire.
Le choix d'une catégorie garantit également que lorsqu'un nouveau type de fichier
est ajouté à une catégorie donnée, celui-ci fait automatiquement partie de le profil
des objets. Vous pouvez également sélectionner Indifférent pour charger tous les
types de fichiers pris en charge dans WildFire.
Lorsque de nouveaux logiciels malveillants sont détectés, WildFire génère automatiquement

des signatures antivirus et les distribue aux pare-feu disposant d'un abonnement de
prévention des menaces. Ces signatures font partie des signatures antivirus quotidiennes
mises à jour toutes les 24-48 heures.
Si vous disposez d'un abonnement WildFire, plusieurs nouvelles fonctions sont disponibles :
• Mises à jour dynamiques WildFire : une nouvelle section nommée WildFire est
disponible dans Périphérique > Mises à jour dynamiques. Lorsque des nouveaux logiciels
malveillants sont détectés, des signatures WildFire sont créées sur le site de support
toutes les heures, et la planification des mises à jour WildFire vous permet de rechercher
de nouvelles signatures WildFire toutes les 15, 30 ou 60 minutes. Lorsque de nouvelles
signatures WildFire sont téléchargées sur votre pare-feu, vous pouvez configurer le pare-
feu pour entreprendre des actions spécifiques sur ces signatures, différentes des actions
normales sur les signatures antivirus.
• Journaux WildFire intégrés : lorsque les fichiers sont chargés et analysés par le
serveur WildFire, les données des journaux sont renvoyées au périphérique après
analyse, avec les résultats d'analyse. Les journaux sont écrits sur la page Surveillance >
Journaux > WildFire.
• API WildFire : la licence API WildFire vous permet un accès par programme au
service WildFire dans le cloud, à l'exclusion de son utilisation par les pare-feu Palo Alto
Networks. L'API WildFire peut être utilisée pour envoyer, analyser et vérifier des
rapports sur les fichiers envoyés au système WildFire. Vous pouvez charger jusqu'à
100 fichiers par jour.
Les résultats de l'analyse détaillée des fichiers envoyés sont également disponibles via le
portail WildFire ; vous pouvez afficher ces informations sans aucun abonnement. Le
portail WildFire peut vous permettre de voir les utilisateurs ciblés, les applications utilisées et
le comportement malveillant observé. Vous pouvez également configurer le portail WildFire
de manière à envoyer des notifications par e-mail, lorsque les résultats sont disponibles pour
vérification. Reportez-vous à la section « Utilisation du portail WildFire » à la page 466.
462 • Configuration de WildFire Palo Alto Networks

Paramétrage de WildFire sur le pare-feu
Paramétrage de WildFire sur le pare-feu

Effectuez ces tâches afin de configurer votre environnement pour l'utilisation de WildFire.
1. Sur le pare-feu, configurez les paramètres sur la page Périphérique > Configuration.
Reportez-vous à la section « Configuration des paramètres WildFire sur le pare-feu » à la
page 463.
2. Sur le pare-feu, configurez vos profils de blocage de fichiers de manière à inclure l'action
Transférer ou Continuer et transférer. Reportez-vous à la section « Configuration du transfert
de WildFire » à la page 464 pour les procédures à suivre ou à la section « Profils de blocage des
fichiers » à la page 237 pour plus d'informations.
3. Incorporez des profils de blocage de fichiers dans une politique de sécurité, comme vous le
feriez pour tout autre profil de blocage de fichiers. Reportez-vous à la section « Politiques de
4. Accédez au portail WildFire et configurez les paramètres facultatifs. Reportez-vous à la

section « Utilisation du portail WildFire » à la page 466.
Vous pouvez désormais accéder au portail WildFire pour afficher les rapports. Reportez-vous à la
section « Affichage des rapports WildFire » à la page 467.
Configuration des paramètres WildFire sur le pare-feu

Périphérique > Configuration > WildFire
L'onglet WildFire vous permet de contrôler les informations à envoyer au serveur WildFire.
Remarque : Pour transférer le contenu déchiffré à WildFire, vous devez cocher la

case Autoriser le transfert du contenu déchiffré dans la zone des paramètres
Périphérique > Configuration > ID de contenu > Filtrage des URL.
Tableau 158. Paramètres WildFire sur le pare-feu

Champ Description
Paramètres
généraux
Serveur WildFire Spécifiez l'URL d'un serveur WildFire. Spécifiez la valeur Cloud par
défaut pour permettre au pare-feu de rechercher automatiquement le
serveur WildFire le plus proche.
Taille de fichier Spécifiez la taille de fichier maximale qui sera transférée au
maximale (Mo) serveur WildFire (de1 à 10 Mo, 2 Mo par défaut). Les fichiers dont la taille
est supérieure à la taille spécifiée ne sont pas envoyés.

Configuration du transfert de WildFire
Tableau 158. Paramètres WildFire sur le pare-feu (suite)

Champ Description
Paramètres des
informations de
session
Paramètres Spécifiez les informations à transférer au serveur WildFire. Par défaut,
toutes les informations sont sélectionnées :
• Adresse IP source : adresse IP source ayant envoyé le fichier suspect.
• Port source : port source ayant envoyé le fichier suspect.
• Adresse IP de destination : adresse IP de destination ayant envoyé le
fichier suspect.
• Port de destination : port de destination ayant envoyé le fichier suspect.
• Vsys : système virtuel de pare-feu ayant identifié le logiciels malveillant
possible.
• Application : application utilisateur utilisée pour transmettre le fichier.
• Utilisateur : utilisateur ciblé.
• URL : URL associée au fichier suspect.
• Nom du fichier : nom du fichier envoyé.
Configuration du transfert de WildFire

Une fois que vous avez configuré les paramètres WildFire sur le pare-feu, vous pouvez configurer
le transfert pour permettre aux fichiers d'être envoyés au système WildFire pour analyse. Créez
d'abord un profil de blocage de fichiers, puis incluez ce profil dans une politique de sécurité.
Pour configurer un profil de blocage de fichiers pour WildFire :
1. Sélectionnez Objets > Profils de sécurité > Blocage des fichiers.
2. Cliquez sur Ajouter pour ajouter un nouveau profil, puis saisissez un Nom et une
Description.
3. Cliquez sur Ajouter dans la fenêtre Profil de blocage des fichiers. Cliquez dans le champ
Noms pour saisir un nom de règle.
4. Sélectionnez la ou les Application(s) qui seront identifiées pour ce profil. Par exemple, si vous
choisissez l'application Navigation Web, le profil identifie les fichiers téléchargés à partir
d'une page Web.
5. Dans le champ Type de fichier, sélectionnez les types de fichiers que vous souhaitez
transférer pour analyse.
6. Dans le champ Direction, sélectionnez Charger, Télécharger ou les deux. Si vous sélectionnez
les deux, le profil identifie les fichiers chargés ou téléchargés par l'utilisateur.

Journal de filtrage des données WildFire
7. Dans le champ Action, sélectionnez Charger. Tout fichier identifié sera envoyé au
système WildFire , puis analysé et enfin fourni à l'utilisateur. Si vous sélectionnez Continuer
et transférer, une page vous invitant à continuer s'affiche avant que le téléchargement puisse
être effectué.
Si WildFire détermine que le fichier est un fichier malveillant au jour 0, un rapport est généré
sur le portail WildFire et une nouvelle signature antivirus est créée dans les 24-48 heures. Si
vous êtes un abonné WildFire, une entrée est ajoutée dans le journal de filtrage des données
sur le pare-feu et une signature est créée en une heure.
Pour configurer une politique de sécurité pour WildFire :

1. Sélectionnez Politiques > Sécurité.
2. Cliquez sur Ajouter pour créer une nouvelle politique, ou sélectionnez-en une existante.
3. Cliquez sur l'onglet Actions, puis sous Configuration du profil, cliquez sur la liste
déroulante en regard de Blocage des fichiers et choisissez le profil de sécurité que vous
avez créé.
4. Cliquez sur Valider pour appliquer vos modifications.
Remarque : Lorsque vous créez un profil de blocage de fichier à l'aide de l'action

Continuer ou Continuer et transférer (action utilisée pour le
transfert WildFire), vous pouvez uniquement choisir l'application
Navigation Web. Si vous choisissez une autre application, le trafic correspondant
à la politique de sécurité ne traverse pas le pare-feu car aucune page vous invitant à
continuer ne s'affiche.
Journal de filtrage des données WildFire

Cette section décrit les diverses actions de transfert que vous pouvez voir dans les journaux
lorsque WildFire est configuré et que les fichiers sont transférés pour analyse. Les journaux se
trouvent dans Surveillance > Journaux > Filtrage des données.
Tableau 159. Description des journaux de filtrage des données WildFire

Journal Description
wildfire-upload-skip Cette action va être affichée dans les logs pour les fichiers
identifiés comme éligibles d’être envoyés à WildFire via une
politique de sécurité avec l’action « Forward ».
De ce fait le ou les fichiers ne seront pas envoyés et analysés par le
Cloud Wildfire car ils ont déjà été soumis par une session
précédente ou un autre Firewall.
L’action « Forward » va apparaitre dans les logs car cette action
reste valable par le biais de la politique de sécurité.
wildfire-upload-success Le fichier a été envoyé au cloud. Cela signifie que le fichier n'est
pas signé par un signataire de fichiers approuvé et n'a pas encore
été analysé par WildFire.

Utilisation du portail WildFire

Pour accéder au portail WildFire, rendez-vous sur la page https://wildfire.paloaltonetworks.com,
puis connectez-vous à l'aide de vos informations d'identification de support Palo Alto
Networks ou de votre compte WildFire.
Le portail affiche le tableau de bord, qui répertorie les informations des rapports de synthèse
pour tous les pare-feu associés au compte WildFire spécifique ou au compte de support (ainsi
que tous les fichiers chargés manuellement). Celui-ci indique également le nombre de fichiers
analysés, bénins, infectés par des logiciels malveillants ou en attente d'analyse.
Remarque : Pour charger un fichier manuellement, cliquez sur Charger le

fichier dans le coin supérieur droit de la page WildFire.
Figure 54. Tableau de bord WildFire

Configuration des paramètres sur le portail WildFire

Cliquez sur le lien Paramètres en haut du portail WildFire pour configurer les paramètres
suivants :
Tableau 160. Paramètres sur le portail WildFire

Champ Description
Mot de passe Pour modifier votre mot de passe, saisissez les valeurs dans les champs
suivants :
• Mot de passe actuel : saisissez votre mot de passe actuel.
• Nouveau mot de passe/Confirmer le mot de passe : saisissez et
confirmez un nouveau mot de passe.
Fuseau horaire Sélectionnez le fuseau horaire dans la liste déroulante. Il s'agit du fuseau
horaire utilisé pour indiquer la date et l'heure auxquelles WildFire reçoit
des fichiers.
Notifications par Choisissez les notifications que vous souhaitez recevoir par e-mail. Les
e-mail notifications sont envoyées par e-mail à l'utilisateur WildFire actuellement
connecté. Pour chaque périphérique et pour les fichiers manuellement
chargés sur le serveur WildFire, vous pouvez choisir l'une des notifications
par e-mail suivantes :
• Logiciel malveillant : une notification est envoyée par e-mail lorsqu'un
fichier est déterminé malveillant.
• Les deux : une notification est envoyée par e-mail lorsque des fichiers
sont déterminés malveillants ou bénins.
• Aucun : aucune notification n'est envoyée par e-mail.
Affichage des rapports WildFire

Cliquez sur le bouton Rapports en haut du portail WildFire afficher la liste des rapports
disponibles. Des options de recherche sont disponibles en haut de la page et des contrôles de
pagination sont inclus.
Pour afficher un rapport, cliquez sur l'icône à gauche du nom du rapport. Pour imprimer
un rapport détaillé, utilisez l'option Imprimer de votre navigateur.

Figure 55. Page Rapports WildFire

Annexe A
Pages personnalisées
Les pages de réponse personnalisées vous permettent d'informer les utilisateurs finals de
violations de politiques et de conditions d'accès spéciales. Chaque page peut inclure des
références sur l'adresse IP de l'utilisateur, l'URL objet de la tentative d'accès et la catégorie
d'URL. Ces paramètres peuvent également être utilisés dans des liens vers des systèmes de
dossiers d'incidents.
Cette annexe fournit le code HTML des pages de réponse personnalisées par défaut
suivantes :
• « Page de réponse antivirus par défaut » dans la section suivante
• « Page de blocage des applications par défaut » à la page 471
• « Page de blocage des fichiers par défaut » à la page 471
• « Page de réponse de filtrage des URL par défaut » à la page 472
• « Page de réponse de téléchargement d'antispyware par défaut » à la page 473
• « Page de réponse d'exclusion de décryptage par défaut » à la page 473
• « Page Confort du portail captif » à la page 474
• « Page de maintien et de forçage du filtrage des URL » à la page 474
• « Page de connexion VPN SSL » à la page 475
• « Page de notification de révocation des certificats SSL » à la page 476
Remarque : Pour plus d'informations sur l'importation ou l'exportation de pages

de réponse personnalisées, reportez-vous à « Définition des pages de réponse
personnalisées » à la page 124.
Page de réponse antivirus par défaut

<html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Il s'agit d'un test</title>
<style>

</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Il s'agit d'un test.</p>
</div>
</body>
</html>

Page de blocage des applications par défaut
<html>
<head>
<title>Application bloquée</title>
<style>
#content{border:3px solid#aaa;background-
color:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sans-
serif;font-size:12px;}
h1{font-size:20px;font-weight:bold;color:#196390;}
b{font-weight:bold;color:#196390;}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Application bloquée</h1>
<p>L'accès à l'application que vous tentiez d'utiliser a été bloqué
conformément à la politique de l'entreprise. Veuillez contacter votre
administrateur système si vous pensez qu'il s'agit d'une erreur.</p>
<p><b>Utilisateur :</b> <user/> </p>
<p><b>Application :</b> <appname/> </p>
</div>
</body>
</html>
Page de blocage des fichiers par défaut

<html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Il s'agit d'un test</title>
<style>

</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Il s'agit d'un test.</p>
</div>
</body>
</html>
Page de réponse de filtrage des URL par défaut

<html>
<head>
<title>Page Web bloquée</title>
<style>
</style>
</head>
<div id="content">
<h1>Page Web bloquée</h1>
<p>L'accès à la page Web que vous tentiez de consulter a été bloqué
<p><b>URL :</b> <url/> </p>
<p><b>Catégorie :</b> <category/> </p>
</div>
</body>
</html>

Page de réponse de téléchargement d'antispyware par défaut
<application-type>
<category>
<entry name="réseau" id="1">
<subcategory>
<entry name="accès à distance" id="1"/>
<entry name="proxy" id="2"/>
<entry name="tunnel crypté" id="3"/>
<entry name="routage" id="4"/>
<entry name="infrastructure" id="5"/>
<entry name="protocole IP" id="6"/>
</subcategory>
</entry>
<entry name="collaboration" id="2">
<subcategory>
<entry name="courrier électronique" id="7"/>
<entry name="messagerie instantanée" id="8"/>
<entry name="réseaux sociaux" id="9"/>
<entry name="conférence Web" id="10"/>
<entry name="VoIP/vidéo" id="11"/>
</subcategory>
</entry>
<entry name="multimédia" id="3">
<subcategory>
<entry name="vidéo" id="12"/>
<entry name="jeux" id="13"/>
<entry name="diffusion audio en continu" id="14"/>
</subcategory>
</entry>
<entry name="systèmes professionnels" id="4">
<subcategory>
<entry name="service d'authentification" id="15"/>
<entry name="base de données"id="16"/>
<entry name="ERP-CRM" id="17"/>
<entry name="grand public/professionnel" id="18"/>
<entry name="gestion" id="19"/>
<entry name="programmes bureautiques" id="20"/>
<entry name="mise à jour logicielle" id="21"/>
<entry name="sauvegarde de secours" id="22"/>
</subcategory>
</entry>
<entry name="Internet grand public" id="5">
<subcategory>
<entry name="partage de fichier" id="23"/>
<entry name="utilitaire Internet" id="24"/>
</subcategory>
</entry>
</category>
<technology>
<entry name="protocole réseau" id="1"/>
<entry name="client/serveur" id="2"/>
<entry name="poste à poste" id="3"/>
<entry name="navigateur Web" id="4"/>
</technology>
</application-type>
Page de réponse d'exclusion de décryptage par défaut

<h1>Inspection SSL</h1>
<p>Conformément à la politique de sécurité de l'entreprise, la connexion cryptée
SSL que vous avez établie sera temporairement décryptée afin de pouvoir
l'analyser et rechercher des virus, logiciels espions et autres programmes
malveillants.</p>
<p>Une fois la connexion analysée, elle sera de nouveau cryptée puis envoyée à
sa destination. Aucune donnée ne sera stockée ou mise à disposition à d'autres
fins.</p>
<p><b>IP :</b> <url/> </p>

Page Confort du portail captif
<h1 ALIGN=CENTER>Portail captif</h1>
<h2 ALIGN=LEFT>Conformément à la politique de sécurité de l'entreprise, vous

devez vous authentifier pour pouvoir accéder au réseau.</h2>
<pan_form/>
Page de maintien et de forçage du filtrage des URL

<html>
<head>
<title>Page Web bloquée</title>
<style>
form td, form input {
font-size: 11px;
font-weight: bold;
}
#formtable {
height: 100%;
width: 100%;
}
#formtd {
vertical-align: middle;
}
#formdiv {
margin-left: auto;
margin-right: auto;
}
</style>
<script type="text/javascript">
function pwdCheck() {
if(document.getElementById("pwd")) {
document.getElementById("continueText").innerHTML = "Si vous devez
accéder à cette page, demandez à un administrateur d'entrer le mot de passe de
forçage ici :";
}
}
</script>
</head>
<div id="content">
<h1>Page Web bloquée</h1>
<p>L'accès à la page Web que vous tentiez de consulter a été bloqué
<p><b>URL :</b> <url/> </p>
<hr>
<p id="continueText">Si vous pensez que cette page a été bloquée de manière
inappropriée, cliquez sur Continuer pour accéder à la page. Cette action ne
sera toutefois pas consignée.</p>
<div id="formdiv">
<pan_form/>
</div>
<a href="#" onclick="history.back();return false;">Revenir à la page
précédente</a>
</div>
</body>
</html>

Page de connexion VPN SSL
<HTML>
<HEAD>
<TITLE>Palo Alto Networks - VPN SSL</TITLE>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<link rel="stylesheet" type="text/css" href="/styles/
falcon_content.css?v=@@version">
<style>
td {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-weight: bold;
color: black; /*#FFFFFF; */
}
.msg {
background-color: #ffff99;
border-width: 2px;
border-color: #ff0000;
border-style: solid;
padding-left: 20px;
padding-right: 20px;
max-height: 150px;
height: expression( this.scrollHeight > 150 ? "150px" : "auto" ); /*
définit la hauteur max. d'IE */
overflow: auto;
}
.alert {font-weight: bold;color: red;}
</style>
</HEAD>
<BODY bgcolor="#F2F6FA">
<table style="background-color: white; width:100%; height:45px; border-
bottom: 2px solid #888888;">
<tr style="background-image:url(/images/logo_pan_158.gif);
background-repeat: no-repeat">
<td align="left"> </td>
</tr>
</table>
<div align="center">
<h1>Palo Alto Networks - Portail VPN SSL</h1>
</div>
<div id="formdiv">
<pan_form/>
</div>
</BODY>
</HTML>

Page de notification de révocation des certificats SSL
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<html>
<head>
<title>Erreur de certificat</title>
<style>
</style>
</head>
<div id="content">
<h1>Erreur de certificat</h1>
<p>Un problème lié au certificat SSL du serveur que vous tentez de contacter
s'est produit.</p>
<p><b>Nom du certificat :</b> <certname/> </p>
<p><b>IP :</b> <url/> </p>
<p><b>Emetteur :</b> <issuer/> </p>
<p><b>Statut :</b> <status/> </p>
<p><b>Motif :</b> <reason/> </p>
</div>
</body>
</html>

Annexe B
Catégories, sous-catégories,
technologies et caractéristiques
d'applications
L'annexe répertorie les catégories liées aux applications définies par Palo Alto Networks:
• « Catégories et sous-catégories d'applications » dans la section suivante
• « Technologies d'applications » à la page 479
• « Caractéristiques d'applications » à la page 479
La base de données Applipedia est également accessible sur le pare-feu dans Objets >
Applications, en ligne à l'adresse http://apps.paloaltonetworks.com/applipedia/, et une
application est disponible dans l'App Store d'Apple.
Catégories et sous-catégories d'applications

Les catégories et sous-catégories d'applications suivantes sont prises en charge :
• système professionnel
– service d'authentification
– base de données
– ERP-CRM
– grand public/professionnel
– gestion
– programmes bureautiques
– mise à jour logicielle
– sauvegarde de secours
• collaboration
– courrier électronique
– messagerie instantanée

Catégories et sous-catégories d'applications
– conférence Web
– social/professionnel
– utilitaire Internet
– réseaux sociaux
– VoIP/vidéo
– publication Web
• Internet grand public
– partage de fichier
– utilitaire Internet
• multimédia
– diffusion audio en continu
– jeux
– photo/vidéo
• réseau
– tunnel crypté
– infrastructure
– protocole IP
– proxy
– accès à distance
– routage
• inconnu

Technologies d'applications
Technologies d'applications
Les technologies d'applications suivantes sont prises en charge.
Tableau 161. Technologies d'applications

basé sur navigateur Une application dont le fonctionnement dépend d'un navigateur Web.
client/serveur Une application qui utilise un modèle client/serveur dans lequel un ou
plusieurs clients communiquent avec un serveur du réseau.
protocole réseau Une application généralement utilisée pour la communication entre
systèmes et qui simplifie le fonctionnement du réseau. Ceci inclut la
plupart des protocoles IP.
poste à poste Une application qui communique directement avec d'autres clients
pour transférer des informations, plutôt que de recourir à un serveur
central, afin de simplifier la communication.
Caractéristiques d'applications
Les caractéristiques d'applications suivantes sont prises en charge.
Tableau 162. Caractéristiques d'applications

Evasif Utilise un port ou un protocole dans un but autre que celui visé
initialement et dans l'espoir qu'il traverse un pare-feu.
Utilise de manière régulière 1 Mbits/s minimum dans des conditions
Bande passante excessive
normales d'utilisation.
Sujet à utilisation frauduleuse Généralement utilisé à des fins malveillantes ou peut être facilement
configuré afin d'exposer d'autres utilisateurs en plus de celui visé.
Transfère des fichiers Est en mesure de transférer un fichier entre deux systèmes d'un réseau.
Véhicule d'autres applications Est en mesure de transporter d'autres applications sur son protocole.
Utilisé par un logiciel Un programme malveillant est connu pour utiliser l'application à des
malveillant fins de propagation, d'attaque ou de vol de données, ou est intégré à un
programme malveillant.
Vulnérabilité Comporte des vulnérabilités rendues publiques.
Largement utilisé Concerne plus de 1 000 000 d'utilisateurs.
Poursuivre l'analyse d'autres Demande au pare-feu de continuer à rechercher si d'autres signatures
applications d'applications correspondent. Si cette option n'est pas sélectionnée, la
première signature correspondante est signalée et le pare-feu cesse de
rechercher d'autres applications correspondantes.

Caractéristiques d'applications

Annexe C
Prise en charge des normes FIPS
(Federal Information Processing
Standards)
Vous pouvez configurer le pare-feu de sorte qu'il prenne en charge les normes Federal
Information Processing Standards 140-2 (FIPS 140-2) utilisées par les organismes publics civils
et prestataires publics américains.
Pour activer le mode FIPS sur une version logicielle prenant en charge les normes FIPS,
démarrez le pare-feu en mode maintenance, puis sélectionnez Définir le mode FIPS dans le
menu principal.
Pour obtenir des instructions sur le démarrage en mode maintenance, reportez-vous au Guide
de référence de l'interface de ligne de commande PAN-OS.
Les conditions suivantes s'appliquent lorsque le mode FIPS est activé :
• La configuration par défaut d'usine du périphérique est rétablie, et les options et
restrictions FIPS indiquées ci-dessous s'appliquent. Le mot de passe admin reprend
également la valeur paloalto.
• Pour pouvoir se connecter au pare-feu, le navigateur doit être compatible avec TLS 1.0.
• Tous les mots de passe du pare-feu doivent comporter six caractères minimum.
• Les comptes sont verrouillés une fois le nombre d'échecs de tentatives configuré dans la
page Périphérique > Configuration > Gestion atteint. Si le pare-feu n'est pas en mode
FIPS, il peut être configuré afin de ne jamais être verrouillé ; il peut toutefois l'être en
mode FIPS et une durée de verrouillage doit être définie.
• Le pare-feu détermine automatiquement le niveau d'auto-test approprié et applique la

force appropriée aux algorithmes cryptographiques et aux suites de chiffrement.
• Les algorithmes approuvés non FIPS ne sont pas décryptés et sont donc ignorés lors du
décryptage.
• Lors de la configuration du protocole IPSec, un sous-ensemble de suites de chiffrement

normalement disponibles est mis à disposition.
• Les certificats générés automatiquement et importés doivent contenir des clés publiques
de 2 048 bits ou plus.

• L'authentification basée sur une clé SSH doit utiliser des clés publiques RSA de 2 048 bits
ou plus.
• Le port série est désactivé.
• Les connexions de gestion Telnet, TFTP et HTTP ne sont pas disponibles.
• Le cryptage haute disponibilité (HD) est requis.
• L'authentification PAP est désactivée.
• La prise en charge de Kerberos est désactivée.

Annexe D
Licences libres
Le logiciel inclus dans ce produit contient un logiciel protégé par des droits d'auteur et soumis
à la Licence publique générale (GPL). Une copie de cette licence est incluse dans ce document.
Vous pouvez obtenir le code source correspondant complet auprès de nous pendant une
période de trois ans après la dernière expédition de ce produit en adressant un mandat ou un
chèque de 5 $ à :
Palo Alto Networks
Open Source Request
3300 Olcott St.
Santa Clara, Ca. 95054
Certains composants de ce produit peuvent être couverts par une ou plusieurs des licences
libres indiquées dans cette annexe :
• « Licence artistique » à la page 484
• « BSD » à la page 484
• « Licence publique générale GNU » à la page 486
• « Licence publique générale limitée GNU » à la page 489
• « MIT/X11 » à la page 496
• « OpenSSH » à la page 497
• « PSF » à la page 500
• « PHP » à la page 501
• « Zlib » à la page 502

BSD
BSD
Les détenteurs de droits d'auteur suivants proposent des logiciels sous la licence BSD :
• Julian Steward
• Thai Open Source Software Center Ltd
• The Regents of the University of California
• Nick Mathewson
• Niels Provos
• Dug Song
• Todd C. Miller
• University of Cambridge
• Sony Computer Science Laboratories Inc.
La redistribution et l'utilisation sous forme source et binaire, avec ou sans modification, sont
autorisées pourvu que les conditions suivantes soient remplies :
1. Les redistributions du code source doivent contenir la mention de copyright ci-dessus, cette liste
de conditions et l'avis de non-responsabilité ci-dessous.
2. Les redistributions sous forme binaire doivent reproduire la mention de copyright ci-dessus,
cette liste de conditions et l'avis de non-responsabilité ci-dessous dans la documentation et/ou les
autres documents fournis avec la distribution.
3. Les noms des auteurs ne peuvent pas être utilisés pour s'approprier ou promouvoir des
produits dérivés de ce logiciel sans accord écrit préalable.
CE LOGICIEL EST FOURNI « EN L'ETAT » ET SANS GARANTIE EXPLICITE OU IMPLICITE,
NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES IMPLICITES DE QUALITE
MARCHANDE OU D'ADEQUATION A UN USAGE PARTICULIER.
Licence artistique
Ce document est une adaptation libre de la « Licence artistique » distribuée dans le cadre du
kit Perl v4.0 par Larry Wall et qui est disponible sur la plupart des principaux sites
d'archivage.
Ce document vise à énoncer les conditions dans lesquelles ces Modules (voir la définition ci-
dessous), à savoir « Crack », Unix Password Cracker, « CrackLib », la bibliothèque Unix
Password Checking, qui sont protégés par des droits d'auteur par Alec David Edward
Muffett, peuvent être copiés de sorte que le détenteur du droit d'auteur puisse conserver un
certain contrôle artistique sur le développement des modules doit en accordant aux
utilisateurs du module le droit d'utiliser et de distribuer le Module de manière plus ou moins
personnalisée, ainsi que le droit d'apporter des modifications raisonnables.
Définitions :
Un « Module » représente l'ensemble de fichiers distribués par le Détenteur du droit d'auteur,
et les produits dérivés de cet ensemble de fichiers créés par le biais d'une modification
textuelle ou d'une partie de celui-ci.

Licence artistique
« Version standard » représente un tel Module s'il n'a pas été modifié, ou s'il l'a été
conformément aux souhaits du Détenteur du droit d'auteur.
« Détenteur du droit d'auteur » représente toute personne nommément citée dans la ou les
mentions de droits d'auteur du module.
« Vous » vous représente, si vous envisagez de copier ou de distribuer ce Module.
« Coût de copie raisonnable » est le coût que vous pouvez justifier sur la base du prix du
support, des frais de duplication, du temps de main d'œuvre nécessaire, etc. (Vous ne devra
pas justifier ce coût auprès du Détenteur du droit d'auteur, mais uniquement à la
communauté informatique dans son ensemble.)
« Disponible gratuitement » signifie qu'aucun coût n'est demandé pour l'objet en lui-même, même
si des frais de gestion de l'objet sont possibles. Cela signifie également que les destinataires de
l'objet peuvent le redistribuer dans les mêmes conditions que lorsqu'ils l'ont reçu.
1. Vous pouvez réaliser et fournir des copies exactes de la source de la Version standard de ce
Module sans restriction, à condition que vous dupliquiez l'ensemble des mentions de droit
d'auteur et avis de non-responsabilité associés d'origine.
2. Vous pouvez appliquer des corrections de bogues, des corrections de portabilité et d'autres
modifications dérivées du Domaine public ou du Détenteur du droit d'auteur. Un Module
ainsi modifié doit toujours être considéré comme la Version standard.
3. Vous pouvez modifier votre copie de ce Module d'une quelconque autre manière, à
condition que vous insériez et mettiez en évidence un avis dans chacun des fichiers modifiés
indiquant comment, quand et POURQUOI vous avez modifié ce fichier et à condition de
réaliser au moins UNE des actions suivantes :
a) placer vos modifications dans le Domaine public ou les rendre Disponible gratuitement, en
publiant lesdites modifications sur Usenet ou un support équivalent ou en plaçant les
modifications sur un site d'archivage majeur tel que uunet.uu.net, ou en autorisant le
Détenteur du droit d'auteur à inclure vos modifications dans la Version standard du Module.
b) utiliser le Module modifié au sein de votre entreprise ou organisation uniquement.
c) renommer les exécutables non standard de sorte qu'ils n'entrent pas en conflit avec les
exécutables standard, qui doivent également être fournis, et fournir une documentation
distincte pour chaque exécutable non standard qui décrit clairement en quoi il diffère de la
Version standard.
d) négocier avec le Détenteur du droit d'auteur d'autres accords de distribution.
4. Vous pouvez distribuer les programmes de ce Module sous forme de code objet ou
d'exécutable, à condition de réaliser au moins UNE des actions suivantes :
a) distribuer une Version standard des fichiers exécutables et de bibliothèques ainsi que des
instructions (page de manuel ou équivalent) sur l'obtention de la Version standard.
b) joindre la distribution de la source lisible par une machine du Module avec vos
modifications.
c) joindre tous les exécutables non standard avec les exécutables Version standard
correspondants, en donnant aux exécutables non standard des noms non standard et en
indiquant clairement les différences dans les pages de manuel (ou équivalents), ainsi que des
instructions sur l'obtention de la Version standard.
d) négocier avec le Détenteur du droit d'auteur d'autres accords de distribution.
5. Vous pouvez facturer un coût de copie raisonnable pour toute distribution de ce Module.
Vous pouvez facturer un coût de votre choix pour l'assistance de ce Module. VOUS NE
POUVEZ PAS FACTURER UN COUT POUR CE MODULE LUI-MEME. Cependant, vous
pouvez distribuer ce Module en l'associant à d'autres programmes (potentiellement
commerciaux) dans le cadre d'une distribution logicielle (potentiellement commerciale) plus
importante à condition DE NE PAS DECLARER que ce module est un de vos produits.

Licence publique générale GNU
6. Le nom du Détenteur du droit d'auteur ne peut pas être utilisé pour s'approprier ou
promouvoir des produits dérivés de ce logiciel sans accord écrit préalable.
7. CE MODULE EST FOURNI « EN L'ETAT » ET SANS GARANTIE EXPLICITE OU
IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES IMPLICITES DE
QUALITE MARCHANDE OU D'ADEQUATION A UN USAGE PARTICULIER.

Version 2, Juin 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc.
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, Etats-Unis
La copie et la distribution de copies exactes de ce document de licence sont autorisées, mais
aucune modification n'est permise.
Préambule :
Les licences d'utilisation de la plupart des programmes sont définies pour limiter ou supprimer
toute liberté à l'utilisateur. A l'inverse, la Licence publique générale GNU est destinée à vous
garantir la liberté de partager et de modifier les logiciels libres, et de s'assurer que ces logiciels sont
effectivement accessibles à tout utilisateur. Cette Licence publique générale s'applique à la plupart
des programmes de la Free Software Foundation, comme à tout autre programme dont l'auteur
l'aura décidé (d'autres logiciels de la FSF sont couverts pour leur part par la Licence publique
générale limitée GNU (LGPL). Vous pouvez également appliquer les termes de cette licence à vos
propres programmes.
Liberté des logiciels ne signifie pas nécessairement gratuité. Nos Licences publiques générales sont
conçues pour vous assurer la liberté de distribuer des copies des programmes, gratuitement ou
non, de recevoir le code source ou de pouvoir l'obtenir, de modifier les programmes ou d'en
utiliser des éléments dans de nouveaux programmes libres, en sachant que vous y êtes autorisé.
Afin de garantir ces droits, nous avons dû introduire des restrictions interdisant à quiconque de
vous les refuser ou de vous demander d'y renoncer. Ces restrictions vous imposent en retour
certaines obligations si vous distribuez ou modifiez des copies de programmes ou si vous les
modifiez.
Par exemple, si vous distribuez des copies d'un tel programme, que ce soit gratuitement ou non,
vous devez transmettre aux destinataires tous les droits que vous possédez. Vous devez vous
assurer d'expédier aux destinataires le code source ou bien tenir celui-ci à leur disposition. Vous
devez également leur remettre cette Licence afin qu'ils prennent connaissance de leurs droits.
Nous protégeons vos droits de deux façons : (1) par le copyright du logiciel, et (2) par la remise de
cette licence qui vous autorise légalement à copier, distribuer et/ou modifier le logiciel.
En outre, pour protéger chaque auteur ainsi que la FSF, nous affirmons solennellement que le
programme concerné ne fait l'objet d'aucune garantie. Si un tiers le modifie puis le redistribue, tous
ceux qui en recevront une copie doivent savoir qu'il ne s'agit pas de l'original afin qu'une copie
défectueuse n'entache pas la réputation de l'auteur du logiciel.
Enfin, tout programme libre est sans cesse menacé par des dépôts de brevets. Nous souhaitons à
tout prix éviter que des distributeurs puissent déposer des brevets sur les logiciels libres pour leur
propre compte. Pour éviter cela, nous stipulons bien que tout dépôt éventuel de brevet doit
accorder expressément à tous le libre usage du produit.
Les dispositions exactes et les conditions de copie, de distribution et de modification sont les
suivantes :
CONDITIONS RELATIVES A LA COPIE, LA DISTRIBUTION ET LA MODIFICATION

0. La présente Licence s'applique à tout programme (ou autre travail) où figure un avis, placé par
le détenteur des droits, stipulant que ledit programme ou travail peut être distribué selon les
termes de la présente Licence publique générale. Le terme « Programme » désigne aussi bien le
programme lui-même que tout travail qui en est dérivé selon la loi, c'est-à-dire tout ouvrage
reproduisant le Programme ou une partie de celui-ci, à l'identique ou bien modifié, et/ou traduit
dans une autre langue (la traduction est considérée comme une modification). Chaque personne
concernée par la licence sera désignée par le terme « Vous ».
Les activités autres que la copie, la distribution et la modification ne sont pas couvertes par la
présente Licence et sortent de son cadre. Rien ne restreint l'utilisation du Programme et les
données issues de celui-ci ne sont couvertes que si leur contenu constitue un travail basé sur le
Programme (indépendamment du fait d'avoir été réalisé en exécutant le Programme). Tout
dépend de ce que le Programme est censé produire.
1. Vous pouvez copier et distribuer des copies conformes du code source du Programme, tel que
vous l'avez reçu, sur n'importe quel support, à condition de placer sur chaque copie une mention
de copyright appropriée et une restriction de garantie, de ne pas modifier ou omettre tous les avis
se référant à la présente Licence et à la limitation de garantie, et de fournir avec toute copie du
Programme un exemplaire de la Licence.
Vous pouvez demander une rétribution financière pour la réalisation de la copie et demeurez libre
de proposer une garantie assurée par vos soins, moyennant finances.
2. Vous pouvez modifier votre ou vos copies du Programme ou une partie de celui-ci, ou d'un
travail basé sur ce Programme, et copier et distribuer ces modifications selon les termes de
l'article 1 ci-dessus, à condition de vous conformer également aux conditions suivantes :
a) Ajouter aux fichiers modifiés l'indication très claire des modifications apportées, ainsi que la
date de chaque changement.
b) Distribuer sous les termes de la Licence l'ensemble de toute réalisation contenant tout ou
partie du Programme, avec ou sans modifications.
c) Si le programme modifié lit des commandes de manière interactive lors de son exécution, faire
en sorte qu'il affiche, lors d'une invocation ordinaire, le copyright approprié en indiquant
clairement la limitation de garantie (ou la garantie que vous vous engagez à fournir), qu'il stipule
que tout utilisateur peut librement redistribuer le programme selon ces conditions de la Licence
publique générale, et qu'il montre à tout utilisateur comment lire une copie de celle-ci (exception :
si le Programme original est interactif mais n'affiche pas un tel message en temps normal, tout
travail dérivé de ce Programme ne sera pas non plus contraint de l'afficher).
Toutes ces conditions s'appliquent à l'ensemble des modifications. Si des éléments identifiables de
ce travail ne sont pas dérivés du Programme et peuvent être raisonnablement considérés comme
indépendants, la présente Licence ne s'applique pas à ces éléments lorsque vous les distribuez
seuls. Toutefois, si vous distribuez ces mêmes éléments comme partie d'un ensemble cohérent
dont le reste est basé sur un Programme soumis à la Licence, ils lui sont également soumis, et la
Licence s'étend ainsi à l'ensemble du produit, quel qu'en soit l'auteur.
Cet article n'a pas pour but de s'approprier ou de contester vos droits sur un travail entièrement
réalisé par vous, mais plutôt d'ouvrir droit à un contrôle de la libre distribution de tout travail
dérivé ou collectif basé sur le Programme.
En outre, toute fusion d'un autre travail, non basé sur le Programme, avec le Programme (ou avec
un travail dérivé de ce dernier), effectuée sur un support de stockage ou de distribution, ne fait pas
tomber cet autre travail sous le contrôle de la Licence.
3. Vous pouvez copier et distribuer le Programme (ou tout travail dérivé selon les conditions
énoncées dans l'article 2) sous forme de code objet ou exécutable, selon les termes des articles 1 et 2
ci-dessus, à condition de respecter l'une des clauses suivantes :
a) Fournir le code source complet du Programme, sous une forme lisible par un ordinateur et
selon les termes des articles 1 et 2 ci-dessus, sur un support habituellement utilisé pour l'échange
de données ; ou

b) Faire une offre écrite, valable pendant au moins trois ans, prévoyant de donner à tout tiers qui
en fera la demande une copie, sous forme lisible par un ordinateur, du code source correspondant,
pour un tarif n'excédant pas le coût de la copie, selon les termes des articles 1 et 2 ci-dessus, sur un
support habituellement utilisé pour l'échange de données ; ou
c) Informer le destinataire de l'endroit où le code source peut être obtenu (cette solution n'est
recevable que dans le cas d'une distribution non commerciale, et uniquement si vous avez reçu le
programme sous forme de code objet ou exécutable avec l'offre prévue à l'alinéa b ci-dessus).
Le code source d'un travail désigne la forme de cet ouvrage sous laquelle les modifications sont les
plus aisées. Sont ainsi désignés la totalité du code source de tous les modules composant un
programme exécutable, de même que tout fichier de définition associé, ainsi que les scripts utilisés
pour effectuer la compilation et l'installation du programme exécutable. Toutefois,
l'environnement standard de développement du système d'exploitation mis en œuvre (source ou
binaire), compilateurs, bibliothèques, noyau, etc., constitue une exception, sauf si ces éléments sont
diffusés en même temps que le programme exécutable.
Si la distribution de l'exécutable ou du code objet consiste à offrir un accès permettant de copier le
programme depuis un endroit particulier, l'offre d'un accès équivalent pour se procurer le code
source au même endroit est considéré comme une distribution de ce code source, même si
l'utilisateur choisit de ne pas profiter de cette offre.
4. Vous ne pouvez pas copier, modifier, céder ou distribuer le Programme d'une autre manière
que l'autorise cette Licence. Toute tentative de ce type annule immédiatement vos droits
d'utilisation du Programme sous cette Licence. Toutefois, les tiers ayant reçu de vous des copies
du programme ou le droit d'utiliser ces copies continueront à bénéficier de leur droit d'utilisation
tant qu'ils respecteront pleinement les conditions de la Licence.
5. Ne l'ayant pas signée, vous n'êtes pas obligé d'accepter cette Licence. Cependant, rien d'autre ne
vous autorise à modifier ou distribuer le Programme ou ses travaux dérivés : la loi l'interdit tant
que vous n'acceptez pas les termes de cette Licence. En conséquence, en modifiant ou en
distribuant le Programme (ou tout travail basé sur lui), vous acceptez implicitement tous les
termes et conditions de cette Licence.
6. La diffusion d'un Programme (ou de tout travail dérivé) suppose l'envoi simultané d'une licence
autorisant la copie, la distribution ou la modification du Programme, aux termes et conditions de
la Licence. Vous n'avez pas le droit d'imposer de restrictions supplémentaires aux droits transmis
au destinataire. Vous n'êtes pas responsable du respect de la Licence par un tiers.
7. Si, à la suite d'une décision de justice, d'une plainte en contrefaçon ou pour toute autre raison
(liée ou non à la contrefaçon), des conditions vous sont imposées (que ce soit par ordonnance,
accord amiable ou autre) qui se révèlent incompatibles avec les termes de la présente Licence, vous
n'êtes pas pour autant dégagé des obligations liées à celle-ci : si vous ne pouvez concilier vos
obligations légales ou autres avec les conditions de cette Licence, vous ne devez pas distribuer le
Programme. Par exemple, si une licence brevetée ne permet pas une redistribution gratuite du
Programme de tous les utilisateurs qui reçoivent directement ou indirectement des copies par
vous, le seul moyen de vous conformer à cette licence brevetée et à la présente Licence serait de ne
pas distribuer le Programme.
Si une partie quelconque de cet article est invalidée ou inapplicable pour quelque raison que ce
soit, le reste de l'article continue de s'appliquer et l'intégralité de l'article s'appliquera en toute autre
circonstance.
Le présent article n'a pas pour but de vous pousser à enfreindre des droits ou des dispositions
légales ni en contester la validité ; son seul objectif est de protéger l'intégrité du système de
distribution du logiciel libre. De nombreuses personnes ont généreusement contribué à la large
gamme de programmes distribuée de cette façon en toute confiance ; il appartient à chaque
auteur/donateur de décider de diffuser ses programmes selon les critères de son choix.
Cet article vise à décrire clairement ce qui est considéré comme une conséquence du reste de cette
Licence.

Licence publique générale limitée GNU
8. Si la distribution et/ou l'utilisation du Programme est limitée dans certains pays par des brevets
ou des droits sur des interfaces, le détenteur original des droits qui place le Programme sous cette
Licence peut ajouter explicitement une clause de limitation géographique excluant ces pays. Dans
ce cas, cette clause devient une partie intégrante de la Licence.
9. La Free Software Foundation se réserve le droit de publier périodiquement des mises à jour ou
de nouvelles versions de la Licence publique générale. Rédigées dans le même esprit que la
présente version, elles seront cependant susceptibles d'en modifier certains détails à mesure que
de nouveaux problèmes se font jour.
Chaque version possède un numéro distinct. Si le Programme précise un numéro de version de
cette Licence et « toute version ultérieure », vous avez le choix de suivre les termes et conditions de
cette version ou de toute autre version plus récente publiée par la Free Software Foundation. Si le
Programme ne spécifie aucun numéro de version, vous pouvez alors choisir l'une quelconque des
versions publiées par la Free Software Foundation.
10. Si vous souhaitez incorporer des éléments du Programme dans d'autres programmes libres
dont les conditions de distribution diffèrent, vous devez écrire à l'auteur pour lui en demander la
permission. Pour ce qui est des programmes directement déposés par la Free Software
Foundation, écrivez-nous : une exception est toujours envisageable. Notre décision sera basée sur
notre volonté de préserver la liberté de notre programme ou de ses dérivés et celle de promouvoir
le partage et la réutilisation du logiciel en général.
LIMITATION DE GARANTIE
11. PARCE QUE L'UTILISATION DE CE PROGRAMME EST LIBRE ET GRATUITE, AUCUNE
GARANTIE N'EST FOURNIE, COMME LE PERMET LA LOI. SAUF MENTION ECRITE, LES
DETENTEURS DES DROITS D'AUTEUR ET/OU D'AUTRES PARTIES FOURNISSENT LE
PROGRAMME « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU
QUALITE MARCHANDE ET D'ADEQUATION A UN USAGE PARTICULIER. VOUS
ASSUMEZ TOUS LES RISQUES QUANT A LA QUALITE ET AUX PERFORMANCES DU
PROGRAMME. SI LE PROGRAMME EST DEFECTUEUX, VOUS ASSUMEZ LE COUT DE
TOUS LES SERVICES, REPARTIONS OU CORRECTIONS NECESSAIRES.
12. SAUF LORSQU'EXPLICITEMENT PREVU PAR LA LOI OU ACCEPTE PAR ECRIT, NI LE
DETENTEUR DES DROITS, NI QUICONQUE AUTORISE A MODIFIER ET/OU
REDISTRIBUER LE PROGRAMME COMME IL EST PERMIS CI-DESSUS NE POURRA ETRE
TENU POUR RESPONSABLE DE TOUT DOMMAGE, NOTAMMENT TOUT DOMMAGE
GENERAL, SPECIAL, ACCESSOIRE OU CONSECUTIF DECOULANT DE L'UTILISATION DU
PROGRAMME OU DE L'IMPOSSIBILITE D'UTILISER CELUI-CI (NOTAMMENT, MAIS SANS
S'Y LIMITER, LA PERTE DE DONNEES OU DES DONNEES INEXACTES OU DES PERTES
FINANCIERES POUR VOUS OU DES TIERS OU L'INCOMPATIBILITE DU PROGRAMME
AVEC D'AUTRES PROGRAMMES), ET CE MEME SI LE DETENTEUR OU AUTRE PARTIE A
ETE INFORME DE L'EVENTUALITE DE TELS DOMMAGES.

Version 2.1, Février 1999
Copyright (C) 1991, 1999 Free Software Foundation, Inc.
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, Etats-Unis
La copie et la distribution de copies exactes de ce document de licence sont autorisées, mais
aucune modification n'est permise.

[Il s'agit de la première version de la Licence publique générale limitée (LGPL). Elle succède à
la Licence publique générale de bibliothèque GNU, version 2, d'où le numéro de version 2.1.]
Préambule :
Les licences d'utilisation de la plupart des programmes sont définies pour limiter ou
supprimer toute liberté à l'utilisateur. A l'inverse, les Licences publiques générales GNU sont
destinées à vous garantir la liberté de partager et de modifier les logiciels libres, et de s'assurer
que ces logiciels sont effectivement accessibles à tout utilisateur.
Cette licence, la Licence publique générale limitée, s'applique à certains modules logiciels
désignés spécifiquement, généralement des bibliothèques, de la Free Software Foundation et
d'autres auteurs qui décident de l'utiliser. Vous pouvez également l’utiliser, mais nous vous
suggérons de considérer d’abord si la présente licence ou la Licence publique générale GNU
ordinaire est la meilleure stratégie à utiliser dans chaque cas particulier, suivant les
explications données ci-dessous.
Liberté d'utilisation des logiciels ne signifie pas nécessairement gratuité. Nos Licences
publiques générales sont conçues pour vous assurer la liberté de distribuer des copies des
programmes, gratuitement ou non, de recevoir le code source ou de pouvoir l'obtenir, de
modifier les programmes ou d'en utiliser des éléments dans de nouveaux programmes libres,
en sachant que vous y êtes autorisé.
Afin de garantir ces droits, nous avons dû introduire des restrictions interdisant aux
distributeurs de vous les refuser ou de vous demander d'y renoncer. Ces restrictions vous
imposent en retour certaines obligations si vous distribuez ou modifiez des copies de la
bibliothèque ou si vous la modifiez.
Par exemple, si vous distribuez des copies de la bibliothèque, que ce soit gratuitement ou non,
vous devez transmettre aux destinataires tous les droits que nous vous concédons. Vous
devez vous assurer d'expédier aux destinataires le code source ou bien tenir celui-ci à leur
disposition. Si vous liez d’autres codes avec la bibliothèque, vous devez fournir des fichiers
objets complets aux concessionnaires, de sorte qu’ils peuvent les lier à nouveau avec la
bibliothèque après l’avoir modifiée et recompilée. Vous devez également leur remettre cette
Licence afin qu'ils prennent connaissance de leurs droits.
Nous protégeons vos droits par une méthode en deux étapes : (1) par le copyright de la
bibliothèque, et (2) par la remise de cette licence qui vous autorise légalement à copier,
distribuer et/ou modifier la bibliothèque.
Pour protéger chaque distributeur, nous voulons établir de façon très claire qu’il n’y a aucune
garantie pour la bibliothèque libre. De plus, si un tiers la modifie puis la redistribue, les
concessionnaires doivent savoir qu'il ne s'agit pas de l'original afin qu'une copie défectueuse
n'entache pas la réputation de l'auteur de la bibliothèque.
Enfin, les brevets logiciels constituent une menace constante contre l’existence même de tout
logiciel libre. Nous voulons être sûrs qu’une société ne peut pas effectivement restreindre les
utilisateurs d’un programme libre en obtenant une licence restrictive d’un titulaire de brevet.
Par conséquent, nous insistons pour que toute licence de brevet obtenue pour une version de
la bibliothèque soit cohérente avec sa pleine liberté d’utilisation spécifiée dans la présente
Licence.
La plupart des logiciels GNU, y compris certaines bibliothèques, sont couverts par la Licence
publique générale GNU. La présente licence s’applique à certaines bibliothèques désignées et
est assez différente de la Licence publique générale ordinaire. Nous utilisons la présente
licence pour certaines bibliothèques afin de permettre de lier ces bibliothèques à des
programmes non libres.
Lorsqu'un programme est lié à une bibliothèque, que ce soit statiquement ou avec une
bibliothèque partagée, la combinaison des deux constitue, en termes légaux, un travail
combiné, un dérivé de la bibliothèque originale. La Licence publique générale ordinaire ne

permet donc une telle liaison que si l’entière combinaison remplit ses critères et conditions de
liberté. La Licence publique générale limitée permet de desserrer les critères permettant de lier
d’autres codes à la bibliothèque.
Nous appelons cette licence la Licence publique générale « Limitée » car elle offre en fait une
protection plus limitée de la liberté de l’utilisateur que celle offerte par la Licence publique
générale ordinaire. Elle offre aux autres développeurs de logiciels libres un avantage plus
limité face aux programmes concurrents non libres. Ces inconvénients sont la raison pour
laquelle nous utilisons la Licence publique générale ordinaire pour de nombreuses
bibliothèques. La licence limitée offre toutefois des avantages dans certaines circonstances
spéciales.
Par exemple, en de rares occasions, il peut exister le besoin particulier d’encourager
l’utilisation la plus large possible d’une certaine bibliothèque, afin qu’elle devienne un
standard de facto. Pour arriver à cette fin, des programmes non libres doivent pouvoir être
autorisés à utiliser la bibliothèque. Un cas plus fréquent est qu’une bibliothèque libre effectue
les mêmes tâches que des bibliothèques non libres largement utilisées. Dans ce cas, il n’y a pas
grand chose à gagner à limiter la bibliothèque libre aux seuls logiciels libres, et nous utilisons
donc la Licence publique générale limitée.
Dans d’autres cas, l’autorisation d’utiliser une bibliothèque particulière dans des programmes
non libres permet à un plus grand nombre de personnes d’utiliser un corpus très large de
logiciels libres. Par exemple, l’autorisation d’utiliser la bibliothèque C GNU dans des
programmes non libres permet à plus de personnes d’utiliser le système d’exploitation GNU
tout entier, de même que sa variante, le système d'exploitation GNU/Linux.
Bien que la Licence publique générale limitée semble limiter la protection de la liberté de
l’utilisateur, elle assure que l’utilisateur d’un programme lié à la bibliothèque dispose de la
liberté et du choix d’exécuter ce programme en utilisant une version modifiée de la
bibliothèque.
Les dispositions exactes et les conditions de copie, de distribution et de modification sont les
suivantes : Prenez une attention tout particulière aux différences entre un travail basé sur la
bibliothèque et un travail utilisant la bibliothèque. Le premier contient du code dérivé de la
bibliothèque, tandis que le second doit être combiné avec la bibliothèque afin de pouvoir être
exécuté.
CONDITIONS RELATIVES A LA COPIE, LA DISTRIBUTION ET LA MODIFICATION
0. Cet Accord de licence s’applique à toute bibliothèque logicielle ou tout programme
contenant un avis placé par le détenteur des droits ou toute autre partie autorisée indiquant
que ce logiciel peut être distribué selon les termes de cette Licence publique générale limitée
(appelée ci-dessous « cette Licence »). Chaque personne concernée par la licence sera désignée
par le terme « Vous ».
Une « bibliothèque » signifie une collection de fonctions logicielles ou de données préparées
de façon à être liée facilement à des programmes applicatifs (utilisant tout ou partie de ces
fonctions et données) afin de former des exécutables
La « Bibliothèque », ci-dessous, fait référence à toute bibliothèque logicielle ou travail qui a été
distribué selon ces conditions. Un « travail basé sur la Bibliothèque » signifie soit la
Bibliothèque, soit tout travail dérivé pouvant être soumis aux droits d'auteur : c'est-à-dire tout
ouvrage reproduisant la Bibliothèque ou une partie de celle-ci, à l'identique ou bien modifié,
et/ou traduit dans une autre langue (la traduction est considérée comme une modification).
Le « code source » d'un travail désigne la forme de cet ouvrage sous laquelle les modifications
sont les plus aisées. Sont ainsi désignés la totalité du code source de tous les modules
composant une bibliothèque, de même que tout fichier de définition associé, ainsi que les
scripts utilisés pour effectuer la compilation et l'installation de la bibliothèque.

Les activités autres que la copie, la distribution et la modification ne sont pas couvertes par la
présente Licence et sortent de son cadre. Rien ne restreint l'utilisation de la Bibliothèque et les
données issues de celle-ci ne sont couvertes que si leur contenu constitue un travail basé sur la
Bibliothèque (indépendamment du fait d'avoir été réalisé en exécutant la Bibliothèque). Tout
dépend de ce que la Bibliothèque est censée produire.
1. Vous pouvez copier et distribuer des copies conformes du code source complet de la
Bibliothèque, tel que vous l'avez reçue, sur n'importe quel support, à condition de placer sur
chaque copie une mention de copyright appropriée et une restriction de garantie, de ne pas
modifier ou omettre tous les avis se référant à la présente Licence et à la limitation de garantie,
et de fournir avec toute copie de la Bibliothèque un exemplaire de la Licence.
Vous pouvez demander une rétribution financière pour la réalisation de la copie et demeurez
libre de proposer une garantie assurée par vos soins, moyennant finances.
2. Vous pouvez modifier votre ou vos copies de la Bibliothèque ou une partie de celle-ci, ou
d'un travail basé sur cette Bibliothèque, et copier et distribuer ces modifications selon les
termes de l'article 1 ci-dessus, à condition de vous conformer également aux conditions
suivantes :
* a) Le travail modifié doit être lui-même une bibliothèque logicielle.
* b) Ajouter aux fichiers modifiés l'indication très claire des modifications apportées, ainsi
que la date de chaque changement.
* c) Distribuer l'ensemble du travail sous licence sans frais à tous tiers selon les conditions de
cette Licence.
* d) Si une fonctionnalité de la Bibliothèque modifiée fait référence à une fonction ou une
table de données devant être fournie par une application utilisant la fonctionnalité, autre
qu’un argument transmis lors de l'invocation de la fonctionnalité, vous devez alors vous
assurer en toute bonne foi que dans l’éventualité où une application ne fournirait pas une telle
fonction ou table, la fonctionnalité restera opérationnelle et effectuera une partie quelconque
de sa finalité de façon sensée.
(Par exemple, une fonction dans une bibliothèque de calcul des racines carrées a une finalité
totalement indépendante de l’application. Par conséquent, l'alinéa 2d requiert que toute
fonction de l’application ou de la table utilisée par cette fonction doit être optionnelle : si
l’application n’en fournit pas, la fonction racine carrée doit encore pouvoir calculer des racines
carrées).
Toutes ces conditions s'appliquent à l'ensemble des modifications. Si des éléments
identifiables de ce travail ne sont pas dérivés de la Bibliothèque et peuvent être
raisonnablement considérés comme indépendants, la présente Licence ne s'applique pas à ces
éléments lorsque vous les distribuez seuls. Toutefois, si vous distribuez ces mêmes éléments
comme partie d'un ensemble cohérent dont le reste est basé sur une Bibliothèque soumise à la
Licence, ils lui sont également soumis, et la Licence s'étend ainsi à l'ensemble du produit, quel
qu'en soit l'auteur.
Cet article n'a pas pour but de s'approprier ou de contester vos droits sur un travail
entièrement réalisé par vous, mais plutôt d'ouvrir droit à un contrôle de la libre distribution
de tout travail dérivé ou collectif basé sur la Bibliothèque.
En outre, toute fusion d'un autre travail, non basé sur la Bibliothèque, avec la Bibliothèque (ou
avec un travail dérivé de cette dernière), effectuée sur un support de stockage ou de
distribution, ne fait pas tomber cet autre travail sous le contrôle de la Licence.
3. Vous pouvez choisir d’appliquer les conditions de la Licence publique générale GNU
ordinaire au lieu de ceux de cette Licence à une copie donnée de cette Bibliothèque. Pour ce
faire, vous devez modifier les avis correspondants à cette Licence, de sorte qu’ils se réfèrent
plutôt à la Licence publique générale GNU version 2, au lieu de cette Licence. (Si une version

officielle plus récente que la version 2 de la Licence publique générale GNU ordinaire a été
publiée, alors vous pouvez spécifier plutôt cette version si vous le souhaitez.) N'apportez
aucune autre modification dans ces avis.
Une fois cette modification apportée dans une copie donnée, celle-ci est irréversible pour cette
copie et la Licence publique générale GNU ordinaire s’applique à toutes les copies et travaux
dérivés suivants effectués à partir de cette copie
Cette option est utile lorsque vous souhaitez copier une partie du code de la Bibliothèque dans
un programme qui n’est pas une bibliothèque.
4. Vous pouvez copier et distribuer la Bibliothèque (ou une partie ou un produit dérivé de
celle-ci selon l'article 2) sous forme de code objet ou d'exécutable selon les termes des articles 1
et 2 ci-dessus, à condition que vous le fournissiez avec le code source complet, sous une forme
lisible par un ordinateur et selon les termes des articles 1 et 2 ci-dessus, sur un support
habituellement utilisé pour l'échange de données.
Si la distribution de l'exécutable ou du code objet consiste à offrir un accès permettant de la
copier depuis un endroit particulier, l'offre d'un accès équivalent pour se procurer le code
source au même endroit répond à l'exigence de distribuer le code source, même si l'utilisateur
choisit de ne pas profiter de cette offre.
5. Un programme qui ne contient aucun dérivé d’une quelconque portion de la Bibliothèque,
mais qui est conçu pour travailler avec la Bibliothèque en étant compilé ou lié avec cette
Bibliothèque, est appelé un « travail utilisant la Bibliothèque ». Un tel travail, pris isolément,
n’est pas un travail dérivé de la Bibliothèque et tombe par conséquent hors du champ
d’application de cette Licence.
Cependant, la liaison avec la Bibliothèque d’un « travail utilisant la Bibliothèque » crée un
exécutable qui est un dérivé de la Bibliothèque (car il contient des parties de la Bibliothèque),
plutôt qu’un « travail utilisant la Bibliothèque ». L’exécutable est par conséquent couvert par
cette Licence. L'article 6 définit les termes de distribution de tels exécutables.
Lorsqu'un « travail utilisant la Bibliothèque » utilise des éléments d’un fichier d’en-tête faisant
partie de la Bibliothèque, le code objet de ce travail peut être un travail dérivé de la Bibliothèque
même si son code source ne l’est pas. Cette définition prend tout particulièrement son sens si le
travail peut être lié sans la Bibliothèque ou si le travail est lui-même une bibliothèque. Les
délimitations de ce cas ne sont pas définies de façon précise par la loi.
Si un tel fichier objet utilise uniquement des paramètres numériques, des schémas et
accesseurs de structures de données et de petites macros et petites fonctions en ligne
(dix lignes de source maximum), alors l’utilisation du fichier objet n'est pas restreinte,
indépendamment du fait que cela constitue légalement un travail dérivé (les termes de
l'article 6 s’appliquent tout de même aux exécutables contenant ce code objet plus des parties
de la Bibliothèque).
Sinon, si le travail est un dérivé de la Bibliothèque, vous pouvez distribuer le code objet du
travail selon les termes de l'article 6. Ceux-ci s’appliquent alors à tout exécutable contenant ce
travail, que ce dernier soit ou ne soit pas lié directement à la Bibliothèque elle-même.
6. Par exception aux articles ci-dessus, vous pouvez aussi combiner ou lier un « travail
utilisant la Bibliothèque » à la Bibliothèque pour produire un travail contenant des parties de
la Bibliothèque et distribuer ce travail selon les termes de votre choix, pourvu que ces termes
permettent la modification du travail pour les besoins propres du client et l’ingénierie inverse
permettant le débogage de telles modifications
Vous devez insérer un avis visible dans chaque copie du travail montrant que la Bibliothèque
est utilisée dans celui-ci et que la Bibliothèque et son utilisation sont couvertes par cette
Licence. Vous devez fournir une copie de cette Licence. Si le travail lors de son exécution
affiche des avis de droits d'auteur, vous devez inclure l'avis relatif à la Bibliothèque parmi
celles-ci, ainsi qu’une référence adressée à l’utilisateur vers une copie de cette Licence. Vous
devez également réaliser l’une des tâches suivantes :

* a) Accompagner le travail avec le code source complet correspondant lisible par une
machine pour la Bibliothèque, notamment toute modification apportée dans le travail (qui
doit être distribué selon les termes des articles 1 et 2 ci-dessus) ; et, si le travail est un
exécutable lié à la Bibliothèque, fournir la totalité du « travail utilisant la Bibliothèque » lisible
par une machine, sous forme de code objet et/ou de code source, de sorte que l’utilisateur
puisse modifier la Bibliothèque et la relier pour produire un exécutable modifié contenant la
Bibliothèque modifiée. (Il est admis que l’utilisateur qui modifie le contenu des fichiers de
définition dans la Bibliothèque ne sera pas nécessairement capable de recompiler l’application
pour utiliser les définitions modifiées.)
* b) Utiliser un mécanisme approprié de bibliothèque partagée pour la liaison à la
Bibliothèque. Un mécanisme approprié est celui qui (1) utilise lors de l’exécution une copie de
la bibliothèque déjà présente sur le système de l’ordinateur de l’utilisateur, plutôt que de
copier des fonctions de bibliothèque dans l’exécutable et (2) fonctionnera correctement avec
une version modifiée de la bibliothèque, si l’utilisateur en installe une, tant que la version
modifiée est compatible au niveau de l’interface avec la version avec laquelle le travail a été
réalisé.
* c) Accompagner le travail d’une offre écrite, valide pendant au moins trois ans, pour
donner au même utilisateur les éléments spécifiés dans l'alinéa 6a ci-dessus, contre un
paiement n’excédant pas le coût requis pour effectuer cette distribution.
* d) Si la distribution du travail est faite en offrant l’accès à une copie depuis un
emplacement désigné, offrir un accès équivalent depuis le même emplacement pour copier les
éléments spécifiés ci-dessus.
* e) Vérifier que l’utilisateur a déjà reçu une copie de ces éléments ou que vous en avez déjà
envoyé une copie à cet utilisateur.
Pour un exécutable, la forme requise du « travail utilisant la Bibliothèque » doit inclure toutes
les données et programmes utilitaires nécessaires permettant de reproduire l’exécutable à
partir de ceux-ci. Toutefois, l'environnement standard de développement du système
d'exploitation mis en œuvre (source ou binaire), compilateurs, bibliothèques, noyau, etc.,
constitue une exception, sauf si ces éléments sont diffusés en même temps que le programme
exécutable.
Il est possible que ces conditions nécessaires contredisent les restrictions de licence d’autres
bibliothèques propriétaires qui n’accompagnent pas normalement le système d’exploitation.
Une telle contradiction signifie que vous ne pouvez pas les utiliser en même temps que la
Bibliothèque dans un exécutable que vous distribuez.
7. Vous pouvez placer les facilités de bibliothèque qui sont un travail basé sur la Bibliothèque
côte à côte dans une bibliothèque unique avec d’autres facilités de bibliothèque non couvertes
par cette Licence et distribuer une telle bibliothèque combinée, à condition que la distribution
séparée du travail basé sur la Bibliothèque et des autres facilités de bibliothèque soient
autrement autorisée et à condition de réaliser les deux tâches suivantes :
* a) Accompagner la bibliothèque combinée avec une copie du même travail basé sur la
Bibliothèque, non combinée avec d’autres facilités de la Bibliothèque. Cela doit être distribué
selon les termes des articles ci-dessus.
* b) Insérer un avis visible avec la bibliothèque combinée du fait qu’une partie de celle-ci est
un travail basé sur la Bibliothèque et expliquant où trouver la forme non combinée du même
travail.
8. Vous ne pouvez pas copier, modifier, céder, lier à ou distribuer la Bibliothèque d'une autre
manière que l'autorise cette Licence. Toute tentative de ce type annule immédiatement vos
droits d'utilisation de la Bibliothèque sous cette Licence. Toutefois, les tiers ayant reçu de vous
des copies du programme ou le droit d'utiliser ces copies continueront à bénéficier de leur
droit d'utilisation tant qu'ils respecteront pleinement les conditions de la Licence.

9. Ne l'ayant pas signée, vous n'êtes pas obligé d'accepter cette Licence. Cependant, rien
d'autre ne vous autorise à modifier ou distribuer la Bibliothèque ou ses travaux dérivés : la loi
l'interdit tant que vous n'acceptez pas les termes de cette Licence. En conséquence, en
modifiant ou en distribuant la Bibliothèque (ou tout travail basé sur celle-ci), vous acceptez
implicitement tous les termes et conditions de cette Licence.
10. La diffusion d'une Bibliothèque (ou de tout travail dérivé) suppose l'envoi simultané d'une
licence autorisant la copie, la distribution ou la modification de la Bibliothèque, aux termes et
conditions de la Licence. Vous n'avez pas le droit d'imposer de restrictions supplémentaires
aux droits transmis au destinataire. Vous n'êtes pas responsable du respect de la Licence par
un tiers.
11. Si, à la suite d'une décision de justice, d'une plainte en contrefaçon ou pour toute autre
raison (liée ou non à la contrefaçon), des conditions vous sont imposées (que ce soit par
ordonnance, accord amiable ou autre) qui se révèlent incompatibles avec les termes de la
présente Licence, vous n'êtes pas pour autant dégagé des obligations liées à celle-ci : si vous ne
pouvez concilier vos obligations légales ou autres avec les conditions de cette Licence, vous ne
devez pas distribuer la Bibliothèque. Par exemple, si une licence brevetée ne permet pas une
redistribution gratuite de la Bibliothèque de tous les utilisateurs qui reçoivent directement ou
indirectement des copies par vous, le seul moyen de vous conformer à cette licence brevetée et
à la présente Licence serait de ne pas distribuer la Bibliothèque.
Si une partie quelconque de cet article est invalidée ou inapplicable pour quelque raison que
ce soit, le reste de l'article continue de s'appliquer et l'intégralité de l'article s'appliquera en
toute autre circonstance.
Le présent article n'a pas pour but de vous pousser à enfreindre des droits ou des dispositions
légales ni en contester la validité ; son seul objectif est de protéger l'intégrité du système de
distribution du logiciel libre. De nombreuses personnes ont généreusement contribué à la
large gamme de programmes distribuée de cette façon en toute confiance ; il appartient à
chaque auteur/donateur de décider de diffuser ses programmes selon les critères de son
choix.
Cet article vise à décrire clairement ce qui est considéré comme une conséquence du reste de
cette Licence.
12. Si la distribution et/ou l'utilisation de la Bibliothèque est limitée dans certains pays par des
brevets ou des droits sur des interfaces, le détenteur original des droits qui place la
Bibliothèque sous cette Licence peut ajouter explicitement une clause de limitation
géographique excluant ces pays. Dans ce cas, cette clause devient une partie intégrante de la
Licence.
13. La Free Software Foundation se réserve le droit de publier périodiquement des mises à
jour ou de nouvelles versions de la Licence publique générale limitée. Rédigées dans le même
esprit que la présente version, elles seront cependant susceptibles d'en modifier certains
détails à mesure que de nouveaux problèmes se font jour.
Chaque version possède un numéro distinct. Si la Bibliothèque précise un numéro de version
de cette Licence et « toute version ultérieure », vous avez le choix de suivre les termes et
conditions de cette version ou de toute autre version plus récente publiée par la Free Software
Foundation. Si la Bibliothèque ne spécifie aucun numéro de version, vous pouvez alors choisir
l'une quelconque des versions publiées par la Free Software Foundation.
14. Si vous souhaitez incorporer des éléments de la Bibliothèque dans d'autres programmes
libres dont les conditions de distribution sont incompatibles avec les présentes, vous devez
écrire à l'auteur pour lui en demander la permission. Pour ce qui est des programmes
directement déposés par la Free Software Foundation, écrivez-nous : une exception est
toujours envisageable. Notre décision sera basée sur notre volonté de préserver la liberté de
notre programme ou de ses dérivés et celle de promouvoir le partage et la réutilisation du
logiciel en général.

MIT/X11
15. PARCE QUE L'UTILISATION DE CETTE BIBLIOTHEQUE EST LIBRE ET GRATUITE,
AUCUNE GARANTIE N'EST FOURNIE, COMME LE PERMET LA LOI. SAUF MENTION
ECRITE, LES DETENTEURS DES DROITS D'AUTEUR ET/OU D'AUTRES PARTIES
FOURNISSENT LA BIBLIOTHEQUE « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE,
EXPLICITE OU IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES
IMPLICITES DE QUALITE MARCHANDE ET D'ADEQUATION A UN USAGE
PARTICULIER. VOUS ASSUMEZ TOUS LES RISQUES QUANT A LA QUALITE ET AUX
PERFORMANCES DE LA BIBLIOTHEQUE. SI LA BIBLIOTHEQUE EST DEFECTUEUSE,
VOUS ASSUMEZ LE COUT DE TOUS LES SERVICES, REPARTIONS OU CORRECTIONS
NECESSAIRES.
16. SAUF LORSQU'EXPLICITEMENT PREVU PAR LA LOI OU ACCEPTE PAR ECRIT, NI
LE DETENTEUR DES DROITS, NI QUICONQUE AUTORISE A MODIFIER ET/OU
REDISTRIBUER LA BIBLIOTHEQUE COMME IL EST PERMIS CI-DESSUS NE POURRA
ETRE TENU POUR RESPONSABLE DE TOUT DOMMAGE, NOTAMMENT TOUT
DOMMAGE GENERAL, SPECIAL, ACCESSOIRE OU CONSECUTIF DECOULANT DE
L'UTILISATION DE LA BIBLIOTHEQUE OU DE L'IMPOSSIBILITE D'UTILISER CELLE-CI
(NOTAMMENT, MAIS SANS S'Y LIMITER, LA PERTE DE DONNEES OU DES DONNEES
INEXACTES OU DES PERTES FINANCIERES POUR VOUS OU DES TIERS OU
L'INCOMPATIBILITE DE LA BIBLIOTHEQUE AVEC D'AUTRES BIBLIOTHEQUE), ET CE
MEME SI LE DETENTEUR OU AUTRE PARTIE A ETE INFORME DE L'EVENTUALITE DE
TELS DOMMAGES.
MIT/X11
Copyright (C) 2001-2002 Daniel Veillard. Tous droits réservés.
Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman et Daniel Veillard. Tous droits
réservés.
Copyright (C) 1998 Bjorn Reese et Daniel Stenberg.
Copyright (C) 2000 Gary Pennington et Daniel Veillard.
Copyright (C) 2001 Bjorn Reese <breese@users.sourceforge.net>
Copyright (c) 2001, 2002, 2003 Python Software Foundation
Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu>
Copyright (c) 2007 Tim Lauridsen <tla@rasmil.dk>
L'autorisation est accordée gratuitement à toute personne d'obtenir une copie de ce logiciel et
des fichiers de documentation associés (le « Logiciel »), d'utiliser le Logiciel sans restrictions,
notamment, mais sans s'y limiter, le droit d'utiliser, copier, modifier, fusionner, publier,
distribuer, céder et/ou de vendre des copies du Logiciel, et d'autoriser les personnes
auxquelles le Logiciel est fourni de faire ainsi, sous les conditions suivantes :
L'avis de droits d'auteur ci-dessus et cet avis d'autorisation doivent être inclus dans toutes les
copies ou parties substantielles du Logiciel.
LE LOGICIEL EST FOURNI « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE,
IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER
ET DE NON CONTREFACON. EN AUCUN CAS LES AUTEURS OU DETENTEURS DES
DROITS D'AUTEUR NE POURRONT ETRE TENUS POUR RESPONSABLES DE TOUT
DOMMAGE OU AUTRE RESPONSABILITE, QUE CE SOIT DE MANIERE
CONTRACTUELLE, A TORT OU AUTRE, DECOULANT DE, EN DEHORS DE OU EN
RELATION AVEC LE LOGICIEL OU DE L'UTILISATION OU AUTRES DU LOGICIEL.

OpenSSH
OpenSSH
Ce fichier fait partie du logiciel OpenSSH.
Les licences auxquelles des composants du logiciel s'appliquent sont les suivantes. Nous
résumerons tout d'abord tous les composants liés à une licence BSD, puis une licence plus
gratuite que celle-ci.
OpenSSH ne contient pas de code GPL.
1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finlande
Tous droits réservés.
Le code que j'ai écrit pour ce logiciel peut être utilisé librement à toutes fins utiles. Toutes les
versions dérivées de ce logiciel peuvent être clairement indiquées comme telles et, si le travail
dérivé est incompatible avec le protocole décrit dans le fichier RFC, il doit porter un nom autre
que « ssh » ou « Secure Shell ».
[Tatu, suite]
Je n'envisage cependant pas d'accorder de licence pour des brevets ou des droits d'auteur
détenus par des tiers, et le logiciel inclut des parties que je ne contrôle pas directement.
L'ensemble du code source inclus est utilisé conformément aux termes et conditions de la
licence correspondante et peut être utilisé librement à toute fin utile (la licence GNU étant la
plus restrictive) ; voir ci-dessous pour plus d'informations.
Aucun de ces termes ne s'applique cependant à ce stade. Tous les composants logiciels sous
licence restrictifs mentionnés ont été retirés d'OpenSSH, à savoir,
-RSA n'est plus inclus, disponible dans la bibliothèque OpenSSL
-IDEA n'est plus inclus et n'est plus utilisé
-DES est désormais externe, dans la bibliothèque OpenSSL
-GMP n'est plus utilisé et nous appelons désormais le code BN d'OpenSSL
-Zlib est désormais externe, dans une bibliothèque
-Le script make-ssh-known-hosts n'est plus inclus
-TSS a été supprimé
-MD5 est désormais externe, dans la bibliothèque OpenSSL
-la prise en charge RC4 a été remplacé par la prise en charge ARC4 depuis OpenSSL
-Blowfish est désormais externe, dans la bibliothèque OpenSSL
[Suite de la licence]
Notez que toutes les informations et tous les algorithmes cryptographiques utilisés dans ce logiciel
sont disponibles publiquement sur dans toutes les documentations, bibliothèques scientifiques et
organismes de brevets du mon entier. De plus amples informations sont disponibles, par exemple,
à l'adresse http://www.cs.hut.fi/crypto.
Le statut légal de ce programme est une combinaison de toutes ces autorisations et restrictions.
Vous l'utilisez sous votre entière responsabilité. Vous serez tenu pour responsable de toute
conséquence juridique ; je décline toute responsabilité de possession ou d'utilisation de ce statut
légal ou non dans votre pays et je ne serai pas tenu pour responsable en votre nom.
PARCE QUE L'UTILISATION DE CE PROGRAMME EST LIBRE ET GRATUITE, AUCUNE
GARANTIE N'EST FOURNIE, COMME LE PERMET LA LOI. SAUF MENTION ECRITE, LES
DETENTEURS DES DROITS D'AUTEUR ET/OU D'AUTRES PARTIES FOURNISSENT LE
PROGRAMME « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU
QUALITE MARCHANDE ET D'ADEQUATION A UN USAGE PARTICULIER. VOUS

OpenSSH
ASSUMEZ TOUS LES RISQUES QUANT A LA QUALITE ET AUX PERFORMANCES DU

PROGRAMME. SI LE PROGRAMME EST DEFECTUEUX, VOUS ASSUMEZ LE COUT DE
TOUS LES SERVICES,
REPARTIONS OU CORRECTIONS NECESSAIRES.
SAUF LORSQU'EXPLICITEMENT PREVU PAR LA LOI OU ACCEPTE PAR ECRIT, NI LE
DETENTEUR DES DROITS, NI QUICONQUE AUTORISE A MODIFIER ET/OU
REDISTRIBUER LE PROGRAMME COMME IL EST PERMIS CI-DESSUS NE POURRA ETRE
TENU POUR RESPONSABLE DE TOUT DOMMAGE, NOTAMMENT TOUT DOMMAGE
GENERAL, SPECIAL, ACCESSOIRE OU CONSECUTIF DECOULANT DE L'UTILISATION
DU PROGRAMME OU DE L'IMPOSSIBILITE D'UTILISER CELUI-CI (NOTAMMENT, MAIS
SANS S'Y LIMITER, LA PERTE DE DONNEES OU DES DONNEES INEXACTES OU DES
PERTES FINANCIERES POUR VOUS OU DES TIERS OU L'INCOMPATIBILITE DU
PROGRAMME AVEC D'AUTRES PROGRAMMES), ET CE MEME SI LE DETENTEUR OU
AUTRE PARTIE A ETE INFORME DE L'EVENTUALITE DE TELS DOMMAGES.
2) Le détecteur d'attaques de compensation CRD 32 bit de deattack.c a été développé par
CORE SDI S.A. sous une licence de type BSD.
Détecteur d'attaques cryptographiques pour ssh - Code source
Copyright (c) 1998 CORE SDI S.A., Buenos Aires, Argentine.
Tous droits réservés. La redistribution et l'utilisation sous forme source et binaire, avec ou
sans modification, sont autorisées pourvu que cet avis de droit d'auteur soit reporté.
CE LOGICIEL EST FOURNI « EN L'ETAT » ET TOUTE GARANTIE EXPLICITE OU
IMPLICITE SONT EXCLUES. EN AUCUN CAS CORE SDI S.A. NE SERA TENU POUR
RESPONSABLE DE TOUT DOMMAGE DIRECT, INDIRECT, ACCESSOIRE, SPECIAL,
EXCEPTIONNEL OU CONSECUTIF DECOULANT DE L'UTILISATION OU DE LA
MAUVAISE UTILISATION DE CE LOGICIEL.
Ariel Futoransky <futo@core-sdi.com> <http://www.core-sdi.com>
3) ssh-keyscan a été développé par David Mazieres sous une licence de type BSD.
Copyright 1995, 1996 par David Mazieres <dm@lcs.mit.edu>.
La modification et la redistribution sous formes source et binaire est autorisée à condition que
le crédit approprié soit donné à l'auteur et au projet OpenBSD en ne modifiant pas cet avis de
droits d'auteur.
4) L'implémentation Rijndael par Vincent Rijmen, Antoon Bosselaers et Paulo Barreto relève
du domaine public et est distribuée avec la licence suivante :
@version 3.0 (Décembre 2000)
Code ANSI C optimisé pour la suite de chiffrement Rijndael (désormais AES)
@auteur Vincent Rijmen <vincent.rijmen@esat.kuleuven.ac.be>
@auteur Antoon Bosselaers <antoon.bosselaers@esat.kuleuven.ac.be>
@auteur Paulo Barreto <paulo.barreto@terra.com.br>
Ce code est placé dans le domaine public.
CE LOGICIEL EST FOURNI PAR LES AUTEURS « EN L'ETAT » ET TOUTE GARANTIE
IMPLICITES DE QUALITE MARCHANDE OU D'ADEQUATION A UN USAGE
PARTICULIER EST EXCLUE. EN AUCUN CAS LES AUTEURS OU CONTRIBUTEURS NE
POURRONT ETRE TENUS POUR RESPONSABLES DE TOUT DOMMAGE DIRECT,
INDIRECT, ACCESSOIRE, SPECIAL, EXCEPTIONNEL OU CONSECUTIF (NOTAMMENT,
MAIS SANS S'Y LIMITER, LA FOURNITURE DE PRODUITS OU SERVICES DE
REMPLACEMENT, LA PERTE D'UTILISATION, DE DONNEES OU DE PROFILS ; OU UNE
INTERRUPTION DES ACTIVITES) DUS OU LIES A UNE RESPONSABILITE, QU'ELLE SOIT
CONTRACTUELLE, RESPONSABILITE STRICTE OU A TORT (NOTAMMENT UNE

OpenSSH
NEGLIGENCE OU AUTRE) DECOULANT D'UNE QUELCONQUE UTILISATION DE CE

LOGICIEL, ET CE MEME S'ILS ONT ETE INFORMES DE L'EVENTUALITE DE TELS
DOMMAGES.
5) Un composant du code source ssh est sous une licence BSD à 3 clauses, détenue par
University of California car nous avons développé ces parties sur le code Berkeley d'origine.
Copyright (c) 1983, 1990, 1992, 1993, 1995
The Regents of the University of California. Tous droits réservés.
1. Les redistributions du code source doivent contenir la mention de copyright ci-dessus, cette
liste de conditions et l'avis de non-responsabilité ci-dessous.
2. Les redistributions sous forme binaire doivent reproduire la mention de copyright ci-
dessus, cette liste de conditions et l'avis de non-responsabilité ci-dessous dans la
documentation et/ou les autres documents fournis avec la distribution.
3. Ni le nom de l'université, ni ceux de ses contributeurs ne peuvent pas être utilisés pour
s'approprier ou promouvoir des produits dérivés de ce logiciel sans accord écrit préalable.
CE LOGICIEL EST FOURNI PAR LES REGENTS ET CONTRIBUTEURS « EN L'ETAT » ET
TOUTE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER,
LES GARANTIES IMPLICITES DE QUALITE MARCHANDE OU D'ADEQUATION A UN
USAGE PARTICULIER EST EXCLUE. EN AUCUN CAS LES REGENTS OU
CONTRIBUTEURS NE POURRONT ETRE TENUS POUR RESPONSABLES DE TOUT
DOMMAGE DIRECT, INDIRECT, ACCESSOIRE, SPECIAL, EXCEPTIONNEL OU
CONSECUTIF (NOTAMMENT, MAIS SANS S'Y LIMITER, LA FOURNITURE DE
PRODUITS OU SERVICES DE REMPLACEMENT, LA PERTE D'UTILISATION, DE
DONNEES OU DE PROFILS ; OU UNE INTERRUPTION DES ACTIVITES) DUS OU LIES A
UNE RESPONSABILITE, QU'ELLE SOIT CONTRACTUELLE, RESPONSABILITE STRICTE
OU A TORT (NOTAMMENT UNE NEGLIGENCE OU AUTRE) DECOULANT D'UNE
QUELCONQUE UTILISATION DE CE LOGICIEL, ET CE MEME S'ILS ONT ETE INFORMES
DE L'EVENTUALITE DE TELS DOMMAGES.
6) Les autres composants du logiciel sont proposés sous une licence BSD à 2 clauses standard
avec les détenteurs de droits d'auteur suivants :
-Markus Friedl
-Theo de Raadt
-Niels Provos
-Dug Song
-Aaron Campbell
-Damien Miller
-Kevin Steves
-Daniel Kouril
-Wesley Griffin
-Per Allansson
-Nils Nordman
-Simon Wilkinson
1. Les redistributions du code source doivent contenir la mention de copyright ci-dessus, cette
liste de conditions et l'avis de non-responsabilité ci-dessous.

PSF
2. Les redistributions sous forme binaire doivent reproduire la mention de copyright ci-
dessus, cette liste de conditions et l'avis de non-responsabilité ci-dessous dans la
documentation et/ou les autres documents fournis avec la distribution.
CE LOGICIEL EST FOURNI PAR L'AUTEUR « EN L'ETAT » ET TOUTE GARANTIE
IMPLICITES DE QUALITE MARCHANDE OU D'ADEQUATION A UN USAGE
PARTICULIER EST EXCLUE. EN AUCUN CAS L'AUTEUR NE POURRA ETRE TENU
POUR RESPONSABLE DE TOUT DOMMAGE DIRECT, INDIRECT, ACCESSOIRE,
SPECIAL, EXCEPTIONNEL OU CONSECUTIF (NOTAMMENT, MAIS SANS S'Y LIMITER,
LA FOURNITURE DE PRODUITS OU SERVICES DE REMPLACEMENT, LA PERTE
D'UTILISATION, DE DONNEES OU DE PROFILS ; OU UNE INTERRUPTION DES
ACTIVITES) DUS OU LIES A UNE RESPONSABILITE, QU'ELLE SOIT CONTRACTUELLE,
RESPONSABILITE STRICTE OU A TORT (NOTAMMENT UNE NEGLIGENCE OU AUTRE)
DECOULANT D'UNE QUELCONQUE UTILISATION DE CE LOGICIEL, ET CE MEME S'IL
A ETE INFORME DE L'EVENTUALITE DE TELS DOMMAGES.
PSF
1. Ce CONTRAT DE LICENCE est conclu entre Python Software Foundation (« PSF ») et la
personne ou l'organisation (« Licencié ») accédant ou utilisant autrement le logiciel Python 2.3
sous forme source ou binaire et sa documentation associée.
2. Selon les termes et conditions de ce Contrat de licence, PSF octroie au Licencié une licence
non exclusive, sans frais et mondiale pour reproduire, analyser, tester, exécuter et/ou afficher
publiquement, créer des travaux dérivés et autrement utiliser Python 2.3 seul ou dans une
version dérivée. Toutefois, ce Contrat de licence de PSF et la mention de droits d'auteur de
PSF, à savoir la mention « Copyright (c) 2001, 2002, 2003 Python Software Foundation. Tous
droits réservés » doivent être conservés dans Python 2.3 seul ou dans toute version dérivée
créée par le Licencié.
3. Dans l'éventualité où le Licencié développerait un travail dérivé basé ou intégré à Python
2.3 ou à une quelconque partie de celui-ci, et s'il souhaite mettre le travail dérivé à disposition
d'autres utilisateurs tel qu'il est proposé dans la présente, le Licencié accepte alors d'inclure
dans tout travail dérivé un bref résumé des modifications apportées à Python 2.3.
4. PSF permet de mettre Python 2.3 à disposition du Licencié « TEL QUEL ». PSF NE
FOURNIT AUCUNE REPRESENTATION OU GARANTIE, EXPLICITE OU IMPLICITE. A
TITRE D'EXEMPLE, MAIS SANS S'Y LIMITER, PSF NE FOURNIT ET N'ASSUME AUCUNE
REPRESENTATION OU GARANTIE DE QUALITE MARCHANDE OU D'ADEQUATION A
UN USAGE PARTICULIER OU TELLE QUE L'UTILISATION DE PYTHON 2.3
N'ENFREINDRA AUCUN DROIT TIERS.
5. PSF NE SERA PAS TENU POUR RESPONSABLE ENVERS LE LICENCIE OU TOUT
AUTRE UTILISATEUR DE PYTHON 2.3 DE TOUT DOMMAGE ACCESSOIRE, SPECIAL OU
CONSECUTIF OU D'UNE PERTE SUITE A LA MODIFICATION, DISTRIBUTION OU
AUTRE UTILISATION DE PYTHON 2.3, OU DE TOUT TRAVAIL DERIVE DE CELUI-CI, ET
CE MEME S'IL A ETE INFORME DE L'EVENTUALITE D'UN TEL DOMMAGE.
6. Ce Contrat de licence sera automatiquement résilié en cas de manquement aux termes et
conditions.
7. Aucune information contenue dans ce Contrat de licence ne doit être utilisée dans le but de
créer une quelconque relation de filiation, de partenariat ou d'association entre PSF et le
Licencié. Ce Contrat de licence n'accorde pas d'autorisation pour utiliser les marques
commerciales PSF ou un nom de marque afin de s'approprier ou promouvoir des produits ou
services du Licencié ou d'un tiers.

PHP
8. En copiant, installant ou utilisant autrement Python 2.3, le Licencié accepté d'être lié par les
termes et conditions de ce Contrat de licence.
PHP
Licence PHP, version 3.01
Copyright (c) 1999 - 2009 The PHP Group. Tous droits réservés.
1. Les redistributions du code source doivent contenir la mention de copyright ci-dessus, cette liste
de conditions et l'avis de non-responsabilité ci-dessous.
2. Les redistributions sous forme binaire doivent reproduire la mention de copyright ci-dessus,
cette liste de conditions et l'avis de non-responsabilité ci-dessous dans la documentation et/ou les
autres documents fournis avec la distribution.
3. Le nom « PHP » ne doit pas être utilisé pour s'approprier ou promouvoir des produits dérivés
de ce logiciel sans accord écrit préalable. Pour obtenir un accord écrit, contactez group@php.net.
4. Les produits dérivés de ce logiciel ne peuvent pas être nommés « PHP » et « PHP » ne peut pas
apparaître dans leurs noms sans un accord écrit préalable obtenu auprès de group@php.net. Vous
pouvez indiquer que votre logiciel est utilisé en association avec PHP en indiquant « Foo pour
PHP » au lieu de le nommer « PHP Foo » ou « phpfoo »
5. Le PHP Group se réserve le droit de publier périodiquement des mises à jour ou de nouvelles
versions de la licence. Chaque version possède un numéro distinct. Une fois le code concerné
publié selon une version spécifique de la licence, vous pouvez continuer à l'utiliser selon les termes
de cette version. Vous pouvez également choisir d'utiliser ce code concerné selon les termes d'une
version ultérieure de la licence publiée par le PHP Group. Aucune entité autre que le PHP n'a le
droit de modifier les termes applicables au code concerné et créé selon cette Licence.
6. Les redistributions d'une quelconque forme doivent inclure la mention suivante : « Ce produit
inclut le logiciel PHP, disponible gratuitement à l'adresse <http://www.php.net/software/> ».
CE LOGICIEL EST FOURNI PAR L'EQUIPE DE DEVELOPPEMENT DE PHP « EN L'ETAT » ET
TOUTE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER,
LES GARANTIES IMPLICITES DE QUALITE MARCHANDE OU D'ADEQUATION A UN
USAGE PARTICULIER EST EXCLUE. EN AUCUN CAS L'EQUIPE DE DEVELOPPEMENT DE
PHP NE POURRA ETRE TENU POUR RESPONSABLE DE TOUT DOMMAGE DIRECT,
INDIRECT, ACCESSOIRE, SPECIAL, EXCEPTIONNEL OU CONSECUTIF (NOTAMMENT,
MAIS SANS S'Y LIMITER, LA FOURNITURE DE PRODUITS OU SERVICES DE
REMPLACEMENT, LA PERTE D'UTILISATION, DE DONNEES OU DE PROFILS ; OU UNE
INTERRUPTION DES ACTIVITES) DUS OU LIES A UNE RESPONSABILITE, QU'ELLE SOIT
CONTRACTUELLE, RESPONSABILITE STRICTE OU A TORT (NOTAMMENT UNE
NEGLIGENCE OU AUTRE) DECOULANT D'UNE QUELCONQUE UTILISATION DE CE
LOGICIEL, ET CE MEME SI ELLE A ETE INFORMEE DE L'EVENTUALITE DE TELS
DOMMAGES.
Ce logiciel inclut des contributions volontaires développées par des individus au nom du PHP
Group.
Le PHP Group peut être contacté par courrier électronique à l'adresse group@php.net.
Pour plus d'informations sur le PHP Group et le projet PHP, consultez le site <http://
www.php.net>.
PHP inclut le moteur Zend, disponible gratuitement à l'adresse <http://www.zend.com>.

Zlib
Zlib
Copyright (C) 1995-2005 Jean-loup Gailly et Mark Adler
Ce logiciel est fourni en l'état, sans garantie explicite ou implicite. En aucun cas les auteurs ne
seront tenus pour responsables de tout dommage découlant de l'utilisation de ce logiciel.
L'autorisation est accordée à toute personne d'utiliser ce logiciel à toute fin utile, notamment
des applications commerciales, et de le modifier et de le redistribuer gratuitement selon les
restrictions suivantes :
1. L'origine de ce logiciel ne doit pas être représentée de manière incorrecte et vous ne devez
pas déclarer que vous avez créé le logiciel d'origine. Si vous utilisez ce logiciel dans un
produit, il est apprécié (mais non obligatoire) de l'indiquer dans la documentation du produit.
2. Les versions source modifiées doivent être clairement identifiées en tant que telles et ne
doivent pas être représentées de manière incorrecte comme étant le logiciel d'origine.
3. Cet avis ne doit pas être supprimé ni modifié dans une quelconque distribution source.
Jean-loup Gailly jloup@gzip.org
Mark Adler madler@alumni.caltech.edu

Index
A agent TS
accusé de réception d'alarmes 92 configuration du pare-feu pour la prise en
accès 27 charge 328
accès à l'interface utilisateur 27 configuration sur le serveur de terminaux 329
Active Directory désinstallation 333
agent d'ID utilisateur 322 installation 328
configuration de l'agent d'ID utilisateur 324 mise à niveau 328
désinstallation et mise à niveau de l'agent d'ID aide 24
utilisateur 327 ajout de périphériques à Panorama 418
installation de l'agent d'ID utilisateur 323 alarmes
administrateur affichage 92
comptes, création 64 affichage de l'icône 92
comptes, à propos de 60 icône d'alarme 92
options d'authentification 60 journal 74
profils, à propos de 60 non reçues 92
rôles, définition 62 paramètres du journal 80
rôles, à propos de 60 reçues 92
verrouillage de page 66, 420, 429 seuils 191
adresses API XML 19
définition 245 App-ID, demande 302
définition des groupes 248 applications
définition des groupes d'adresses 248 caractéristiques 252, 479
définition des plages 245 catégories 252, 477
adresses IPv6 246 définition 251
affichage définition des filtres 258
informations de session 290 définition des groupes 257
journaux 287 détails 250
navigateur de session 290 exceptions 228
périphériques 425 filtres 249
agent identification inconnue 300
configuration du serveur de terminaux 328 mise à jour des définitions des menaces 59
GlobalProtect 365 page de l'ACC 277
ID utilisateur 308 page de réponse 471
paramétrage de GlobalProtect 384 personnalisation avec contrôle prioritaire sur
utilisation de GlobalProtect 385 l'application 221
agent d'ID utilisateur recherche 250
configuration du pare-feu 310 sous-catégorie 252
configuration du portail captif 315 sous-catégories 477
configuration pour Active Directory 324 technologies 479
désinstallation et mise à niveau pour Active applications inconnues
Directory 327 demande d'un App-ID 302
installation pour Active Directory 323 identification 300
pour Active Directory, à propos de 322 prise de mesures 301
présentation 305 AS
agent Terminal Services (agent TS) 328 BGP 163
503 • Index Palo Alto Networks

description 163 AC de confiance 93
associations de sécurité (SA) 337 CRL 49
audit de configuration 52 décryptage 93
authentification exportation 94
base de données locale 60 génération 95
GlobalProtect 366 GlobalProtect 366
IKE 338 importation 94
LDAP 60 OCSP 49
options pour l'administrateur 60 renouveler 94
RADIUS 60 révoquer 94
séquence 73 serveur Panorama 95
à distance 32, 52 Web 93
authentification à distance 32, 52 certificats de sécurité 93
autorité de certification (AC) champs obligatoires 27
certificat AC de confiance 93 clé privée, cryptage 98
CRL 49 clients
GlobalProtect 366 Botnet infecté 290
OCSP 49 téléchargement et activation de
GlobalProtect 383
B clients infectés par un Botnet 290
comparaison des configurations 52
basculement 190
comptes
base de connaissances 126
création d'administrateur 64
base de données utilisateurs, VPN SSL 69
exigences relatives au nom d'utilisateur et au
BGP
mot de passe 61
configuration des routeurs virtuels 173
profils d'authentification 67
description 163
confidentialité de transmission parfaite (PFS) 338
profils de redistribution 167
config. active, mise à jour 39, 43
routeurs virtuels 169
config. candidate
à propos de 162
sauvegarde et répétition 39, 43
blocage des fichiers
à propos de 39, 43
définition des profils 237
configuration de l'audit 52
définition, profils 267
configuration, exemple VPN 347
paramètres 237
conventions typographiques 15
blocage, fichiers, profils 237
conventions, typographiques 15
Botnets
rapports 290
planification de la distribution d'un
à propos de 290
rapport 296
CRL 49
C cryptage des clés privées et mots de passe 98
calendriers câble virtuel 128
définition 267, 271 définition 132
exportations de l'ensemble de interfaces 149
configuration 457 interfaces, configuration 146
capture de paquets 289 câbles inverseurs 109
accès 289
App-ID 302 D
configuration des paramètres de capture 302
demande de support 126
fichiers de capture 302
prise de captures 302 destinations de pièges SNMP
capture des paquets définition 82
destinations des journaux
paramètre du profil 228, 230, 232, 233
caractère générique courrier électronique 90, 92
catégories d'URL personnalisées 261 pièges SNMP 82
syslog 83
modèles pour les listes d'interdiction et
d'autorisation 235 à propos de 76
Centre de commande de l'application (ACC), destinations des pièges SNMP
dans les profils de journalisation 268
utilisation 275
certificats décodeurs et actions 228

définition de modèles de configuration 459 F
délai pour l'URL dynamique 46 filtrage d'URL
déni de service (DoS), profils 243 affichage d'un journal 289
déploiements 128 liste 277
déploiements de C2, à propos de 130 page de l'ACC 277
déploiements de C3, à propos de 131 filtrage des données
déploiement, affichage des informations 456 affichage des journaux 74, 290
détection de la reconnaissance 188 correspondances HIP sur la page de l'ACC 277
Détection des doublons d'adresses (DAD) 139, définition des profils 240
144, 153 liste 277
DF (Do not Fragment) 194 modèles de données 263
DHCP page de l'ACC 277
options de pare-feu 183 paramètres du modèle 242
paramètres 184, 388 paramètres du profil 240, 243
relais 183 profils 240
serveurs 183 profils et modèles 242
DNS filtrage des URL
serveurs 184 affichage des journaux 75
domaines d'accès catégorisation dynamique 234
Panorama 430 définition des profils 234
pare-feu 60, 66 page de réponse de maintien et de forçage 125
DoS pages de réponse 125
définition des politiques 224 paramètres de forçage 47
profils 243 paramètres du profil 234
profils de protection 243 filtres
duplex et vitesse des liaisons 135, 147, 158, 159 application 249, 258
sous-catégorie 249
E FIPS 481
Encapsulation de la charge utile de sécurité fonctionnalités et avantages 17
(ESP) 338 format Open Virtual Machine (OVF) 406
Entrées ARP
sur les interfaces de C3 principales 146 G
sur les interfaces VLAN 141, 155 gestion de la config. 39
sur les sous-interfaces de C3 152 gestion de la configuration 43
En-tête d'authentification (AH) 338 gestion des configs. 39, 43
Ethernet 136 global basé sur des politiques 431
exceptions d'applications 228 GlobalProtect
exemple de configuration VPN 347 agents 365
exigences relatives au nom d'utilisateur et au mot authentification 366
de passe 61 page de réponse 124, 125
exportations paramétrage 367
certificats 93 paramétrage des agents 384
ensemble de configuration 457 paramétrage des passerelles 378
planification des journaux 77 paramétrage des portails 372
exportations de l'ensemble de configuration 457 passerelles 365
exportations des journaux 77 portails 365
expressions régulières, modèles de données 260 processus de connexion 366
édition des paramètres d'une page 25 sauvegarde du portail 362
état de liaison passif 115 téléchargement et activation de clients 383
état des liaisons utilisation de l'agent 385
affichage 274 VPN à grande échelle 351
paramètre 135, 147, 158, 159 à propos de 365
étiquettes groupe Diffie-Hellman (DH) 338, 346
sur des câbles virtuels 132 groupes
sur les sous-interfaces de C2 136, 148 définition des services 259
sur les sous-interfaces de C3 142 interface agrégée 149
périphérique 423
groupes agrégés 149
Palo Alto Networks Index • 505

groupes d'adresses, définition 248 groupe DH 338
groupes d'applications, définition 257 identification 338
groupes de chemins, HD 414 mode d'échange 341
groupes de liaisons, HD 115 paramètres d'un profils crypto 346
groupes de périphériques profils crypto, à propos de 338
affectation et partage d'objet 434 protection des homologues arrêtés 341
ajout 423 à propos de 336, 338
sélection 434 informations de support 126
utilisation 434 informations de support, affichage 126
groupes de profils de sécurité, définition 267 informations sensibles, protection 47
groupes de profils, définition 267 installation, Panorama 406
groupes de rapports personnalisés 295 interface de gestion
groupes de services CLI 19
définition 259 configuration 32, 52
groupes de services, définition 259 options 19
Panorama 19
H web 19
interface Web
haute disponibilité
accès 27
activation 110
champs obligatoires 27
active/active 101
navigateurs pris en charge 28
active/passive 101
utilisation 23
configuration 110
utilisation des tableaux 27
configuration sur Panorama 411
validation de modifications 26
définition d'interfaces 159
interfaces
interfaces 159
affichage du statut 134, 274
mise à niveau du logiciel PAN-OS 55
configuration des interfaces Ethernet
Panorama 411
agrégées 150, 151
paramétrage 108
C2, principales 135
remarques de configuration 117
C3, principales 136
remarques relatives au paramétrage 109
groupes agrégés 149
règles de fonctionnement et de
haute disponibilité 159
basculement 101
récapitulatif de 133
à propos de 101
sous-interfaces de C2 136, 158
haute disponibilité active/active 101
sous-interfaces de C3 141
haute disponibilité active/passive 101
tap 158
haute disponibilité passive/active 101
interfaces de C2
heure
configuration 135
paramètre 32, 52
configuration des sous-interfaces 136
zone 33
principales 135
HIP (Host Information Profile)
sous-interfaces 136, 158
paramétrage 371
interfaces de C3
paramétrage d'objets 368
configuration 136
paramètres du journal de correspondance
HIP 80
en boucle 155, 156
horloge, paramètre 32, 52
principales 136
Host Information Profile (HIP)
sous-interfaces 141
correspondances sur la page de l'ACC 277
interfaces de câble virtuel
journal de correspondance 290
Interfaces de tunnel 342
I interfaces en boucle
identification de l'homologue 341 définition 155, 156
identification locale 341 port de gestion 32
identification, IKE 338 interfaces en boucle non numérotées 155
IKE interfaces Ethernet agrégées
AH 338 configuration 150
authentification 338 groupes 149
définition des profils crypto 345 interfaces Ethernet, configuration 151
ESP 338 interfaces HD 159

interfaces L3 K
passerelles partagées 124 Kerberos
interfaces Tap, définition 158 configuration des paramètres du serveur 72
intervalle Hello, HD 413 rôles administrateur 60
IPSec
AH 338
définition des profils crypto 346 L
durée de vie 338 latitude et longitude 33
ESP 338 LDAP
groupe DH 338 authentification 60
nombre de tunnels 337 configuration des paramètres du serveur 71
paramétrage des tunnels 342 licences
paramètres d'un profil crypto 346 installation 53, 93
vue d'ensemble d'un VPN à grande libres 483
échelle 351 licences libres 483
IPv6 189 liens de la page d'un journal 276
liste d'applications 277
liste d'autorisation
J modèles avec caractères génériques 235
journal de configuration profil de filtrage des URL 236
affichage 290 liste d'interdiction
définition de la journalisation à distance 78, modèles avec caractères génériques 235
79, 80, 81 profil de filtrage des URL 235
à propos de 74 liste des menaces 277
journal de menaces 269 Listes d'interdiction dynamiques 262
affichage 289 logiciel
journal de trafic 268 mise à niveau 53, 66, 430, 457, 459
affichage 289 mise à niveau de Panorama 459
définition de la journalisation à distance 267 mise à niveau vers une version antérieure 56
journal des menaces version 274
définition de la journalisation à distance 267 logiciel PAN-OS
à propos de 75 mise à niveau 53, 66, 430
journal système version 274
affichage 290
à propos de 75
journaux 289 M
affichage 287 MD5 172
affichage du filtrage d'URL 289 menaces
alarmes 74, 80 liste de l'ACC 277
configuration 74 mise à jour des définitions 59
correspondance HIP 290 MIB 50, 83
définition de journalisation distance mise à niveau
pour les journaux du trafic et des avec haute disponibilité 55
menaces 267 calendriers 59
définition de la journalisation à distance définition des menaces et des applications 59
pour la configuration 78, 79, 80, 81 logiciel Panorama 457, 459
effacement 81 logiciel PAN-OS 53, 66, 430
gestion 81 mise à niveau vers une version antérieure du
liens des pages de l'ACC 276 logiciel 56
menace 75 mises à jour dynamiques
paramètres de configuration 78 planification 59
paramètres de correspondance HIP 80 à propos de 59
planification des exportations 77 mises à niveau HD 55
résoudre un nom d'hôte 288 mode d'échange 341
sauvegarde sur le serveur FTP 77 mode Tap
système 75 description 132
WildFire 76 option de déploiement 132
à propos de 74 modification des paramètres d'une page 25
modèles de données

définition 263 P
nouvel ajout 260 page Clé principale et diagnostics 98
profils de filtrage des données 242 page de blocage des fichiers 471
règles 260 Pages de blocage HTML 469
moniteur de tunnel pages de réponse
attente de récupération 190 aide du portail GlobalProtect 124
basculement 190 antivirus 124, 469
profils 190 blocage des applications 124, 471
mot de passe blocage des fichiers 124, 471
complexité minimale des mots de passe 38 connexion du portail GlobalProtect 125
cryptage 98 définition 124
nouveau 22 exclusion de décryptage SSL 125
profils 63 maintien et forçage du filtrage des URL 125
protection des données 47 notification de révocation des certificats
SSL 476
N page de notification des erreurs de certificat
NAT SSL 125
définition des politiques 209 portail captif 124, 474
exemples de politiques 211 poursuite du blocage des fichiers 124
NAT64 212 types 97, 124
politiques 205 pages de réponse antivirus 469
types 207 Panorama
navigateur de session 290 accès 418
navigateurs pris en charge 28 activation de l'accès 34
navigateurs, pris en charge 28 ajout de périphériques 422
Netflow appareil matériel 410
configuration 92 appareil virtuel 406
à propos de 92 certificat du serveur 95
NFS 408 configuration de l'adresse IP 34
haute disponibilité Panorama 412 création d'un compte administrateur 427
partitions de stockage 408 description de l'interface 418
stockage du journal externe 408 domaines d'accès 430
nom d'hôte, définition 32, 52 exportations de l'ensemble de
nom de domaine 33 configuration 457
NSSA (Not So Stub Area) 170 haute disponibilité 411
NT LAN Manager (NFL) 310 installation 406
NT LAN Manager (NTLM) 224 interface utilisateur 418
journalisation 443
mise à niveau du logiciel 457, 459
O modèles 439
objets modèles, configuration 440
partage dans Panorama 434 objets 434
présentation 244 onglet 419
obtenir de l'aide 24 onglet ACC 418
OCSP 49 onglet Objets 419
options de déploiement onglet Panorama 419
Couche 2 130 onglet Périphérique 419
Couche 3 131 onglet Politiques 418
câble virtuel 128 onglet Réseau 419
mode Tap 132 onglet Surveillance 418
PPPoE 131 onglets 418
options de suppression, profils DOS 193 options de l'administrateur 425
OSPF paramétrage 405
configuration d'un routeur virtuel 169 politiques partagées, définition 418, 431
profils de redistribution 167 rôles administrateur 426
routeurs virtuels 169 tableau de bord 418
à propos de 162 validation 437
verrouillage de compte utilisateur 66, 420, 429

PAN-OS, mise à niveau du logiciel 53 définition NAT 209
paramètres d'ID de contenu 46 directives de définition 198
paramètres de notification par courrier et les systèmes virtuels 119, 122
électronique modèles de données 263
définition 90, 92 partagées 418, 431
paramètres de notification par e-mail précision des utilisateurs et des
dans les profils de journalisation 268 applications 200
paramètres du réseau 32, 52 QoS 391
paramètres du système 124 règles après 432
paramètres duplex 135, 147, 158, 159 règles avant 431
pare-feu systèmes virtuels 118
accès à l'interface utilisateur 27 types 197
agent d'ID utilisateur 310 à propos 197
configuration des paramètres WildFire 463 à propos de la sécurité 201
fonctionnalités et avantages 17 à propos de la traduction des adresses
introduction 17 réseau 205
latitude et longitude 33 à propos du transfert basé sur une
utilisation de l'interface Web 23 politique 215
pare-feu virtuel 397 politiques d'exception de l'application 267
pare-feu VM-Series politiques de contrôle prioritaire sur l'application
configuration requise 398 définition 221
dépannage 403 à propos 221
installation 397, 400 politiques de sécurité
limitations 398 définition 202
présentation 397 à propos 201
partitions de stockage 408 portail
Panorama 408 GlobalProtect 365
passerelle paramétrage de GlobalProtect 372
GlobalProtect 365 à propos de 365
paramétrage de GlobalProtect 378 portail captif 67
à propos de 365 configuration du pare-feu pour 315
passerelles IKE définition des politiques 223
paramétrage 187, 340 page Confort 124, 474
paramètres 340 paramètres 223, 225
à propos de 338 ports HA1 et HA2 110
passerelles partagées PPPoE
configuration 124 déploiements 131
interface commune 121 paramètres 138
interfaces L3 124 à propos de 131
à propos de 121 priorité du périphérique, HD 413
PBF (Policy Based Forwarding) profils
et profils de surveillance 190 antispyware 229
périphérique principal 424 antivirus 228
périphériques antivirus, décodeurs et actions 228
ajout 422 antivirus, exceptions d'applications 228
gestion 31 attaques basées sur des paquets 188
principal 424 blocage des fichiers 237, 267
plusieurs systèmes virtuels 33, 119, 122 crypto IKE 345
point de rendez-vous 181 crypto IPSec 346
politique de déchiffrement 269 définition du transfert des journaux 268
politique partagée détection de la reconnaissance 188
définition 418, 431 filtrage des données 240
périphérique principal 424 filtrage des URL 234
politiques gestion de l'interface 189
autres objets de politiques 244 groupes de sécurité 227, 267
définition d'objets adresse 245 journalisation 267
définition DoS 224 moniteur de tunnel 190
définition du déchiffrement 218 paramètres d'un profil crypto IKE 346
définition du portail captif 223 paramètres d'un profil crypto IPSec 346

protection contre la saturation 188 Q
protection contre les vulnérabilités 231, 234 QoS
protection de zone 191 classes 390, 391
protection de zones 390 instructions de configuration 387
QoS 387, 390 marquage 205
redistribution 167 paramètres 205
réseau 187 paramètres de priorité 390
à propos de la sécurité 226 paramètres de sortie 390
à propos de la surveillance 190 paramètres des interfaces de pare-feu 387
profils antispyware politiques 391
définition 229 profils 387, 390
à propos 229 trafic en texte clair 388
profils antivirus trafic par tunnel 388
définition 228 qualité de service (QoS) 387
paramètres 228
profils crypto 345, 346
profils crypto, à propos de 338 R
profils d'authentification RADIUS
paramétrage 67 authentification 60
paramètres Kerberos 72 définition des paramètres du serveur 70
paramètres LDAP 71 profils d'authentification 67
paramètres RADIUS 70 random early drop 191
à propos de 67 rapports
profils de gestion de l'interface 189 activité d'un utilisateur 295
profils de protection contre les vulnérabilités 231, activité des utilisateurs 443
234 affichage 297
profils de redistribution affichage de WildFire 468
configuration 167 App-Scope 279
à propos de 167 création de groupes personnalisés 295
profils de sécurité personnalisé 298
actions 226 planification de la distribution par courrier
définition 267 électronique 296
à propos 226 récapitulatif au format PDF 293
profils de surveillance 190 50 meilleurs 297
profils réseaux 187 rapports App-Scope
protection contre la saturation 188 affichage 279
protection contre les attaques basées sur des rapport de la carte des menaces 282, 283, 286
paquets 188, 193 rapport de récapitulation 280
protection des données rapport de surveillance des modifications 281
ajout 47 rapport de surveillance du réseau 284
modification du mot de passe 47 rapports de récapitulation au format PDF
protection des homologues arrêtés 341 affichage 293, 294
protocoles de routage conception 294
BGP 169 création 294, 296
OSPF 169 rapports et journaux
RIP 168 affichage de rapports de récapitulation au
routeurs virtuels 162 format PDF 293
à propos de 162 affichage des rapports 297, 298
proxy affichage des rapports App-Scope 279
DNS, à propos de 185 identification des applications inconnues 300
Proxy DNS rapports personnalisés 298
paramètres 185 utilisation du centre de commande de
à propos de 185 l'application 275
Publication de routeur 140, 145, 154 utilisation du tableau de bord 274
Publication LSA (Link State Advertisement) 163 rapports personnalisés 298
redémarrage du pare-feu 41
redémarrage du périphérique 32, 42, 52
Representational State Transfer (REST) 19
revérification des sessions 48

régions seuils de réponse 191, 192
politiques 248 seuils, alarme 191
à propos 248 sécurité
répétition d'une config. candidate 39, 43 définition des groupes de profils 227, 267
résoudre un nom d'hôte 288 groupes de profils 267
RIP séquences d'authentification
configuration d'un routeur virtuel 168 paramétrage 73
profils de redistribution 167 à propos de 73
routeurs virtuels 168 signatures
à propos de 162 logiciels espions 264
routage personnalisées 264
multicast 164 vulnérabilité 264
à propos des routeurs virtuels et des protocoles signatures personnalisées
de routage 162 logiciels espions 264
routage multicast vulnérabilité 264
paramètres 181 à propos 264
à propos de 164 SNMP
routeurs virtuels chaîne de communauté 50
configuration 165, 166, 181 configuration de MIB 50
définition 165 définition des destinations de pièges 82
paramètres multicast 181 MIB 83
protocoles de routage 162 sous-catégorie
saut suivant 166 application 252
statistiques d'exécution 183 filtrage 249
règles SPT (Shortest Path Tree) 183
politique d'exception de l'application 267 SSL
politique de sécurité 202 définition des politiques de déchiffrement 218
règles après dans des politiques 432 paramètres des règles de déchiffrement 216,
règles avant dans des politiques 431 219
rôles politiques de déchiffrement 267
définition de l'administrateur 62 renvoi aux notes techniques 218
à propos de 60 SSM (Source-Specific Multicast) 183
systèmes virtuels
S activation 33
activation de plusieurs 33
saturation ICMP 192
communications entre 119
saturation SYN 191
définition 118, 122, 124
saturation UDP 192
définition de plusieurs 122
saturation, paramètres de la protection de
et les zones de sécurité 119
zone 390
flux de trafic interne 119
saturation, paramètres de protection de zone 191
interface commune de la passerelle
saut suivant 166
partagée 121
sauvegarde d'une config. candidate 39, 43
passerelles partagées 121
sauvegarde des configurations du pare-feu 457
plusieurs 119
serveur FTP, sauvegarde de journaux sur 77
politiques 118
serveurs
zones de sécurité 118
définition de Kerberos 72
à propos de 118
définition de LDAP 71
définition de RADIUS 70
définition de syslog 83 T
serveurs NIS 184 tableau de bord
serveurs NTP 184 pare-feu 274
serveurs syslog tableaux, utilisation dans l'interface Web 27
champs syslog personnalisés 84 temps d'attente 413
dans les profils de journalisation 268 temps d'attente passif, HD 413
définition 83 trafic en texte clair, et QoS 388
serveurs WINS 184 trafic par tunnel, et QoS 388
service BrightCloud 234 transfert basé sur une politique (PBF)
services, définition 259 définition 215

à propos 215 W
transfert des journaux WildFire
définition des profils 268 abonnement 462
paramètres du profil 268 affichage des rapports 468
Transport Layer Security (TLS) 71 configuration des paramètres du pare-feu 463
tunnels configuration des paramètres sur le
nombre d'IPSec 337 portail 467
paramétrage 342 configurer le transfert 464
segmentés pour les VPN SSL 380 description des journaux 465
à propos de VPN 337 tableau de bord 466
tunnels VPN types de fichiers pris en charge 462
clés de sécurité manuelles 337 tâches de configuration 463
IKE 337 utilisation du portail 466
paramétrage 339, 342 à propos de 461
sécurisation 337
à propos de 337
types of déploiements 128 Z
zones
dans les politiques de sécurité 202, 203
U dans les politiques NAT 209
utilisation de la mémoire 275 définition 161
utilisation du disque 275 profils de protection 191, 390
utilisation du processeur 275 zones de sécurité
dans les politiques de sécurité 202, 203
V dans les politiques NAT 209
validation définition 161
changements 26 interfaces 160
options 26 à propos de 160
Panorama 437
verrou sur la page de l'administrateur 66, 420, 429
verrouillage de compte utilisateur 66, 429
version, logiciel 274
vitesse, liaison 135, 147, 158, 159
VLAN
interfaces de C2 151
interfaces, définition 151
VMware ESX(i) 406
VPN
déploiement d'un VPN à grande échelle 352
exemple de configuration 347
paramétrage de tunnels 337
profils crypto IPSec et IKE 338
SSL, à propos de 387
VPN à grande échelle et protocoles de routage
dynamique 362
vue d'ensemble d'un VPN à grande
échelle 351
à propos de 336
VPN SSL
base de données utilisateurs locale 69
page Confort 125
profils d'authentification 67
tunnels segmentés 380
à propos de 387
VPN à grande échelle
vue d'ensemble 351
vSphere 406
vue d'ensemble du réseau 128

Palo Alto Networks Guide de L'administrateur

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Palo Alto Networks Guide de L'administrateur

Transféré par

Droits d'auteur :

Formats disponibles

Palo Alto Networks

7/9/13 Version définitive - Palo Alto Networks

Table des matières

Vue d'ensemble du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Paramétrage du système, configuration et gestion des licences . . . . . . . . . 32

Palo Alto Networks • 3

4 • Palo Alto Networks

Déploiement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Palo Alto Networks • 5

6 • Palo Alto Networks

Utilisation du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Présentation de l'identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 305

Palo Alto Networks • 7

Réseaux privés virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336

8 • Palo Alto Networks

Prise en charge du pare-feu pour la QoS . . . . . . . . . . . . . . . . . . . . . . . . . 387

Palo Alto Networks • 9

Accès à l'interface Web de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

A propos de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

10 • Palo Alto Networks

Catégories et sous-catégories d'applications . . . . . . . . . . . . . . . . . . . . . . . 477

Palo Alto Networks • 11

• « Conventions typographiques » à la page 15

• « Remarques et précautions » à la page 15

• « Documentation connexe » à la page 15

• Chapitre 2, « Mise en route » - Explique comment installer le pare-feu.

• Chapitre 3, « Gestion des périphériques » - Explique comment effectuer la configuration

• Chapitre 4, « Configuration du réseau » - Explique comment configurer le pare-feu pour

• Chapitre 5, « Politiques et profils de sécurité » - Explique comment configurer les

• Chapitre 6, « Rapports et journaux » - Explique comment consulter les rapports et les

Palo Alto Networks Préface • 13

• Chapitre 7, « Configuration du pare-feu pour l'identification utilisateur » - Explique

• Chapitre 8, « Configuration des tunnels IPSec » - Explique comment configurer les

• Chapitre 9, « Configuration de GlobalProtect » - Explique comment configurer

• Chapitre 10, « Configuration de la qualité de service » - Explique comment configurer la

• Chapitre 12, « Paramétrage de Panorama » - Explique comment installer le système de

• Chapitre 13, « Gestion centralisée des périphériques à l'aide de Panorama » - Explique

• Chapitre 14, « Configuration de WildFire » - Explique comment utiliser WildFire pour

• Annexe B, « Catégories, sous-catégories, technologies et caractéristiques

• Annexe C, « Prise en charge des normes FIPS (Federal Information Processing

14 • Préface Palo Alto Networks

Convention Signification Exemple

• Contrat de licence et garantie de Palo Alto Networks

Des documents connexes complémentaires sont disponibles à l'adresse suivante :

Palo Alto Networks Préface • 15

16 • Préface Palo Alto Networks

Ce chapitre fournit une vue d'ensemble du pare-feu :

• « Fonctionnalités et avantages » à la page 17

• « Interfaces de gestion » à la page 19

Vue d'ensemble du pare-feu

Palo Alto Networks Introduction • 17

• Identification de l'utilisateur (User-ID ) - Permet aux administrateurs de configurer et

• Visibilité du trafic - Les rapports, journaux et mécanismes de notification étendus

• Versatilité et vitesse du réseau - Le pare-feu peut développer ou remplacer votre pare-feu

• Fonctionnement à sécurité intégrée - Un support hautement disponible assure un

• Analyses de logiciels malveillants et création de rapports - WildFire fournit une analyse

18 • Introduction Palo Alto Networks

• Panorama - Produit de Palo Alto Networks assurant la gestion Web, la création de

Palo Alto Networks Introduction • 19

20 • Introduction Palo Alto Networks

Ce chapitre explique comment paramétrer et commencer à utiliser le pare-feu :

• « Paramétrage du pare-feu » à la page 22

• « Utilisation de l'interface Web du pare-feu » à la page 23