GUIDE D ADMINISTRATION

Transcription

1 GUIDE D ADMINISTRATION FortiGate Version 3.0

2 Guide d administration FortiGate Version avril 2006 Droit d auteur 2006 Fortinet, Inc. Tous droits réservés. En aucun cas, tout ou partie de cette publication, y compris les textes, exemples, diagrammes ou illustrations, ne peuvent être reproduits, transmis ou traduits, sous aucune forme et d aucune façon, que ce soit électronique, mécanique, manuelle, optique ou autre, quelqu en soit l objectif, sans autorisation préalable de Fortinet, Inc. Marques déposées Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et FortiWiFi sont des marques déposées de Fortinet, Inc. aux États-Unis et/ou dans d autres pays. Les noms des sociétés et produits mentionnés ici peuvent être des marques déposées par leurs propriétaires respectifs. 2 Guide d Administration FortiGate Version 3.0

3 Table des Matières Introduction...15 Présentation des équipements FortiGate Châssis FortiGate série A propos des modules FortiGate série FortiGate FortiGate FortiGate-1000A FortiGate-1000AFA FortiGate FortiGate FortiGate-800F FortiGate-500A FortiGate FortiGate-400A FortiGate FortiGate-300A FortiGate FortiGate-200A FortiGate FortiGate-100A FortiGate FortiGate-60/60M/ADSL FortiWiFi FortiGate-50A Gamme de Produits Fortinet Services de souscription FortiGuard FortiAnalyser FortiClient FortiManager FortiBridge FortiMail...23 FortiReporter A propos de ce document Conventions utilisées dans ce document Documentation FortiGate CD d outils et de documentation Fortinet Base de Connaissance Fortinet (Fortinet Knowledge Center) Remarques sur la documentation technique Fortinet Service clientèle et support technique Interface d administration web...29 Fonctionnalités de la barre de boutons Contacter le Support Technique Aide en Ligne Accès au mode console Déconnexion Guide d Administration FortiGate Version 3.0 3

4 Pages de l interface d administration web Menu de l interface d administration web Listes Icônes Barre de statuts Enregistrement d un équipement FortiGate Utilisation de domaines virtuels...40 Domaines virtuels Paramètres de configuration des domaines virtuels Paramètres de la Configuration Globale Activation du mode Multiple VDOM Configuration des VDOM et paramètres globaux Visualisation, création et édition de domaines virtuels et édition de paramètres globaux Ajout d interfaces à un domaine virtuel Affectation d un administrateur à un domaine virtuel Statuts du Système...47 Page des statuts Visualisation des statuts du système Modification des informations du système Paramétrage des date et heure Modification du nom d hôte du boîtier FortiGate Modification du logiciel FortiGate Mise à jour logicielle Retour à une version logicielle antérieure Visualisation de l historique opérationnel Mise à jour manuelle des définitions FortiGuard Mise à jour manuelle des définitions AV FortiGuard Mise à jour manuelle des définitions IPS FortiGuard Visualisation des Statistiques Visualisation de la liste des sessions Visualisation des Archives de Contenu Visualisation du Journal des Attaques Système > Réseau...61 Interface Paramètres de l interface Création d une interface agrégée 802.3ad Création d une interface redondante Création d une interface sans fil Configuration DHCP d une interface Configuration PPPoE d une interface Configuration d un service DNS dynamique d une interface Configuration d une interface IPSec virtuelle Guide d Administration FortiGate Version 3.0

5 Configuration additionnelle des interfaces Zone Paramètres d une zone Options Détection de l échec d une passerelle Configuration des Options du Réseau Table de Routage (en mode Transparent) Paramètres d une route en mode Transparent Configuration de l interface modem Configuration des paramètres du modem Configuration du mode Redondant Configuration du mode stand alone Ajout de règles pare-feu pour les connexions modem Connexion et déconnexion du modem Vérification du statut du modem Aperçu sur les VLAN Equipements FortiGate et VLAN VLAN en mode NAT/Route Consignes sur les identificateurs VLAN Consignes sur les adresses IP VLAN Ajout de sous-interfaces VLAN VLAN en mode Transparent Consignes sur les identificateurs VLAN Domaines virtuels et VLAN en mode Transparent Support FortiGate IPv Système Sans Fil...92 Interface LAN sans fil FortiWiFi Domaines régulatoires Paramètres sans fil du système (FortiWiFi-60) Paramètres sans fil du système (FortiWiFi-60A et 60AM) Filtrage des MAC Surveillance du module sans fil Système DHCP...99 Serveurs et relais DHCP FortiGate Configuration des services DHCP Configuration d une interface comme relais DHCP Configuration d un serveur DHCP Visualisation des baux d adresses Réservation d adresses IP pour clients spécifiques Guide d Administration FortiGate Version 3.0 5

6 Configuration du Système Haute Disponibilité Aperçu sur la Haute Disponibilité Protocole de Clustering FortiGate (FGCP) Modes HA (actif-actif et actif-passif) Compatibilité de la HA FortiGate avec DHCP et PPPoE Aperçu sur le clustering virtuel Aperçu sur le maillage intégral HA Configuration d options HA (clustering virtuel inactivé) Configuration d options HA pour clustering virtuel Options HA Liste des membres d un cluster Visualisation des statistiques HA Modification du nom d hôte et de la priorité d un membre subordonné Configuration d un cluster HA Configuration d un clustering virtuel Administration d un cluster Déconnexion d un membre du cluster Adresses MAC virtuelles d un cluster Exemple de configuration d un clustering virtuel Administration de clusters virtuels Exemple de configuration en maillage intégral HA Maillage intégral HA pour clustering virtuel HA et interfaces redondantes HA et interfaces agrégées 802.3ad SNMP Configuration SNMP Configuration d une communauté SNMP MIB FortiGate Traps FortiGate Champs MIB Fortinet Messages de remplacement Liste des messages de remplacement Modification des messages de remplacement Modification de la page de connexion et d authentification Modification de la page d ignorance du filtrage web FortiGuard Modification du message de connexion VPN SSL Modification de la page d information d authentification Mode de fonctionnement des VDOM et accès administratif Modification du mode de fonctionnement Administration du Système Administrateurs Configuration de l authentification RADIUS des administrateurs Visualisation de la liste des administrateurs Configuration d un compte administrateur Profils d administration Visualisation de la liste des profils d administration Configuration d un profil d administration Guide d Administration FortiGate Version 3.0

7 FortiManager Paramètres Contrôle des administrateurs Maintenance du Système Sauvegarde et Restauration Centre FortiGuard Réseau de Distribution FortiGuard Services FortiGuard Configuration du boîtier FortiGate pour les services FDN et FortiGuard Résolution de problèmes de connexion FDN Mise à jour des signatures antivirus et IPS Activation des mises à jour forcées Licence Routeur Statique Route Statique Concepts de routage Visualisation, création et édition de routes statiques Route par défaut et passerelle par défaut Ajout d une route statique à la table de routage Règle de Routage Ajout d une règle de routage Déplacement d une règle de routage Routeur dynamique RIP Fonctionnement RIP Visualisation et édition des paramètres de base RIP Sélection d options RIP avancées Ignorer les paramètres de fonctionnement RIP d une interface OSPF Systèmes autonomes OSPF Définition d un système autonome (AS) OSPF Visualisation et édition de paramètres de base OSPF Sélection d options avancées OSPF Définitions d aires OSPF Spécification de réseaux OSPF Sélection de paramètres de fonctionnement d une interface OSPF BGP Fonctionnement de BGP Visualisation et édition des paramètres BGP Multicast Visualisation et édition de paramètres multicast Ignorer les paramètres multicast d une interface Guide d Administration FortiGate Version 3.0 7

8 Table de Routage Affichage des informations sur le routage Recherche dans la table de routage FortiGate Règle Pare-feu A propos des règles pare-feu Comment fonctionne la correspondance de règles? Visualisation de la liste des règles pare-feu Ajout d une règle pare-feu Déplacement d une règle dans la liste Configuration des règles pare-feu Options des règles pare-feu Ajout d une authentification aux règles pare-feu Ajout d une priorité de trafic aux règles pare-feu Options des règles pare-feu IPSec Options des règles pare-feu VPN SSL Adresse Pare-Feu A propos des adresses pare-feu Visualisation de la liste des adresses pare-feu Configuration des adresses Visualisation de la liste des groupes d adresses Configuration des groupes d adresses Service Pare-feu Visualisation de la liste des services prédéfinis Visualisation de la liste des services personnalisés Configuration des services personnalisés Visualisation de la liste des groupes de services Configuration des groupes de services Plage horaire d un Pare-feu Visualisation de la liste des plages horaires ponctuelles Configuration des plages horaires ponctuelles Visualisation de la liste des plages horaires récurrentes Configuration des plages horaires récurrentes IP virtuelles IP virtuelles Comment les adresses IP virtuelles gèrent-elles leurs connexions à travers le boîtier FortiGate? Guide d Administration FortiGate Version 3.0

9 Visualisation de la liste d IP virtuelles Configuration des adresses IP virtuelles Ajout d une adresse IP virtuelle de translation à une seule adresse IP Ajout d une adresse IP virtuelle de translation à une plage d adresses IP Ajout d un relayage de port de translation à une seule adresse IP et un seul port Ajout d un relayage de port de translation à une plage d adresses IP et une plage de ports Ajout d une IP virtuelle d équilibrage de charge à une plage d adresses IP Ajout d une IP virtuelle relayage de port équilibrage de charge à une plage d adresses IP et une plage de ports Ajout d IP virtuelles dynamiques Plages IP Plages IP et NAT dynamique Plages IP pour les règles pare-feu utilisant des ports fixes Visualisation des plages IP Configuration des plages IP Profil de Protection Qu est-ce qu un profil de protection? Profils de protection par défaut Visualisation de la liste des profils de protection Configuration d un profil de protection Options Antivirus Options du filtrage Web Options du filtrage FortiGuard-Web Options du filtrage antispam Options IPS Options des archives de contenu Options IM et P2P Options de la journalisation Ajout d un profil de protection à une règle Configuration CLI d un profil de protection Config firewall profile VPN IPSEC Aperçu du mode interface IPSec Auto Key Création d une nouvelle configuration phase Définition des paramètres avancés de la phase Création d une nouvelle configuration phase Définition des paramètres avancés de la phase Clé Manuelle Création d une nouvelle configuration à clé manuelle Concentrateur Définition des options d un concentrateur Guide d Administration FortiGate Version 3.0 9

10 Tunnels actifs VPN PPTP Plage PPTP VPN SSL Configuration Monitor Certificats VPN Certificat locaux Générer une requête de certificat Téléchargement et soumission d une requête de certificat Importation d un certificat serveur signé Importation d un certificat serveur exporté et de sa clé privée Importation de fichiers séparés de certificat serveur et leur clé privée Certificats CA Importation de certificats de l autorité de certification CRL Importation d une liste de révocation de certificat Utilisateur Configuration de l authentification d un utilisateur Paramétrage du timeout d authentification Comptes utilisateurs locaux Edition d un compte utilisateur Serveurs RADIUS Configuration d un serveur RADIUS Serveurs LDAP Configuration d un serveur LDAP Serveurs Windows AD Configuration d un serveur Windows AD Groupe d utilisateurs Types de groupe d utilisateurs Liste de groupes d utilisateurs Configuration d un groupe d utilisateurs Configuration des options override FortiGuard pour un groupe d utilisateurs Configuration des options des groupes d utilisateurs VPN SSL Configuration de paires et de groupes de paires Antivirus Antivirus Guide d Administration FortiGate Version 3.0

11 Modèles de Fichier Visualisation du catalogue de la liste des modèles de fichier (FortiGate-800 et plus uniquement) Création d une nouvelle liste de modèles de fichier ( FortiGate-800 et plus uniquement). 340 Visualisation de la liste de modèles de fichier Configuration de la liste de modèles de fichier Mise en Quarantaine Visualisation de la liste des Fichiers mis en Quarantaine Visualisation de la liste de soumission automatique Configuration de la liste de soumission automatique Configuration des options de mise en quarantaine Configuration Visualisation de la liste des virus Visualisation de la liste des Graywares Configuration de l Antivirus à partir de l interface de ligne de commande system global optimize config antivirus heuristic config antivirus quarantine config antivirus service <service_name> Protection contre les Intrusions A propos de la protection contre les intrusions Signatures prédéfinies Visualisation de la liste de signatures prédéfinies Configuration de groupes de signatures prédéfinies Configuration des signatures prédéfinies Signatures personnalisées Visualisation de la liste des signatures personnalisées Création de signatures personnalisées Décodeurs de protocoles Visualisation de la liste de décodeurs de protocoles Configuration des groupes de décodeurs de protocoles IPS Configuration des décodeurs de protocoles IPS Anomalies Visualisation de la liste des anomalies de trafic Configuration des anomalies de trafic IPS Configuration de l IPS à partir de l interface de ligne de commande system autoupdate ips ips global fail-open ips global ip_protocol ips global socket-size (config ips anomaly) config limit Filtrage Web Filtrage Web Filtrage par mots-clés Guide d Administration FortiGate Version

12 Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus) Création d une nouvelle liste de blocage de contenu Web (Modèle boîtier FortiGate-800 et plus) Visualisation de la liste de blocage de contenu Web Configuration de la liste de blocage de contenu web Visualisation du contenu de la liste d exemption des contenus Web (modèles FortiGate-800 et plus) Création d une nouvelle liste d exemption des contenus Web (modèles FortiGate-800 et plus) Visualisation de la liste d exemption des contenus Web Configuration de la liste d exemption des contenus Web Filtre URL Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et plus) Création d une nouvelle liste de filtres URL (Modèles FortiGate-800 et plus) Visualisation de la liste des filtres URL Configuration d une liste de filtres URL Déplacement d URL au sein de la liste de filtres URL Filtrage Web FortiGuard Configuration du filtrage FortiGuard-Web Visualisation de la liste override Configuration de règles d ignorance Création de catégories locales Visualisation de la liste des évaluations locales Configuration d évaluations locales Configuration d un blocage de catégorie à partir de l interface de ligne de commande Rapports du Filtrage FortiGuard-Web Antispam Antispam Ordre du filtrage antispam Mots bannis Visualisation du catalogue de listes de mots bannis antispam (Modèles FortiGate-800 et plus) Création d une nouvelle liste de mots bannis antispam (modèles FortiGate-800 et plus). 390 Visualisation de la liste de mots bannis antispam Configuration de la liste des mots bannis antispam Liste noire et liste blanche Visualisation du catalogue de listes d adresses IP antispam (modèles FortiGate-800 et plus) Création d une nouvelle liste d adresses IP antispam (modèles FortiGate-800 et plus) Visualisation de la liste d adresses IP antispam Configuration de la liste des adresses IP antispam Visualisation du catalogue de listes d adresses mail antispam (modèles FortiGate-800 et plus) Création d une nouvelle liste d adresses mail antispam (modèles FortiGate-800 et plus). 396 Visualisation de la liste d adresses IP mail antispam Configuration de la liste des adresses mail antispam Configuration antispam avancée config spamfilter mheader config spamfilter rbl Guide d Administration FortiGate Version 3.0

13 Utilisation des expressions régulières en Perl Expression Régulière vs Modèle à méta-caractère Limite des mots Sensibilité à la casse des caractères Formats des expressions régulières en Perl Exemples IM/P2P Statistiques Visualisation des statistiques d ensemble Visualisation des statistiques par protocole Utilisateur Visualisation de la liste des utilisateurs connectés Visualisation de la liste des utilisateurs Ajout d un nouvel utilisateur à la liste des utilisateurs Configuration d une politique utilisateur globale Configuration IM/P2P à partir de l interface de ligne de commande Journaux & Alertes Journalisation FortiGate Niveaux de sévérité des journaux Stockage des Journaux Journalisation sur un boîtier FortiAnalyzer Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique Test de la configuration d un boîtier FortiAnalyzer Journalisation sur la mémoire Journalisation sur un serveur Syslog Journalisation sur WebTrends Journalisation d un cluster Haute Disponibilité Types de Journaux Journal Trafic Journal Evénement Journal Antivirus Journal Filtrage Web Journal des Attaques Journal Antispam Journal IM / P2P Accès aux Journaux Accès aux messages journalisés stockés en mémoire Accès aux journaux stockés sur un boîtier FortiAnalyzer Visualisation des informations journalisées Paramètres des colonnes Filtrage des messages journalisés Rapports Rapports de base sur le trafic Rapports FortiAnalyzer Guide d Administration FortiGate Version

14 Mail d alerte Configuration des mails d alerte Index Guide d Administration FortiGate Version 3.0

15 Introduction Bienvenue et merci d avoir choisi les produits Fortinet pour la protection en temps réel de votre réseau. Les boîtiers FortiGate TM Unified Threat Management System (Système de Gestion Unifiée des Attaques) sécurisent les réseaux, réduisent les mauvais usages et abus réseaux et contribuent à une utilisation plus efficace des ressources de communication, sans compromettre la performance de votre réseau. La gamme a reçu les certifications ICSA pare-feu, VPN IPSec et antivirus. L appliance FortiGate est un boîtier entièrement dédié à la sécurité. Il est convivial et fournit une gamme complète de services, que ce soit: au niveau des applications (comme le filtrage antivirus, la protection contre les intrusions, les filtrages antispam, de contenu web et IM/P2P). au niveau du réseau (comme le pare-feu, la détection et prévention d intrusion, les VPN IPSec et VPN SSL et la qualité de service). Au niveau de l administration (comme l authentification d un utilisateur, la journalisation, les rapports du FortiAnalyzer, les profils d administration, l accès sécurisé au web et l accès administratif CLI et SNMP). Le système FortiGate utilise la technologie de Dynamic Threat Prevention System (Système Dynamique de Prévention des Attaques) (DTPS TM ). Celle-ci s appuie sur les dernières avancées technologiques en matière de conception de microcircuits, de gestion de réseaux, de sécurité et d analyse de contenu. Cette architecture unique basée sur un Asic permet d'analyser en temps réel les contenus applicatifs et les comportements du réseau. Ce chapitre parcourt les sections suivantes : Introduction aux équipements FortiGate Gamme de produits Fortinet A propos de ce document Documentation FortiGate Service clientèle et support technique Présentation des équipements FortiGate Toutes les appliances FortiGate Unified Threat Management offrent les fonctionnalités antivirus, filtrage de contenu, pare-feu, VPN et détection/prévention d intrusion destinées aux réseaux des petites comme des grandes entreprises. Châssis FortiGate série 5000 Les plates-formes de sécurité réseau FortiGate série 5000 sont des systèmes à châssis destinés aux grandes entreprises et fournisseurs de services haut débit Internet. Ils garantissent des services de sécurité intégrant pare-feu, VPN, protection antivirus, antispam, filtrage de contenu web et système de prévention contre les intrusions (IPS). Le grand choix de configurations système qu offrent les FortiGate série 5000 assure la flexibilité nécessaire à la croissance des réseaux de haute performance. Les châssis FortiGate série 5000 supportent de multiples Guide d Administration FortiGate Version

16 modules FortiGate série 5000 ainsi que des sources d alimentation échangeables à chaud. Cette approche modulaire offre aux entreprises et utilisateurs des FAI (Fournisseurs d accès Internet) une solution adaptable, hautement performante et tolérante aux pannes. Châssis FortiGate-5140 Le châssis FortiGate-5140 comprend quatorze slots (logements) permettant d installer jusqu à quatorze modules pare-feu antivirus FortiGate Il s agit d un châssis de 12U comprenant deux modules redondants et échangeables à chaud d alimentation de courant continu qui se connectent à une alimentation -48 VDC des salles d hébergement. Ce châssis possède également trois plateaux de ventilateurs échangeables à chaud. Châssis FortiGate-5050 Le châssis FortiGate-5050 comprend cinq slots permettant d installer jusqu à cinq modules pare-feu antivirus FortiGate Il s agit d un châssis de 5U comprenant deux connexions redondantes d alimentation de courant continu qui se connectent à une alimentation -48 VDC des salles d hébergement. Ce châssis possède également un plateau de ventilateurs échangeable à chaud. Châssis FortiGate-5020 Le châssis FortiGate-5020 comprend deux slots permettant l installation d un ou de deux module(s) pare-feu antivirus FortiGate Il s agit d un châssis de 4U comprenant deux entrées d alimentation de courant AC vers DC redondantes qui se connectent à une alimentation AC. Ce châssis possède également un plateau interne de ventilateurs. A propos des modules FortiGate série 5000 Chaque module FortiGate série 5000 est un système de sécurité autonome pouvant faire partie d un cluster HA FortiGate. Tous les modules sont échangeables à chaud. Ces équipements sont des systèmes de sécurité de haute 16 Guide d Administration FortiGate Version 3.0

17 performance possédant de multiples interfaces gigabits, des capacités de domaines virtuels et d autres fonctionnalités FortiGate de grande qualité. Module FortiGate-5001SX Le module FortiGate-5001SX est un système de sécurité hautement performant et autonome possédant huit interfaces Ethernet gigabits. Il supporte les fonctionnalités de haut niveau notamment les VLAN 802.1Q ainsi que de multiples domaines virtuels. Module FortiGate-5001FA2 Le module FortiGate-5001FA2 est un système de sécurité hautement performant et autonome possédant six interfaces Ethernet gigabits. Il est similaire au module FortiGate-5001SX à l exception de deux interfaces qui, intégrant la technologie Fortinet, offrent une accélération de la performance du traitement des petits paquets. Module FortiGate-5002FB2 Le module FortiGate-5002FB2 est un système de sécurité hautement performant et autonome possédant un total de six interfaces Ethernet gigabits. Deux de ces interfaces intégrant la technologie Fortinet offrent une accélération de la performance du traitement des petits paquets. FortiGate-3600 La fiabilité et les performances du FortiGate-3600 sont élevés à un niveau de type opérateur et répondent aux exigences des grandes entreprises et fournisseurs de services. Son architecture multiprocesseur et Asic fournit un débit de 4Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend des blocs d alimentation redondants et un partage de charge, avec un secours assuré sans interruption de service. La grande capacité du FortiGate-3600, sa fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de services de sécurité managés. FortiGate-3000 La fiabilité et les performances du FortiGate-3000 sont élevés à un niveau de type opérateur et répondent aux exigences des grandes entreprises et fournisseurs de services. Son architecture multiprocesseur et Asic fournit un débit de 3Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend des blocs d alimentation redondants et un partage de charge, avec un secours assuré sans interruption de service. La grande capacité du FortiGate-3000, sa fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de services de sécurité managés. Guide d Administration FortiGate Version

18 FortiGate-1000A FortiGate-1000AFA2 Le boîtier FortiGate-1000A est une solution hautement performante répondant aux exigences des grandes entreprises et fournisseurs de services. Grâce à son réseau de distribution (FortiGuard Distribution Network), les services FortiGuard permettent au FortiGate-1000A de disposer des informations les plus récentes, assurant une protection continue contre les virus, vers, troyens et autres menaces, même les plus récentes. Son architecture flexible lui permet de s adapter aux technologies émergeantes telles que IM, P2P ou VOIP mais aussi de contrer les méthodes frauduleuses de collectes d informations privées utilisées par les spyware, phishing et pharming. Le boîtier FortiGate-1000AFA2 est une solution hautement performante répondant aux exigences des grandes entreprises et fournisseurs de services. Ses deux ports de fibres optiques supplémentaires, bénéficiant de la technologie FortiAccel TM, augmentent la performance de traitement des petits paquets. Ses fonctions de sécurité critique sur une plateforme hautement sécurisée garantissent fiabilité, rentabilité, rapidité de déploiement, coûts opérationnels bas et un taux supérieur de détection des anomalies connues et inconnues. FortiGate-1000 Le boîtier FortiGate-1000 est conçu pour les grandes entreprises. Son architecture multiprocesseur et Asic fournit un débit de 2Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. Le boîtier FortiGate-1000 comprend des blocs d alimentation redondants minimisant les points uniques de panne, ainsi que des supports pour un partage de charge et un secours assuré sans interruption de service. FortiGate-800 Le boîtier FortiGate-800 fournit en plus d un haut débit, un total de huit connexions réseau (quatre étant personnalisables), un support des VLAN et des domaines virtuels. Lors d une configuration de cluster FortiGate, il fournit une redondance matérielle stateful en haute disponibilité. Ses fonctionnalités hautement performantes en font un choix naturel pour les grandes entreprises qui exigent une sécurité optimum de leurs réseaux. 18 Guide d Administration FortiGate Version 3.0

19 FortiGate-800F Le boîtier FortiGate-800F offre les mêmes fonctionnalités que le boîtier FortiGate-800, mais avec quatre interfaces de fibre optique : Internal, External, DMZ et HA. Ce boîtier fournit également une redondance matérielle stateful en haute disponibilité et un support aux protocoles de routage RIP et OSPF. Il garantit la flexibilité, fiabilité et gestion aisée que les grandes entreprises recherchent. FortiGate-500A Le boîtier FortiGate-500A offre un niveau de performance et de fiabilité de classe opérateur, répondant aux exigences des fournisseurs de services et des grandes entreprises. Ses 10 connexions réseaux (dont un commutateur 4 ports LAN) et ses fonctions haute disponibilité avec réplication automatique sans coupure de réseau font du FortiGate-500A une solution performante aux applications les plus critiques. Sa flexibilité, fiabilité et sa gestion aisée en font un choix naturel pour les opérateurs de services de sécurité managés. FortiGate-500 Le boîtier FortiGate-500 est conçu pour les grandes entreprises. Sa flexibilité, sa fiabilité et sa gestion aisée en font un choix naturel pour les opérateurs de services de sécurité managés. Le boîtier FortiGate-500 supporte la haute disponibilité. FortiGate-400A Le boîtier FortiGate-400A répond aux exigences des grandes entreprises en terme de performance, disponibilité et fiabilité. Il supporte la haute disponibilité et présente une réplication automatique sans coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques. FortiGate-400 Le boîtier FortiGate-400 est conçu pour les grandes entreprises. Il fournit un débit jusqu à 500Mbit/s et supporte la haute disponibilité, qui comprend une réplication automatique sans coupure de réseau. Guide d Administration FortiGate Version

20 FortiGate-300A Le boîtier FortiGate-300 répond aux exigences des grandes entreprises en terme de performance, disponibilité et fiabilité. Il supporte la haute disponibilité et comprend une réplication automatique sans coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques. FortiGate-300 Le boîtier FortiGate-300 est conçu pour les grandes entreprises. Il supporte la haute disponibilité, qui comprend une réplication automatique san s coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques. FortiGate-200A Le boîtier FortiGate-200A est une solution conviviale et facile à gérer garantissant un haut niveau de performance, idéal pour répondre aux applications d entreprises à domicile ou de petites entreprises ou succursales. L assistant d installation FortiGate guide les utilisateurs à travers des procédures simples d installation qui permettent au boîtier d être opérationnel en quelques minutes. FortiGate-200 Le boîtier FortiGate-200 est conçu pour répondre aux applications d entreprises à domicile ou de petites entreprises ou succursales. Il offre une solution conviviale, facile à gérer. Le boîtier FortiGate-200 supporte haute disponibilité. la FortiGate-100A Le boîtier FortiGate-100A est une solution pratique et facile à gérer qui répond parfaitement aux applications des petites entreprises, bureaux à domicile et succursales. Ce boîtier supporte des fonctions avancées telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF. 20 Guide d Administration FortiGate Version 3.0

21 FortiGate-100 FortiGate-60/60M/ADSL Le boîtier FortiGate-100 est conçu pour répondre aux applications d entreprises à domicile ou de petites entreprises ou succursales. Il supporte les fonctions avancées telles que VLAN 802.1Q, domaines virtuels, haute disponibilité et protocoles de routage RIP et OSPF. Le boîtier FortiGate-60 est conçu pour les bureaux de personnel itinérant et les magasins. Il comprend un port modem extérieur qui peut servir de connexion Internet redondante ou stand alone. Le boîtier FortiGate-60M comprend quant à lui un modem interne qui peut également servir de connexion Internet redondante ou stand alone. Le boîtier FortiGate-60ADSL est pour sa part muni d un modem ADSL interne. FortiWiFi-60 Le modèle FortiWiFi est une solution intégrée qui assure des connexions sans fil sécurisées. Il combine mobilité et flexibilité grâce à ses fonctions FortiWiFi Antivirus Firewall. De plus, il s adapte aux avancées technologiques radiophoniques. Il peut faire office de point de connexion entre réseaux sans fil et réseaux câblés ou tenir lieu de point central d un réseau sans fil stand alone. FortiGate-50A Le boîtier FortiGate-50A est conçu pour les télétravailleurs, les utilisateurs mobiles, les petites entreprises et les succursales comptant 10 employés ou moins. Il comprend un port modem extérieur qui peut servir de connexion autonome à Internet ou de service de sauvegarde. Guide d Administration FortiGate Version

22 Gamme de Produits Fortinet En complément de sa gamme FortiGate, Fortinet propose une solution complète de logiciels et d appliances de sécurité, adressant notamment la sécurité de la messagerie, la journalisation et l édition de rapports statistiques, la gestion du réseau et des configurations. Pour plus d informations sur les gammes de produits Fortinet, vous pouvez consulter le site Services de souscription FortiGuard Les services FortiGuard sont des services de sécurité développés, mis à jour et gérés par une équipe de professionnels en sécurité Fortinet. Ces services assurent la détection et le filtrage des attaques, même les plus récentes, pour préserver les ordinateurs et les ressources du réseau. Ces services ont été mis au point à partir des plus récentes technologies de sécurité et sont conçus pour opérer à des coûts opérationnels les plus bas possible. Les services FortiGuard comprennent: Le service FortiGuard antivirus Le service FortiGuard IPS (Intrusion Prevention System) Le service FortiGuard de filtrage web Le service FortiGuard antispam Le service FortiGuard premier Sur notre site web, vous trouverez également un scanner de virus et une encyclopédie des virus et attaques. FortiAnalyser FortiAnalyser TM fournit aux administrateurs réseaux les informations nécessaires qui leur permettent d assurer une meilleure protection du réseau, une plus grande sécurité contre attaques et vulnérabilités. FortiAnalyser permet entre autres: de centraliser les journaux des boîtiers FortiGate, des serveurs syslog et du FortiClient de générer des centaines de rapports à partir des données collectées de scanner le réseau et générer des rapports de vulnérabilités de stocker les fichiers mis en quarantaine par FortiGate FortiAnalyser peut également être configuré en sniffer réseau et capturer en temps réel le trafic intercepté. Vous pouvez en outre utiliser FortiAnalyser comme lieu de stockage où les utilisateurs peuvent accéder et partager des données, telles que des rapports et journaux conservés sur son disque dur. FortiClient Le logiciel FortiClient TM offre un environnement informatique sécurisé et fiable aux utilisateurs d ordinateurs de bureau et d ordinateurs portables munis des systèmes 22 Guide d Administration FortiGate Version 3.0

23 d exploitation les plus répandus de Microsoft Windows. FortiClient offre de nombreuses fonctionnalités, y compris: un accès VPN pour se connecter aux réseaux distants un antivirus temps réel une protection contre des modifications du registre Windows une recherche des virus sur tout ou partie du disque dur FortiClient peut s installer de façon silencieuse et se déployer aisément sur un parc d ordinateurs selon un paramétrage pré-établi. FortiManager FortiManager TM est conçu pour répondre aux besoins des grandes entreprises (y compris les fournisseurs de services de gestion de sécurité) responsables du déploiement et du maintien de dispositifs de sécurité à travers un parc d équipements FortiGate. FortiManager vous permet de configurer et de contrôler les statuts de plusieurs boîtiers FortiGate. Vous pouvez également consulter leurs journaux en temps réel et leurs historiques. FortiManager est facile à utiliser et s intègre aisément à des systèmes tiers. FortiBridge FortiBridge TM permet d assurer une continuité de connexion réseau même en cas de panne électrique d un système FortiGate. Le FortiBridge connecté en parallèle au FortiGate dévie le flux réseau lorsqu'il détecte une panne sur le boîtier et reçoit alors le trafic pour éviter toute coupure réseau. FortiBridge est facile à utiliser et à déployer. Vous pouvez programmer à l avance les actions que FortiBridge mettra en place en cas de panne de courant ou de panne dans le système FortiGate. FortiMail FortiMail TM fournit une analyse heuristique puissante et flexible, de même que des rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement performantes pour détecter et bloquer les mails non désirés, tels que les signatures SHASH (Spam Hash) ou les filtres bayesians. Construit sur base des technologies primées FortiOS et FortiASIC, FortiMail utilise ses pleines capacités d inspection de contenu afin de détecter les menaces les plus avancées dans les courriers électroniques. FortiReporter Le logiciel FortiReporter TM Security Analyzer génère des rapports explicites. Il peut centraliser des journaux de n importe quel boîtier FortiGate, ainsi que de plus de 30 boîtiers de réseau et de sécurité provenant de constructeurs tiers. FortiReporter offre une visibilité sur les abus réseau, l utilisation de la bande passante et l usage du web afin de s assurer que le réseau est utilisé de façon appropriée. FortiReporter permet aux administrateurs d identifier les attaques et d y répondre. Il permet également de définir des actions proactives de protection des réseaux avant que ceux-ci ne soient confrontés à une augmentation des menaces. Guide d Administration FortiGate Version

24 A propos de ce document Ce Guide d Administration FortiGate FortiOS v3.0 fournit des informations détaillées sur les fonctionnalités de l interface d administration web FortiGate et celles ne pouvant être configurées qu à partir de l interface de ligne de commande (CLI). Ce Guide d Administration parcourt les fonctions de l interface graphique dans le même ordre que le menu de cette interface. Le document commence avec une description générale de l interface d administration web FortiGate et une description des domaines virtuels FortiGate. Les chapitres suivants couvrent toutes les options des menus Système, Routeur, Pare-Feu et VPN. Enfin, les menus Utilisateur, Antivirus, Protection Anti-Intrusion, Filtrage Web, Antispam, IM/P2P et Journaux/Alertes sont décrits séparément. Un index se trouve à la fin du document. La dernière version de ce document se trouve sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation). Les informations contenues dans ce document sont également disponibles, sous une forme quelque peu différente, dans l aide en ligne de l interface d administration web FortiGate. De la documentation technique complémentaire sur FortiOS v3.0 est disponible sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation) et dans la Base de Connaissance Fortinet (Fortinet Knowledge Center), à l adresse Ce Guide d Administration contient les chapitres suivants : Interface d administration web : fournit une introduction aux fonctionnalités de l interface graphique, explique comment enregistrer un équipement FortiGate et comment utiliser l aide en ligne de l interface. Utilisation de domaines virtuels : décrit comment définir et administrer les domaines virtuels d un équipement FortiGate. Statut du Système : détaille les informations «statuts» visibles, y compris le statut du système, les informations sur l équipement, les ressources du système, la console de message d alerte, ainsi que les statistiques des sessions, de l archive de contenu et du journal des attaques. Les changements de statuts sont également parcourus dans ce chapitre, tels que les modifications apportées au microcode, au nom d hôte et à l heure du système. Réseau du Système : retrace la configuration des interfaces physiques et virtuelles, ainsi que les paramètres DNS sur le boîtier FortiGate. Système Sans Fil : décrit la configuration d une interface LAN Wireless sur un équipement FortiWiFi-60. Système DHCP : explique comment configurer une interface FortiGate comme serveur DHCP ou Relais DHCP. Configuration du Système : développe les procédures de configuration d un clustering HA et virtuel, de configuration SNMP, de remplacement de messages et de modification du mode de fonctionnement. Administration du Système : vous guide dans l ajout et l édition de comptes administrateurs, dans la définition de profils d accès administrateurs, dans la configuration d accès au FortiManager et dans la définition des paramètres 24 Guide d Administration FortiGate Version 3.0

25 généraux des administrateurs tels que les langues, les timeouts et les ports d administration web. Maintenance du Système : détaille comment sauvegarder et restaurer la configuration du système, activer les mises à jour FortiProtect TM Distribution Network (FDN), enregistrer l équipement FortiGate, créer des rapports sur les bogues et entrer une clé de licence pour augmenter le nombre maximum de domaines virtuels. Routeur Statique : explicite comment définir des routes statiques et créer des règles pour celles-ci. Une route statique permet aux paquets d être transférés vers une destination autre que celle de la passerelle par défaut. Routeur Dynamique : définit la configuration de protocoles dynamiques pour guider le trafic à travers de larges réseaux complexes. Table de Routage: permet d interpréter la liste et les entrées de la Table de routage. Règle Pare-Feu : décrit comment ajouter des règles pare-feu qui contrôlent les connexions et le trafic entre les interfaces FortiGate, les zones et les sousinterfaces VLAN. Adresse Pare-Feu : retrace la configuration d adresses et de groupes d adresses pour les règles pare-feu. Service Pare-Feu : répertorie les services disponibles et explique comment configurer des groupes de services pour les règles pare-feu. Plage horaire d un Pare-Feu : permet de configurer des plages horaire parefeu ponctuelles et récurrentes. IP Virtuelles : décrit comment configurer et utiliser les adresses IP virtuelles et les plages d adresses IP. Profil de Protection : explique comment configurer des profils de protection pour les règles pare-feu. VPN IPSEC : offre des informations pour le mode tunnel et le mode route (mode interface) sur les options VPN IPSec (Internet Protocol Security) disponibles à partir de l interface d administration web. VPN PPTP : explique comment utiliser l interface d administration web pour spécifier une plage d adresses IP pour des clients PPTP. VPN SSL : informe sur les paramètres de base VPN SSL. Certificats VPN : décrit comment gérer les certificats de sécurité X.509. Utilisateur : détaille comment contrôler l accès aux ressources du réseau via une authentification de l utilisateur. Antivirus : explique comment activer les options antivirus lors de la création de profils de protection pare-feu. Protection contre les Intrusions : parcourt la configuration d options IPS lors de la création de profils de protection pare-feu. Filtrage Web : parcourt la configuration d options de filtrage du contenu web lors de la création de profils de protection pare-feu. Antispam : parcourt la configuration d options de filtrage de spams lors de la création de profils de protection pare-feu. Guide d Administration FortiGate Version

26 IM / P2P : parcourt la configuration d options IM et P2P lors de la création de profils de protection pare-feu. Les statistiques IM et P2P permettent d avoir un aperçu de l utilisation des protocoles dans le réseau. Journaux et Alertes : décrit comment activer la journalisation, visualiser les journaux et rapports de base disponibles à partir de l interface d administration web. Conventions utilisées dans ce document Les conventions suivantes sont utilisées dans ce guide : Dans les exemples, les adresses IP privées sont utilisées aussi bien pour les adresses IP privées que publiques. Les remarques et attentions fournissent des informations importantes : Les «remarques» vous apportent de l information additionnelle utile. Les «attentions» vous mettent en garde contre des commandes et procédures qui pourraient avoir des résultats inattendus ou indésirables tels que perte de données ou détérioration de l équipement. Conventions typographiques L a documentation du FortiGate utilise les conventions typographiques suivantes : Convention Exemple Commandes de Menus Allez dans VPN > IPSEC et sélectionnez Créer Phase 1. Entrée clavier Dans le champ Nom de Passerelle, tapez un nom pour le client VPN distant (par exemple, Central_Office_1). Exemple de code config sys global set ips-open enable end Syntaxe CLI (Interface config firewall policy de ligne de commande) edit id_integer set http_retry_count <retry_integer> set natip <address_ipv4mask> end Noms des documents Guide d Administration FortiGate Contenu de fichier Affichage du résultat d un programme Variables <HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this service.</h4> Welcome! <address_ipv4> 26 Guide d Administration FortiGate Version 3.0

27 Documentation FortiGate Les versions les plus récentes de la documentation Fortinet, de même que les précédentes parutions, sont disponibles sur le site de documentation technique Fortinet à l adresse Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront aussi disponibles en français : FortiGate QuickStartGuide - Guide de démarrage rapide FortiGate Fournit les informations de base sur la connexion et l installation d un FortiGate FortiGate Install Guide - Guide d Installation FortiGate Décrit comment installer un FortiGate. Il comprend des informations sur le matériel, des informations sur la configuration par défaut, ainsi que des procédures d installation, de connexion et de configuration de base. Sélectionnez le guide en fonction du numéro du modèle du produit. FortiGate Administration Guide - Guide d Administration FortiGate Fournit les informations de base sur la manière de configurer un FortiGate, y compris la définition des profils de protection FortiGate et des règles pare-feu. Explique comment appliquer les services de prévention d intrusion, protection antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt également la manière de configurer un VPN. FortiGate online help - Aide en ligne FortiGate Fournit le Guide d Administration au format HTML avec des outils de recherche. Vous pouvez accéder à l aide en ligne à partir de l interface d administration web. FortiGate CLI Reference - Guide de Référence CLI Décrit comment utiliser l interface de ligne de commande FortiGate et répertorie toutes ses commandes. FortiGate Log Message Reference - Guide de référence des messages journalisés d un FortiGate Disponible uniquement à partir de la base de connaissance (Fortinet Knowledge Center), ce mode d emploi décrit la structure et le contenu des messages présents dans les journaux FortiGate. FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate Fournit une description détaillée des fonctions de haute disponibilité et du protocole de clustering FortiGate. FortiGate IPS User Guide - Guide utilisateur de l IPS FortiGate (Système de Prévention d Intrusion) Décrit la configuration des paramètres IPS FortiGate et le traitement des attaques les plus courantes. FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate Fournit des instructions pas à pas sur la configuration VPN IPSec via l interface d administration web. FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate Compare les technologies FortiGate VPN IPSec et VPN SSL et décrit comment configurer à partir de l'interface graphique les modes VPN SSL web et VPN SSL tunnel pour les connexions à distance des utilisateurs. Guide d Administration FortiGate Version

28 FortiGate PPTP VPN User Guide - Guide utilisateur du VPN PPTP FortiGate Explique comment configurer un VPN PPTP via l interface d administration web. FortiGate Certificate Management User Guide - Guide utilisateur de gestion des certificats FortiGate Indique comment gérer les certificats digitaux, et notamment comment générer des requêtes de certificat, installer des certificats, importer le certificat de l'autorité de certification et des listes de révocation, sauvegarder et restaurer des certificats et leurs clés privées associées. FortiGate VLANs and VDOMs User Guide - Guide utilisateur des VLANs et VDOMs FortiGate Décrit comment configurer des VLAN et VDOM en mode NAT/Route et Transparent. Des exemples détaillés y sont repris. CD d outils et de documentation Fortinet Toute la documentation Fortinet est disponible sur le CD d outils et de documentation fourni avec votre matériel livré. Les documents du CD correspondent à l équipement fourni. Pour obtenir les versions les plus à jour de la documentation Fortinet, visitez le site de Documentation Technique Fortinet sur Base de Connaissance Fortinet (Fortinet Knowledge Center) De la documentation technique complémentaire est disponible dans la base de connaissance Fortinet (Fortinet Knowledge Center), notamment des articles sur les dépannages et questions les plus fréquemment rencontrés, des notes techniques, et davantage. Vous pouvez consulter le site de la Base de Connaissance Fortinet à l adresse Remarques sur la documentation technique Fortinet Merci d indiquer toute éventuelle erreur ou omission trouvée dans cette documentation à [email protected]. Service clientèle et support technique Le Support Technique Fortinet (Fortinet Technical Support) propose son assistance pour une installation rapide, une configuration facile et une fiabilité des systèmes Fortinet. Pour connaître ces services, consultez le site de Support Technique Fortinet à l adresse 28 Guide d Administration FortiGate Version 3.0

29 Interface d administration web Cette section décrit les fonctionnalités conviviales de l interface d administration web de votre FortiGate. Vous pouvez configurer et administrer le boîtier FortiGate avec une connexion HTTP ou HTTPS, à partir de tout ordinateur muni d un navigateur web. L interface d administration web fonctionne en plusieurs langues, dont le français. Vous pouvez configurer le boîtier FortiGate pour une administration HTTP et HTTPS à partir de n importe quelle interface FortiGate. Illustration 1 : Ecran de l interface d administration web L interface d administration web permet de configurer la plupart des paramètres FortiGate et de contrôler son statut. Les changements de configuration apportés à partir de l interface d administration web sont instantanément pris en compte, sans qu il soit nécessaire de réinitialiser le pare-feu et sans interruption de service. Une fois votre configuration souhaitée accomplie, il est conseillé de la sauvegarder. Elle pourra alors être restaurée dès que nécessaire. Pour plus d informations sur la connexion à l interface d administration web, voir «Accès à l interface d administration web» dans le Guide d Installation de votre FortiGate. Les sujets suivants sont parcourus dans cette section : Fonctionnalités de la barre de boutons Pages de l interface d administration web Enregistrement d un équipement FortiGate Guide d Administration FortiGate Version

30 Fonctionnalités de la barre de boutons Les boutons de la barre en haut à droite de l interface d administration web fournissent un accès à plusieurs fonctionnalités importantes du FortiGate. Illustration 2 : Barre de boutons de l interface d administration web Contacter le Support Technique En cliquant sur le bouton «Contacter le Support Technique» (Contact Customer Support), la page du site de support Fortinet s ouvre dans une nouvelle fenêtre. De cette page, vous pouvez : enregistrer votre équipement FortiGate (Product Registration). Pour plus de détails sur les instructions, voir «Enregistrement d un équipement FortiGate» à la page 37. Fortinet vous enverra un courrier électronique reprenant votre compte utilisateur et le mot de passe qui vous permettront de vous inscrire au Centre de Support Client (Customer Support Center). entrer sur le site du Centre de Support Client. visiter le Centre FortiGuard. accéder à la Base de Connaissance. télécharger les mises à jour des bases de connaissance antivirus et IPS. obtenir tous les renseignements sur les programmes de formation et de certification. en apprendre davantage sur Fortinet et ses produits. Aide en Ligne Les boutons de l aide en ligne (Online Help) activent l affichage de l aide en ligne pour la page ouverte de l interface d administration web. La page d aide en ligne affichée contient les informations et procédures relatives aux commandes de la page ouverte. La plupart des pages d aide contiennent également des hyperliens sur certains sujets dont il est question. Le système d aide en ligne comprend également plusieurs commandes offrant de l information additionnelle. 30 Guide d Administration FortiGate Version 3.0

31 Illustration 3 : Page d aide en ligne des statuts du système Show Navigation Previous Next Print Bookmark Ouvre le panneau de navigation de l aide en ligne. A partir de là, vous pouvez utiliser la table des matières de l aide en ligne, l index et le moteur de recherche. L aide en ligne est organisée de la même manière que l interface d administration web et que le Guide d Administration FortiGate. Retourne à la page précédente de l aide en ligne. Passe à la page suivante de l aide en ligne. Envoie un courrier électronique au centre de Documentation Technique Fortinet à [email protected]. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut être envoyé à cette adresse. Imprime la page ouverte de l aide en ligne. Ajoute une entrée à cette page d aide en ligne dans les marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages d aide en ligne. Sélectionnez «Show Navigation» pour afficher le panneau de navigation de l aide en ligne. Illustration 4 : page de l aide en ligne avec panneau de navigation Contents Index Affiche la table des matières de l aide en ligne. Vous pouvez naviguer à travers la table des matières pour trouver des informations dans l aide en ligne. L aide en ligne est organisée de la même manière que l interface d administration web et que le Guide d Administration FortiGate. Affiche l index de l aide en ligne. Vous pouvez utiliser l index pour trouver de l information dans l aide en ligne. Guide d Administration FortiGate Version

32 Search Show in Contents Affiche le moteur de recherche de l aide en ligne. Voir «A propos de la recherche de l aide en ligne» à la page 32 pour tout renseignement sur le moteur de recherche de l aide en ligne. Si vous avez utilisé l index, le moteur de recherche ou les hyperliens pour trouver l information recherchée dans l aide en ligne, la table des matières a probablement disparu de votre écran. Sélectionnez «Show in Contents» pour afficher la table des matières vous indiquant la localisation de la page d aide ouverte. A propos de la recherche dans l aide en ligne Grâce à sa fonction de recherche, l aide en ligne vous permet de lancer une rech erche à partir d un mot ou d un groupe de mots présents dans le texte de l aide en ligne FortiGate. Quelques remarques pour vous aider dans votre recherche : Si vous entrez un groupe de mots, les résultats de la recherche afficheront les pages qui contiennent tous les mots du groupe et non pas l un ou l autre de ces mots. Les pages affichées lors du résultat de la recherche sont classées par ordre logique. Les premiers résultats affichés ont plus de chance de contenir les informations utiles à propos du mot ou des mots recherché(s). Les pages d aide qui reprennent un ou plusieurs des mots recherchés se trouvent en haut de la liste des résultats. L astérisque (*) remplace n importe quel nombre ou caractère dans un mot. De cette manière, l entrée auth* vous permettra de trouver les pages contenant auth, authentique, authentification, authentifier, etc. Dans certains cas la recherche donne lieu à des correspondances identiques. Par exemple, si vous entrez «fenêtres», la recherche ne portera pas sur «fenêtre» au singulier. Afin d éviter cet inconvénient, vous pouvez utiliser l astérisque (dans cet exemple, fenêtre*). 1 Chercher dans l aide en ligne A partir de n importe quelle page de l interface d administration web, sélectionnez le bouton d aide en ligne. 2 Sélectionnez «Show Navigation» pour afficher le panneau de navigation de l aide en ligne. 3 Sélectionnez Search. 4 Tapez un ou plusieurs mots à rechercher dans le champ Search et tapez ensuite sur Enter ou cliquez sur Go. Le panneau de recherche répertorie le nom de toutes les pages d aide en ligne qui contiennent le(s) mot(s) entré(s). Sélectionnez un des noms de la liste pour afficher la page d aide. 32 Guide d Administration FortiGate Version 3.0

33 Navigation dans l aide en ligne à partir des entrées du clavier Le tableau 1 répertorie les raccourcis clavier qui permettent d afficher et trouver les informations souhaitées dans l aide en ligne. Tableau 1 : Touches de navigation dans l aide en ligne Touche Fonction Alt+1 Alt+2 Alt+3 Alt+4 Alt+5 Alt+7 Alt+8 Alt+9 Affiche la table des matières. Affiche l index. Affiche le moteur de recherche. Retourne à la page précédente. Passe à la page suivante. Envoie un courrier électronique au centre de Documentation Technique de Fortinet à [email protected]. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut être envoyé à cette adresse. Imprime la page ouverte. Ajoute une entrée à cette page d aide en ligne dans les marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages d aide en ligne. Accès au mode console L interface de ligne de commande (CLI), interface basée sur du texte, peut servir d alternative à l interface d administration web. Certaines options ne sont configurables qu à partir des commandes CLI. Le bouton d accès au mode console (Console Access) ouvre une application Terminal basée sur Java. L ordinateur d administration doit être muni de la version Java 1.3 ou supérieure. Pour plus d informations sur l utilisation des commandes CLI, référez-vous au FortiGate CLI Reference. Guide d Administration FortiGate Version

34 Illustration 5 : Accès au mode console Connect Disconnect Clear screen Se connecte au boîtier FortiGate à partir de l interface de ligne de commande. Se déconnecte au boîtier FortiGate. Efface l écran. Déconnexion Le bouton «Déconnecter» (Logout) vous déconnecte immédiatement de l interface d administration web. N oubliez pas de vous déconnecter avant de fermer la fenêtre du navigateur. Si vous fermez la fenêtre ou quittez l interface d administration web sans vous déconnecter, vous restez connecté jusqu à l expiration du timeout d inactivité (par défaut 5 minutes). Pages de l interface d administration web L interface d administration web se compose d un menu et de pages, qui pour la plupart, possèdent différents onglets (Tabs). Lorsque vous cliquez sur un des éléments du menu (par exemple Système), celui-ci s ouvre sur un sous-menu. Lorsque vous sélectionnez un des éléments d un sous-menu, la page associée s ouvre et affiche le contenu de son premier onglet. Pour visualiser le contenu d une page différente, cliquez sur son onglet. Les procédures décrites dans ce manuel vous dirigent vers la page désirée en spécifiant l élément du menu, l élément du sous-menu et l onglet. Par exemple : 1 Sélectionnez Système > Réseau > Interface. 34 Guide d Administration FortiGate Version 3.0

35 Illustration 6 : Les différentes parties de l interface d administration web Menu de l interface d administration web Le menu proc ure l accès à des options de configuration pour toutes les fonctionnalités majeures du boîtier FortiGate. Système Configure les fonctionnalités du système telles que les interfaces réseau, les domaines virtuels, les services DHCP, l heure du système et les options d installation du système. Routeur Pare-Feu VPN Utilisateur Antivirus Intrusion Protection Filtrage Web Anti-Spam IM / P2P Journaux / Alertes Configure le routeur. Configure les règles pare-feu et les profils de protection qui s appliquent aux fonctionnalités de protection du réseau. Configure également les adresses IP virtuelles et les plages IP. Configure les réseaux privés virtuels. Configure les comptes utilisateurs utilisés dans les règles pare-feu requérant une authentification des utilisateurs. Configure également les serveurs externes d authentification. Configure une protection antivirus. Configure le système de prévention anti-intrusion. Configure le filtrage de contenu web. Configure le filtrage des spams dans les s Configure le contrôle des services de messageries Internet et peer-to-peer. Configure les modalités de la journalisation. Affiche des messages journalisés. Guide d Administration FortiGate Version

36 Listes De nombreuses pages de l interface d administration web se présentent sous forme de liste. On trouve par exemple des listes des interfaces réseaux, des règles pare-feu, des administrateurs, des utilisateurs, etc. Illustration 7 : Exemple d une liste de l interface d administration web La liste offre des informations sur chaque élément. Les icônes de la dernière colonne permettent de modifier le statut de ces éléments. Dans cet exemple, il est possibl e de sélectionner Delete (Supprimer) pour supprimer l élément ou Edit (Editer) pour l éditer. Pour ajouter un nouvel élément à une liste, cliquez sur Créer Nouveau. Une boîte de dialogue s ouvre pour créer et définir le nouvel élément. Cette boîte de dialogue est similai re à celle d Edition d un élément existant. Icônes Les icônes, également présen tes dans l interface d administration web, permettent d interagir avec le système. Des conseils sur les outils sont disponibles pour vous aider à comprendre la fonction de chacune de ces icônes. Placez le curseur de la souris sur l icône pour visualiser le commentaire de l outil. Le tableau suivant reprend la description des icônes de l interface d administration web. Icône Nom Description Changer le Mot de Passe Supprimer Modifie le mot de passe administrateur. Cette icône apparaît dans la liste des Administrateurs seulement si votre profil d accès vous donne la permission d attribuer des droits en écriture aux administrateurs. Supprime une ou plusieurs entrées. Dérouler Formatage des colonnes Suppression Description Cette icône est utilisée dans certaines boîtes de dialogues et listes pour cacher certains champs. Cliquer sur cette icône fait apparaître les champs cachés. Sélectionne les colonnes à afficher. Supprime un élément. Cette icône apparaît dans des listes où l élément peut être supprimé et seulement lorsque vous en avez les droits en écriture. Affiche la description de l entrée du tableau sélectionnée. Télécharger ou Sauvegarder Télécharger Télécharge un fichier journalisé ou sauvegarde un fichier de configuration. Télécharge une requête de signature d un certificat. 36 Guide d Administration FortiGate Version 3.0

37 Editer ou Configurer Dérouler Filtre Go Edite une configuration. Cette icône apparaît dans les listes pour lesquelles vous avez les droits en écriture requis. Déroule une section qui révèle des champs supplémentaires. Cette icône est utilisée dans certaines boîtes de dialogues et listes. Insère un filtre sur une ou plusieurs colonnes d un tableau. Une boîte de dialogue s ouvre dans laquelle vous pouvez spécifier les filtres désirés. L icône est verte dans les colonnes où un filtre est activé. Dans le cas contraire, elle est grise. Lance une recherche. Insérer une règle avant Déplacer Crée une nouvelle règle qui précède la règle courante. Déplace un élément de la liste. Page Suivante Affiche la page suivante de la liste. Page Précédente Rafraîchir Affiche la page précédente de la liste. Met l information de la page à jour. Restaurer Restaure la configuration à partir d un fichier. Visualiser Visualise une configuration. Cette icône apparaît dans les listes à la place de l icône d Edition dans le cas où vous n avez pas les droits en écriture requis. Barre de statuts La barre de statuts se trouve en bas de l écran de l interface d administration web. Illustration 8 : Barre de statuts Cette barre affiche : le nombre d administrateurs connectés au boîtier FortiGate. Voir «Contrôle des administrateurs» à la page 180. depuis combien de temps le boîtier FortiGate est actif depuis son dernier redémarrage. Enregistremen t d un équipement FortiGate Après avoir acheté et installé un nouvel équipement FortiGate, vous pouvez enregistrer celui-ci à partir de l interface d administration web. Sélectionnez Enregistrer («Register») dans la section Information Licence sur la page Statut du Système. Vous pouvez aussi procéder à l enregistrement via le site : en cliquant sur «Product Registration». Guide d Administration FortiGate Version

38 L enregistrement consiste à entrer vos coordonnées et le(s) numéro(s) de série de(s) nouveau(x) équipement(s) acquis. Plusieurs enregistrements peuvent être introduits lors d une seule session. Une fois l enregistrement accompli, Fortinet vous envoie un compte utilisateur et un mot de passe Support Login à votre compte de messagerie. Ces données sont nécessaires pour se connecter au site de support Fortinet afin de : visualiser la liste des équipements que vous avez enregistrés enregistrer des équipements additionnels ajouter ou modifier les numéros du Contrat de Support FortiCare (FortiCare Support Contract) pour chaque équipement visualiser et modifier les informations entrées lors de l enregistrement télécharger les mises à jour des bases de connaissances antivirus et IPS télécharger les mises à jour logicielles modifier les informations entrées lors de l enregistrement après un RMA. Toutes les informations sur les enregistrements sont sauvées dans la base de données du Support aux Clients Fortinet (Fortinet Customer Support). Ces informations sont utiles pour assurer une mise à jour régulière de vos équipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais ces informations avec des organisations tiers. Les propriétaires de nouveaux équipements FortiGate bénéficient d un support techniq ue pendant 90 jours. Pour continuer à bénéficier de ce service de support, des Contrats de Support FortiCare sont en vente chez vos revendeurs et distributeurs autorisés Fortinet. Afin de correspondre à vos besoins, différents niveaux de support sont disponibles. Pour garantir une protection réseau maximum, Fortinet recommande à tous ses clients d acheter un contrat de service qui comprenne les mises à jour des bases de connaissances antivirus et IPS. Pour plus d informations sur les formules et prix, veuillez vous adresser à votre revendeur ou distributeur Fortinet. Pour activer un Contrat de Support FortiCare, il est indispensable d enregistrer l équipement FortiGate et d ajouter le numéro de Contrat de Support FortiCare aux informations sur l enregistrement. Il est également possible d enregistrer un FortiGate sans acheter un Contrat de Support FortiCare. Dans ce cas, lors d un l achat ultérieur d un Contrat de Support FortiCare, les informations sur l enregistrement doivent être mises à jour et le numéro du contrat de support ajouté. Un seul Contrat de Support FortiCare peut couvrir plusieurs équipements FortiGate. Vous devez alors entrer le même numéro de contrat de service pour tous les modèles couverts par ce contrat. Enregistrer un équipement FortiGate Les informations suivantes sont indispensables à l enregistrement d un FortiGate : Vos coordonnées, y compris : Nom et prénom Nom de la société 38 Guide d Administration FortiGate Version 3.0

39 Adresse (votre compte utilisateur et le mot de passe Support Login vous seront envoyés à cette adresse.) Adresse Numéro de téléphone de contact Une question de sécurité et sa réponse. Cette information servira en cas de perte du mot de passe. La question de sécurité doit être simple et vous seul devez en connaître la réponse. La réponse à cette question ne doit pas être facile à deviner. Le modèle du produit et son numéro de série, et ce pour chaque équipement FortiGate que vous désirez enregistrer. Le numéro de série est situé sur une étiquette au bas du FortiGate. Vous pouvez également visualiser le numéro de série dans l interface d administration web, dans Système > Statut ou via la commande CLI get system status. Les numéros de Contrats de Support FortiCare achetés pour les équipements que vous voulez enregistrer. 1 Sélectionnez Système > Statut. 2 Dans la section Information Licence, sélectionnez Enregistrer à côte de Contrat de Support. 3 Entrez vos informations de contact sur le formulaire d enregistrement du produit. 4 Introduisez une question de sécurité et sa réponse. 5 Sélectionnez le modèle du produit à enregistrer. 6 Entrez le numéro de série de votre FortiGate. 7 Entrez le numéro de Contrat de Support FortiCare de l équipement si vous en avez acheté un. 8 Cliquez sur «Suivant». Si vous avez entré un numéro de contrat de support, une validation en temps réel a lieu pour vérifier que les informations SCN correspondent à l équipement FortiGate. Si ce n est pas le cas, tentez à nouveau d entrer le numéro de contrat. S affiche alors une page web qui contient les informations détaillées sur le service de support technique de Fortinet disponible pour l équipement enregistré. Vos compte utilisateur et mot de passe vous sont envoyés par à l adresse entrée avec vos coordonnées. Guide d Administration FortiGate Version

40 Utilisation de domaines virtuels Domaines virtuels Cette section décrit comment utiliser des domaines virtuels pour que votre équipement opère comme s il s agissait de multiples unités virtuelles, fournissant des pare-feu et services de routage séparément à de multiples réseaux. Cette section couvre les sujets suivants: Domaines virtuels Activation du mode multiple VDOM Configuration des VDOM et des paramètres généraux Les domaines virtuels permettent à un boîtier FortiGate de fonctionner comme de multiples unités indépendantes. Il peut fournir des règles pare-feu, des routages et des configurations VPN séparés pour chaque niveau d organisation. L utilisation de VDOM peut également simplifier l administration de configurations complexes. Il est nécessaire d activer la configuration de domaines virtuels pour configurer et utiliser les VDOM. Voir à ce propos «Activation du mode multiple VDOM» à la page 43. Lors de la création et de la configuration d un domaine virtuel, vous devez lui attribuer des interfaces ou des sous-interfaces VLAN. Eventuellement, vous pouvez aussi lui assigner un compte administrateur qui pourra uniquement se connecter à ce VDOM. Si un VDOM est créé pour servir une organisation, cela permet à l organisation de gérer sa configuration de manière autonome. Chaque VDOM contient ses propres zones, règles pare-feu, routage, authentification d utilisateurs et configuration VPN. Chaque domaine virtuel fonctionne de manière similaire à un équipement FortiGate en matière de configuration du paramétrage. Cette séparation simplifie la configuration parce qu elle évite de gérer de nombreuses règles pare-feu et routes à la fois. Lorsqu un paquet entre dans un domaine virtuel sur l équipement FortiGate, il reste limité à ce domaine virtuel. Dans un domaine donné, vous pouvez seulement créer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou des zones de ce domaine virtuel. Les paquets ne passent jamais la frontière d un domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut également être sélectionné séparément sur chaque VDOM. Les autres fonctions du FortiGate sont générales. Elles s appliquent à tous les domaines virtuels. Cela signifie qu il existe une seule configuration de prévention anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage de contenu web, une seule configuration de profils de protection etc. Dans le même ordre d idée, les domaines virtuels partagent les mêmes versions logicielles et bases de connaissances antivirus et IPS. Pour une liste complète des paramètres de configurations partagés, voir «Paramètres de la configuration générale» à la page 42. Votre équipement FortiGate supporte par défaut un maximum de 10 VDOM pour toutes combinaisons des modes NAT/Route et Transparent. 40 Guide d Administration FortiGate Version 3.0

41 Des clés de licence sont vendues pour tous les modèles FortiGate 3000 et plus (3600, série ) afin d augmenter le nombre maximum de VDOM jusqu à 25, 50, 100 ou 250. Pour connaître le nombre maximum de domaines virtuels supporté par votre boîtier FortiGate, veillez à ce que la configuration des domaines virtuels vous le permettent et connectez-vous en tant qu administrateur admin. Allez ensuite dans Système > Statut et regarder sous Domaine Virtuel dans les Informations sur la Licence. Chaque FortiGate fonctionne par défaut avec un domaine virtuel appelé root. Ce domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN, zones, règles pare-feu, paramètres de routage et paramètres VPN du FortiGate. Les outils d administration tels que les SNMP, journalisation, s d alerte, mises à jour via le FDN ou encore paramétrage du temps via un serveur NTP utilisent des adresses et routage dans le domaine virtuel root pour communiquer avec le réseau. Ils ne peuvent se connecter qu aux ressources du réseau qui communiquent avec le domaine virtuel d administration, qui est configuré sur root par défaut. Une fois un nouveau domaine virtuel créé, vous pouvez le configurer en ajoutant des sous-interfaces VLAN, des zones, des règles pare-feu, des paramètres de routage et des paramètres VPN. Vous pouvez également déplacer des interfaces physiques du domaine virtuel root vers d autres domaines virtuels et déplacer les sous-interfaces VLAN d un domaine virtuel vers un autre. Paramètres de configuration des domaines virtuels Les paramètres de configuration suivants sont propres à un domaine virtuel et ne sont pas partagés entre les domaines virtuels. Un administrateur régulier d un VDOM ne peut que visualiser ces paramètres, tandis que l administrateur admin par défaut peut accéder à ces paramètres. Il doit avant tout sélectionner le VDOM qu il veut configurer. Paramètres du Système Zones Services DHCP Mode de fonctionnement (NAT/Route ou Transparent) IP d administration (en mode Transparent) Configuration du routeur Paramètres des pare-feu Règles Adresses Services prédéfinis, personnalisés et groupés Plage horaire IP Virtuelle Plages IP Configuration VPN Guide d Administration FortiGate Version

42 IPSec PPTP SSL Paramètres de l utilisateur Utilisateurs Groupes d utilisateurs Serveurs RADIUS et LDAP Serveurs Microsoft Windows Active Directory Statistiques P2P (visualiser/réinitialiser) Configuration de la journalisation, accès aux journaux et rapports. Paramètres de la Configuration Globale Les paramètres de configuration suivants impactent tous les domaines virtuels. Seul l administrateur admin par défaut peut accéder aux paramètres globaux lorsque la configuration des domaines virtuels est activée. Paramètres du système Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou sous-interface VLAN appartient à un seul VDOM. Chaque VDOM ne peut utiliser ou configurer que ses propres interfaces.) Paramètres DNS Nom d hôte, heure du système, version du Microcode (sur la page Statut du Système.) Timeout d inactivité et d authentification Langue de l interface d administration web PIN du panneau LCD, si applicable. Détection de l échec d une passerelle Configuration HA Configuration SNMP Messages de remplacement Administrateurs (chaque administrateur appartient à un seul VDOM. Chaque VDOM ne peut configurer que ses propres administrateurs.) Profils d accès Configuration FortiManager Sauvegarde et restauration d une configuration Configuration d une mise à jour FDN Rapport sur les bogues Pare-Feu Services prédéfinis 42 Guide d Administration FortiGate Version 3.0

43 Profils de protection Certificats VPN Configuration antivirus Configuration de la Prévention Anti-Intrusion Configuration du filtrage Web Configuration Antispam Configuration IM Statistiques Listes et règles utilisateurs Activation du mode Multiple VDOM A partir du compte administrateur admin par défaut, vous pouvez activer le mode multiple VDOM sur l équipement FortiGate. Activer la configuration d un domaine virtuel 1 Connectez-vous en tant qu admin à l interface d administration web. 2 Sélectionnez Système > Admin > Paramètres (Settings). 3 Cochez la case Virtual Domain Configuration pour activer la Configuration de Domaine Virtuel. 4 Cliquez sur Appliquer. Le boîtier FortiGate vous déconnecte. Vous pouvez maintenant vous reconnecter en tant qu admin. Lorsque la Configuration de Domaine Virtuel est activée, l interface d administration web et l interface de ligne de commande incorporent les changements suivants : Les configurations générales et personnalisées par VDOM sont séparées. Seul le compte admin peut visualiser et configurer les options globales. Le compte admin peut configurer toutes les configurations VDOM. Le compte admin peut se connecter via n importe quelle interface dans le VDOM root ou via une interface qui appartient à un VDOM pour lequel un compte administrateur régulier a été assigné. Un compte administrateur régulier peut uniquement configurer le VDOM qui lui a été assigné et peut accéder au boîtier FortiGate à partir de la seule interface qui appartient à ce VDOM. Configuration des VDOM et paramètres globaux Lorsque la Configuration du Domaine Virtuel est activée, seul le compte administrateur admin par défaut peut : configurer les paramètres généraux créer ou supprimer des VDOM configurer de multiples VDOM Guide d Administration FortiGate Version

44 attribuer des interfaces à un VDOM affecter un administrateur à un VDOM Un VDOM n est pas utile s il ne possède pas au moins deux interfaces physiques ou sous-interfaces VLAN. Seul l administrateur admin peut attribuer des interfaces physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur régulier peut créer une sous-interface VLAN dans son propre VDOM sur une interface physique de son propre VDOM. Seul l administrateur admin peut configurer un VDOM à moins qu un administrateur régulier soit créé et assigné à ce VDOM. Seul l administrateur admin peut assigner un administrateur à un VDOM. Un compte administrateur régulier dont le profil d accès contient les droits en lecture et en écriture des utilisateurs Admin est autorisé à créer des administrateurs supplémentaires pour son propre VDOM. Visualisation, création et édition de domaines virtuels et édition de paramètres globaux Lorsque vous vous connectez en tant qu admin et que la Configuration de Domaine Virtuel est activée, l interface d administration web affiche la liste des domaines virtuels. Utilisez cette liste pour administrer vos VDOM. Illustration 9 : Liste des domaines virtuels Configuration Générale Créer un nouveau Associer le Management Supprimer Configure les paramètres généraux. L interface d administration web affiche un écran similaire à celui décrit dans la section sur l interface d administration web (voir «Interface d administration web» à la page 29.) à la différence que seuls les paramètres généraux sont repris. Cliquez sur << Main Menu pour retourner à la liste des domaines virtuels. Crée un nouveau domaine virtuel. Tapez un nom et sélectionnez OK. Le VDOM ne doit pas porter le même nom qu un VLAN ou qu une zone. Le nom du VDOM ne doit pas dépasser 11 caractères. Le Management des Domaines Virtuels est associé au VDOM sélectionné. Le Management est indiqué à côté du VDOM choisi. Par défaut il s agit du root. Si plusieurs VDOM sont sélectionnés comme Management, c est le premier de la liste qui associera le Management des Domaines Virtuels. Le trafic de ce VDOM comprend SNMP, la journalisation, l envoi d s d alerte, les mises à jour à partir du FDN et le paramétrage de l heure à partir d un serveur NTP. Supprime le VDOM sélectionné. Le VDOM root ne peut pas être supprimé. 44 Guide d Administration FortiGate Version 3.0

45 Les cases de sélection Name (Nom) Operation Mode (Mode de Fonctionnement) Permettent de sélectionner un VDOM soit pour le supprimer soit pour le configurer comme Management des Domaines Virtuels. Le nom du domaine virtuel. Sélectionnez le nom pour configurer le domaine virtuel. Cliquez sur << Main Menu pour retourner à la liste des domaines virtuels. L interface d administration web affiche un écran similaire à celui décrit dans la section sur l interface d administration web (voir «Interface d administration web» à la page 29.) à la différence que seuls les paramètres spécifiques à un VDOM sont repris. La barre de statuts au bas de l écran affiche le VDOM activé. Le mode de fonctionnement d un VDOM : NAT (NAT/Route) ou Transparent Ajout d interfaces à un domaine virtuel Un domaine virtuel doit contenir au moins deux interfaces. Il peut s agir d interfaces physiques ou de sous-interfaces VLAN. Toutes les interfaces physiques font par défaut partie du domaine virtuel root. Les sous-interfaces VLAN doivent se trouver dans des VDOM différents que leurs interfaces physiques. Pour ce faire, l administrateur admin doit créer la sous- rface VLAN et l affecter au VDOM requis. Les interfaces font partie des inte paramètres généraux de configuration. Pour plus d informations sur la création de sous-interfaces VLAN, voir «Ajout de sous-interfaces VLAN» à la page 87. Pour réaffecter une interface existante d un domaine virtuel à un autre, appliquez la procédure ci-dessous. Vous ne pouvez pas retirer une interface d un domaine virtuel si cette interface est comprise dans l une des configurations suivantes : routage 1 Connectez-vous en tant qu admin. 2 3 proxy arp serveur DHCP zone règle pare-feu plage IP Il est nécessaire de supprimer ou modifier ces éléments l interface de domaine virtuel. Affecter une interface à un domaine virtuel Sélectionnez Configuration Globale. Sélectionnez Système > Réseau > Interface. 4 Cliquez sur le bouton Editer de l interface à réaffecter. avant de pouvoir changer 5 Sélectionnez le Domaine Virtuel auquel l interface doit être réaffectée. 6 Configurez les autres paramètres comme requis et cliquez sur OK. Voir «Paramètres de l interface» à la page 63. Guide d Administration FortiGate Version

46 L interface est affectée au domaine virtuel. Les pare-feu, plages IP et adresses virtuelles IP ajoutés à cette interface sont supprimés. Il est conseillé de supprimer manuellement toutes les routes comprenant cette interface. Affectation d un administrateur à un domaine virtuel Si vous créez un VDOM pour servir une organisation qui désire administrer ses propres ressources, vous devez créer un compte administrateur pour ce VDOM. 1 Connectez-vous en tant qu admin. La Configuration de Domaine Virtuel doit être activée. 2 Sélectionnez Configuration Globale. 4 Configurez le compte administrateur tel que requis. Pour plus de détails sur la configuration d un compte administrateur, voir «Configuration d un compte administrateur» à la page Affecter un administrateur à un VDOM 3 Sélectionnez Système > Admin > Administrateurs. Sélectionnez dans la liste des Domaines Virtuels le VDOM que cet administrateur devra gérer. Cliquez sur Appliquer. Un administrateur régulier assigné à un VDOM peut seulement se connecter aux interfaces qui appartiennent à ce VDOM à partir de l interface d administration web ou de l interface de ligne de commande. L administrateur admin peut se connecter à l interface d administration web ou à l interface de ligne de commande à partir de n importe quelle interface qui permettent les accès administratifs. Seul l administrateur admin ou un administrateur régulier du domaine virtuel root peut se connecter à partir de l interface de la console. 46 Guide d Administration FortiGate Version 3.0

47 Statuts du Système Page des statuts Cette section décrit la page Statut du Système, le tableau de bord de votre FortiGate. On y retrouve les statuts en cours du boîtier FortiGate, y compris le numéro de série, l usage des ressources du système, les informations sur la licence FortiGuard, les messages d alerte et les informations sur la session. Cette section couvre les sujets suivants: Page des statuts Modification des informations du système Visualisation de l historique opérationnel Mise à jour manuelle des définitions FortiGuard Visualisation des Statistiques La page Statut du Système, également appelée «tableau de bord» reprend les statuts opérationnels en cours du système. Tous les administrateurs FortiGate dont les profils d accès prévoient les droits en lecture de la configuration du système peuvent visualiser les informations sur les statuts du système. Dans le cas d un cluster HA, la page des statuts affiche les statuts du membre primaire. Pour visualiser les statuts de tous les membres du cluster, sélectionnez Système > Configuration > HA. Pour plus d informations sur ce sujet, voir «Haute Disponibilité» à la page 104. La fonction HA n est pas disponible sur les modèles FortiGate 50A et 50AM. Les administrateurs FortiGate dont les profils d accès prévoient les droits en écriture de la configuration du système peuvent modifier ou mettre à jour les informations du boîtier FortiGate. Pour plus d informations sur les profils d accès, voir «Profils d administration» à la page 174. Visualisation des statuts du système La page Statut du Système s affiche par défaut lors du démarrage d une session de l interface d administration web. Il existe cependant une exception : dans le cas où la Configuration de Domaine Virtuel est activée, l administrateur admin visualisera la page Statut du Système seulement après avoir sélectionné Configuration Globale ou un VDOM à administrer. A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la page Statut du Système. Pour visualiser cette page, votre profil d accès doit prévoir les droits en lecture de la configuration du système. Si vous avez également les droits en écriture de la configuration du système, vous pouvez modifier les informations du système et mettre à jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus d informations sur les profils d accès, voir «Profils d administration» à la page 174. Guide d Administration FortiGate Version

48 Illustration 10 : Statuts du Système Informations du système Numéro de Série Actif depuis Heure Système Nom d hôte Version de Code Mode de fonctionnement Le numéro de série de l équipement FortiGate. Ce numéro est unique pour chaque équipement et ne change pas avec les mises à jour logicielles. Le temps en jours, heures et minutes depuis le dernier redémarrage de l équipement FortiGate. La date et l heure en cours selon l horloge préprogrammée. Cliquez sur Changer pour modifier l heure ou configurez le boîtier FortiGate pour qu il se synchronise avec un serveur NTP. Voir «Paramétrage des date et heure» à la page 51. Le nom d hôte actuel de l équipement FortiGate. Cliquez sur Changer pour le modifier. Voir «Modification du nom d hôte du boîtier FortiGate» à la page 52. La version du microcode installé sur votre FortiGate. Cliquez sur Update (Mettre à jour) pour changer le logiciel. Voir «Mise à jour logicielle» à la page 53. Le mode de fonctionnement du domaine virtuel est soit NAT, soit Transparent. Cliquez sur Changer pour passer du mode NAT au mode Transparent et vice-versa. Voir «Modification du mode de fonctionnement» à la page 166. Information sur la licence Les indicateurs du statut de la licence sont verts quand tout est en ordre, gris s il n y a pas de licence ou jaune/rouge clignotant si le boîtier FortiGate ne peut pas se connecter au service. Contrat de Support Le numéro du contrat de support et sa date d expiration. S il n y a pas de date affichée, sélectionnez Enregistrer (Register) pour enregistrer votre équipement. Si la mention Renouveler (Renew) s affiche, vous devez renouveler votre contrat de support. Contactez alors votre revendeur local. 48 Guide d Administration FortiGate Version 3.0

49 Souscriptions FortiGuard AntiVirus Définitions AV Protection anti-intrusion Définitions IPS Filtrage Web AntiSpam Domaine Virtuel La version du contrat, la date d émission et les statuts du service. La version installée des Définitions AntiVirus FortiGate. Pour mettre à jour ces définitions manuellement, cliquez sur Update (Mettre à jour). Pour plus d informations, voir «Mise à jour manuelle des Définitions AV FortiGuard» à la page 56. La version du contrat, la date d émission et les statuts du service. La version installée des Définitions des attaques IPS. Pour mettre à jour ces définitions manuellement, cliquez sur Update (Mettre à jour). Pour plus d informations, voir «Mise à jour manuelle des Définitions IPS FortiGuard» à la page 56. Type de la licence, date d expiration et statuts du service. Type de la licence, date d expiration et statuts du service. Le nombre de domaines virtuels supportés par le boîtier FortiGate. Il est possible d acheter une clé de licence chez Fortinet pour augmenter le nombre maximum de VDOM pour les FortiGate 3000 et plus. Voir «Licence» à la page 193. Seul l administrateur admin peut accéder à cette information si la Configuration de Domaine Virtuel est activée. Ressources Les ressources du système n apparaissant pas sur la page Statut sont accessibles sous forme de graphiques à partir de l icône Historique. Icône Historique Taux CPU Taux Mémoire Quota du disque FortiAnalyzer Affiche des représentations graphiques du taux CPU, du taux mémoire, des sessions et du taux d utilisation réseau les plus récents. Cette page reprend également les détections des virus et attaques de ces 20 dernières heures. Pour plus d informations, voir «Visualisation de l historique opérationnel» à la page 55. Le statut du taux CPU en cours s affiche sous la forme d un compteur de vitesse et en pourcentage. L interface d administration web reprend les taux CPU pour les processus majeurs uniquement. Les taux CPU pour les processus administratifs (par exemple pour les connexions HTTPS vers l interface graphique) sont exclus. Le statut du taux de la mémoire en cours s affiche sous la forme d un compteur de vitesse et en pourcentage. L interface d administration web reprend les taux mémoire pour les processus majeurs uniquement. Les taux mémoire pour les processus administratifs (par exemple pour les connexions HTTPS vers l interface graphique) sont exclus. Le statut en cours du quota du disque du FortiAnalyzer s affiche sous la forme d un diagramme circulaire et en pourcentage. Ceci est uniquement disponible si vous avez configuré la journalisation sur un boîtier FortiAnalyzer. Guide d Administration FortiGate Version

50 Réactualiser l affichage toutes les Cette fonction détermine l intervalle de temps entre les mises à jour automatiques de la page Statut. Sélectionnez Réactualiser pour mettre la page à jour instantanément. Statuts des Interfaces Une représentation du panneau avant du boîtier reprend les statuts des interfaces du boîtier. Un port réseau d une interface apparaissant en vert signifie que l interface est connectée. Placez le curseur de la souris sur le port pour visualiser l adresse IP, le masque de réseau et le statut actuel de l interface. A droite de la représentation du panneau avant du boîtier, relié par une ligne de connexion, est illustré un autre panneau, celui représentant le FortiAnalyzer. Si le boîtier FortiGate a été configuré pour envoyer des journaux au FortiAnalyzer, celuici apparaît foncé. Dans le cas contraire, il apparaît en gris. Une marque en V verte sur la ligne de connexion indique que la connexion entre le boîtier et le FortiAnalyzer est activée. Dans le cas contraire, une croix rouge apparaît sur la ligne de connexion. Console de message d alerte Les messages de types suivants peuvent apparaître dans la rubrique «Console de message d alerte». Redémarrage système Firmware updated by <nom_admin > Firmware downgraded by <nom_admin > Le système a redémarré. Ceci peut être dû à une action de l opérateur ou un cycle de courant off/on. L administrateur nommé a procédé à une mise à jour logicielle sur la partition active ou non active. L administrateur nommé a procédé à un retour logiciel sur la partition active ou non active. FortiGate has reached connection Le moteur Antivirus disposait de peu de mémoire limit for <n> seconds pendant la durée du temps indiqué. Dans ces conditions et selon les modèles et configurations, le contenu peut avoir été bloqué ou être passé sans avoir été analysé. Pour chaque message, la date et l heure de sa parution sont indiquées. S il n y a pas assez d espace pour visualiser tous les messages, cliquez sur Tout Voir afin que s ouvre une nouvelle fenêtre avec la liste complète des messages. Pour effacer les messages d alerte, cliquez sur Tout Voir, ensuite sur l icône Supprimer les messages d alerte, en haut de la nouvelle fenêtre. Statistiques Depuis Icône Remise à zéro Sessions La date et l heure de la relance des compteurs. Les compteurs sont relancés lors d une réinitialisation du système FortiGate. Remet à zéro les compteurs du Journal des Archives et des Attaques. Le nombre de sessions de communication FortiGate en cours. Sélectionnez Détails pour visualiser des 50 Guide d Administration FortiGate Version 3.0

51 Archive de contenu Journal des attaques informations plus complètes. Voir «Visualisation de la liste de session» à la page 57. Un résume du trafic archivé par le boîtier FortiGate. Les pages Détails répertorient les 64 derniers éléments et fournissent un lien vers le FortiAnalyzer où le trafic archivé est mémorisé. Si vous n avez pas configuré de connexion au FortiAnalyzer, les pages Détails prévoient un lien vers Journaux / Alertes > Configuration > Configuration du Journal. Un résumé des virus, attaques, messages s spams et URL que le boîtier FortiGate a intercepté. Les pages Détails répertorient les 10 derniers éléments, fournissant l heure, la source, la destination et autres informations. Opération Système Les opérations suivantes peuvent être accomplies par les administrateurs dont le profil d accès comprend les droits en écriture de configuration du système. Reboot Shutdown Réinitialiser aux paramètres par défaut Redémarre le boîtier FortiGate. Eteint le boîtier FortiGate, stoppant le flux du trafic. Pour redémarrer le boîtier FortiGate, couper et rebrancher ensuite le courant. Redémarre le boîtier FortiGate avec sa configuration initiale. Cette procédure supprime tous les changements apportés à la configuration. Seules la version logicielle et les définitions d antivirus et d attaques sont maintenues. Sélectionnez dans la liste Opération Système l opération désirée et cliquez ensuite sur Go. Modification des informations du système Les administrateurs dont le profil d accès comprend les droits en écriture de configuration du système peuvent procéder aux modifications suivantes : date et heure du système, nom d hôte et mode de fonctionnement d un VDOM. Paramétrage des date et heure 1 Sélectionnez Système > Statut. 2 Dans la section Information, cliquez sur Changer à côté du champ Heure Système. 3 Sélectionnez votre fuseau horaire. Vous avez ensuite le choix entre paramétrer manuellement la date et l heure ou configurer votre FortiGate pour qu il se synchronise avec un serveur NTP. Guide d Administration FortiGate Version

52 Illustration 11 : Paramétrage des date et heure Date et heure du système Actualiser Fuseau horaire Ajuster automatiquement lors du passage à l heure d été/l heure d hiver Réglage Synchronisation avec le serveur NTP Serveur Intervalle de Sync La date et l heure actuelle du système FortiGate Mise à jour instantanée de la date et l heure du système. Sélectionnez le fuseau horaire applicable. Ajuste automatiquement l horloge du FortiGate lors du passage à l heure d été. Remplissez les champs heure, minute, seconde, jour, mois, année. Sélectionnez cette option si vous désirez utiliser un serveur NTP pour paramétrer les date et heure automatiquement. Spécifiez le serveur et l intervalle de synchronisation désirés. Entrez l adresse IP ou un nom de domaine d un serveur NTP. Pour trouver le bon serveur NTP, voir Spécifiez le nombre de fois que le boîtier FortiGate synchronise ses paramètres date et heure avec le serveur NTP. Par exemple, définir un intervalle de 1440 minutes entraîne un synchronisation quotidienne. Modification du nom d hôte du boîtier FortiGate Le nom d hôte du boîtier FortiGate apparaît sur la page Statut et sur l écran lors d une connexion en CLI. Le nom d hôte est également utilisé comme nom de système SNMP. Pour plus d informations sur le SNMP, voir «SNMP» à la page 152. Le nom d hôte par défaut est le nom du modèle, par exemple boîtier FortiGate-300. Les administrateurs dont le profil d accès prévoit les droits en écriture peuvent modifier le nom d hôte du FortiGate. Remarque : Si votre FortiGate fait partie d un cluster HA, il est conseillé de lui attribuer un nom unique pour le distinguer des autres équipements du cluster. 52 Guide d Administration FortiGate Version 3.0

53 1 Sélectionnez Système > Statut > Statut. 2 Dans le champ Nom d Hôte de la section Informations sur le Système, sélectionnez Changer. 3 Dans le champ Nouveau Nom, entrez un nouveau nom d hôte. 4 Cliquez sur OK. 5 Le nouveau nom d hôte s affiche dans le champ Nom d Hôte et sur l écran lors d une connexion en CLI. Il est également ajouté au Nom de Système SNMP. Modification du logiciel FortiGate Les administrateurs FortiGate dont le profil d accès prévoit les droits en écriture et lecture peuvent modifier le logiciel FortiGate. Les modifications du logiciel portent soit sur une mise à jour logicielle vers une version plus récente ou soit sur une révision vers une version précédente. Les procédures de modifications sont décrites ci-dessous. Mise à jour logicielle Retour à une version logicielle antérieure Mise à jour logicielle La procédure suivante vous guide dans une mise à jour vers une nouvelle version logicielle. Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure «Mettre à jour les bases de connaissances antivirus et IPS» à la page 189 pour vous assurer que ces bases de connaissance sont à jour. Mettre le logiciel à jour à partir de l interface d administration web 1 Copiez le fichier de l image logicielle sur votre poste d administration. 2 Connectez-vous à l interface d administration web en tant qu administrateur admin ou sous un compte administrateur qui possède les droits en lecture et en écriture de configuration système. 3 Sélectionnez Système > Statut. 4 Dans la section Informations sur le Système (ou Statut), sélectionnez Update (Mettre à jour) dans la ligne Version du Code. 5 Tapez le chemin et le nom de fichier de l image logicielle ou sélectionnez «Browse» (Parcourir) pour localiser ce fichier. 6 Cliquez sur OK. Le boîtier FortiGate télécharge le fichier de l image logicielle, installe la nouvelle version logicielle, ferme toutes les sessions, redémarre et affiche la page d ouverture d une session FortiGate. Cette procédure prend quelques minutes. 7 Connectez-vous à l interface d administration web. Guide d Administration FortiGate Version

54 8 Sélectionnez Système > Statut et vérifiez la version du code pour vous assurer du succès de l installation de la mise à jour. 9 Mettez les bases de connaissance antivirus et IPS à jour. Pour plus d informations sur ce sujet, voir «Centre FortiGuard» à la page 183. Retour à une version logicielle antérieure Les procédures suivantes permettent d équiper le boîtier FortiGate d une version antérieure du logiciel. Notez que cela entraîne la restauration de la configuration par défaut du boîtier FortiGate et la suppression des signatures personnalisées IPS, de la base de données de filtrage web et antispam et des changements apportés aux messages de remplacement. Pour préserver ces informations, sauvegardez la configuration de votre FortiGate. Pour plus d informations à ce sujet, voir «Sauvegarde et Restauration» à la page 181. Si vous retournez à une version antérieure FortiOS (par exemple, passer de FortiOS v3.0 à FortiOS v2.80), il y a un risque que la configuration antérieure ne puisse être restaurée à partir de la sauvegarde du fichier de configuration. Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure «Mettre à jour les bases de connaissances antivirus et IPS» à la page 189 pour vous assurer que ces bases de connaissance sont à jour. Retourner à une version logicielle antérieure à partir de l interface d administration web 1 2 Copiez le fichier de l image logicielle sur votre poste d administration. Connectez-vous à l interface d administration web du FortiGate. Remarque : La procédure suivante nécessite que vous vous connectiez à partir du compte administrateur admin ou d un compte administrateur qui possède tous les droits d accès en lecture et écriture de la configuration du système. 1 Sélectionnez Système > Statut. 2 Dans la section Informations sur le Système (ou Statut), sélectionnez Update (Mettre à jour) dans la ligne Version du Code. 3 Tapez le chemin et le nom du fichier de l image logicielle, ou sélectionnez «Browse» (Parcourir) pour localiser ce fichier. 4 Cliquez sur OK. Le boîtier FortiGate télécharge le fichier de l image logicielle, retourne à la version antérieure du logiciel, redémarre et affiche la page d ouverture d une session FortiGate. Cette procédure prend quelques minutes. 5 Connectez-vous à l interface d administration web. 6 Sélectionnez Système > Statut et vérifiez la version du code pour vous assurer du succès de l installation du logiciel. 7 Restaurez votre configuration. 54 Guide d Administration FortiGate Version 3.0

55 Pour plus d informations sur la restauration de votre configuration, voir «Sauvegarde et Restauration» à la page Mettez à jour les bases de connaissance antivirus et IPS. Pour plus d informations sur les définitions des antivirus et attaques, voir «Mettre à jour les bases de connaissances antivirus et IPS» à la page 189. Visualisation de l historique opérationnel La page de l Historique des Ressources du Système affiche six graphiques représentant les ressources du système et son activité protection du réseau. 1 Sélectionnez Système > Statut. 2 Cliquez sur l icône Historique dans le coin en haut à droite de la section Ressources. Illustration 12 : Exemple de l historique des ressources du système Time Interval Historique du taux CPU Historique du taux mémoire Historique des sessions Historique du taux d utilisation réseau Historique des virus Historique des attaques Sélectionnez l intervalle de temps que vous voulez voir illustrer dans les graphiques. Usage CPU pendant l intervalle précédent. Usage Mémoire pendant l intervalle précédent. Nombre de sessions pendant l intervalle précédent. Utilisation du réseau pendant l intervalle précédent. Nombre de virus détecté(s) pendant l intervalle précédent. Nombre de tentatives d intrusions détectée(s) pendant l intervalle précédent. Mise à jour manuelle des définitions FortiGuard Vous pouvez mettre à jour les bases de connaissance FortiGuard Antivirus et FortiGuard IPS à tout moment à partir de la section d Informations sur la Licence de la page Statut du Système. Pour configurer une mise à jour automatique des fichiers de définitions par le boîtier FortiGate, voir «Centre FortiGuard» à la page 183. Guide d Administration FortiGate Version

56 Mise à jour manuelle des définitions AV FortiGuard Remarque : Pour plus d informations sur la configuration d une automatisation des mises à jour des définitions antivirus, voir «Centre FortiGuard» à la page Téléchargez le fichier de mise à jour des définitions des derniers antivirus sur le site de Fortinet. Copiez-le sur l ordinateur connecté à l interface d administration web. 2 Démarrez l interface d administration web et sélectionnez Système > Statut > Statut. 3 Dans la section Information sur la Licence, dans le champ Définitions AV des souscriptions FortiGuard, sélectionnez Update (Mettre à jour). La boîte de dialogue Mettre à jour les définitions antivirus s ouvre. 4 Dans le champ Fichier de mise à jour, tapez le chemin et le nom du fichier de mise à jour des définitions antivirus. Vous pouvez également sélectionnez Browse (Parcourir) et localisez le fichier. 5 Cliquez sur OK pour copier le fichier de mise à jour des définitions antivirus sur le boîtier FortiGate. Le boîtier FortiGate met à jour les définitions AV. Cela prend environ 1 minute. 6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour de la version du FortiGuard Antivirus. Mise à jour manuelle des définitions IPS FortiGuard Remarque : Pour plus d informations sur la configuration d une automatisation des mises à jour des définitions IPS (attaque), voir «Centre FortiGuard» à la page Téléchargez le fichier de mise à jour des définitions des dernières attaques sur le site de Fortinet. Copiez-le sur l ordinateur connecté à l interface d administration web. 2 Démarrez l interface d administration web et sélectionnez Système > Statut > Statut. 3 Dans la section Information sur la Licence, dans le champ Définitions IPS des souscriptions FortiGuard, sélectionnez Update (Mettre à jour). 4 Dans le champ Fichier de mise à jour, tapez le chemin et le nom du fichier de mise à jour des définitions des attaques. Vous pouvez également sélectionnez Browse (Parcourir) et localisez le fichier. 5 La boîte de dialogue Mettre à jour les définitions d attaque s ouvre. Cliquez sur OK pour copier le fichier de mise à jour des définitions des attaques sur le boîtier FortiGate. Le boîtier FortiGate met à jour les définitions IPS. Cela prend environ 1 minute. 6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour de la version du FortiGuard IPS. 56 Guide d Administration FortiGate Version 3.0

57 Visualisation des Statistiques Les Statistiques de la page Statut du Système fournissent des informations sur les sessions, les archives de contenu et l activité protection réseau. Visualisation de la liste des sessions La liste des sessions affiche des informations sur les sessions de communication en cours sur le boîtier FortiGate. Visualiser la liste des sessions 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Statistiques, cliquez sur Détails dans la ligne Sessions. Illustration 13 : Liste des Sessions Virtual Domain Icône Rafraîchir Page précédente Page suivante Ligne Supprimer tous les filtres Icône Filtre Protocole Adresse Source Port Source Adresse Destination Port Destination Identifiant de règle Expire (sec) Sélectionnez un domaine virtuel pour en répertorier les sessions en cours. Sélectionnez Tous pour visualiser les sessions utilisées par tous les domaines virtuels. Ceci n est possible que si de multiples domaines virtuels sont activés. Met à jour la liste des sessions. Affiche la page précédente de la liste des sessions. Affiche la page suivante de la liste des sessions. Entrez le numéro de la ligne de la session marquant le début de la liste des sessions affichées. Par exemple, dans le cas où il y a 5 sessions et vous entrez le numéro 3, seules les sessions 3, 4 et 5 seront affichées. Le nombre suivant le «/» est le nombre de sessions actives sur le boîtier FortiGate. Annule tous les filtres d affichage installés. Toutes les icônes en haut des colonnes à l exception de # et Expiration. Sélectionnez une de ces icônes pour ouvrir la boîte de dialogue d Edition de Filtres vous permettant d installer des filtres d affichage par colonne. Le protocole de service sur la connexion, par exemple, udp, tcp ou icmp. L adresse IP source de la connexion. Le port source de la connexion. L adresse IP de destination de la connexion. Le port de destination de la connexion. Le nombre de règles pare-feu permettant cette session. Le champ reste vide si la session implique une seule interface FortiGate (session admin par exemple). Le temps, en secondes, avant que la connexion expire. Guide d Administration FortiGate Version

58 Icône de suppression Met fin à une session de communication active. Votre profil d accès doit comprendre les droits en lecture et en écriture de la configuration du système. Visualisation des Archives de Contenu Les statistiques portant sur les trafics HTTP, , FTP et IM à travers le boîtier FortiGate sont visibles dans la section Statistiques de la page Statut du Système. Pour en savoir plus sur chaque type de trafic, cliquez sur Détails à côté du trafic concerné. L icône Remise à zéro en haut de la section Statistiques permet d effacer les archives de contenu et les informations sur les journaux des attaques et de remettre les compteurs à zéro. Visualisation des archives de contenu HTTP 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Archive de Contenu, cliquez sur Détails à côté de HTTP. Date Source URL La date et l heure de l accès à l URL. L adresse IP à partir de laquelle l URL a été accédée. L URL accédée. Visualisation des archives de contenu 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Archive de Contenu, cliquez sur Détails à côté d . Date Source Destination Sujet La date et l heure du FortiGate. L adresse de l émetteur. L adresse du destinataire. Le sujet de l . passage de l à travers le boîtier 58 Guide d Administration FortiGate Version 3.0

59 Visualisation des archives de contenu FTP 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Archive de Contenu, cliquez sur Détails à côté de FTP. Date La date et l heure de l accès. Destination L adresse IP du serveur FTP accédé. Utilisateur L ID de l utilisateur s étant connecté au serveur FTP. Téléchargement Les noms des fichiers téléchargés. Envoie vers un serveur Les noms des fichiers envoyés vers un serveur. Visualisation des archives de contenu IM 1 Sélectionnez Système > Statut > Statut. 2 Dans la secti on Archive de Contenu, cliquez sur Détails à côté d IM. Date / Time Protocol Kind Local Remote Direction La date et l heure de l accès. Le protocole utilisé lors de la session IM. Le type de trafic IM constituant la transaction. L adresse locale de la transaction. L adresse distante de la transaction. Indique si le fichier a été envoyé ou reçu. Visualisation du Journal des Attaques Les statistiques portant sur les attaques réseaux bloquées par le boîtier FortiGate sont visibles dans la section Statistiques de la page Statut du Système. Pour en savoir plus sur chaque type d attaques, cliquez sur le lien Détails de l attaque concernée. L icône Remise à zéro en haut de la section Statistiques permet d effacer les archives sur le contenu et les journaux des attaques, et de remettre les compteurs à zéro. Guide d Administration FortiGate Version

60 Visualisation des virus attrapés 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Journal des attaques, cliquez sur Détails à côté d AV. Date & heure La date et l heure de la détection du virus. De L adresse ou l adresse IP de l émetteur. A L adresse ou l adresse IP du destinataire visé. Service Le type de service, tel que POP ou HTTP. Virus Le nom du virus détecté. Visualisation des attaques bloquées 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Journal des attaques, cliquez sur Détails à côté d IPS. Date & heure De A Service Attaque La date et l heure de la détection de l attaque. La source de l attaque. L hôte cible de l attaque. Le type de service. Le type d attaque détectée et bloquée. Visualisation des spams bloqués 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Journal des attaques, cliquez sur Détails à côté de Spam. Date & heure De -> À IP De -> A comptes Service Type de SPAM La date et l heure de la détection du spam. Les adresses IP de l émetteur et du destinataire visé. Les adresses de l émetteur et du destinataire visé. Le type de service, tel que SMTP, POP ou IMAP. Le type de spam détecté. Visualisation des URL bloquées 1 Sélectionnez Système > Statut > Statut. 2 Dans la section Journal des attaques, cliquez sur Détails à côté de Web. Date et heure De URL Bloquées La date et l heure de la détection de la tentative d accès de l URL. L hôte qui a tenté d accéder à l URL. L URL bloquée. 60 Guide d Administration FortiGate Version 3.0

61 Système > Réseau Cette section vous guide dans la configuration de votre FortiGate pour opérer sur votre réseau. Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et des paramètres DNS. La configuration plus avancée comprend l ajout de sous-interfaces VLAN et de zones à la configuration réseau du FortiGate. Cette section couvre les sujets suivants : Interface Zone Options Table de routage (en mode Transparent) Configuration de l interface modem Aperçu sur les VLAN VLAN en mode NAT/Route VLAN en mode Transparent Support FortiGate IPv6 Interface Remarque : Certains champs permettent d entrer l adresse IP et le masque de réseau en une fois. Dans ce cas, vous pouvez utiliser la forme courte du masque de réseau. Par exemple, / peut également être entré sous /24. En mode NAT/Route, sélectionnez Système > Réseau > Interface pour configurer les interfaces FortiGate. Il vous est possible de : agréger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour les modèles 800 et plus). combiner des interfaces physiques en une interface redondante ajouter et configurer des sous-interfaces VLAN modifier la configuration d une interface physique ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM uniquement). Remarque : A moins d une directive contraire, dans cette section, le mot «interface» réfère aussi bien à une interface FortiGate physique qu à une sous-interface FortiGate VLAN. Pour toute information sur les VLAN en mode NAT/Route, voir «VLAN en mode NAT/Route» à la page 85. Pour toute information sur les VLAN en mode Transparent, voir «VLAN en mode Transparent» à la page 88. Guide d Administration FortiGate Version

62 Illustration 14 : Liste des interfaces pour un administrateur régulier Illustration 15 : Liste des interfaces pour un administrateur admin avec la Configuration de Domaine Virtuel activée Créer Nouveau Icône Description Nom IP / masque Accès Crée une sous-interface VLAN. Possibilité de créer une interface agrégée IEEE 802.3ad pour les modèles 800 et plus. L aide en ligne de cette icône affiche le champ de Description pour cette interface. Les noms des interfaces physiques de votre boîtier FortiGate. Les nombre et noms de ces interfaces dépendent du modèle. Certains noms indiquent la fonction par défaut de l interface : Internal, External, DMZ par exemple. D autres noms sont génériques : port1 par exemple. Les modèles FortiGate 50 et 60 fournissent une interface modem. Voir «Configuration de l interface modem» à la 79. page L interface oob/ha est l interface de gestion hors bande du modèle FortiGate Vous pouvez vous connecter à cette interface pour gérer votre équipement FortiGate. Cette interface est également disponible comme interface de heartbeat HA. Sur les modèles 800 et plus, si plusieurs interfaces sont combinées en une interface agrégée, seule celle-ci sera répertoriée (et non pas les interfaces composantes). La même chose s applique pour les interfaces redondantes. Voir «Création d une interface agrégée 802.3ad» à la page 66 ou «Création d une interface redondante» à la page 67. Si vous avez ajouté des sous-interfaces VLAN, celles-ci apparaissent aussi dans la liste des noms, juste en dessous de l interface physique ou agrégée à laquelle elles ont été ajoutées. Voir «Aperçu sur les VLAN» à la page 84. A moins d être l administrateur admin, et si la Configuration de Domaine Virtuel est activée, les informations disponibles concernent uniquement les interfaces de votre domaine virtuel. L adresse IP et le masque de réseau actuels de cette interface. La configuration de l accès administratif de l interface. 62 Guide d Administration FortiGate Version 3.0

63 Domaine Virtuel Etat Icônes Supprimer, Editer et Visualiser Pour toute information sur les options de l accès administratif, voir «Contrôler l accès administratif d une interface» à la page 74. Le domaine virtuel auquel l interface appartient. Cette colonne n est visible que par l administrateur admin et ce, uniquement lorsque la Configuration de Domaine Virtuel est activée. L état administratif de l interface. Une flèche verte indique que l interface est active et peut accepter le trafic réseau. Une flèche rouge indique que l interface est inactive et ne peut pas accepter le trafic réseau. Pour modifier l état administratif, sélectionnez Activer ou Désactiver. Supprime, édite ou visualise une entrée. Paramètres de l interface Pour configurer une interface, sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau pour créer une nouvelle interface. Pour éditer une interface existante, sélectionnez l icône Editer de cette interface. Il est impossible de créer une interface virtuelle IPSec ici. Mais vous pouvez en spécifier les adresses de terminaison, activer l accès administratif et fournir une description. Voir «Configuration d une interface IPSec virtuelle» à la page 72. Illustration 16 : Paramètres d une interface Nom de l interface Type Entrez un nom pour l interface. Il n est pas possible de modifier le nom d une interface existante. Sur les modèles 800 et plus, vous pouvez créer des interfaces VLAN, agrégées 802.3ad et redondantes. Sur les modèles WiFi-60A et WiFi-60AM, vous pouvez créer des interfaces sans fil. Certains modèles ne supportent que la création d interface VLAN et n affichent alors pas le champ Type. Guide d Administration FortiGate Version

64 Interface ID VLAN Domaine Virtuel Mode d adressage DDNS Si vous désirez créer une interface agrégée, voir «Création d une interface agrégée 802.3ad» à la page 66. Si vous désirez créer une interface redondante, voir «Création d une interface redondante» à la page 67. Si vous désirez créer une interface sans fil, voir «Création d une interface sans fil» à la page 68. Il est impossible de modifier le type d une interface existante. Sélectionnez le nom de l interface physique à laquelle vous voulez adjoindre une sous-interface VLAN. Une fois créé, le VLAN est repris dans la liste des interfaces, en dessous de son interface physique. Il est impossible de modifier l interface d une sous-interface VLAN existante. Entrez l ID du VLAN qui correspond à l ID du VLAN des paquets destinés à cette sous-interface VLAN. Il est impossible de modifier l ID d une sous-interface VLAN existante. L ID VLAN, se situant entre 1 et 4096, doit correspondre à l ID VLAN ajoutée par le routeur IEEE 802.1Qcompliant ou connecté à la sous-interface VLAN. Pour plus d informations sur les VLAN, voir «Aperçu sur les VLAN» à la page 84. Sélectionnez le domaine virtuel auquel la sous-interface VLAN appartient. Seul l administrateur admin peut effectuer cette commande lorsque la Configuration de Domaine Virtuel est activée. Pour plus d informations sur les domaines virtuels, voir «Utilisation des domaines virtuels» à la page 40. Pour configurer une adresse IP statique d une interface, sélectionnez Manuel et entrez adresse IP/masque de réseau dans le champ prévu à cet effet. L adresse IP doit être sous le même sous-réseau que le réseau auquel l interface se connecte. Deux interfaces ne peuvent pas avoir leurs adresses IP sur le même sous- réseau. Pour plus d informations sur la configuration d un adressage dynamique, voir «Configuration DHCP d une interface» à la page 69 ou «Configuration PPPoE d une interface» à la page 70. Cochez la case Activer à côté de DDNS pour configurer un service DNS Dynamique pour cette interface. Des champs additionnels sont affichés. Pour plus d informations sur la configuration DDNS, voir «Configuration d un service DNS Dynamique d une interface» à la page 72. Ping Serveur Pour activer la détection de l échec d une passerelle, entrez l adresse IP du routeur du prochain saut sur le réseau connecté à l interface et cochez la case Activer. Pour plus d informations sur la détection de l échec 64 Guide d Administration FortiGate Version 3.0

65 Administration HTTPS PING HTTP SSH SNMP TELNET MTU Journaliser Description d une passerelle, voir «Détection de l échec d une passerelle» à la page 76. Sélectionnez les types d accès administratifs permis sur cette interface. Permet des connexions HTTPS sécurisées vers l interface d administration web à travers cette interface. L interface répond aux requêtes Ping. Cette fonctionnalité vous permet de vérifier votre installation et de la tester. Permet des connexions HTTP vers l interface d administration web à travers cette interface. Les connexions HTTP ne sont pas sécurisées et peuvent être interceptées par des tiers. Permet des connexions SSH vers l interface de commande en ligne à travers cette interface. Permet à un superviseur SNMP distant de solliciter des informations SNMP en se connectant à cette interface. Voir «Configuration SNMP» à la page 153. Permet des connexions Telnet vers le CLI à travers cette interface. Les connexions Telnet ne sont pas sécurisées et peuvent être interceptées par des tiers. Ce champ n est disponible que sur les interfaces physiques. Pour améliorer la performance réseau, vous pouvez modifier l unité maximum de transmission (MTU) des paquets que le boîtier FortiGate transmet. Idéalement le MTU devrait être identique au plus petit MTU de tous les réseaux entre le boîtier FortiGate et les destinations des paquets. Les plus grands paquets envoyés seront fragmentés, ce qui ralentit la transmission. Procédez à des tests en diminuant le MTU jusqu à trouver la taille du MTU qui fournit la meilleure performance réseau. Pour modifier le MTU, sélectionnez Remplacer la valeur MTU par défaut (1500) et entrez une nouvelle taille du MTU. La taille du MTU varie entre 68 et 1500 octets en mode manuel, entre 576 et 1500 octets en mode DHCP et entre 576 et 1492 octets en mode PPPoE. En mode Transparent, si vous modifiez le MTU d une interface, vous devez modifier le MTU de toutes les interfaces pour correspondre à la nouvelle. Sélectionnez Journaliser pour enregistrer les journaux pour tout trafic à partir ou vers l interface. Pour enregistrer des journaux, vous devez activer la journalisation du trafic vers une destination et fixer le niveau de sévérité de la journalisation à Notification ou plus bas. Sélectionnez Journaux/Alertes > Journal pour configurer les types et destinations de journalisation. Pour plus d informations sur les journalisations, voir «Journaux et Alertes» à la page 409. Facultativement, entrez une description de 63 caractères maximum. Guide d Administration FortiGate Version

66 Création d une interface agrégée 802.3ad Vous pouvez agréger (combiner) deux ou plusieurs interfaces pour augmenter la bande passante et fournir quelques redondances de lien. Cela offre l avantage d une plus grande bande passante mais augmente le risque de points de panne potentiels par rapport aux interfaces redondantes. Les interfaces doivent se connecter à la même destination du prochain saut. Le logiciel FortiGate des modèles 800 et plus implémentent le standard 802.3ad pour une agrégation de liens. Une interface est disponible pour agrégation uniquement si : il s agit d une interface physique et non pas d une interface VLAN elle ne fait pas déjà partie d une interface agrégée ou redondante elle est dans le même VDOM que l interface agrégée elle n a pas d adresse IP définie et n est pas configurée à partir de DHCP ou PPPoE elle n a pas de serveur DHCP ou de relais configuré elle n a pas de sous-interfaces VLAN elle n est pas reprise dans une règle pare-feu, VIP, IP Pool ou multicast il ne s agit pas d une interface de heartbeat HA Lorsqu une interface fait partie d une agrégation, elle n est plus reprise dans la liste de la page Système > Réseau > Interface. Elle n est plus configurable individuellement et ne peut plus être incluse dans les règles pare-feu, VIP, IP pools ou de routage. Illustration 17 : Paramètres pour une interface agrégée 802.3ad Créer une interface agrégée 802.3ad 1 Sélectionnez Système > Réseau > Interface Cliquez sur Créer Nouveau. Dans le champ Nom, entrez un nom pour l interface agrégée. Le nom de l interface doit différer des noms des autres interfaces, zones ou VDOM. Sélectionnez dans la liste Type déroulante 802.3ad Aggregate. Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface que vous voulez inclure dans l interface agrégée et cliquez sur la flèche droite pour la déplacer vers la liste des Interfaces Sélectionnées. 66 Guide d Administration FortiGate Version 3.0

67 6 7 8 Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer un adressage. Pour plus d informations sur l adressage dynamique, voir : «Configuration DHCP d une interface» à la page 69. «Configuration PPPoE d une interface» à la page 70. Configurez les autres options tel que requis. Cliquez sur OK. Création d une interface redondante Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance de liens. Cette fonctionnalité vous permet de vous connecter à deux ou plusieurs commutateurs afin d assurer une connectivité continue même dans le cas où une interface ou un des équipements devait tomber en panne. La différence entre un lien redondant et un lien d agrégation réside dans le fait que dan s le premier cas, le trafic ne passe que par une seule interface à la fois (peu importe le nombre de liens redondants). Cependant les interfaces redondantes permettent des configurations plus robustes avec un risque de points de pannes plus faible. Ceci est important dans une configuration en maillage intégral HA. Le logiciel FortiGate des modèles 800 et plus implémente des interfaces redondantes. Une interface peut être une interface redondante seulement si : il s agit d une interface physique et non pas d une interface VLAN elle ne fait pas déjà partie d une interface agrégée ou redondante elle est dans le même VDOM que l interface redondante elle n a pas d adresse IP définie et n est pas configurée à partir de DHCP ou PPPoE elle n a pas de serveur DHCP ou relais configuré elle n a pas de sous-interface VLAN elle n est pas présente dans une règle pare-feu, VIP, IP Pool ou multicast elle n est pas contrôlée par un HA. Lorsqu une interface fait partir d une interface redondante, elle n est plus reprise dans la liste de la page Système > Réseau > Interface. Elle n est plus configurable individuellement et ne peut plus être incluse dans les règles pare-feu, VIP, IP pools ou de routage. Guide d Administration FortiGate Version

68 Illustration 18 : Paramètres d une interface redondante Créer une interface redondante 1 Sélectionnez Système > Réseau > Interface. 2 Cliquez sur Créer Nouveau. 3 Dans le champ Nom, entrez un nom pour l interface redondante. Le nom de l interface doit différer des noms des autres interfaces, zones ou VDOM. 4 Sélectionnez dans la liste Type déroulante Interface Redondante. 5 Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface physique que vous voulez inclure dans l interface redondante et cliquez sur la flèche droite pour la déplacer vers la liste des Interfaces Sélectionnées. 6 Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer un adressage. Pour plus d informations sur l adressage dynamique, voir : «Configuration DHCP d une interface» à la page 69. «Configuration PPPoE d une interface» à la page70. 7 Configurez les autres options tel que requis. 8 Cliquez sur OK. Création d une interface sans fil Vous pouvez créer des interfaces sans fil WLAN sur les modèles FortiWiFi-60A et FortiWiFi-60AM, voir à ce propos «Paramètres sans fil du système (FortiWiFi-60)» à la page Sélectionnez Système > Réseau > Interface. 2 Cliquez sur Créer Nouveau. 3 Dans le champ Nom, entrez un nom pour l interface sans fil. Ce nom doit différer des noms des autres interfaces, zones ou VDOM. 4 Sélectionnez dans la liste Type déroulante Wireless. 5 Dans la section Paramètres Sans Fil (Wireless Settings), entrez les informations suivantes : 68 Guide d Administration FortiGate Version 3.0

69 Illustration 19 : Paramètres de l interface sans fil 6 7 SSID SSID Broadcast Security Mode Clé Pre-shared Key RADIUS Server Name Data Encryption RTS Threshold Entrez le nom du réseau sans fil que le FortiWiFi-60 doit émettre. Les utilisateurs désireux d utiliser le réseau sans fil doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau. A sélectionner si vous voulez que le boîtier émette (En mode Point d Accès uniquement). son SSID. Pour une utilisation du WEP, sélectionnez WEP64 ou WEP128. Pour une utilisation WPA (disponible en mode Point d Accès uniquement), sélectionnez WPA Pre-shared Key ou WPA_Radius. Les utilisateurs du réseau sans fil FortiWiFi-60 doivent configurer leurs ordinateurs avec les mêmes paramètres. Pour une clé WEP de 64 bits, entrez 10 symboles hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez 26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec les mêmes clés. Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé partagée. Les utilisateurs d un réseau sans fil doivent configurer leurs ordinateurs avec la même clé. Pour le mode sécurisé WPA Radius, sélectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit être configuré dans Utilisateur > Radius. Pour plus d informations, voir «Serveurs RADIUS» à la page 326. En mode WPA uniquement. Choisissez entre les protocoles de cryptage TKIP ou AES (WPA2). Le seuil RTS (Request to Send) détermine le temps d attente du boîtier pour la reconnaissance CTS (Clear to Send) d un autre équipement sans fil. Fragmentation Threshold Le seuil de fragmentation détermine la taille maximum d un paquet de données avant que celui-ci ne soit fragmenté en deux ou plusieurs paquets. La réduction de ce seuil peut améliorer la performance dans des environnements soumis à de hautes interférences. Configurez les options des autres interfaces tel que requis. Cliquez sur OK. Configuration DHCP d une interface Lorsque vous configurez une interface pour une utilisation DHCP, le boîtier FortiGate émet automatiquement une requête DHCP. L interface est configurée avec l adresse IP et éventuellement les adresses du serveur DNS, ainsi que les adresses des passerelles par défaut fournies par le serveur DHCP. Guide d Administration FortiGate Version

70 Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sélectionnez l icône Editer d une interface existante. Dans la section de Mode d Adressage, sélectionnez DHCP. Illustration 20 : Paramètres DHCP de l interface Distance Obtenir dynamiquement la route par défaut Remplacer le serveur DNS pré-configuré Connecter Statut initialisation se connecte connecté échec Entrez la distance administrative de la passerelle par défaut retrouvée par le serveur DHCP. La distance administrative, entre 1 et 255, indique la priorité relative d une route lorsqu il en existe plusieurs vers une même destination. Au plus la distance administrative est basse, au plus est elle considérée comme prioritaire. La distance par défaut de la passerelle par défaut est de 1. Activez cette option pour retrouver l adresse IP d une passerelle par défaut à partir d un serveur DHCP. La passerelle par défaut est ajoutée à la table de routage statique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par des adresses DNS retrouvées par le serveur DHCP. Sur les modèles 100 et moins, l activation de Obtenir dynamiquement les adresses des serveurs DNS dans Système > Réseau > Options est conseillée. Voir «Configuration des Options du Réseau» à la page 77. Permet à l interface de tenter automatiquement de se connecter à un serveur DHCP. Désactiver cette option si vous configurez l interface hors ligne. Affiche les messages sur les statuts DHCP lorsque le boîtier FortiGate se connecte au serveur DHCP et reçoit des informations sur l adressage. Sélectionnez cette option pour rafraîchir le message de statut du mode d adressage. Aucune activité. L interface tente de se connecter au serveur DHCP. L interface retrouve une adresse IP, un masque de réseau et d autres paramètres du serveur DHCP. L interface a échoué dans sa tentative de retrouver une adresse IP et d autres informations à partir du serveur DHCP. Configuration PPPoE d une interface Lorsque vous configurez une interface pour une utilisation PPPoE, le boîtier FortiGate émet automatiquement une requête PPPoE. Vous pouvez désactiver Connecter si vous configurez le boîtier FortiGate hors ligne et ne désirez pas l envoi de la requête PPPoE. 70 Guide d Administration FortiGate Version 3.0

71 Le boîtier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y compris les IP non numérotées, les timeouts de découverte initiale et les PPPoE Active Discovery Terminate (PADT). Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sur l icône Editer d une interface e xistante. Sélectionnez PPPoE dans la section Mode d Adressage. Illustration 21 : Paramètres PPPoE de l interface Compte utilisateur Mot de Passe Unnumbered IP Initial Disc Timeout Initial PADT Timeout Distance Obtenir dynamiquement la route par défaut Remplacer le serveur DNS pré-configuré Connecter Etat Le nom d utilisateur du compte PPPoE. Le mot de passe du compte PPPoE. Spécifiez l adresse IP de l interface. Dans le cas où votre FAI (Fournisseur d Accès Internet) vous en a affectées plusieurs, choisissez-en une parmi celles-ci. Par ailleurs, cette adresse IP peut être identique à celle d une autre interface ou peut également être n importe quelle adresse IP. Initial Discovery Timeout. Il s agit du temps d attente avant qu une nouvelle tentative de découverte PPPoE soit lancée. Pour désactiver cette option, affectez-lui 0. Initial PPPoE Active Discovery Terminate (PADT) timeout. Se définit en secondes. Sert à fermer la session PPPoE après un laps de secondes d inactivité défini dans cette option. PADT doit être supporté par votre FAI. Pour désactiver cette option, affectez-lui 0. Entrez la distance administrative de la passerelle par défaut retrouvée par le serveur PPPoE. La distance administrative, entre 1 et 255, indique la priorité relative d une route lorsqu il en existe plusieurs vers une même destination. Au plus la distance administrative est basse, au plus elle est considérée comme prioritaire. La distance par défaut de la passerelle par défaut est de 1. Permet de retrouver une adresse IP d une passerelle par défaut à partir d un serveur PPPoE. La passerelle par défaut est ajoutée à la table de routage statique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par les adresses DNS retrouvées par le serveur PPPoE ou PPPoA. Permet à l interface de tenter automatiquement de se connecter à un serveur PPPoE ou PPPoA. Désactiver cette option si vous configurez l interface hors ligne. Affiche les messages sur les statuts PPPoE lorsque le boîtier FortiGate se connecte au serveur PPPoE et reçoit Guide d Administration FortiGate Version

72 initialisation des informations sur l adressage. Sélectionnez cette option pour rafraîchir le message de statut du mode d adressage. Aucune activité. se connecte L interface tente de se connecter au serveur PPPoE. connecté échec L interface retrouve une adresse IP, un masque de réseau et d autres paramètres du serveur PPPoE. L interface a échoué dans sa tentative de retrouver une adresse IP et d autres informations à partir du serveur PPPoE. Configuration d un service DNS dynamique d une interface Lorsque le boîtier FortiGate possède un nom de domaine statique et une adresse IP publique dynamique, vous pouvez utiliser un service DDNS pour mettre à jour les serveurs DNS Internet quand l adresse IP du domaine change. Le service DDNS est uniquement disponible en mode NAT/Route. Sélectionnez Système > Ré seau > Interface. Cliquez sur Créer Nouveau ou sur l icône E diter d une interface existante. Activez DDNS, juste en dessous de la section Mode d Adressage et configurez le service DDNS en fonction des informations fournies. Illustration 22 : Configuration d un service DDNS Serveur Domaine Compte utilisateur Sélectionnez un serveur DDNS. Les logiciels clients pour ces services sont inclus dans le microcode FortiGate. Le boîtier FortiGate ne peut se connecter qu à un de ces services. Le nom de domaine pour le service DDNS. Le nom d utilisateur nécessaire à une connexion à un serveur DDNS. Mo t de passe Le mot de passe nécessaire à une connexion à un serveur DDNS. Configuration d une interface IPSec virtuelle La création d une interface IPSec virtuelle se fait en sélectionnant le Mode Interface IPSec dans VPN > IPSec > Auto Key (IKE) ou VPN > IPSec > Clef Manuelle lors de la création d un VPN. Il faut également sélectionner une interface physique ou VLAN de la liste Interface Local. L interface IPSec virtuelle est reprise dan s la liste comme sous-interface de l interface dans Système > Réseau > Interface. Pour plus d informations, voir «Aperçu du mode interface IPSec» à la page 294. «Auto Key» à la page 295 ou «Clé Manuelle» à la page Guide d Administration FortiGate Version 3.0

73 Sélectionnez Système > Réseau > Interface et cliquez sur l icône Editer d une interface IPSec pour : configurer des adresses IP de terminaison locales et distantes de l interface IPSec de manière à activer un routage dynamique sur l interface ou lancer une requête ping pour tester le tunnel. permettre l accès administratif à travers l interface IPSec permettre la journalisation sur l interface entrer une description de l interface Illustration 23 : Paramètres de l interface IPSec virtuelle Nom Domaine Virtuel IP Remote IP Administration HTTPS PING HTTP SSH SNMP TELNET Le nom de l interface IPSec Sélectionnez le VDOM de l interface IPSec Si vous voulez utiliser un routage dynamique avec le tunnel ou pouvoir pinger l interface du tunnel, entrez les adresses IP des points finaux locaux et distants du tunnel. Ces deux adresses ne peuvent pas apparaître ailleurs sur le réseau. Sélectionnez les types d accès administratifs permis sur cette interface. Permet des connexions HTTPS sécurisées vers l interface d administration web à travers cette interface. L interface répond aux requêtes Ping. Cette fonctionnalité vous permet de tester votre installation. Permet des connexions HTTP vers l interface d administration web à travers cette interface. Les connexions HTTP ne sont pas sécurisées et sont susceptibles d être interceptées par des tiers. Permet des connexions SSH vers l interface de ligne de commande à travers cette interface. Permet à un superviseur SNMP distant de solliciter des informations SNMP en se connectant à cette interface. Voir «Configuration SNMP» à la page 153. Permet des connexions Telnet vers le CLI à travers cette interface. Les connexions Telnet ne sont pas sécurisées et sont susceptibles d être interceptées par des tiers. Guide d Administration FortiGate Version

74 Journaliser Description Sélectionnez Journaliser pour enregistrer les journaux de tout trafic à partir ou vers l interface. Pour enregistrer des journaux, vous devez activer la journalisation du trafic vers une destination et fixer le niveau de sévérité de la journalisation à Notification ou plus bas. Sélectionnez Journaux/Alertes > Journal pour configurer des types et destinations de journalisation. Pour plus d informations sur la journalisation, voir «Journaux et Alertes» à la page 409. Facultativement, entrez une description de 63 caractères maximum. Configuration additionnelle des interfaces Ajo uter une adresse IP secondaire La commande CLI config system interface permet d ajouter une adresse IP secondaire à toute interface FortiGate. Cette adresse secondaire ne peut pas se trouver sur le même sous-réseau que l interface primaire ou que toute autre interface ou adresse IP secondaire. Pour plus d informations, voir config secondaryip sous system interface dans le FortiGate CLI Reference. Contrôler un accès administratif vers une interface Un contrôle d accès administratif vers les interfaces d un VDOM est possible si ce VDOM fonctionne en mode NAT/Route. Vous pouvez permettre une administration à distance du boîtier FortiGate. Cependant, une administration à distance via Internet pourrait compromettre la sécurité de votre FortiGate. Cette manoeuvre est donc à éviter à moins que cela soit nécessaire pour votre configuration. Les consignes suivantes améliorent la sécurité du boîtier FortiGate lors d une administration à distance via Internet : 1 Utilisation de mots de passe d utilisateurs administratifs sécurisés. Modification régulière de ces mots de passe. Permettre un accès administratif sécurisé vers cette interface via une utilisation HTTPS ou SSH. Pour configurer un accès administratif en mode Transparent, voir «Mode de fonctionnement des VDOM et accès administratif» à la page Sélectionnez les protocoles d Administration pour cette interface. 4 Maintenir la valeur du Timeout d inactivité par défaut à 5 minutes (voir «Paramètres» à la page 178.) Sélectionnez Système > Réseau > Interface. 2 Cliquez sur l icône Editer de l interface choisie. Cliquez sur OK pour enregistrer les changements. Modifier la taille MTU des paquets qui quittent une interface 1 Sélectionnez Système > Réseau > Interface. 74 Guide d Administration FortiGate Version 3.0

75 2 Cliquez sur l icône Editer de l interface choisie. 3 Sélectionnez la valeur de Remplacer la valeur MTU par défaut (1500). 4 Définissez une nouvelle valeur MTU. Remarque : Un redémarrage du FortiGate est nécessaire pour mettre à jour la nouvelle valeur du MTU des sous-interfaces VLAN sur cette interface. Configurer la journalisation du trafic pour les connexions vers une interface Zone 1 Sélectionnez Système > Réseau > Interface. 2 Clique z sur l icône Editer de l interface choisie. 3 Activez la case Journaliser pour enregistrer les messages journalisés lorsqu une règle pare-feu accepte une connexion à cette interface. 4 Cliquez sur OK pour enregistrer les changements. Les zones permettent de grouper des interfaces et des sous-interfaces VLAN. Ces zones simplifient la création de règles. Dans le cas de regroupement d interfaces et de sous-interfaces VLAN en zones, vous pouvez configurer des règles pour des connexions de et à partir d une zone. Cependant il n est pas possible de configurer des règles de et à partir de chaque interface de cette zone. A partir de la liste Zone, il est possible d ajouter des zones, de les renommer, les éditer ou encore les supprimer. Pour ajouter une zone, vous devez sélectionner les noms des interfaces et sous-interfaces VLAN à ajouter à cette zone. Les zones sont ajoutées aux domaines virtuels. Si de multiples domaines virtuels ont été ajoutés à la configuration FortiGate, veillez à configurer le domaine virtuel correct avant d ajouter ou d éditer des zones. Illustration 24 : Liste des zones Créer Nouveau Permet de créer une zone. Nom Les noms des zones ajoutées. Bloquer le trafic intra-zone Le mot Yes s affiche si le trafic entre les interfaces d une même zone est bloqué. Le mot No s affiche si le trafic entre les interfaces d une même zone n est pas bloqué. Interfaces membres Les noms des interfaces ajoutées à cette zone. Les noms des interfaces varient d un modèle FortiGate à un autre. Icônes Editer/Visualiser Permet d éditer ou de visualiser une zone. Icône Supprimer Permet de supprimer une zone. Guide d Administration FortiGate Version

76 Paramètres d une zone Sélectionnez Système > Réseau > Zone pour configurer des zones. Cliquez sur Créer Nouveau ou sur l icône Editer d une zone pour la modifier. Illustration 25 : Options d une zone Options Nom Bloquer le trafic intra-zone Interfaces membres Entrez un nom pour identifier la zone. Sélectionnez cette option pour bloquer le trafic entre les interfaces ou sous-interfaces VLAN au sein de cette zone. Sélectionnez les interfaces faisant partie de cette zone. Cette liste comprend les VLAN configurés. Les options du réseau comprennent les paramètres du serveur DNS et de la détection d échec d une passerelle. Plusieurs fonctions du FortiGate, notamment les s d alertes et le blocage d URL, utilisent le DNS. Pour cela, spécifiez les adresses IP des serveurs DNS auxquels le boîtier FortiGate doit se connecter. Ces adresses IP sont généralement fournies par votre FAI (Fournisseur d Accès Internet). Les modèles FortiGate 100 et moins peuvent être configurés pour obtenir des adresses de serveur DNS automatiquement. Pour ce faire, au moins une des interfaces doit utiliser le mode d adressage DHCP ou PPPoE. Voir «Configuration DHCP d une interface» à la page 69. Voir «Configuration PPPoE d une interface» à la page 70. Les modèles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs interfaces. Les hôtes du réseau attaché utilisent l adresse IP de l interface comme leur serveur DNS. Les requêtes DNS envoyées à l interface sont transmises aux adresses du serveur DNS configurées ou fournies automatiquement au boîtier FortiGate. Détection de l échec d une passerelle L activation de l option de détection de l échec d une passerelle entraîne un lancement régulier d une commande ping pour confirmer la connectivité. En général, le serveur ping est le routeur du prochain saut avant le réseau externe ou l Internet. La période de ping (Detection Interval) et le nombre de tentatives de ping échoués, indicateur de la perte d une connexion, sont définis dans Système > Réseau > Options. Pour appliquer la détection de l échec d une passerelle à une interface, vous devez lui configurer un serveur ping. 76 Guide d Administration FortiGate Version 3.0

77 Ajouter un serveur ping à une interface 1 Sélectionnez Système > Réseau > Interface. 2 Choisissez une interface et cliquez sur Editer. 3 Affectez au Serveur Ping l adresse IP du routeur du prochain saut sur le réseau connecté à l interface. 4 Cochez la case Activer. 5 Cliquez sur OK pour enregistrer les changements. Configuration des Options du Réseau Dans Système > Réseau > Options, vous pouvez configurer les paramètres des serveurs DNS et de la détection de l échec d une passerelle. Illustration 26 : Options de la mise en réseau pour les modèles 200 et plus. Illustration 27 : Options de la mise en réseau pour les modèles 100 et moins Obtenir dynamiquement les adresses des serveurs DNS Cette option est uniquement disponible sur les modèles 100 et moins. Lorsque le service DHCP est utilisé par une interface, il permet également d obtenir l adresse IP d un serveur DNS. Ceci est uniquement valable en mode NAT/Route. Il est conseillé d activer «Remplacer le serveur DNS pré- configuré» dans les paramètres DHCP de l interface. Voir «Configuration DHCP d une interface» à la page 69. Guide d Administration FortiGate Version

78 Utiliser les adresses du Cette option est uniquement disponible sur les modèles 100 et serveur DNS suivantes moins. Utilisez les adresses des serveurs DNS primaire et secondaire spécifiées. Serveur DNS primaire Entrez l adresse IP du serveur DNS primaire. Serveur DNS secondaire Local Domain Name Activer le DNS forwarding Cette option est uniquement disponible sur les modèles 100 sur les interfaces : et moins en mode NAT/Route. Détection de l échec d une passerelle Detection Interval Fail Over Detection Table de Routage (en mode Transparent) Sélectionnez les interfaces qui transfèrent les requêtes DNS reçues vers les serveurs DNS configurés. Cette option permet la confirmation de la connectivité grâce à l utilisation d un serveur ping ajouté à la configuration d une interface. Pour toute information à propos de l ajout d un serveur ping à une interface, voir «Ajouter un serveur ping à une interface» à la page 77. Entrez le nombre d échec de tentatives de ping à partir duquel le boîtier FortiGate considéra que la passerelle n est plus en fonction. En mode Transparent, sélectionnez Système > Réseau >Table de Routage pour ajouter des routes statiques du boîtier FortiGate aux routeurs locaux. Illustration 28 : Table de Routage Entrez l adresse IP du serveur DNS secondaire. Entrez le nom de domaine à ajouter aux adresses sans portion de domaine lors des recherches DNS. Entrez l intervalle de temps souhaité (en secondes) entre chaque lancement d un ping vers sa cible. Créer Nouveau Permet de créer une nouvelle route. # Le numéro de la route. IP L adresse IP de destination de cette route. Masque Passerelle Le masque de réseau de cette route. L adresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. Distance La préférence relative de cette route. La route préférée porte le n 1. Icône Supprimer Supprime une route. Icônes Visualiser/Editer Edite ou visualise une route. Icône Déplacer Modifie la position de la route dans la liste. Paramètres d une route en mode Transparent Dans Système > Réseau > Table de Routage, sélectionnez Créer Nouveau pour ajouter une route. L icône Editer d une route permet de lui apporter des modifications. 78 Guide d Administration FortiGate Version 3.0

79 Illustration 29 : Options de la route en mode Transparent Adresse IP destination /Masque Passerelle Distance Configuration de l interface modem Entrez l adresse IP de destination et le masque de réseau de cette route. Pour créer une route par défaut, configurez l IP de destination et le Masque sur Entrez l adresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. Pour une connexion Internet, la passerelle de routage du prochain saut dirige le trafic vers Internet. La préférence relative de cette route. La route préférée porte le n 1. Sur les modèles FortiGate fournis avec un support modem, celui-ci peut servir soit d interface redondante (back up), soit d interface autonome (stand alone) en mode NAT/Route. En mode redondant (back up), l interface modem prend automatiquement le relais d une interface Ethernet lorsque celle-ci est indisponible. En mode autonome (stand alone), l interface modem sert de connexion entre le boîtier FortiGate et Internet. Dans les deux modes, lorsque le modem se connecte à un FAI, il peut automatiquement composer trois comptes téléphoniques jusqu à ce que la connexion soit établie. Les modèles FortiGate 50AM et 60M sont conçus avec un modem intégré. Il est dès lors possible de configurer des opérations modem à partir de l interface d administration web. Voir «Configuration des paramètres du modem». Les modèles FortiGate 50A et 60 peuvent se connecter à un modem extérieur via un convertisseur USB vers série. Ces modèles demandent une configuration des opérations modem à partir de l interface de ligne de commande. Voir la commande system modem dans le FortiGate CLI Reference. Remarque : Ne pas confondre l interface modem avec le port AUX, utilisé pour des connexions à distance vers la console il n a pas d interface associée. Le port AUX est uniquement disponible sur les modèles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus d informations, voir la commande config system aux dans le FortiGate CLI Reference. Configuration des paramètres du modem La configuration des paramètres du modem permet au boîtier FortiGate d utiliser le modem pour se connecter aux comptes téléphoniques du FAI. Vous pouvez configurer jusqu à trois comptes téléphoniques, sélectionner le mode stand alone ou redondant et déterminer les modalités de connexion et déconnexion du modem. Guide d Administration FortiGate Version

80 Vous ne pouvez configurer et utiliser le modem qu en mode NAT/Route. Illustration 30 : Paramètres du modem ( mode Stand alone) Illustration 31 : Paramètres du modem (mode Redondant) Activer le modem USB Etat du modem Appeler/Raccrocher Mode Cochez cette case pour activer le modem FortiGate. Les différents statuts du modem sont : «inactif», «en cours de connexion», «connecté», «en cours de déconnexion» ou «déconnecté» (pour le mode Stand alone uniquement). (Pour le mode Stand alone uniquement.) Sélectionnez Appeler pour vous connecter manuellement à un compte téléphonique. Lorsque le modem est connecté, sélectionnez Raccrocher pour déconnecter le modem manuellement. Sélectionnez le mode désiré : Standalone ou Redondant. En mode stand alone, le modem est une interface autonome. En mode Redondant, le modem est un outil de sauvegarde, un actif en secours d une interface Ethernet sélectionnée. 80 Guide d Administration FortiGate Version 3.0

81 Connexion autom atique Actif en secours de Connexion à la demande Timeout d inactivité Temps d atten te Nombre d essais Compte téléphonique Numéro de Téléphone Compte utilisateur Mot de passe (Pour le mode Stand alone uniquement). Appelle le modem automatiquement si la connexion est perdue ou si le boîtier FortiGate redémarre. Cette option n est pas compatible avec l option «Connexion à la demande». (Pour le mode Redondant uniquement). Sélectionnez l interface Ethernet pour laquelle le modem assure le service de secours. (Pour le mode Stand alone uniquement). Appelle le modem lorsque les paquets sont dirigés vers l interface modem. Le modem se déconnecte après une période d inactivité définie dans Timeout d inactivité. Cette option n est pas compatible avec l option «Connexion automatique». (Pour le mode Stand alone uniquement). Définissez le laps de temps passé (1-60 minutes) avant qu une connexion modem inactive soit déconnectée. (Pour le mode Redondant uniquement). Etablissez le laps de temps passé (1-60 secondes) avant que le boîtier FortiGate repasse de l interface modem à l interface initiale, une fois la connexion de celle-ci restaurée. Par défaut ce laps de temps est de 1 seconde. Déterminez un temps plus long dans le cas où le boîtier FortiGate passe trop fréquemment d une interface à l autre. Sélectionnez le nombre de fois (1 10) que le modem du boîtier FortiGate doit tenter de se reconnecter au FAI en cas d échec de connexion. Par défaut, le nombre d essais est de 1. Sélectionnez None pour ne pas limiter le nombre de tentatives d appel. Configurez jusqu à trois comptes téléphoniques. Le boîtier FortiGate tente de se connecter à chaque compte alternativement jusqu à ce que la connexion soit établie. Entrez le numéro de téléphone requis pour la connexion au compte téléphonique. Ne pas inclure d espace dans les numéros de téléphone. Assurez-vous cependant d inclure les caractères standard pour les pauses, préfixes de pays et autres fonctions requises par votre modem pour vous connecter au compte téléphonique. Le compte utilisateur (maximum 63 caractères) envoyé au FAI. Le mot de passe envoyé au FAI. Pour configurer le modem en mode Redondant, voir «Configuration du mode Redondant» à la page 81. Pour configurer le modem en mode Standalone, voir «Configuration du mode Stand alone» à la page 82. Configuration du mode Redondant L interface modem en mode redondant sert d actif en secours d une interface Ethernet sélectionnée. Si cette dernière se déconnecte de son réseau, le modem se connecte automatiquement au(x) compte(s) téléphonique(s) pré-configuré(s). Le boîtier FortiGate chemine alors les paquets IP normalement destinés à l interface Ethernet vers l interface modem. Lorsque le boîtier FortiGate détecte que l interface Ethernet s est reconnectée au réseau, il déconnecte l interface modem et repasse sur l interface Ethernet. Guide d Administration FortiGate Version

82 Afin de permettre au boîtier FortiGate de passer de l interface Ethernet au modem, il est nécessaire, lors de la configuration du modem, de sélectionner cette interface et de lui configurer un serveur ping. De plus, il est important de configurer des règles pare-feu pour les connexions entre l interface modem et les autres interfaces du boîtier FortiGate. Remarque : Ne pas ajouter de règles pour les connexions entre l interface modem et l interface secourue par le modem. 1 Sélectionnez Système > Réseau > Modem. 2 Sélectionnez Mode Redondant. 3 4 Temps d attente Nombre d essais Entrez le laps de temps passé (1-60 secondes) avant que le boîtier FortiGate repasse de l interface modem à l interface initiale, une fois la connexion de celle-ci restaurée. Entrez le nombre maximum de tentatives de connexion dans le cas où le FAI ne répond pas. Compte téléphonique 1 Entrez le numéro de téléphone de votre FAI ainsi Compte téléphonique 2 que vos comptes utilisateurs et mots de passe Compte téléphonique 3 pour les comptes téléphoniques désirés (entre 1 et 3). 5 Configurez un serveur ping pour l interface Ethernet que le modem doit secourir. Voir «Ajouter un serveur ping à une interface» à la page Configurez des règles pare-feu pour les connexions de l interface modem. Voir «Ajout de règles pare-feu pour les connexions modem» à la page 83. Configuration du mode stand alone 2 Configurer un mode redondant Entrez les informations suivantes : Mode Actif en secours de Cliquez sur Appliquer. Redondant Sélectionnez dans la liste l interface à secourir. En mode stand alone, le modem se connecte au compte téléphonique pour fournir une connexion Internet. Vous pouvez configurer le modem pour qu il se connecte à chaque démarrage d u FortiGate ou lors de la présence de paquets non cheminés. Il est également possible d appe ler ou de raccrocher le modem manuellement. Si la connexion aux comptes téléphoniques échoue, le boîtier FortiGate rappelle le modem. Le modem recompose alors automatiquement le numéro du FAI, et ce, autant de fois que spécifié dans la configuration ou jusqu à ce que la connexion soit établie. Il est primordial de configurer des règles pare-feu pour les connexions entre l interface modem et les autres interfaces du boîtier FortiGate. Opérer en mode stand alone 1 Sélectionnez Système > Réseau > Modem. Entrez les informations suivantes : Mode Standalone 82 Guide d Administration FortiGate Version 3.0

83 Connexion automatique Connexion à la demande Timeout d inactivité Nombre d essais Sélectionnez cette option pour que le modem se connecte au FAI à chaque démarrage du FortiGate. Sélectionnez cette option pour que le modem se connecte au FAI lors de la présence de paquets non cheminés. Entrez la durée d inactivité en minutes après laquelle le modem se déconnecte. Entrez le nombre maximum de tentatives de connexion dans le cas où le FAI ne répond pas. Compte téléphonique 1 Entrez le numéro de téléphone de votre FAI ainsi Compte téléphonique 2 que vos comptes utilisateurs et mots de passe Compte téléphonique 3 pour les comptes téléphoniques désirés (entre 1 et 3). 3 Cliquez sur Appliquer. 4 Configurez des règles pare-feu pour les connexions de l interface modem. Voir «Ajout de règles pare-feu pour les connexions modem» à la page 83. Ajout de règles pare-feu pour les connexions modem L interface modem nécessite des adresses et des règles pare-feu. Vous pouvez ajouter une ou plusieurs adresses pare-feu à l interface modem. Pour plus d informations sur l ajout d adresses, voir «Ajouter une adresse IP, une plage IP ou un FQDN» à la page 247. Lorsque de nouvelles adresses sont ajoutées, l interface modem apparaît sur la matrice des règles. Vous pouvez configurer des règles pare-feu pour contrôler le flot de paquets circulant entre l interface modem et les autres interfaces FortiGate. Pour plus d informations à propos de l ajout de règles pare-feu, voir «Ajout d une règle parefeu» à la page 231. Connexion et déconnexion du modem 1 2 Le modem doit être en mode stand alone. Se connecter à un compte téléphonique Sélectionnez Système > Réseau > Modem. Sélectionnez Activer le modem USB. 3 Assurez-vous de l exactitude des comptes téléphoniques. 4 Sélectionnez Appliquer si vous avez apporté des modifications à la configuration. 5 Sélectionnez Appeler. Le boîtier FortiGate compose alors le numéro de chaque compte téléphonique alternativem ent jusqu à ce que le modem se connecte à un FAI. Déconnecter le modem La procédure suivante permet téléphonique. de déconnecter le modem d un compte 1 Sélectionnez Système > Réseau > Modem. 2 Sélectionnez Raccrocher pour vous déconnecter du compte téléphonique. Guide d Administration FortiGate Version

84 Vérification du statut du modem Le statut de la connexion du modem ainsi que le compte téléphonique activé sont visible dans Système > Réseau > Modem. Lors de la connexion entre le modem et le FAI, l adresse IP et le masque de réseau sont visibles également. Le modem peut avoir un des statuts suivants : Inactif En cours de connexion Connecté En cours de déconnexion Déconnecté Le modem n est pas connecté au FAI. Le modem tente de se connecter au FAI. Le modem est connecté au FAI. Le modem se déconnecte du FAI. Le modem s est déconnecté du FAI. (En mode stand alone uniquement). Le modem ne se reconnectera que lorsque vous cliquerez sur Appeler. Aperçu sur les VLAN Un indicateur vert désigne le compte téléphonique activé. L adresse IP et le masque de réseau affectés à l interface modem apparaissent sur la page Système > Réseau > Interface de l interface d administration web. Un VLAN est un groupe de PC, serveurs et autres équipements d un réseau qui communiquent comme s ils faisaient partie d un même segment LAN, alors que ce n est pas forcément le cas. Par exemple, les stations de travail et serveurs d un département de comptabilité peuvent être dispersés dans un bâtiment, connectés à plusieurs segments du réseau et quand bien même faire partie d un même VLAN. Dans un VLAN les équipements sont segmentés logiquement et non pas physiquement. Chaque VLAN est traité comme un domaine de diffusion. Les équipements du VLAN 1 peuvent se connecter avec d autres équipements du VLAN 1, mais ne peuvent pas se connecter avec des équipements d autres VLAN. La communication entre les équipements d un VLAN ne dépend pas du réseau physique. Un VLAN distingue les équipements en ajoutant des balises VLAN 802.1Q à tous les paquets reçus et envoyés par ces équipements. Ces balises sont des extensions de 4 octets comprenant un identificateur VLAN ainsi que d autres informations. Les VLAN offrent une grande flexibilité, une segmentation efficace du réseau, permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de la localisation physique. 84 Guide d Administration FortiGate Version 3.0

85 Illustration 32 : Topologie VLAN de base Equipements FortiGate et VLAN Dans une configuration VLAN classique, des balises VLAN sont ajoutées aux paquets par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore des pare-feu. Les commutateurs niveau 2 gèrent les paquets cheminant entre des machines d un même VLAN, tandis que les paquets cheminant entre des machines de VLAN différents sont pris en charge par des équipements niveau 3 tels que routeur, pare-feu ou commutateur niveau 3. Grâce à l utilisation d un VLAN, un seul boîtier FortiGate fournit des services de sécurité et des connexions sous contrôle entre de multiples domaines sécurisés. Le trafic provenant de chaque domaine sécurisé reçoit un identificateur VLAN différent. Le boîtier FortiGate reconnaît les identificateurs VLAN et applique les règles de sécurité pour protéger les réseaux et le trafic VPN IPSec entre les domaines sécurisés. Le boîtier FortiGate appliquent également les fonctionnalités d authentification, de profils de protection et autres règles pare-feu sur le trafic du réseau et le trafic VPN autorisé à circuler entre les domaines sécurisés. VLAN en mode NAT/Route En mode routé, le boîtier FortiGate opère comme un équipement niveau 3 pour contrôler le flot de paquets entre les VLAN. Le boîtier FortiGate peut également retirer les balises VLAN des paquets VLAN entrants et transférer les paquets non balisés vers d autres réseaux, comme Internet. En mode routé, le boîtier FortiGate supporte les VLAN pour la construction de tronçons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le boîtier FortiGate. Normalement l interface interne du boîtier FortiGate se connecte Guide d Administration FortiGate Version

86 à un tronçon VLAN sur un commutateur interne, tandis que l interface externe se connecte en amont vers un routeur Internet non balisé. Le boîtier FortiGate peut alors appliquer différentes règles pour les trafics sur chaque VLAN connecté à l interface interne. A partir de cette configuration, vous pouvez ajouter à l interface interne du boîtier FortiGate des sous-interfaces VLAN qui possèdent les identificateurs VLAN correspondants aux identificateurs des paquets du tronçon VLAN. Le boîtier FortiGate dirige alors les paquets avec les identificateurs VLAN vers les sous- avec les identificateurs interfaces correspondants. Vous pouvez également définir des sous-interfaces VLAN sur toutes les interfaces du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant une sous-interface VLAN ou peut retirer des balises des paquets entrants et ajouter une balise différente aux paquets sortants. Consignes sur les identificateurs VLAN En mode NAT/Route, deux sous-interfaces VLAN ajoutées à la même interface physique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent être ajoutées à différentes interfaces physiques. Il n y a pas de connexion interne ou de lien entre deux sous-interfaces VLAN avec le même identificateur. Leur relation est la même que la relation entre n importe quelles deux autres interfaces réseaux FortiGate. Consignes sur les adresses IP VLAN Les adresses IP de toutes les interfaces doivent se trouver sur différents sous- ne peuvent pas se chevaucher. Cette règle s applique aussi bien réseaux, elles aux interfaces physiques qu aux sous-interfaces VLAN. Remarque : S il vous est impossible de modifier vos configurations existantes et d empêcher un chevauchement d adresses IP, entrez les commandes CLI config system global et set allow-interface-subnet-overlap enable pour permettre un chevauchement d adresses IP. En entrant cette commande, vous permettez à plusieurs interfaces VLAN d avoir une adresse IP qui fait déjà partie d un sous-réseau utilisé par une autre interface. Cette commande n est recommandée qu aux utilisateurs avancés. L illustration 33 représente une configuration VLAN simplifiée en mode NAT/Route. Dans cet exemple, l interface interne du FortiGate se connecte à un commutateur VLAN via un tronçon 802.1Q et est configurée avec deux sous-interfaces VLAN (VLAN 100 et VLAN 200). L interface externe se connecte à Internet et n est pas configurée avec des sous-interfaces VLAN. Lorsque le commutateur VLAN reçoit des paquets de VLAN 100 et VLAN 200, il leurs applique des balises VLAN et les transfère vers les ports locaux et à travers le tronçon vers le boîtier FortiGate. Des règles sont configurées dans le boîtier FortiGate pour permettre aux trafics de circuler entre les VLAN et à partir des VLAN vers le réseau externe. 86 Guide d Administration FortiGate Version 3.0

87 Illustration 33 : FortiGate en mode NAT/Route Ajout de sous-interfaces VLAN L identificateur VLAN de chaque sous-interface VLAN doit correspondre à l identificateur VLAN ajouté par le routeur IEEE 802.1Q-compliant. L identificateur VLAN peut être n importe quel nombre entre 1 et Chaque sous-interface VLAN doit également être configurée avec ses propres adresse IP et masque de réseau Remarque : Le nom d un VLAN doit différer des noms de domaines virtuels et de zones. Il est nécessaire d ajouter des sous-interfaces VLAN à l interface physique qui reçoit les paquets balisés VLAN. Ajouter une sous-interface VLAN en mode NAT/Route Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN. Entrez un nom pour identifier cette nouvelle sous-interface. 4 Sélectionnez l interface physique qui doit recevoir les paquets VLAN à l attention de cette sous-interface VLAN. 5 Entrez l identificateur (ID) qui correspond à l identificateur des paquets à recevoir par cette sous-interface VLAN. 6 L administrateur admin devra sélectionner le domaine virtuel auquel cette sousinterface VLAN devra être ajoutée. Les autres administrateurs ne peuvent créer des sous-interfaces VLAN que dans leur VDOM. Voir «Utilisation de domaines virtuels» à la page 40 pour plus d informations sur les domaines virtuels. Guide d Administration FortiGate Version

88 7 Configurez les paramètres de la sous-interface VLAN tel que pour les autres interfaces FortiGate. Voir «Paramètres de l interface» à la page Cliquez sur OK pour enregistrer les changements Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l interface choisie au point 4. Ajouter des règles pare-feu aux sous-interfaces VLAN Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de leur appliquer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou d une sous-interface vers une interface physique. Sélectionnez Pare-Feu > Adresse. Cliquez sur Créer Nouveau pour créer des adresses pare-feu qui correspondent aux adresses IP source et de destination des paquets VLAN. Voir «A propos des adresses pare-feu» à la page 245. Sélectionnez Pare-Feu > Règle. Créer ou ajouter des règles pare-feu tel que requis. VLAN en mode Transparent En mode Transparent, le boîtier FortiGate peut appliquer des règles pare-feu et des services tels que l authentification, les profils de protection et autres fonctions pare-feu au trafic d un tronçon VLAN IEEE Le boîtier FortiGate peut être inséré en mode Transparent dans le tronçon sans qu il soit nécessaire d apporter des modifications au réseau. Dans une configuration classique, l interface interne du FortiGate accepte les paquets VLAN sur un tronçon VLAN provenant d un commutateur VLAN ou d un routeur connecté à des VLAN internes. L interface externe du FortiGate transfère les paquets balisés par le tronçon jusqu à un commutateur VLAN externe ou un routeur connecté éventuellement à Internet. Le boîtier FortiGate peut être configuré pour appliquer différentes règles au trafic pour chaque VLAN du tronçon. Il faut ajouter une sous-interface VLAN à l interface interne et une autre à l interface externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du FortiGate. Dans le cas où ces sous-interfaces VLAN ont les mêmes identificateurs, le boîtier FortiGate applique des règles pare-feu au trafic de ce VLAN. Dans le cas où par contre les sous-interfaces VLAN ont des identificateurs différents, ou si plus de deux sous-interfaces sont ajoutées, vous pouvez également créer des règles pare-feu qui contrôlent les connexions entre les VLAN. Un boîtier FortiGate opérant en mode Transparent peut sécuriser le trafic du réseau passant entre les différents VLAN si ce réseau utilise des balises VLAN IEEE pour segmenter son trafic. Il est nécessaire d ajouter des domaines virtuels à la configuration du FortiGate pour lui permettre de supporter le trafic VLAN en mode Transparent. Un domaine virtuel se compose d au moins deux sous-interfaces ou zones. Au sein d un domaine virtuel, une zone peut contenir une ou plusieurs sous-interfaces VLAN. Lorsqu un boîtier FortiGate reçoit un paquet balisé VLAN sur l une de ses interfaces, ce paquet est dirigé vers la sous-interface VLAN possédant l identificateur VLAN correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination au paquet en fonction de son adresse MAC de destination. Les règles pare-feu des sous-interfaces VLAN source et de destination 88 Guide d Administration FortiGate Version 3.0

89 s appliquent au paquet. Si celui-ci est accepté par le pare-feu, le boîtier FortiGate le transfère vers la sous-interface VLAN de destination. L identificateur du VLAN de destination est ajouté au paquet par le boîtier FortiGate et il est envoyé au tronçon VLAN. Illustration 34 : Equipement FortiGate avec deux domaines virtuels en mode Transparent L illustration 35 représente un équipement FortiGate opérant en mode Transparent et configuré avec trois sous-interfaces VLAN. Dans cette configuration un équipement FortiGate peut être ajouté à ce réseau pour fournir à chaque VLAN une analyse antivirus, un filtrage de contenu web ainsi que des services supplémentaires. Illustration 35 : Equipement FortiGate en mode Transparent Guide d Administration FortiGate Version

90 Consignes sur les identificateurs VLAN En mode Transparent, deux sous-interfaces VLAN ajoutées à la même interface physique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent être ajoutées à différentes interfaces physiques. Il n y a pas de connexion interne ou de lien entre deux sous-interfaces VLAN avec le même identificateur. Leur relation est identique à une relation entre deux autres interfaces réseaux FortiGate. Domaines virtuels et VLAN en mode Transparent Les sous-interfaces VLAN sont ajoutées et associées à des domaines virtuels. La configuration par défaut du boîtier FortiGate prévoit un domaine virtuel, appelé root, auquel peuvent être ajoutées autant de sous-interfaces VLAN nécessaires. Des domaines virtuels supplémentaires peuvent être créés si vous désirez séparer des groupes de sous-interfaces VLAN en domaines virtuels. Pour plus d informations sur l ajout et la configuration de domaines virtuels, voir «Utilisation de domaines virtuels» à la page 40. Ajouter une sous-interface VLAN en mode Transparent L identificateur VLAN de chaque sous-interface VLAN doit correspondre à l identificateur ajouté par le commutateur ou routeur IEEE 802.1Q-compliant. L identificateur VLAN peut être n importe quel nombre entre 1 et Il est nécessaire d ajouter des sous-interfaces VLAN à l interface physique recevant les paquets balisés VLAN. Remarque : Le nom d un VLAN doit différer des noms de domaines virtuels et de zones. 1 Sélectionnez Système > Réseau > Interface. 2 Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN. 3 Entrez un nom pour identifier cette nouvelle sous-interface. 4 Sélectionnez l interface physique qui doit recevoir les paquets VLAN à l attention de cette sous-interface VLAN. 5 Entrez l identificateur correspondant à l identificateur des paquets à recevoir par cette sous-interface VLAN. 6 Sélectionnez les domaines virtuels à ajouter à cette sous-interface VLAN. Voir «Utilisation de domaines virtuels» à la page 40 pour plus d informations sur les domaines virtuels. 7 Configurez l accès administratif et les paramètres log tels que pour les autres interfaces FortiGate. Voir «Paramètres de l interface» à la page 63 pour une description de ces paramètres. 8 Cliquez sur OK pour enregistrer les changements. Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l interface sélectionnée. 9 Sélectionnez Activer pour démarrer la sous-interface VLAN. 90 Guide d Administration FortiGate Version 3.0

91 Ajouter des règles pare-feu aux sous-interfaces VLAN Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de leurs appliquer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou d une sous-interface vers une interface physique. 1 Sélectionnez Pare-Feu > Adresse. 2 Cliquez sur Créer Nouveau pour créer des adresses pare-feu correspondantes aux adresses IP source et de destination des paquets VLAN. Voir «A propos des adresses pare-feu» à la page Sélectionnez Pare-Feu > Règle. 4 Créer ou ajouter des règles pare-feu tel que requis. Support FortiGate IPv6 Vous pouvez affecter à la fois une adresse IPv4 et une adresse IPv6 à chaque interface FortiGate. L interface fonctionne comme deux interfaces, une pour les paquets adressés IPv4, l autre pour les paquets adressés IPv6. Les équipements FortiGate supportent le routage statique, les annonces de routage périodiques et l encapsulation du trafic IPv6 sur un réseau IPv4. Toutes ces fonctionnalités doivent être configurées à partir de l interface de ligne de commande. Voir le FortiGate CLI Reference pour plus d informations sur les commandes suivantes : Tableau 2 : Commande CLI IPv6 Fonction Configuration des interfaces, y compris les annonces de routage périodiques Routage statique Encapsulation du trafic IPv6 Commande CLI config system interface Voir les mots-clés commençant par ip6. config ip6-prefix-list config router static6 config system ipv6_tunnel Guide d Administration FortiGate Version

92 Système Sans Fil Cette section parcourt la configuration des interfaces LAN sans fil des boîtiers FortiWiFi. Cette section couvre les sujets suivants : Interface LAN sans fil FortiWiFi Domaines régulatoires Paramètres sans fil du système (FortiWiFi-60) Paramètres sans fil du système (FortiWiFi-60A et 60AM) Filtre MAC Surveillance du module sans fil Interface LAN sans fil FortiWiFi Vous pouvez configurer l interface sans fil FortiWiFi dans le but de : fournir un point d accès auquel les utilisateurs munis de cartes réseau sans fil peuvent se connecter (Mode Point d Accès). ou connecter le boîtier FortiWiFi à un autre réseau sans fil (Mode Client). Le mode Point d Accès est activé par défaut. Les boîtiers FortiWiFi-60A et 60AM peuvent fournir de multiples WLAN. Les boîtiers FortiWiFi supportent les standard réseau sans fil suivants : Domaines régulatoires IEEE a (Bande des 5-GHz) IEEE b (Bande des 2.4-GHz) IEEE g (Bande des 2.4-GHz) WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) utilisant des clés partagées ou un serveur RADIUS (en mode Point d Accès uniquement). Les tableaux suivants reprennent les canaux et domaines régulatoires pour les LAN sans fil. Tableau 3 : Numéros des canaux IEEE a (Bande des 5-GHz) Numéro Fréquence Domaines régulatoires de (MHz) canal Amérique Europe Taiwan Singapour Japon X - - X X X - X X - - X X X - X - 92 Guide d Administration FortiGate Version 3.0

93 X - - X X X - X X - - X X X - X X X X X X X X X X X X X Tous les canaux sont limités à un usage intérieur excepté pour les continents américains, qui permettent un usage interne et externe des canaux 52 à 64 aux Etats-Unis. Tableau 4 : Numéros des canaux IEEE b (Bande des 2.4-GHz) Numéro Fréquence Domaines régulatoires de canal (MHz) Amérique EMEA Israël Japon X X - X X X - X X X - X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X - X X - X X - X X Le Mexique est compris dans le domaine régulatoire américain. Les canaux 1 à 8 sont à usage intérieur uniquement. Les canaux 9 à 11 sont à usage intérieur et extérieur. Il est de la responsabilité de l utilisateur de s assurer que la configuration du canal sans fil est compatible avec la règlementation en vigueur au Mexique. Tableau 5 : Numéros des canaux IEEE g (Bande des 2.4-GHz) Numéro Fréquence Domaines régulatoires de (MHz) Amérique EMEA Israël Japon canal CC OFDM CCK OFDM CCK OFDM CCK OFDM K X X X X - - X X X X X X - - X X X X X X - - X X X X X X - - X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X - - X X X X X X - - X X X X X X - - X X X X - - X X X X - - X X X - Guide d Administration FortiGate Version

94 Paramètres sans fil du système (FortiWiFi-60) Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres d un LAN sans fil. Illustration 36 : Configuration des paramètres Sans Fil Adresse MAC Mode d Opération Géographie Canal SSID SSID Broadcast Security Mode L adresse MAC de l interface Wireless. Le mode d opération en cours. Cliquez sur Changer pour le modifier. En mode Point d Accès, le FortiWiFi-60 agit comme un point d accès sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le boîtier est configuré pour se connecter à un autre réseau sans fil en tant que client. Sélectionnez votre région pour déterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents américains), EMEA (Europe, Moyen Orient, Afrique), Israël ou Japon. Pour toute autre région du monde, choisissez World. Sélectionnez un canal pour votre réseau sans fil FortiWiFi-60. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour utiliser le même canal. Le choix des canaux dépend de la région sélectionnée dans Géographie. Voir «Domaines régulatoires» à la page 92 pour toute information sur l affectation des canaux. Entrez le nom du réseau sans fil émis par le FortiWiFi-60. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau. Sélectionnez Activer pour que le FortiWiFi-60 émette son SSID. (En mode Point d Accès uniquement). Sélectionnez WEP64 ou WEP128 pour une utilisation WEP. Sélectionnez WPA Pre-shared Key ou WPA Radius pour une utilisation WPA (en mode Point d Accès uniquement). Les utilisateurs du réseau sans fil du FortiWiFi-60 doivent configurer leurs ordinateurs avec les mêmes paramètres. 94 Guide d Administration FortiGate Version 3.0

95 Clé Pre-Shared Key Radius Server Name Avancés Puissance Tx Beacon Interval RTS Threshold Pour une clé WEP de 64 bits, entrez 10 symboles hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez 26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec la même clé. Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé partagée. Les utilisateurs de ce réseau sans fil doivent configurer leurs ordinateurs avec la même clé. Pour le mode sécurisé WPA Radius, sélectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit être configuré dans Utilisateur > RADIUS. Pour plus d informations, voir «Serveurs RADIUS» à la page 326. Cliquez sur Avancés pour ouvrir et fermer la section des paramètres avancés du Wireless. Les valeurs par défaut fonctionnent très bien dans la plupart des situations. Si nécessaire, modifiez les paramètres pour résoudre des problèmes de performance. Les paramètres avancés sont décrits ci-dessous. (En mode Point d Accès uniquement). Définit le niveau de puissance de l émetteur. La valeur par défaut est positionnée sur la puissance maximum, 31 dbm. Définit l intervalle entre les paquets beacon. Les Points d Accès émettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les réseaux sans fil. Si de grandes interférences sont présentes, il est utile de diminuer le Beacon Interval pour améliorer la performance du réseau. Dans le cas contraire, vous pouvez augmenter cette valeur. Le seuil RTS (Request to Send) détermine le temps d attente du boîtier pour la reconnaissance CTS (Clear to Send) d un autre équipement sans fil. Fragmentation Threshold Détermine la taille maximum d un paquet de données avant que celui-ci ne soit fragmenté en deux ou plusieurs paquets. La réduction de ce seuil améliore la performance dans des environnements soumis à de hautes interférences. Paramètres sans fil du système (FortiWiFi-60A et 60AM) Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres d un LAN sans fil. Illustration 37 : Paramètres Sans Fil FortiWiFi-60A et FortiWiFi-60AM Mode d Opération Le mode d opération en cours. Cliquez sur Changer pour le modifier. En mode Point d Accès, le FortiWiFi agit comme un Guide d Administration FortiGate Version

96 Géographie Canal Puissance Tx Liste des Interfaces Wireless SSID SSID Broadcast Security Mode Filtrage des MAC Beacon Interval Interface Adresse MAC point d accès sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le boîtier est configuré pour se connecter à un autre réseau sans fil en tant que client. Sélectionnez votre région pour déterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents américains), EMEA (Europe, Moyen Orient, Afrique), Israël ou Japon. Pour toute autre région du monde, choisissez World. Sélectionnez un canal pour votre réseau sans fil FortiWiFi. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour utiliser le même canal. Le choix des canaux dépend de la région sélectionnée dans Géographie. Voir «Domaines régulatoires» à la page 92 pour toute information sur l affectation des canaux. Définit le niveau de puissance de l émetteur. La valeur par défaut est positionnée sur la puissance maximum, 31 dbm. Définit l intervalle entre les paquets beacon. Les Points d Accès émettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les réseaux sans fil. Si de grandes interférences sont présentes, il est utile de diminuer le Beacon Interval pour améliorer la performance du réseau. Dans le cas contraire, vous pouvez augmenter cette valeur. Le nom de l interface WLAN. Sélectionnez le nom pour éditer l interface. L adresse MAC de l interface Wireless. Entrez le nom du réseau sans fil émis par le FortiWiFi. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau. Un signal vert indique que le FortiWiFi émet son SSID. (En mode Point d Accès uniquement). WEP64, WEP128, WPA Pre-shared Key, WPA Radius ou none. L utilisation WPA est disponible en mode Point d Accès uniquement. Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec les mêmes paramètres. Sélectionnez Système > Wireless > Filtre MAC pour autoriser ou rejeter l accès sans fil aux utilisateurs en fonction de leur adresse MAC. 96 Guide d Administration FortiGate Version 3.0

97 Illustration 38 : Filtre MAC Filtrage des MAC Accès des PCs non listés ci-dessous Adresses MAC Autoriser ou Rejeter Ajouter Liste d Autorisation Liste de Rejet Les boutons Flèches Supprimer (sous la Liste d Autorisation) Supprimer (sous la Liste de Rejet) Surveillance du module sans fil Pour activer le filtrage, cochez la case Activer. Permet d autoriser ou de rejeter l accès aux adresses MAC non répertoriées. Entrez l adresse MAC à filtrer. Permet d autoriser ou de rejeter l accès à cette adresse MAC. Ajoute l adresse MAC dans la Liste d Autorisation ou dans la Liste de Rejet en fonction du choix émis. Liste des adresses MAC autorisées à accéder au réseau sans fil. Liste des adresses MAC rejetées de l accès au réseau sans fil. Déplace une adresse MAC d une liste à l autre. Supprime les adresses MAC sélectionnées de la Liste d Autorisation. Supprime les adresses MAC sélectionnées de la Liste de Rejet. Sélectionnez Système > Wireless > Monitor pour voir qui est connecté à votre LAN sans fil. Cette fonctionnalité est seulement disponible en mode de sécurité WPA. Illustration 39 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60) Guide d Administration FortiGate Version

98 Illustration 40 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60A et 60AM) Statistiques AP Name Signal Strength (dbm) Noise (dbm) S/N (db) Rx (KBytes) Tx (KBytes) Clients Adresse MAC Adresse IP AP Name ID Informations statistiques sur les performances sans fil pour chaque WLAN. Uniquement disponible sur les FortiWiFi-60A et FortiWiFi-60AM. Le SSID de l interface WLAN. L intensité du signal du client. Le niveau de bruit reçu. Le ratio signal/bruit, exprimé en décibels, est calculé à partir de l intensité du signal et du niveau de bruit. Le montant de données en KiloOctets reçus pendant la session. Le montant de données en KiloOctets envoyés pendant la session. Le nombre de clients connectés au WLAN et des informations à leur propos. L adresse MAC du client sans fil connecté. L adresse IP affectée au client sans fil connecté. Le nom du WLAN auquel le client est connecté. Disponible uniquement sur les FortiWiFi-60A et FortiWiFi-60AM. L ID du client connecté utilisant le mode sécurisé WPA RADIUS. Ce champ reste blanc si le client utilise les modes sécurisés WPA Pre-Shared Key ou WEP. Disponible uniquement sur le FortiWiFi Guide d Administration FortiGate Version 3.0

99 Système DHCP Cette section décrit l utilisation du protocole DHCP fournissant une configuration réseau automatique pratique pour vos clients. Cette section couvre les sujets suivants: Serveurs et relais FortiGate DHCP Configuration des services DHCP Visualisation des baux d adresses Serveurs et relais DHCP FortiGate Le protocole DHCP permet aux hôtes d obtenir automatiquement leur adresse IP. Eventuellement, ils peuvent aussi obtenir les paramètres de la passerelle par défaut et du serveur DNS. Une interface FortiGate ou une sous-interface VLAN peut pourvoir les services DHCP suivants : Serveurs DHCP réguliers pour des connexions Ethernet régulières Serveurs DHCP IPSec pour des connexions IPSec (VPN) Relais DHCP pour des connexions Ethernet régulières ou IPSec (VPN) Une interface ne peut pas fournir en même temps un serveur et un relais pour des connexions du même type (régulier ou IPSec). Remarque : Vous pouvez configurer un serveur DHCP régulier sur une interface seulement si celle-ci possède une adresse IP statique. Vous pouvez configurer un serveur DHCP IPSec sur une interface qui possède une adresse IP statique ou dynamique. Vous pouvez configurer un ou plusieurs serveurs DHCP sur n importe quelle interface FortiGate. Un serveur DHCP affecte dynamiquement des adresses IP aux hôtes du réseau connectés à cette interface. Les ordinateurs hôtes doivent être configurés de manière à obtenir leurs adresses IP via DHCP. Dans le cas où une interface est connectée à de multiples réseaux via des routeurs, vous pouvez ajouter un serveur DHCP pour chaque réseau. La plage d adresses IP pour chaque serveur DHCP doit correspondre à la plage d adresses du réseau. Les routeurs doivent être configurés pour les relais DHCP. Pour configurer un serveur DHCP, voir «Configuration d un serveur DHCP» à la page 101. Vous pouvez configurer une interface FortiGate comme relais DHCP. L interface transfère alors les requêtes DHCP des clients DHCP vers un serveur externe DHCP, et renvoient ensuite les réponses aux clients. Le serveur DHCP doit avoir un routage approprié de manière à ce que ses paquets-réponses aux clients DHCP arrivent au boîtier FortiGate. Pour en savoir plus sur la configuration d un relais DHCP, voir «Configuration d une interface comme relais DHCP» à la page 101. Guide d Administration FortiGate Version

100 Configuration des services DHCP Sélectionnez Système > DHCP > Service pour configurer les services DHCP. Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou d ajouter autant de serveurs DHCP que nécessaire. Sur les modèles FortiGate 50 et 60, un serveur DHCP est configuré par défaut sur l interface Interne, avec les paramètres suivants : Plage d adresses IP à Masque de réseau Passerelle par défaut Durée du bail 7 jours Serveur DNS Vous pouvez désactiver ou modifier cette configuration du serveur DHCP par défaut. Ces paramètres sont appropriés pour l adresse IP par défaut de l interface Interne. Si vous changez cette adresse vers un réseau différent, il faut également modifier les paramètres du serveur DHCP pour que ceux-ci correspondent à la nouvelle adresse. Illustration 41 : Liste des services DHCP Exemple d un FortiGate-200A Interface Nom du serveur/ip du relais Type Activer Icône d ajout d un serveur DHCP Icône Editer Icône de Suppression Liste des interfaces FortiGate. Cliquez sur la flèche bleue à côté de chacune des interfaces pour visualiser les relais et serveurs. Nom d un serveur FortiGate DHCP ou adresse IP d un serveur DHCP accédé via un relais. Type de relais ou serveur DHCP : Régulier ou IPSec. Une icône V verte indique que le serveur ou relais est activé. Permet de configurer et d ajouter un serveur DHCP sur cette interface. Permet d éditer la configuration d un relais ou serveur DHCP. Permet de supprimer un serveur DHCP. 100 Guide d Administration FortiGate Version 3.0

101 Configuration d une interface comme relais DHCP Sélectionnez Système > DHCP > Service et cliquez sur l icône Editer pour voir ou modifier la configuration du relais DHCP d une interface. Illustration 42 : Editer les paramètres du relais DHCP Nom de l interface Activer Type Regular IPSEC Adresse IP du Serveur DHCP Le nom de l interface sélectionnée. Active l agent relais DHCP sur cette interface. Sélectionnez le type de service DHCP requis. Configurez l interface comme relais DHCP pour les ordinateurs du réseau connectés à cette interface. Configurez l interface comme relais DHCP seulement pour les clients distants VPN avec une connexion VPN IPSec à cette interface. Entrez l adresse IP du serveur DHCP qui répondra aux requêtes DHCP des ordinateurs du réseau connectés à l interface. Configuration d un serveur DHCP Sélectionnez Système > DHCP > Service pour configurer un serveur DHCP sur une interface. Sélectionnez l icône en croix Ajouter un Serveur DHCP à côté de l interface ou cliquez sur Editer à côté d un serveur DHCP existant pour en modifier les paramètres. Guide d Administration FortiGate Version

102 Illustration 43 : Options du Serveur Nom Activer Type Plage IP Masque de réseau Routeur par défaut Domaine Durée du Bail Avancés Serveur DNS 1 Serveur DNS 2 Serveur DNS 3 Serveur WINS 1 Entrez un nom pour le serveur DHCP. Active le serveur DHCP. Sélectionnez Régulier ou IPSEC. Il n est pas possible de configurer un serveur DHCP Régulier sur une interface qui possède une adresse IP dynamique. Entrez le début et la fin de la plage d adresses IP que ce serveur DHCP affecte aux clients DHCP. Entrez le masque de réseau que le serveur DHCP affecte aux clients DHCP. Entrez l adresse IP de la passerelle par défaut que le serveur DHCP affecte aux clients DHCP. Entrez le domaine que le serveur DHCP affecte aux clients DHCP. Sélectionnez Illimitée pour une durée de bail illimitée ou entrez le temps, en jours, heures, minutes, après lequel un client DHCP devra demander au serveur DHCP de nouveaux paramètres. La durée du bail peut varier entre 5 minutes et 100 jours. Cliquez sur Avancés pour configurer les options avancées. Entrez les adresses IP de 1 à 3 serveurs DNS que le serveur DHCP affecte aux clients DHCP. Ajoutez les adresses IP d un ou deux serveurs WINS que le 102 Guide d Administration FortiGate Version 3.0

103 Serveur WINS 2 serveur DHCP affecte aux clients DHCP. Option 1 Option 2 Option 3 Exclure les plages IP Ajouter Début de l adresse IP Fin de l adresse IP Icône de Suppression Visualisation des baux d adresses Entrez jusqu à trois options personnalisées DHCP qui peuvent être envoyées par le serveur DHCP. Code est le code option DHCP compris entre 1 et 255. L option est un chiffre pair hexadécimal et n est pas requis pour certains codes option. Pour plus d informations détaillées à propos des options DHCP, voir la RFC 2132, Options DHCP et BOOTP Vendor Extensions. Permet d ajouter une plage d adresses IP à exclure. Vous pouvez ajouter jusqu à 16 plages d adresses IP à exclure, que le serveur DHCP n affectera donc pas aux clients DHCP. Les plages ne peuvent pas dépasser adresses IP. Entrez la première adresse IP de la plage à exclure. Entrez la dernière adresse IP de la plage à exclure. Supprime la plage à exclure. Sélectionnez Système > DHCP > Baux d adresses (Address Leases) pour visualiser les adresses IP que les serveurs DHCP ont affectées et les adresses MAC client correspondantes. Illustration 44 : Liste des baux d adresses Interface Réactualiser Adresse IP Adresse MAC Expiration du bail Sélectionnez l interface pour laquelle vous voulez voir la liste des baux. Sélectionnez Rafraîchir d adresses. L adresse IP affectée. pour mettre à jour la liste des baux L adresse MAC de l équipement auquel l adresse IP est affectée. Date et heure d expiration du bail DHCP. Réservation d adresses IP pour clients spécifiques Vous pouvez réserver une adresse IP pour un client spécifique identifié par l adresse MAC de l équipement du client et le type de connexion, Ethernet régulier ou IPSec. Le serveur DHCP affecte toujours l adresse réservée à ce client. Vous pouvez définir jusqu à 50 adresses réservées. Utilisez la commande CLI system dhcp reserved-address. Pour plus d informations, référez-vous au FortiGate CLI Reference. Guide d Administration FortiGate Version

104 Configuration du Système Cette section décrit la configuration de plusieurs fonctionnalités non liées au réseau, telles que cluster HA, messages de remplacement personnalisés, timeouts et langue de l interface d administration web. Cette section couvre les sujets suivants : Haute Disponibilité SNMP Messages de remplacement Mode de fonctionnement des VDOM et accès administratif Haute Disponibilité Les HA, SNMP et messages de remplacement font partie de la configuration globale du FortiGate. La modification du mode de fonctionnement s applique indépendamment à chaque VDOM. Cette section fournit une description générale de la Haute Disponibilité FortiGate et du clustering virtuel HA FortiGate. Les options de configuration et quelques procédures de configuration et de maintenance de base de la Haute Disponibilité sont également détaillées dans cette section. Remarque : Pour vous informer sur la manière de configurer et d opérer un cluster HA FortiGate, reportez-vous au Guide utilisateur des fonctions de haute disponibilité FortiGate et à la Base de Connaissance de Fortinet. Cette section couvre les sujets suivants : Aperçu sur la Haute Disponibilité Protocole de Clustering FortiGate (FGCP) Modes HA (actif-actif et actif-passif) Compatibilité de la HA FortiGate avec DHCP et PPPoE Aperçu sur le clustering virtuel Aperçu sur le maillage intégral HA Configuration d options HA (clustering virtuel inactivé) Configuration d options HA pour clustering virtuel Options HA Liste des membres d un cluster Visualisation des statistiques HA Modification du nom d hôte et de la priorité du membre subordonné Configuration d un cluster HA Configuration d un clustering virtuel 104 Guide d Administration FortiGate Version 3.0

105 Administration d un cluster Déconnexion d un membre du cluster de son cluster Adresses MAC d un cluster virtuel Exemple de configuration d un clustering virtuel Administration de clusters virtuels Exemple de configuration en maillage intégral HA Maillage intégral HA pour un clustering virtuel HA et interfaces redondantes HA et interfaces agrégées 802.3ad Aperçu sur la Haute Disponibilité La Haute Disponibilité (HA) FortiGate offre une solution aux deux exigences les plus critiques des réseaux d entreprises : une fiabilité perfectionnée et une performance croissante. La Haute Disponibilité FortiGate s implémente en configurant deux ou plusieurs équipements FortiGate afin qu ils opèrent en un cluster HA. Pour le réseau, ce cluster HA s affiche comme un seul équipement FortiGate, traitant le trafic du réseau et fournissant les services de sécurité tels que pare-feu, VPN, prévention contre les intrusions, analyse des virus, filtrage web et antispam. Illustration 45 : Cluster HA composé de deux boîtiers FortiGate-3600 Au sein d un cluster, les équipements individuels FortiGate sont appelés membres. Ces membres partagent les informations sur leur état et configuration. Dans le cas d une défaillance de l un des membres, les autres membres du cluster prennent en charge l activité du membre en panne. Après la panne, le cluster continue de traiter le trafic réseau et de fournir les services FortiGate sans interruption du service. Guide d Administration FortiGate Version

106 Chaque cluster FortiGate est formé d un membre primaire (aussi appelé maître) et d un ou plusieurs membres subordonnés (aussi appelés esclave ou redondants). Le membre primaire contrôle le fonctionnement du cluster. Les rôles joués par les membres primaire et subordonné(s) dans le cluster dépendent du mode dans lequel le cluster opère. Voir «Modes HA (actif-actif et actif-passif)» à la page 107. L avantage qu offre le cluster de fournir continuellement un service pare-feu, même dans le cas d une défaillance, est appelé la redondance. La redondance HA FortiGate signifie que votre réseau ne doit pas s appuyer sur un FortiGate pour continuer de fonctionner. Vous pouvez installer des membres additionnels et former un cluster HA. Les autres membres du cluster prendront le relais en cas de défaillance d un des membres. Une deuxième fonctionnalité HA, appelée l équilibrage de charge, sert à augmenter les performances pare-feu. Un cluster de membres FortiGate peut augmenter la performance du réseau grâce à un partage de la charge que représentent le traitement du trafic et la fourniture des services de sécurité. Le cluster s affiche sur le réseau comme un seul équipement, ce qui augmente ses performances sans apporter de modifications à votre configuration réseau. Un clustering virtuel étend les fonctionnalités HA pour fournir une redondance et un équilibrage de charge pour chaque domaine virtuel activé dans le cadre d un cluster de FortiGate. Un cluster virtuel se compose d un cluster de deux membres FortiGate opérant avec des domaines virtuels. Le trafic sur différents domaines virtuels est réparti entre les membres du cluster. Protocole de Clustering FortiGate (FGCP) Fortinet réalise de la haute disponibilité grâce à ses ressources hardware redondantes et son Protocole de Clustering FortiGate (FGCP). Chaque membre FortiGate d un cluster HA applique les mêmes règles globales de sécurité et partage les mêmes paramètres de configuration. Vous pouvez totaliser jusqu à 32 membres FortiGate dans un cluster HA. Tous les membres FortiGate d un cluster HA doivent être du même modèle et fonctionner avec la même version logicielle FortiOS. Les membres FortiGate d un cluster utilisent les interfaces Ethernet pour communiquer des informations sur la session du cluster, synchroniser la configuration et la table de routage du cluster et créer des rapports sur les statuts des membres individuels du cluster. On appelle ces interfaces Ethernet du cluster les interfaces de heartbeat, et les communications entre les membres du cluster le heartbeat HA. Grâce à ce dernier, les membres du cluster sont constamment en train de communiquer sur les sta tuts du HA pour assurer un bon fonctionnement du cluster. La Haute Disponibilité FortiGate et le FGCP supportent la réplication de lien, la réplication matérielle et la réplication du heartbeat HA. Réplication de lien Si un des liens vers un membre FortiGate d un cluster HA échoue, toutes les fonctions, connexions pare-feu établies et sessions VPN IPSec 1 sont maintenues par les autres membres FortiGate du cluster HA. Pour plus d informations sur l échec de lien, voir «Surveillance des ports» à la page La Haute Disponibilité ne fournit pas de réplication de sessions pour les services PPPoE, DHCP, PPTP et P2TP. 106 Guide d Administration FortiGate Version 3.0

107 Réplication matérielle Réplication du heartbeat HA Si un des membres FortiGate d un cluster HA est défaillant, toutes les fonctions, connexions pare-feu établies et sessions VPN IPSec sont maintenues par les autres membres FortiGate du cluster HA. Vous pouvez configurer de multiples interfaces comme interfaces heartbeat HA. Si une interface heartbeat HA échoue, le heartbeat HA est transféré vers une autre interface. Modes HA (actif-actif et actif-passif) Les membres FortiGate peuvent être configurés pour opérer en mode HA actif-actif (A-A) ou actif-passif (A-P). Les clusters actif-actif et actif-passif fonctionnent aussi bien en mode NAT/Route que Transparent. Un cluster HA actif-passif (A-P), aussi appelé réplication HA, se compose d un membre primaire qui analyse le trafic et d un ou plusieurs membre(s) subordonné(s). Ces derniers sont connectés au réseau et au membre primaire mais ne traitent pas le trafic. Lorsqu un cluster opère en mode actif-passif, la mention (a-p) apparaît sur les écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary s affiche sur l écran LCD du membre primaire. Les membres subordonnés affichent sur leur écran LCD la mention slave <priority_id> où < priority_id> est la place prioritaire du membre subordonné dans le cluster. Dans l exemple d un cluster composé de trois membres, les écrans afficheront : primary (a-p) slave 1 (a-p) slave 2 (a-p) Le mode HA actif-actif (A-Amembres du cluster. Un cluster HA actif-actif se compose d un membre primaire et équilibre la charge du traitement du trafic vers tous les d un ou plusieurs membre(s) subordonné(s) qui traitent ensemble tout le trafic. Le membre primaire utilise un algorithme d équilibrage de charge pour distribuer le traitement à tous les membres du cluster. Par défaut un cluster actif-actif HA FortiGate équilibre la charge des sessions d analyse des virus entre tous les membres du cluster. Tous les autres trafics sont traités par le membre primaire. Vous pouvez configurer un cluster pour qu il équilibre la charge du trafic TCP et l analyse de virus parmi tous les membres et ce, à l aide de l interface de ligne de commande. Lorsqu un cluster opère en mode actif-actif, la mention (a-a) apparaît sur les écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary s affiche sur l écran LCD du membre primaire. Les membres subordonnés affichent sur leur écran LCD la mention slave <priority_id> où <priority_id> est la place prioritaire du membre subordonné dans le cluster. Dans l exemple d un cluster composé de trois membres, les écrans afficheront : primary (a-a) slave 1 (a-a) Guide d Administration FortiGate Version

108 slave 2 (a-a) Pour plus d informations sur le FGCP reportez-vous au Guide utilisateur des fonctions de haute disponibilité FortiGate et à la Base de Connaissance de Fortinet. Compatibilité de la HA FortiGate avec DHCP et PPPoE La Haute Disponibilité FortiGate n est pas compatible avec les protocoles PPP tels que DHCP ou PPPoE. Si une ou plusieurs interfaces de l équipement FortiGate sont configurées dynamiquement avec DHCP ou PPPoE, vous ne pouvez pas passer en mode HA. Par ailleurs, si vous opérez votre cluster HA FortiGate, vous ne pouvez pas modifier une interface du cluster pour la configurer dynamiquement avec DHCP ou PPPoE. La configuration d une interface comme serveur DHCP ou relais DHCP n est pas affectée par une opération HA. Pour toute information sur les serveurs et relais DHCP, voir «Système DHCP» à la page 99. PPTP et L2TP sont supportés en mode HA. Vous pouvez configurer les paramètres PPTP et L2TP et ajouter des règles pare-feu pour permettre le passage de PPTP et L2TP. Cependant, lors d une réplication HA, toutes les sessions actives PPTP et L2TP sont perdues et doivent être redémarrées après réplication. la Aperçu sur le clustering virtuel Si des domaines virtuels sont activés dans le cadre d un cluster, la HA FortiGate opère via un clustering virtuel. Le clustering virtuel est une extension du FGCP pour les membres FortiGate opérant avec des domaines virtuels. Un clustering virtuel fonctionne en mode actif-passif pour fournir une protection sous la forme d une redondance entre deux instances d un domaine virtuel opérant sur deux membres différents du cluster. Distribuer le traitement de domaines virtuels entre deux membres du cluster permet également de configurer le clustering virtuel pour fournir un équilibrage de charge entre les membres du cluster. Clustering virtuel et relais Le clustering virtuel opère sur deux (et seulement deux) FortiGate avec des domaines virtuels activés. Chaque domaine virtuel crée son propre cluster. Tout le trafic envoyé et reçu par le domaine virtuel reste dans le domaine virtuel et est traité par lui. Un membre du cluster est le membre primaire de chaque domaine virtuel et l autre membre du cluster est le membre subordonné de chaque domaine virtuel. Le membre primaire traite tout le trafic du domaine virtuel. Le membre subordonné ne traite pas le trafic sauf dans le cas où le membre primaire tombe en panne. Le membre subordonné prend alors le relais, traitant le trafic passant précédemment par le membre primaire. Le heartbeat HA fournit les mêmes services HA dans une configuration de clustering virtuel que dans une configuration HA standard. Un groupement d interfaces heartbeat de HA fournit ses services heartbeat HA pour tous les domaines virtuels du cluster. 108 Guide d Administration FortiGate Version 3.0

109 Clustering virtuel et équilibrage de charge Bien que le clustering virtuel opère en mode actif-passif, vous pouvez configurer une forme d équilibrage de charge en configurant le clustering virtuel pour qu il distribue le trafic entre les deux membres du cluster. Pour configurer cet équilibrage de charge un membre du cluster doit être défini comme membre primaire pour quelques domaines virtuels et l autre membre du cluster doit être défini comme membre primaire des domaines virtuels restants. Une distribution égale des domaines virtuels entre les deux membres du cluster permet à la charge que représente le traitement du réseau d être partagé, de manière équilibrée, entre les deux membres du cluster Dans cette configuration, la réplication reste la même. Si l un des membres du cluster tombe en panne, tout le traitement est pris en charge par le membre restant. Il n y a pas d interruption du trafic pour les domaines virtuels pour lesquels le membre restant était le membre primaire. Le trafic risque d être interrompu temporairement pour les domaines virtuels pour lesquels le membre en panne était le membre primaire lorsque le traitement passe vers le membre restant. Aperçu sur le maillage intégral HA Les modèles FortiGate 800 et plus peuvent utiliser des interfaces redondantes pour créer une configuration de cluster appelée maillage intégral HA. Le maillage intégral HA est une méthode de réduction du nombre de points uniques de panne sur un réseau comprenant un cluster HA. Lorsque deux ou plusieurs boîtiers FortiGate sont connectés à un réseau dans un cluster HA, la fiabilité de ce réseau est améliorée grâce au fait que le cluster HA substitue un équipement FortiGate à un point unique de panne. Dans un cluster, un boîtier FortiGate est remplacé par un cluster de deux ou plusieurs équipements FortiGate. Cependant, même dans le cas d un cluster, des points uniques de panne potentiels restent. Les interfaces de chaque membre du cluster se connectent à un seul commutateur offrant une seule connexion au réseau. Si le commutateur tombe en panne ou si la connexion entre le commutateur et le réseau échoue, le service vers le réseau est interrompu. Guide d Administration FortiGate Version

110 Illustration 46 : Points uniques de panne dans une configuration stand alone et une configuration de réseau HA Le cluster HA améliore la fiabilité du réseau car un commutateur n étant pas un composant aussi complexe qu un boîtier FortiGate, il est moins enclin à tomber en panne. Cependant, une meilleure fiabilité est possible, si la configuration inclut des connexions redondantes entre le cluster et les réseaux auxquels il est connecté. Cette configuration redondante est réalisable grâce à des interfaces redondantes et une configuration en maillage intégral HA. Dans ce type de configuration un cluster HA composé de deux ou plusieurs membres FortiGate est connecté au réseau à l aide d interfaces et de commutateurs redondants. Chaque interface redondante est connectée à deux commutateurs, tout deux connectés au réseau. La configuration en maillage intégral qui en résulte assure des connexions redondantes entre tous les composants du réseau. Un exemple est donné dans l illustration 47. Si un seul composant ou une seule connexion tombe en panne, le trafic est aiguillé vers le composant et la connexion redondants. 110 Guide d Administration FortiGate Version 3.0

111 Illustration 47 : Configuration en Maillage intégral HA Maillage intégral HA et équipements hearbeat redondants Une configuration en maillage intégral HA comprend également des interfaces de heartbeat HA redondantes. Au moins deux interfaces heartbeat devraient être sélectionnées dans la configuration HA et deux groupes d interfaces de heartbeat HA devraient être connectées. Les équipements de heartbeat HA n ont pas à être configurés comme interfaces redondantes parce que le FGCP traite la réplication entre interfaces de heartbeat. Maillage intégral HA, interfaces redondantes et interfaces agrégées 802.3ad Le maillage intégral HA est supporté aussi bien par les interfaces redondantes que par les interfaces agrégées 802.3ad. Dans la plupart des cas, on utilise des interfaces redondantes. Cependant, si votre commutateur supporte les interfaces agrégées 802.3ad et séparent les tronçons multiples, vous pouvez utiliser des interfaces agrégées à la place d interfaces redondantes pour un maillage intégral HA. Un des avantages des interfaces agrégées consiste dans le fait que toutes les interfaces physiques de l interface agrégée peuvent recevoir et envoyer des paquets. Il en résulte une plus grande capacité de la bande passante du cluster. En général les interfaces redondantes et agrégées se composent de deux interfaces physiques. Toutefois, vous pouvez ajouter plus de deux interfaces physiques à une interface redondante ou agrégée. L ajout de plusieurs interfaces Guide d Administration FortiGate Version

112 peut augmenter la protection et la capacité de la bande passante dans le cas d une utilisation d interfaces agrégées 802.3ad. Configuration d options HA (clustering virtuel inactivé) Pour configurer les options HA, et joindre un boîtier FortiGate à un cluster HA, sélectionnez Système > Configuration > HA. Pour modifier les paramètres de configuration du membre primaire d un cluster en fonction, sélectionnez Système > Configuration > HA pour afficher la liste des membres du cluster. Cliquez sur l icône Editer pour le membre maître (primaire) dans la liste des membres du cluster. Voir «Liste des membres d un cluster» à la page 120 pour plus d informations sur cette liste. Illustration 48 : Configuration HA d un FortiGate-5002FB2 Pour modifier le nom d hôte et la priorité des membres subordonnés dans un cluster en fonction, sélectionnez Système > Configuration > HA pour afficher la liste des membres du cluster. Cliquez sur l icône Editer d un membre subordonné pour le configurer. Voir «Modification du nom d hôte et de la priorité d un membre subordonné» à la page 123 pour plus d informations sur la configuration de membres subordonnés. Configuration d options HA pour clustering virtuel Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mêmes que les options classiques HA. Toutefois, les clusters virtuels comprennent les options de partitionnement de domaines virtuels. Les différences entre les options de configuration pour un HA régulier et pour un clustering virtuel HA sont parcourues ci-dessous. 112 Guide d Administration FortiGate Version 3.0

113 Pour configurer les options HA d un équipement FortiGate avec des domaines virtuels activés, connectez-vous en tant qu administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA. Pour modifier les paramètres de configuration du membre primaire dans un cluster en fonction avec des domaines virtuels activés, connectez-vous en tant qu administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur l icône Editer du membre maître (ou primaire). Voir «Liste des membres d un cluster» à la page 120. Illustration 49 : Configuration d un cluster virtuel HA d un FortiGate 5001 Pour modifier le nom d hôte et la priorité des membres subordonnés d un cluster en fonction avec des domaines virtuels activés, connectez-vous en tant qu administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur l icône Editer d un membre subordonné (ou redondant) pour le configurer. Voir «Modification du nom d hôte et de la priorité d un membre subordonné» à la page 123. Guide d Administration FortiGate Version

114 Illustration 50 : Modification du nom d hôte et de la priorité d un membre subordonné Options HA La configuration d options HA permet d adjoindre un boîtier FortiGate à un cluster ou de modifier la configuration d un cluster opérationnel et d un de ses membres. Les options HA suivantes peuvent être configurées : Mode Priorité du membre Nom du Groupe Mot de Passe Activer le maintien de la session Surveillance des ports Interface de Heartbeat Partitionnement de domaines virtuels Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate reprend des procédures de configuration globales HA et donne des exemples détaillés de configuration. Mode Sélectionnez un mode HA pour le cluster ou repasser les équipements FortiGate du cluster au mode stand alone. Lors de la configuration d un cluster, il est nécessaire de définir le même mode HA pour tous les membres du cluster HA. Mode Stand alone Actif-actif Actif-passif Le mode de fonctionnement par défaut. Dans ce mode, le boîtier FortiGate n opère pas en mode HA. Sélectionnez le mode Standalone si vous désirez que ce membre du cluster ne fonctionne plus en mode HA. Sélectionnez ce mode pour configurer l équilibrage de charge ou la réplication HA sur un cluster. En mode actif-actif chaque cluster traite le trafic activement et contrôle le statut des autres membres du cluster. Le membre primaire contrôle l équilibrage de charge parmi tous les membres du cluster. Vous ne pouvez pas sélectionner actif-actif si vous configurez un cluster virtuel. Sélectionnez ce mode pour configurer une réplication HA sur un cluster. En mode actif-passif le membre primaire traite toutes les connexions. Les autres membres du cluster contrôlent passivement le statut du cluster et reste synchronisés avec le membre primaire. Les clusters virtuels doivent opérer en mode actif-passif. 114 Guide d Administration FortiGate Version 3.0

115 La modification du mode HA d un cluster en fonction entraîne la renégociation de l opération dans un nouveau mode et la probabilité de devoir sélectionner un nouveau membre primaire. Priorité de l équipement Facultativement, il est possible de donner à chaque membre du cluster un ordre de priorité. De cette manière chaque membre peut être doté d une priorité différente. Pendant la négociation HA, le membre avec la plus haute priorité devient le membre primaire. La priorité n est pas synchronisée parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorité de l équipement pour modifier la priorité de chaque membre du cluster. A chaque modification de la priorité d un membre du cluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le membre primaire. La plage de priorité s étend de 0 à 255. La priorité par défaut est de 128. Lors de la configuration d un cluster virtuel et dans le cas où vous avez ajouté des domaines virtuels aux deux clusters virtuels, vous pouvez définir la priorité d un membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet à un membre d être par exemple le membre primaire du cluster virtuel 1 et le membre subordonné du cluster virtuel 2. Pour plus d informations, voir «Exemple de configuration d un clustering virtuel» à la page 139 et «Administration de clusters virtuels» à la page 141. Nom du groupe Donnez un nom au cluster. Tous les membres du cluster doivent avoir le même nom de groupe. Mot de passe Entrez un mot de passe pour le cluster. Le mot de passe doit être le même pour tous les membres du cluster. La longueur maximum du mot de passe est de 15 caractères. Dans le cas d un réseau avec plusieurs clusters HA FortiGate, chaque cluster doit avoir un mot de passe différent. Activer le maintien de session L activation du maintien de session permet, en cas de défaillance du membre primaire, que toutes les sessions soient reprises par le nouveau membre primaire. Dans le cas où cette option est activée, les membres subordonnés maintiennent des tables de session identiques à celle du membre primaire. Cela permet au nouveau membre primaire de maintenir toutes les sessions de communication actives en cas de panne du membre primaire original. En cas d inactivation du maintien de session, les membres subordonnés ne maintiennent pas les tableaux de session. Dès lors, en cas de panne du membre primaire, toutes les sessions sont interrompues et doivent être redémarrées par le nouveau membre primaire. Guide d Administration FortiGate Version

116 Pour assurer une réplication, et donc une protection, performante, il est conseillé d activer le maintien de session. Si une telle protection n est pas nécessaire, l inactivation de cette option peut réduire d une part l usage CPU HA et d autre part réduire l usage de la bande passante du réseau heartbeat HA. Surveillance des ports L activation de la surveillance des interfaces FortiGate permet de vérifier que les interfaces sous contrôle fonctionnent correctement et sont bien connectées à leurs réseaux. Si l une de ces interfaces tombe en panne ou se déconnecte de son réseau, l interface quitte le cluster et une réplication de lien s enclenche. Cette réplication entraîne une re-direction du trafic traité par l interface en panne vers la même interface d un autre membre du cluster qui possède toujours une connexion au réseau. Ce membre devient le nouveau membre primaire. Si vous arrivez à rétablir le flot du trafic à travers l interface (par exemple si vous reconnectez un câble déconnecté du réseau) l interface rejoint alors le cluster. Il est conseillé de mettre sous surveillance les seules interfaces connectées aux réseaux. Une réplication pourrait avoir lieu si une interface non connectée est sous surveillance. Les interfaces qui sont susceptibles d être mises sous surveillance apparaissent dans la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent être mises sous surveillance, y compris les interfaces redondantes et les interfaces agrégées 802.3ad. Pour toute information sur les interfaces redondantes, voir «Création d une interface redondante» à la page 67 et «HA et interfaces redondantes» à la page 149. Pour toute information sur les interfaces agrégées 802.3ad, voir «Création d une interface agrégée 802.3ad» à la page 66 et «HA et interfaces redondantes» à la page 149. Les interfaces suivantes ne peuvent pas être mises sous surveillance (elles n apparaissent d ailleurs pas dans la liste Port Monitor) : Les interfaces FortiGate qui comprennent un commutateur interne. Cela concerne les interfaces internes de tous les modèles FortiGate-60 et FortiWiFi- LAN du 60, ainsi que les interfaces internes des FortiGate-100A et 200A. Cela concerne également l interface FortiGate-500A. Les sous-interfaces VLAN (voir «Aperçu sur les VLAN» à la page 84). Les interfaces VPN IPSec (voir «Aperçu du mode interface IPSec» à la page 294). Les interfaces physiques individuelles qui ont été ajoutées à une interface redondante ou agrégée. Si vous configurez un cluster virtuel, il est nécessaire de créer une configuration différente de la surveillance des interfaces pour chaque cluster virtuel. Généralement pour chaque cluster virtuel, seules sont placées sous surveillance les interfaces ajoutées aux domaines virtuels de chaque cluster virtuel. 116 Guide d Administration FortiGate Version 3.0

117 Interface de Heartbeat Il est possible d activer ou de désactiver la communication heartbeat HA pour chaque interface du cluster. Vous devez sélectionner au moins une interface de heartbeat. Si la communication heartbeat est interrompue, le cluster arrête le traitement du trafic. La communication heartbeat est définie par défaut sur deux interfaces (voir tableau 6). Vous pouvez désactiver le heartbeat HA pour chacune de ces interfaces ou activer le heartbeat HA pour d autres interfaces. Dans la plupart des cas, vous pouvez maintenir la configuration de l interface de heartbeat par défaut tant que vous pouvez connecter les interfaces de heartbeat ensemble. L interface d administration web FortiGate répertorie les interfaces de heartbeat par ordre alphabétique. La première interface heartbeat sélectionnée dans la liste traite tout le trafic heartbeat HA. Si cette interface tombe en panne ou se déconnecte, l interface suivante dans la liste prend le relais. Le heartbeat HA communique des informations sur les sessions du cluster, synchronise la configuration et la table de routage du cluster et engendre des rapports individuels sur les statuts des membres du cluster. Le heartbeat HA communique constamment des informations sur le statut HA pour assurer un bon fonctionnement du cluster. Vous pouvez activer des communications heartbeat pour des interfaces physiques, mais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des interfaces redondantes ou des interfaces agrégées 802.3ad. Ces types d interfaces n apparaissent pas dans la liste des interfaces de heartbeat. Activer le heartbeat HA pour plusieurs interfaces augmente la fiabilité. Si une interface tombe en panne, le heartbeat HA est repris par une autre interface. Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans la mesure du possible, il est conseillé d activer le trafic heartbeat HA sur les interfaces utilisées uniquement pour le trafic heartbeat HA ou sur des interfaces connectées à des réseaux moins occupés. Les interfaces FortiGate qui comprennent un commutateur interne supportent la con figuration heartbeat HA. Cependant cette configuration est déconseillée pour deux raisons : Pour des raisons de sécurité et pour économiser de la bande passante du réseau, il est conseillé de maintenir le trafic heartbeat HA en dehors de votre réseau interne. Des paquets heartbeat risquent d être perdus si l interface commutateur traite de gros volumes de trafic. La perte de paquets heartbeat risquent d entraîner des réplications répétées inutiles. Les modèles FortiGate avec des interfaces commutateur comprennent : L interface interne de tous les modèles FortiGate-60 et FortiWiFi-60 L interface interne des FortiGate-100A et 200A L interface LAN du FortiGate-500A Guide d Administration FortiGate Version

118 Tableau 6 : Configuration par défaut des interfaces de heartbeat pour tous les modèles FortiGate Modèle FortiGate Interfaces de heartbeat par défaut Modèles FortiGate-60 et FortiWiFi-60 FortiGate-100 FortiGate-100A FortiGate-200 FortiGate-200A FortiGate-300 FortiGate-300A FortiGate-400 FortiGate-400A FortiGate-500 FortiGate-500A DMZ WAN1 DMZ External DMZ 2 External DMZ External DMZ 2 External DMZ/HA External Port 3 Port 4 Port 3 Port 4/HA Port 3 Port 4 HA Port 1 Port 3 Port 4 FortiGate-800 et HA FortiGate-800F Port 1 FortiGate-1000A et Port 3 FortiGate-1000AFA2 Port 4 FortiGate-3000 FortiGate-3600 FortiGate-4000 Port 3 Port 4/HA Port 4 Port 5/HA External oobm FortiGate-5001 et Port 9 FortiGate-5001FA2 Port 10 FortiGate-5002FB2 Port 5 Port 6 Les ports 9 et 10 connectent les équipements FortiGate-5001 et FortiGate- 5001FA2 via le fond de panier du châssis FortiGate série Ces interfaces sont uniquement utilisées pour le trafic heartbeat HA. 118 Guide d Administration FortiGate Version 3.0

119 Adresses IP des interfaces de heartbeat Il n est pas nécessaire d affecter des adresses IP aux interfaces de heartbeat pour que celles-ci soient en mesure de traiter les paquets heartbeat. Le cluster affecte des adresses IP virtuelles aux interfaces de heartbeat traitant le trafic. L adresse IP affectée à l interface de heartbeat du membre primaire est et l adresse IP affectée à l interface de heartbeat du membre subordonné est Un troisième membre du cluster aura comme adresse IP etc. Pour garantir de meilleurs résultats, il est conseillé d isoler chaque interface de heartbeat sur son propre réseau. Les paquets heartbeat contiennent des informations importantes sur la configuration du cluster. Par ailleurs, ils peuvent utiliser un montant considérable de la bande passante et il est dès lors préférable d isoler ce trafic des réseaux destinés à vos utilisateurs. L utilisation de la bande passante par les paquets heartbeat pourrait également réduire la capacité de l interface à traiter le trafic du réseau. Dans la plupart des modèles FortiGate, si vous ne modifiez pas la configuration de l interface de heartbeat, vous isoleriez les interfaces heartbeat de tous les membres du cluster en les connectant au même commutateur. Si le cluster est composé de deux membres, vous pouvez connecter les interfaces de heartbeat directement à l aide d un câble croisé. Le heartbeat HA et le trafic de données sont supportés par la même interface du cluster. Si vous décidez d utiliser les interfaces de heartbeat pour traiter le trafic du réseau ou pour une connexion administrative, vous pouvez, en mode NAT/Route, affecter n importe quelle adresse à l interface. L adresse IP n altère en rien le trafic heartbeat. En mode Transparent, vous pouvez connecter l interface à votre réseau et activer l accès administratif. Vous pourriez alors établir une connexion administrative à l interface via l adresse IP d administration du mode Transparent. Cette configuration n altère en rien le trafic heartbeat. Partitionnement de domaines virtuels Lors de la configuration d un clustering virtuel, vous pouvez sélectionner les domaines virtuels qui feront partie du cluster virtuel 1 et ceux qui feront partie du cluster virtuel 2. Le domaine virtuel root doit toujours se trouver dans le cluster virtuel 1. Généralement, les domaines virtuels sont distribués de manière égale entre les deux clusters virtuels et les priorités configurées de manière à distribuer le trafic identiquement entre les membres du cluster. Pour plus d informations, voir «Exemple de configuration d un clustering virtuel» à la page 139 et «Administration de clusters virtuels» à la page 141. Guide d Administration FortiGate Version

120 Liste des membres d un cluster Les statuts des membres FortiGate d un cluster en opération sont visibles dans la liste des membres du cluster. Cette liste permet également de : visualiser et modifier la configuration HA du cluster visualiser et modifier la priorité des membres individuels du cluster ( voir «Modification du nom d hôte et de la priorité d un membre subordonné» à la page 123) déconnecter un membre de son cluster (voir «Déconnecter un membre de son cluster» à la page 136 et «Administration de clusters virtuels» à la page 141) Voir le boîtier FortiGate High Availability Guide - Guide des fonctions de haute disponibilité FortiGate pour obtenir des exemples de procédures HA et de configurations détaillées. Pour afficher la liste des membres du cluster, sélectionnez Système > Configuration > HA. Illustration 51 : Exemple d une liste des membres d un cluster pour un FortiGate-5001 Liste des membres d un cluster virtuel Dans le cas où les domaines virtuels sont activés, le statut des clusters virtuels en opération est visible dans la liste des membres du cluster. La liste des membres du cluster virtuel reprend le statut des deux clusters virtuels y compris les domaines virtuels ajoutés à chaque cluster virtuel. Pour afficher la liste des membres du cluster virtuel d un cluster opérationnel, connectez-vous en tant qu administrateur admin et sélectionnez Configuration Globale, ensuite Système > Configuration > HA. 120 Guide d Administration FortiGate Version 3.0

121 Illustration 52 : Exemple d une liste de membres d un cluster virtuel pour un FortiGate-5001 Les flèches haut et bas Membre du cluster Nom d hôte Rôle Priorité de l équipement Déconnexion du cluster Permettent de modifier l ordre dans lequel apparaissent les membres du cluster. Cela n affecte pas le fonctionnement du cluster et de ses membres. Seul l ordre d apparition est modifié. Illustrations des panneaux avant des membres du cluster. Si le port réseau d une interface apparaît en vert, cela signifie que l interface est connectée. Maintenez le curseur de la souris sur chaque illustration pour visualiser le nom d hôte, le numéro de série et le temps depuis lequel le membre est en fonction (up time). La liste des interfaces sous surveillance est également affichée. Le nom d hôte du FortiGate. Pour modifier le nom d hôte du membre primaire, sélection nez Système > Statut et cliquez sur Changer à côte du nom d hôte actuel. Pour modifier le nom d hôte d un membre subordo nné, cliquez sur l icône Editer du membre subordonné. Le statut ou le rôle du membre dans le cluster. Le rôle est MASTER pour maître) le membre primaire (ou Le rôle est SLAVE pour tous les membres subordonnés (ou redondants) du cluster La priorité du membre du cluster. Chaque membre peut avoir une prior ité différente. Durant la négociation HA, le membre avec la priorité la plus haute devient le membre primaire. L intervalle de la priorité est de 0 à 255. La priorité par défaut est 128. Déconnecte le membre du cluster. Voir «Déconnexion d un membre du cluster» à la page 136. Guide d Administration FortiGate Version

122 Editer Télécharger un journal de déboguage Sélectionnez Editer pour modifier la configuration d un membre du cluster HA. Pour le membre primaire, cliquez sur l icône Editer pour modifier la configuration du membre primaire et du cluster HA. Voir «Options HA» à la page 114. Pour un membre primaire d un cluster virtuel, cliquez sur l icône Editer pour modifier la configuration du cluster virtuel HA et pour modifier la priorité du membre dans les cluster virtuel 1 et cluster virtuel 2. Pour un membre subordonné, cliquez sur l icône Editer pour modifier le nom d hôte et la priorité. Voir «Modification du nom d hôte et de la priorité d un membre subordonné» à la page 123. Pour un membre subordonné d un cluster virtuel, cliquez sur l icône Editer pour modifier son nom d hôte. Vous pouvez également modifier la priorité du membre subordonné dans le cluster virtuel sélectionné. Définir une priorité plus haute peut avoir pour effet de faire passer le rôle du membre de subordonné à primaire dans le cluster virtuel. Télécharger un journal de déboguage crypté dans un fichier. Vous pouvez ensuite l envoyer au Service Technique de Fortinet qui vous aidera à diagnostiquer les problèmes éventuels rencontrés sur votre FortiGate. Visualisation des statistiques HA Sélectionnez Visualiser les statistiques HA dans la liste des membres du cluster pour afficher le numéro de série, le statut et les informations sur la surveillance pour chaque membre du cluster. Pour visualiser les statistiques HA, sélectionnez Système > Configuration > HA et cliquez sur Visualiser les Statistiques HA. Illustration 53 : Exemple de statistiques HA (pour un cluster actif-passif) Rafraîchir toutes les Back to HA monitor Entrez l intervalle de temps souhaité entre deux mises à jour des statistiques par l interface graphique du FortiGate. Ferme la liste des statistiques HA et retourne à la liste des membres du cluster. 122 Guide d Administration FortiGate Version 3.0

123 N de série Le numéro de série vous permet d identifier chaque FortiGate dans le cluster. L ID du cluster correspond au numéro de série du FortiGate. Statut Actif depuis Monitor Taux CPU Taux Mémoire Sessions actives Paquets totaux Virus détectés Utilisation réseau Total d octets Intrusion détectées Indique le statut de chaque membre du cluster. Une marque en V verte indique un fonctionnement normal du cluster. Une croix rouge signifie que le membre du cluster n arrive pas à communiquer avec le membre primaire. Le temps en jours, heures, minutes et secondes depuis le dernier redémarrage du système. Affiche les informations sur les statuts du système pour chaque membre du cluster. Le statut CPU en cours de chaque membre du cluster. L interface d administration web affiche le taux CPU des processus majeurs uniquement. Le taux CPU des processus d administration (tels que les connexions HTTPS à l interface d administration web) est exclu. Le statut du taux mémoire en cours de chaque membre du cluster. L interface d administration web affiche le taux mémoire des processus majeurs uniquement. Le taux mémoire des processus d administration (tels que les connexions HTTPS à l interface d administration web) est exclu. Le nombre de sessions de communication en cours de traitement par le membre du cluster. Le nombre de paquets traités par le membre du cluster depuis son dernier redémarrage. Le nombre de virus détectés par le membre du cluster. Le total de la bande passante du réseau utilisée par toutes les interfaces du membre du cluster. Le nombre d octets traités par le membre du cluster depuis son dernier redémarrage. Le nombre d intrusions ou d attaques détectées par l IPS en fonction sur le membre du cluster. Modification du nom d hôte et de la priorité d un membre subordonné Vous pouvez modifier le nom d hôte et la priorité de n importe quel membre subordonné d un cluster en fonction à partir de la liste des membres du cluster. La modification de la priorité d un des membres du cluster entraîne une renégociation au sein du cluster. Pour modifier un nom d hôte ou une priorité d un membre subordonné, sélectionnez Système > Configuration > HA et cliquez sur l icône Editer d un membre subordonné dans la liste des membres du cluster. Guide d Administration FortiGate Version

124 Illustration 54 : Modification du nom d hôte ou de la priorité d un membre subordonné Paire Priorité Affiche et permet de modifier le nom d hôte du membre subordonné. Affiche et permet de modifier la priorité du membre subordonné. La priorité n est pas synchronisée parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorité d un équipement pour modifier la priorité de chaque membre du cluster. A chaque modification de la priorité d un membre du cluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le membre primaire. La plage de priorité s étend de 0 à 255. La priorité par défaut est de 128. Configuration d un cluster HA Les procédures suivantes portent sur la configuration d un cluster haute disponibilité de deux ou plusieurs boîtiers FortiGate. La configuration d opérations HA y est détaillée pour chacun des équipements FortiGate. On y explique également comment connecter les FortiGate entre eux pour former un cluster. Une fois le cluster connecté, il se configure de la même façon qu un équipement FortiGate autonome. Pour la configuration de clusters virtuels, voir «Configuration d un clustering virtuel» à la page 127. Pour la configuration en maillage intégral HA, voir «Aperçu sur le maillage intégral HA» à la page 109. Les procédures reprises dans cette section représentent une séquence de démarches possible parmi plusieurs pour configurer un clustering HA. Une fois que vous serez plus expérimenté avec FortiOS HA, rien ne vous empêche d utiliser une séquence de démarches différente. Par commodité, les procédures suivantes partent du principe que le boîtier FortiGate est configuré avec les paramètres par défaut. Cependant, ceci n est pas une nécessité pour un déploiement HA réussi. La HA FortiGate est suffisamment flexible pour supporter une configuration à partir de paramètres de départ variés. Le mode par défaut étant le mode NAT/Route, les procédures décrivent la configuration d un cluster opérant en mode routé. Toutefois, les procédures sont identiques pour un cluster opérant en mode Transparent. Vous pouvez passer en mode Transparent, soit avant de commencer les procédures, soit après la configuration HA et la connexion du cluster (le cluster étant alors opérationnel). Configurer un boîtier FortiGate pour opérer en HA Connecter un cluster HA FortiGate Ajouter un nouveau membre à un cluster opérationnel 124 Guide d Administration FortiGate Version 3.0

125 Configurer un boîtier FortiGate pour opérer en haute disponibilité Chaque membre FortiGate du cluster doit fonctionner avec la même configuration HA. La procédure suivante parcourt la configuration de chaque membre FortiGate pour opérer en HA. Voir «Options HA» à la page 114 pour plus d informations sur les options HA reprises dans cette procédure. 1 Mettre le boîtier FortiGate sous tension pour le configurer. 2 Connectez-vous à l interface d administration web. 3 Eventuellement vous pouvez donner au boîtier FortiGate un nom d hôte. Voir «Modification du nom d hôte d un boîtier FortiGate» à la page 52. L utilisation d un nom d hôte permet d identifier les FortiGate individuellement. 4 Sélectionnez Système > Configuration > HA. 5 6 Entrez un mot de passe pour le cluster. Ce mot de passe doit être le même pour tous les membres FortiGate du cluster HA. 7 Définissez le mode actif-passif ou actif-actif. Cliquez sur OK. Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel. Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK, la connexion du FortiGate risque d être perdue pendant un moment car le cluster HA négocie et le FGCP modifie l adresse MAC des interfaces FortiGate (voir «Adresses MAC d un cluster virtuel» à la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC d administration en effaçant l entrée du tableau ARP pour votre FortiGate (ou simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisez la commande CLI similaire à arp d. 8 Mettre le boîtier FortiGate hors tension. 9 Répétez cette procédure pour tous les membres FortiGate du cluster. Une fois tous les membres configurés, rendez-vous à la section «Connecter un cluster HA FortiGate». Connecter un cluster HA FortiGate Les procédures suivantes parcourent la connexion d un cluster, qu il opère en mode routé ou Transparent. Il est nécessaire de connecter les membres du cluster entre eux et à votre réseau. Les interfaces correspondantes du cluster doivent être connectées au même concentrateur ou commutateur. Il est ensuite nécessaire de connecter ces interfaces à leurs réseaux en utilisant le même concentrateur ou le même commutateur. Pour une meilleure performance, Fortinet recommande l utilisation de commutateurs pour toutes les connexions du cluster. Guide d Administration FortiGate Version

126 L insertion d un cluster HA dans votre réseau entraîne une interruption temporaire des communications réseau puisque de nouvelles connexions physiques sont créées pour diriger le trafic à travers le cluster. Le démarrage du cluster occasionne également une interruption du trafic réseau jusqu à ce que tous les membres du cluster fonctionnent et que le cluster termine la négociation. La négociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le démarrage et la négociation du système, tout le trafic réseau est arrêté. 1 Connectez les interfaces internes de chaque membre du cluster à un commutateur ou concentrateur connecté à votre réseau interne. 2 Connectez les interfaces externes de chaque membre du cluster à un commutateur ou concentrateur connecté à votre réseau externe. 3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. 4 Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond de panier d un châssis FortiGate Aucune connexion heartbeat HA supplémentaire n est requise. Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait être connectée pour que le cluster puisse opérer. Vous pouvez également connecter les interfaces de heartbeat à un réseau. Si le cluster ne comporte que deux membres FortiGate, vous pouvez connecter les interfaces de heartbeat directement à l aide du câble croisé. Pour davantage d informations sur les interfaces de heartbeat, voir «Interface de Heartbeat» à la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate 5 Facultativement, connectez les autres interfaces de chaque membre du cluster à un concentrateur ou commutateur connecté aux réseaux. L illustration 55 reprend l exemple d une configuration réseau pour un cluster HA comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et externes sont connectées aux réseaux. Les interfaces HA sont connectées pour une communication heartbeat HA. Illustration 55 : Configuration réseau HA 126 Guide d Administration FortiGate Version 3.0

127 6 Mettez sous tension tous les membres du cluster. Lors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner parmi eux un membre primaire et les membres subordonnés. Cette négociation a lieu sans intervention de l utilisateur et ne dure que quelques secondes. Vous pouvez maintenant configurer le cluster comme s il s agissait d un seul équipement FortiGate. 1 Configurez le nouveau membre du cluster pour opérer en HA avec les mêmes paramètres de configuration que les autres membres du cluster. 2 Si le cluster fonctionne en mode Transparent, faites passer le mode de fonctionnement du nouveau membre vers le mode Transparent. 3 4 Ajouter un nouveau membre à un cluster opérationnel Connectez le nouveau membre au cluster. Mettez le nouveau membre sous tension. Lors du démarrage du membre, celui-ci négocie son intégration dans le cluster. Après avoir rejoint le cluster, celui-ci synchronise la configuration du nouveau membre avec la configuration du membre primaire. Configuration d un clustering virtuel Les procédures suivantes portent sur la configuration d un clustering virtuel de deux membres FortiGate. Ces procédures expliquent comment configurer deux nouveaux membres FortiGate pour un clustering virtuel, y compris la configuration pour opérer en HA, la connexion des membres, l activation de la configuration de domaines virtuels et l ajout de domaines virtuels à un cluster. Les procédures décrivent également comment configurer un clustering virtuel. Une fois le cluster virtuel opérationnel, vous pouvez configurer le cluster de la même façon qu un FortiGate autonome avec des multiples domaines virtuels. Pour la configuration d un clustering normal sans domaines virtuels, voir «Configuration d un cluster HA» à la page 124. Pour la configuration en maillage intégral HA, voir «Aperçu sur le maillage intégral HA» à la page 109. Les procédures reprises dans cette section représentent une séquence de démarches possible parmi plusieurs pour configurer un clustering virtuel. Une fois que vous serez plus expérimenté avec FortiOS HA, rien ne vous empêche d utiliser une séquence de démarches différente. Par commodité, les procédures suivantes partent du principe que le boîtier FortiGate est configuré avec les paramètres par défaut. Cependant, ceci n est pas une nécessité pour un déploiement HA réussi. La HA FortiGate est suffisamment flexible pour supporter une configuration à partir de paramètres de départ variés. Configurer deux nouveaux membres FortiGate pour un clustering virtuel Connecter un cluster virtuel HA FortiGate Activer la configuration de domaines virtuels pour un cluster HA Ajouter des domaines virtuels à un cluster HA Activer le clustering virtuel Guide d Administration FortiGate Version

128 Configurer deux nouveaux membres FortiGate pour un clustering virtuel Cette procédure décrit comment configurer un clustering virtuel commençant avec deux membres FortiGate dont le paramétrage est celui par défaut et qui ne sont pas connectés à un réseau. Les deux membres du cluster doivent avoir une configuration HA identique. La procédure suivante permet de configurer chaque membre FortiGate pour opérer en HA. Voir «Options HA» à la page 114 pour plus d informations sur les options HA reprises dans cette procédure. 1 Mettez le boîtier FortiGate sous tension pour le configurer. 2 Connectez-vous à l interface d administration web. 3 Facultativement vous pouvez donner au FortiGate un nom d hôte. Voir «Modification du nom d hôte d un boîtier FortiGate» à la page 52. L utilisation d un nom d hôte permet d identifier les FortiGate individuellement. 4 Sélectionnez Système > Configuration > HA. 5 Définissez le mode actif-passif. Le mode HA actif-actif n est pas supporté par un clustering virtuel. 6 Entrez un mot de passe pour le cluster virtuel. Ce mot de passe doit être le même pour tous les membres FortiGate du cluster virtuel HA. 7 Cliquez sur OK. Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel. 8 Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK, la connexion du FortiGate risque d être perdue pendant un moment car le cluster HA négocie et le FGCP modifie l adresse MAC des interfaces FortiGate (voir «Adresses MAC d un cluster virtuel» à la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre à jour la table ARP de votre PC d administration en effaçant l entrée ARP de votre FortiGate (ou simplement en effaçant toutes les entrées de la table ARP). Pour ce faire, utilisez la commande CLI similaire à arp d. Répétez cette procédure pour tous les membres FortiGate du cluster virtuel. Une fois les deux membres configurés, procédez avec la section «Connecter un cluster virtuel HA FortiGate». Connecter un cluster virtuel HA FortiGate Les procédures suivantes parcourent la connexion de deux membres FortiGate pour opérer via un clustering virtuel. Il est nécessaire de connecter les membres du cluster entre eux et à votre réseau. Les interfaces correspondantes du cluster doivent être connectées au même concentrateur ou commutateur. Il est ensuite nécessaire de connecter ces interfaces à leurs réseaux en utilisant le même concentrateur ou le même commutateur. 128 Guide d Administration FortiGate Version 3.0

129 Pour une meilleure performance, Fortinet recommande l utilisation de commutateurs pour toutes les connexions du cluster. L insertion d un cluster HA dans votre réseau entraîne une interruption temporaire des communications réseau puisque de nouvelles connexions physiques sont créées pour diriger le trafic à travers le cluster. Le démarrage du cluster occasionne également une interruption du trafic réseau jusqu à ce que tous les membres du cluster fonctionnent et que le cluster termine la négociation. La négociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le démarrage et la négociation du système, tout le trafic réseau est arrêté. 1 Connectez les interfaces internes de chaque membre du cluster à un commutateur ou concentrateur connecté à votre réseau interne. 2 Connectez les interfaces externes de chaque membre du cluster à un commutateur ou concentrateur connecté à votre réseau externe. 3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. 4 Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond de panier d un châssis FortiGate Aucune connexion heartbeat HA supplémentaire n est requise. Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait être connectée pour que le cluster puisse opérer. Vous pouvez également connecter les interfaces de heartbeat à un réseau. Vous pouvez connecter les interfaces de heartbeat directement à l aide du câble croisé. Pour davantage d informations sur les interfaces de heartbeat, voir «Interface de Heartbeat» à la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate. 5 Facultativement, connectez les autres interfaces de chaque membre du cluster à un concentrateur ou commutateur connecté aux réseaux. L illustration 56 reprend l exemple d une configuration réseau pour un cluster virtuel comprenant deux membres FortiGate Dans cet exemple, le cluster virtuel possède deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans le domaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuel appelé vdom_1. Le Site 1 est connecté au domaine virtuel root et Site 2 est connecté au domaine virtuel vdom_2. L exemple comprend les connexions réseaux suivantes : Les interfaces du port 5 sont connectées ensemble et au réseau Site 1. Les interfaces du port 6 sont connectées ensemble et au routeur externe. Les interfaces du port 7 sont connectées ensemble et au réseau Site 2. Les interfaces du port 8 sont connectées ensemble et au routeur externe. Les communications heartbeat HA à travers le fond de panier du châssis FortiGate-5000 ne sont pas illustrées. Guide d Administration FortiGate Version

130 Illustration 56 : Configuration réseau HA 6 Mettez sous tension tous les membres du cluster. Lors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner parmi eux un membre primaire et les membres subordonnés. Cette négociation a lieu sans intervention de l utilisateur et ne dure que quelques secondes. Vous pouvez maintenant configurer le cluster virtuel comme s il s agissait d un seul équipement FortiGate. Activer la configuration de domaines virtuels pour un cluster HA Les procédures suivantes décrivent comment activer la configuration de domaines virtuels pour un cluster virtuel HA. La procédure d activation de la configuration de domaines virtuels est la même que celle d un équipement FortiGate autonome. 1 Connectez-vous à l interface d administration web en tant qu administrateur admin. 2 Cliquez sur Configuration Globale. 3 Sélectionnez Système > Admin > Settings (Paramètres). 4 Activer Virtual Domain Configuration. 5 Cliquez sur Appliquer. Le cluster vous déconnecte. Vous pouvez maintenant vous reconnectez en tant qu administrateur admin, ajouter des domaines virtuels et configurer le clustering virtuel. Voir «Activation du mode multiple VDOM» à la page 43 pour plus d informations sur l activation de domaines virtuels et les changements de l interface d administration web après l activation des domaines virtuels. 130 Guide d Administration FortiGate Version 3.0

131 Ajouter des domaines virtuels à un cluster HA Ajouter des domaines virtuels à un cluster HA se fait de la même façon que l ajout de domaines virtuels à un équipement FortiGate autonome. 1 Connectez-vous en tant qu administrateur admin à l interface d administration web du cluster. Si la configuration de domaines virtuels est activée, la page Virtual Domain Configuration s ouvre. 2 Cliquez sur Créer Nouveau pour ajouter un domaine virtuel. 3 Entrez un nom pour ce nouveau domaine virtuel et cliquez sur OK. Vous pouvez ajouter autant de domaines virtuels que nécessaire. Activer le clustering virtuel Pour activer un clustering virtuel, il faut précédemment avoir configuré le cluster, activé la configuration de domaines virtuels et ajouté des domaines virtuels. Avant d avoir activé un clustering virtuel, un cluster de membres FortiGate avec des domaines virtuels activés fonctionne de la même façon qu un cluster HA standard. Un membre FortiGate du cluster opère comme membre primaire pour tous les domaines virtuels activés. Le cluster opère en mode actif-passif. Dès lors, seul le membre primaire traite le trafic. L activation du clustering se fait en modifiant la configuration HA de manière à distribuer les domaines virtuels entre les deux clusters virtuels. Ensuite, il faut ajuster les priorités de chaque membre de chaque cluster virtuel. Un des membres peut opérer en tant que membre primaire pour une partie des domaines virtuels, tandis que l autre membre opère en tant que membre primaire pour l autre partie. Il en résulte un traitement du trafic distribué entre deux membres du cluster, semblable à une solution en mode actif-actif. Remarque : Les étapes suivantes ne sont pas requises si vous utilisez le clustering virtuel uniquement comme système de réplication. De cette procédure résulte une distribution du trafic entre les deux membres du cluster dans le cluster virtuel. 1 Connectez-vous en tant qu administrateur admin à l interface d administration web du cluster. La page de Configuration des Domaines Virtuels s affiche. 2 Cliquez sur Configuration Globale. 3 Sélectionnez Système > Configuration > HA. La liste des membres du cluster s affiche reprenant uniquement le Cluster Virtuel 1. Tous les domaines virtuels ainsi que les deux membres du cluster sont repris dans le Cluster Virtuel 1. Guide d Administration FortiGate Version

132 Illustration 57 : Exemple d une liste des membres d un cluster avec deux domaines virtuels dans le Cluster Virtuel Sous le partitionnement VDOM, distribuez les domaines virtuels entre les cluster virtuel 1 et cluster virtuel 2. 6 Cliquez sur l icône Editer du membre primaire (maître) du Cluster Virtuel 1. Au départ, tous les domaines virtuels sont ajoutés au cluster virtuel 1. En général, la distribution des domaines virtuels entre les deux membres du cluster virtuel se fait de manière à ce que chacun des membres traite la même quantité de trafic réseau. Cela permet d assurer que le trafic est distribué de manière équivalente entre les membres du cluster. Cependant, vous pouvez distribuez les domaines virtuels comme vous le désirez. La distribution peut par ailleurs être modifiée à tout moment. Cliquez sur OK. Le cluster renégocie. Après quelques secondes, la liste des membres du cluster reprend les deux clusters virtuels. Si vous n avez modifié aucun paramètre de priorité, c est le même membre qui devient membre primaire (maître) pour les deux domaines virtuels. Illustration 58 : Exemple d une liste des membres d un cluster avec domaines virtuels distribués entre les deux clusters virtuels. 7 Cliquez sur l icône Editer du membre primaire du cluster virtuel 1 et cluster virtuel Guide d Administration FortiGate Version 3.0

133 Les options HA du clustering virtuel sont affichées. Vous pouvez modifier la priorité du membre primaire dans les deux clusters virtuels. 8 Affectez la priorité 200 pour ce membre du cluster dans le cluster virtuel 1 et la priorité 50 dans le cluster virtuel 2. Cliquez ensuite sur OK. Vous pouvez sélectionner différentes valeurs de priorité. Si aucune autre valeur de priorité n a été modifiée, le membre du cluster sélectionné devient le membre primaire dans le cluster virtuel 1 et le membre subordonné dans le cluster virtuel 2. Illustration 59 : Exemple d une liste des membres d un cluster avec domaines virtuels distribués entre les deux clusters virtuels et les priorités modifiées. Administration d un cluster D autres paramètres HA des clusters virtuels peuvent être configurés. Voir «Exemple de configuration d un clustering virtuel» à la page 139 et «Administration de clusters virtuels» à la page 141 pour plus d informations sur la configuration et l administration de clusters virtuels. Les configurations de tous les membres FortiGate du cluster sont synchronisées afin de permettre aux membres de fonctionner comme un cluster. Grâce à la synchronisation vous administrez le cluster HA au lieu d administrer les membres individuellement. L administration se fait en se connectant à l interface d administration web en utilisant n importe quelle adresse d interface du cluster configurée pour un accès administratif HTTPS. Une autre façon d administrer le cluster est de se connecter en CLI en utilisant n importe quelle adresse d interface du cluster configurée pour un accès administratif SSH. Vous pouvez également administrer le cluster en configurant une des ses interfaces pour un accès administratif SNMP. L utilisation d un superviseur SNMP vous permet d obtenir des informations sur la configuration du cluster, ainsi que de recevoir des traps. Pour toute information sur les listes des champs MIB HA, voir «MIB FortiGate» à la page 156 et «Traps FortiGate» à la page 156. Pour apporter une modification à la configuration du cluster, connectez-vous au cluster et apportez les changements souhaités à la configuration du membre primaire. Le cluster synchronise automatiquement tous les changements de configuration et les intègrent aux membres subordonnés. Guide d Administration FortiGate Version

134 Les seuls changements qui ne sont pas synchronisés sont le nom d hôte et la priorité du HA. Chaque membre du cluster peut avoir un nom d hôte qui lui est propre de manière à pouvoir distinguer les membres dans le cluster. Il est aussi possible de les distinguer à partir de leur numéro de série. La priorité peut être modifiée individuellement pour contrôler quel membre du cluster devient le membre primaire. Le rôle du membre dans le cluster s affiche sur l écran LCD (pour les FortiGate qui en possèdent). La mention primary s affiche sur l écran LCD du membre primaire. Les membres subordonnés affichent sur leur écran LCD la mention slave <priority_id> où <priority_id> est la place prioritaire du membre subordonné dans le cluster. Dans l exemple d un cluster composé de trois membres et en mode actif-actif, les écrans afficheront : primary (a-a) slave 1 (a-a) slave 2 (a-a) L interface d administration web permet de contrôler les statuts et les journaux de chaque membre du cluster individuellement. Voir «Liste des membres d un cluster» à la page 120 et «Visualiser et administrer les journaux pour les membres individuels d un cluster» à la page 134 Les membres du cluster peuvent être administrés individuellement à l aide d une connexion SSH en CLI au cluster. La commande CLI execute ha manage permet de vous connecter en CLI à chaque membre du cluster. L administration individuelle des membres peut aussi se faire via un câble null-modem connecté au membre primaire. A partir de là, la commande CLI execute ha manage vous permet de vous connecter en CLI à chaque membre du cluster. Voir «Administrer individuellement les membres d un cluster» à la page 135 pour plus d informations. En cas d utilisation d un câble null-modem pour vous connecter à un membre subordonné, seule une connexion en CLI à ce membre subordonné est possible. Visualiser et administrer les journaux pour les membres individuels d un cluster Contrôler les membres pour la réplication Administrer individuellement les membres d un cluster Visualiser et administrer les journaux pour les membres individuels d un cluster 1 Connectez-vous au cluster et à l interface d administration web. 2 Sélectionnez Journaux/Alertes > Journal. La liste du Cluster HA reprend le numéro de série du FortiGate dont les journaux sont affichés. 3 Sél ectionnez le numéro de série d un des membres du cluster dont vous voulez voir les journaux. Vous pouvez voir, chercher et administrer les journaux sauvegardés sur la mémoire, dépendant de la configuration du membre du cluster. 134 Guide d Administration FortiGate Version 3.0

135 Contrôler les membres pour la réplication Dans le cas d une défaillance du membre primaire, les membres du cluster renégocient pour sélectionner un nouveau membre primaire. Une panne du membre primaire enclenche les étapes suivantes : Si SNMP est activé, le nouveau membre primaire envoie un message trap «HA switch». Ce message signifie que le membre primaire du cluster HA est en panne et a été remplacé par le nouveau membre primaire. Le cluster fonctionne avec un nombre réduit de membres. Le membre primaire défaillant n apparaît plus sur la Liste des Membres du Cluster. Le nom d hôte et la priorité du membre primaire changent. Le nouveau membre primaire enregistre les messages des journaux d événements suivants : HA slave became master Detected HA member dead Dans le cas où l un des membres subordonnés tombe en panne, le cluster continue de fonctionner normalement. Une panne d un membre subordonné enclenche les étapes suivantes : Le cluster fonctionne avec un nombre réduit de membres. Le membre défaillant n apparaît plus sur la Liste des Membres du Cluster. Le membre primaire enregistre le message du journal d événement suivant : Detected HA member dead Cette procédure décrit comment se connecter en CLI au membre primaire et de là, se connecter en CLI aux membres subordonnés. La connexion à un membre subordonné se fait à partir du compte administrateur ha_admin. Ce compte intégré vous accorde les droits en lecture et en écriture sur les membres subordonnés. 1 Via SSH, connectez-vous au cluster et à l interface de ligne de commande. cluster configurée pour un accès 2 Entrez la commande suivante suivie d un espace et d un point d interrogation (?) : 3 Administrer individuellement les membres d un cluster Connectez-vous à n importe quelle interface du administratif SSH. Vous pouvez également utiliser un câble null-modem connecté au port console du membre primaire. Pour ce faire, vous devez déjà avoir sélectionné un membre primaire. execute ha manage Le CLI affiche alors une liste de tous les membres subordonnés du cluster. Tous les membres sont numérotés en commençant par 1. Les informations reprises pour chaque membre comprennent le numéro de série et le nom d hôte du membre. Ajoutez à la fin de la commande CLI le numéro du membre subordonné pour vous y connecter. Par exemple, pour vous connecter au membre subordonné 1, entrez la commande suivante : execute ha manage 1 Guide d Administration FortiGate Version

136 4 Appuyez sur la touche Enter pour vous connecter en CLI au membre subordonné choisi. L écran du CLI affiche le nom d hôte du membre. Les commandes CLI vous permettent d administrer ce membre subordonné. Pour retourner au CLI du membre primaire, entrez : exit Vous pouvez utiliser la commande execute ha manage pour vous connecter en CLI à n importe quel membre subordonné du cluster. Déconnexion d un membre du cluster Les procédures suivantes décrivent comment déconnecter un membre d un cluster opérationnel sans interruption des opérations. Vous pouvez déconnecter un équipement FortiGate dans le cas où vous en auriez besoin pour un autre usage, tel que par exemple un pare-feu autonome. Les procédures suivantes s appliquent aussi bien pour les clusters standard que pour les clusters virtuels. Pour ces derniers, vous devez néanmoins être connecté en tant qu administrateur admin et avoir sélectionné Configuration Globale. Lors de la déconnexion d un membre, vous devez affecter à une des interfaces de ce membre une adresse IP et un masque de réseau. Le membre primaire peut lui aussi être déconnecté. Dans ce cas, le cluster réagit de la même manière que si le membre primaire était tombé en panne. Il renégocie et sélectionne un nouveau membre primaire. Une fois le membre déconnecté, celui-ci passe du mode HA à stand alone (autonome). De plus, toutes les adresses IP des interfaces sont remises à à l exception de l interface que vous avez configurée. Les autres paramètres de la configuration restent inchangés, y compris la configuration HA. 1 Sélectionnez Système > Configuration > HA pour visualiser la liste des membres du cluster. 2 Déconnecter un membre de son cluster Cliquez sur l icône Déconnecter du cluster à côté du membre du cluster à déconnecter. Illustration 60 : Déconnecter un membre de son cluster Numéro de Série Interface Le numéro de série du membre du cluster à déconnecter. Sélectionnez l interface que vous voulez configurer. Vous devez en spécifier l adresse IP et le masque de réseau. Une 136 Guide d Administration FortiGate Version 3.0

137 3 fois le membre déconnecté, toutes les options d accès administratifs sont activées sur cette interface. IP/Masque de réseau Spécifiez l adresse IP et le masque de réseau de l interface. Vous pouvez utiliser cette adresse IP pour vous connecter à cette interface et configurer le membre déconnecté. Cliquez sur OK. Le membre FortiGate est déconnecté du cluster et celui-ci peut renégocier et sélectionner un nouveau membre primaire. L interface sélectionnée est configurée avec l adresse IP et le masque de réseau spécifiés. Ré-adjoindre un membre FortiGate déconnecté à un cluster Il est possible de reconnecter un membre FortiGate précédemment déconnecté au cluster en définissant le mode HA de ce membre pour qu il corresponde au mode HA du cluster. En général le membre déconnecté est ré-adjoint en tant que membre subordonné et le cluster synchronise automatiquement sa configuration. Remarque : Il n est pas nécessaire de modifier le mot de passe HA du membre déconnecté à moins que la HA ait été modifié après la déconnexion. Déconnecter un membre d un cluster n affecte pas le mot de passe HA. Attention : Assurez-vous que la priorité du membre déconnecté est bien inférieure à la priorité du membre primaire. Si tel n est pas le cas, lors de la reconnexion du membre au cluster, celui-ci va renégocier et le membre ré-adjoint deviendra le membre primaire. Ceci entraîne une synchronisation de la configuration de ce membre à tous les autres membres du cluster et pourrait causer une perturbation au sein du cluster. Le boîtier FortiGate déconnecté du cluster est physiquement et correctement connecté à votre réseau et au hardware du cluster. Avant de commencer cette procédure, il est conseillé de prendre connaissance de la priorité du membre primaire. 1 Connectez-vous au membre FortiGate déconnecté. Si les domaines virtuels sont activés, connectez-vous en tant qu administrateur admin et cliquez sur Configuration Globale Affectez une priorité plus basse que la priorité du membre primaire. 6 La procédure suivante part des principes suivants : Il n est pas en train d opérer en mode HA. Il ne fait pas partie du cluster. Sélectionnez Système > Configuration > HA. Modifiez le mode pour qu il corresponde à celui du cluster. Si nécessaire, modifiez le mot de passe HA pour qu il corresponde à celui du cluster. Cliquez sur OK. Le membre FortiGate déconnecté ré-adjoint le cluster. Guide d Administration FortiGate Version

138 Adresses MAC virtuelles d un cluster Le FGCP affecte une adresse MAC virtuelle différente à toutes les interfaces des membres primaires. Les sous-interfaces VLAN se voient affectées de la même adresse MAC virtuelle que l interface à laquelle elles ont été ajoutées. Le membre primaire envoie des paquets ARP libres pour mettre à jour les commutateurs connectés aux interfaces du cluster avec l adresse MAC virtuelle. Les commutateurs mettent à jour leurs tables de relayage MAC avec cette adresse MAC. Les commutateurs dirigent alors tout le trafic réseau vers le membre primaire. En fonction de la configuration du cluster, le membre primaire soit traite le trafic réseau lui-même, soit équilibre la charge du trafic réseau entre tous les membres du cluster. Modification de l ID de groupe HA Dans la plupart des cas, le cluster opère avec l ID de groupe zéro. Cependant, dans le cas où il y aurait plus d un cluster FortiGate sur le même réseau, chaque cluster devrait avoir un ID de groupe différent. Si deux clusters d un même réseau ont un ID de groupe identique, des adresses MAC en double pourraient causer des conflits d adressage sur le réseau. Vous pouvez modifier l ID groupe à partir du CLI For tigate. Pour plus d informations à ce sujet, voir FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate. Méthode de calcul d une adresse MAC virtuelle Une adresse MAC virtuelle est déterminée à partir de la formule suivante : f-06-<group-id>-<idx> où <group-id> est l ID groupe HA du cluster <idx> est une combinaison de l ID du cluster virtuel auquel a été ajoutée l interface et l index de cette interface. L avant-dernière partie d une adresse MAC virtuelle dépend de l ID groupe HA et est identique pour chaque interface du cluster. La dernière partie d une adresse MAC virtuelle est différente pour chaque interface du cluster et est déterminée par l index de l interface et par le cluster virtuel auquel a été ajouté le domaine virtuel contenant l interface. Chaque interface des membres FortiGate a un index d interface différent. Exemple d adresses MAC virtuelles Un FortiGate-500, opérant en mode HA, dont l ID groupe HA n a pas été modifié (par défaut = 0) et dont les domaines virtuels n ont pas été activés, aurait les adresses MAC virtuelles suivantes : MAC virtuelle de l interface dmz : f MAC virtuelle de l interface externe: f MAC virtuelle de l interface ha: f MAC virtuelle de l interface interne: f MAC virtuelle de l interface port1: f Guide d Administration FortiGate Version 3.0

139 MAC virtuelle de l interface port2: f MAC virtuelle de l interface port3: f MAC virtuelle de l interface port4: f MAC virtuelle de l interface port5: f MAC virtuelle de l interface port6: f MAC virtuelle de l interface port7: f a MAC virtuelle de l interface port8: f b Un FortiGate-5001, opérant en mode HA, avec domaines virtuels activés, dont l ID groupe HA a été défini sur 23, les ports 5 et 6 étant dans le vdom root (qui se trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes : MAC virtuelle de l interface port5: f MAC virtuelle de l interface port6: f MAC virtuelle de l interface port7: f MAC virtuelle de l interface port8: f Exemple de configuration d un clustering virtuel Il n est pas nécessaire de configurer la haute disponibilité séparément pour chaque domaine virtuel pour simplifier la configuration d un clustering virtuel. Au lieu de cela, il suffit de créer une configuration globale HA similaire à la configuration standard HA sans domaines virtuels. La configuration HA d un clustering virtuel comprend la configuration de partitionnement des domaines virtuels entre les deux clusters virtuels (appelés Cluster Virtuel 1 et Cluster Virtuel 2). La configuration de partitionnement de domaines virtuels se fait en distribuant les domaines virtuels entre les deux clusters virtuels. La priorité de chaque membre du cluster doit être définie pour chaque cluster virtuel. Par défaut les deux membres ont la même priorité dans chacun des clusters virtuels et c est le FGCP qui sélectionne automatiquement le membre primaire pour chaque cluster virtuel. Une fois le cluster opération nel, vous pouvez diviser les domaines virtuels entre les cluster virtuel 1 et 2 pour qu ils distribuent le trafic entre eux. Affectez ensuite la priorité de manière à ce qu un membre du cluster devienne le membre primaire du cluster virtuel 1 et que l autre membre devienne le membre primaire du cluster virtuel 2. Etant donné que c est le membre primaire qui traite tout le trafic pour un domaine virtuel, il en résulte que les deux membres FortiGate du cluster traitent en définitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2 traite tout le trafic pour les domaines virtuels du cluster virtuel 2. A tout moment il est possible de déplacer les domaines virtuels du cluster virtuel 1 au cluster virtuel 2, et ce, pour ajuster l équilibrage de charge entre les membres du cluster. Cette section décrit une configuration simple de domaine virtuel et son implémentation dans un cluster virtuel, de manière à ce que le trafic reçu soit traité Guide d Administration FortiGate Version

140 par les deux membres du c luster. La configuration du domaine virtuel est décrite dans le tableau 7. Tableau 7 : Exemple d une configurat ion d un domaine virtuel Domaine Virtuel Description root Comprend les interface s port5 et port6. port5 est connecté à un réseau interne appel é Site 1. port6 est connecté à un routeur externe et à Internet. Tout le trafic du Site 1 est reçu par le port5 et tout le trafic autorisé est envoyé vers Internet à travers le port6. vdom_1 Comprend les interfaces port 7 et port8. port7 est connecté à un réseau interne appelé Site 2. port8 est connecté à un routeur externe et à Internet. Tout le trafic du Site 2 est reçu par le port7 et tout le trafic autorisé est envoyé vers Internet à travers le port8. Ce cluster virtuel comprend deux FortiGate-5001 avec les noms d hôte FortiGate_A et FortiGate_B. Le clustering virtuel est configuré de manière à ce que tout le trafic reçu par le domaine virtuel root est traité par le boîtier FortiGate_A et tout le trafic reçu par le domaine virtuel vdom_1 est traité par le boîtier FortiGate_B. La configuration du clustering est illustrée dans les tableaux 8 et 9. Le cluster virtuel et la circulation du trafic à travers le cluster est représenté dans l illustration 61. Tableau 8 : Configuration du Cluster Virtuel 1 Domaines Virtuels root FortiGate_A Priorité 200 Rôle Primaire Tableau 9 : Configuration du Cluster Virtuel 2 Domaines Virtuels vdom_1 FortiGate_A Priorité 100 Rôle Subordonné Nom d hôte FortiGate_B Priorité 100 Rôle Subordonné Nom d hôte FortiGate_B Priorité 200 Rôle Primaire 140 Guide d Administration FortiGate Version 3.0

141 Illustration 61 : Partie d une configuration d un clustering virtuel avec deux membres FortiGate-5001 Pour connecter le domaine virtuel root, les interfaces des port5 des deux membres du cluster sont connectées à un commutateur qui est aussi connecté au réseau du Site 1. Les interfaces port6 des deux membres du cluster sont connectées à un commutateur qui est aussi connecté au routeur externe et à Internet. Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux membres du cluster sont connectées à un commutateur qui est aussi connecté au réseau du Site 2. Les interfaces port8 des deux membres du cluster sont connectées à un commutateur qui est aussi connecté au routeur externe et à Internet. Les clusters virtuels ont été configurés de manière à ce que FortiGate_A soit le membre primaire du domaine virtuel root. Dès lors, tout le trafic destiné au domaine virtuel root est reçu et traité par le boîtier FortiGate_A. FortiGate_B est le membre primaire de vdom_1. Dès lors, tout le trafic destiné à vdom_1 est reçu et traité par le boîtier FortiGate_B. Un des avantages d une telle configuration est l équilibrage de charge entre les membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de vdom_1. De cette manière la charge de tout le trafic est partagée entre les membres du cluster. Dans le cas où FortiGate_A tombe en panne, FortiGate_B devient le membre primaire des deux clusters virtuels. Administration de clusters virtuels Les options de configuration et de maintenance disponibles lors d une connexion à l interface graphique ou CLI d un cluster virtuel dépendent du domaine virtuel auquel vous vous connectez et du compte administrateur utilisé. Si vous vous connectez à un cluster en tant qu administrateur d un domaine virtuel, vous vous connectez directement à ce domaine virtuel. Le clustering virtuel HA étant une configuration globale, les administrateurs des domaines virtuels n ont pas accès aux options de configuration HA. Cependant, ils peuvent voir le nom d hôte du membre du cluster auquel ils se connectent. Il s agit du nom d hôte du membre primaire du domaine virtuel. Ces administrateurs peuvent également sélectionner de visualiser les messages journalisés pour chaque membre du cluster dans Journaux/Alertes > Journal. Guide d Administration FortiGate Version

142 Illustration 62 : Visualisation de messages journalisés d un domaine virtuel dans un cluster virtuel Si vous vous connectez à un cluster en tant qu administrateur admin, vous vous connectez à la page de l interface graphique Configuration des Domaines Virtuels ou au CLI général. Vous vous connectez également à une interface et au domaine virtuel auquel cette interface a été ajoutée. Le domaine virtuel auquel vous vous connectez ne diffère pas beaucoup quant à ses opérations de configuration et de maintenance. Il existe cependant certaines exceptions. Vous vous connectez au FortiGate qui opère en tant que membre primaire pour le domaine virtuel. Dès lors le nom d hôte affiché est le nom d hôte du membre primaire. La liste des membres du cluster diffère selon le membre du cluster. Dans l exemple décrit à la page 139 «Exemple de configuration d un clustering virtuel», si vous connectez le port5, vous vous connectez au FortiGate_A (FortiGate_A s affiche dans la barre de titres de l interface graphique). Sélectionnez Configuration Globale et ensuite Système > Configuration > HA. A partir de chaque liste de membres, vous pouvez sélectionner Editer pour le boîtier FortiGate_A pour modifier la configuration HA du cluster virtuel et définir les priorités du FortiGate_A dans le cluster virtuel 1 et dans le cluster virtuel 2. En sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom d hôte du FortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 1. En sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 2, vous pouvez modifier le nom d hôte du FortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 2. Illustration 63 : Exemple d un cluster virtuel affichant la liste des membres du cluster FortiGate_A Connectez-vous au port7 pour vous connecter au FortiGate_B (FortiGate_B s affiche dans la barre de titre de l interface graphique). Sélectionnez Configuration Globale et ensuite Système > Configuration > HA. A partir de chaque liste de membres, vous pouvez sélectionner Editer pour le boîtier FortiGate_B pour modifier la configuration HA du cluster virtuel et définir les 142 Guide d Administration FortiGate Version 3.0

143 priorités du FortiGate_B dans le cluster virtuel 1 et dans le cluster virtuel 2. En sélectionnant Editer pour le boîtier FortiGate_A dans le cluster virtuel 1, vous pouvez modifier le nom d hôte du FortiGate_A, ainsi que la priorité de FortiGate_A dans le cluster virtuel 1. En sélectionnant Editer pour le boîtier FortiGate_A dans le cluster virtuel 2, vous pouvez modifier le nom d hôte du FortiGate_A, ainsi que la priorité de FortiGate_A dans le cluster virtuel 2. Illustration 64 : Exemple d un cluster virtuel affichant la liste des membres du cluster FortiGate_B Exemple de configuration en maillage intégral HA L illustration 65 représente une configuration en maillage intégral HA avec un cluster de deux membres FortiGate Cette section décrit les paramètres de configuration FortiGate et les composants requis pour ce type de configuration. Cette section parcourt également des exemples de démarches pour l installation d une configuration en maillage intégral HA. Les procédures reprises dans cette section représentent une séquences de démarches possible parmi plusieurs pour configurer une configuration en maillage intégral HA. Une fois que vous serez plus expérimenté avec FortiOS, HA et le maillage intégral HA, rien ne vous empêche d utiliser une séquence de démarches différente. Par commodité, les procédures suivantes partent du principe que le boîtier FortiGate est configuré avec les paramètres par défaut. Cependant, ceci n est pas une nécessité pour un déploiement HA réussi. La HA FortiGate est suffisamment flexible pour supporter une configuration à partir de paramètres de départ variés. Les procédures décrivent comment configurer un cluster opérant en mode NAT/Route, puisqu il s agit du mode de fonctionnement par défaut. Cependant les démarches sont les mêmes pour un cluster opérant en mode Transparent. Vous pouvez passer en mode Transparent, soit avec le commencement des procédures, soit après la configuration HA, alors que le cluster déjà connecté est opérationnel. Configuration en maillage intégral HA FortiGate-5001 Configuration de commutateurs en maillage intégral Connexions réseau en maillage intégral Guide d Administration FortiGate Version

144 Circulation des paquets du réseau interne à travers le cluster en maillage intégral et vers l Internet Configurer les FortiGate-5001 pour opérer en HA Ajouter des interfaces redondantes au cluster Connecter le cluster à votre réseau Illustration 65 : Exemple de configuration en maillage intégral HA Configuration en maillage intégral HA FortiGate-5001 Les deux membres FortiGate-5001 (1 et 2) peuvent opérer en mode NAT/Route ou Transparent. En plus des paramètres HA standard, la configuration des FortiGate comprend les paramètres suivants : Les interfaces port9 et port10 sont configurées comme interfaces de heartbeat HA (dans la configuration par défaut). Les interfaces port1 et port2 sont ajoutées à une interface redondante. Port1 est l interface physique active de cette interface redondante. Les interfaces port3 et port4 sont ajoutées à une interface redondante. Port3 est l interface physique active de cette interface redondante. Une configuration en maillage intégral HA comprend également des interfaces de heartbeat HA. Lorsque les FortiGate-5001 sont installés dans un châssis 144 Guide d Administration FortiGate Version 3.0

145 FortiGate-5020, les interfaces redondantes port9 et port10 de heartbeat HA sont connectées via le fond de panier du châssis. Par contre, dans le cas où les FortiGate-5001 sont installés dans un châssis FortiGate-5050 ou FortiGate-5140, il est nécessaire d installer des cartes de commutation FortiSwitch redondantes (par exemple deux FortiGate-5003). Configuration de commutateurs en maillage intégral Repris dans l exemple, deux commutateurs (ou concentrateurs optiques équivalents), appelés commutateur 1 et commutateur 2, et connectés au réseau interne. Un lien ISL (interswitch-link) relie les commutateurs 1 et 2. Egalement, deux autres commutateurs (ou concentrateurs optiques équivalents), appelés commutateur 3 et commutateur 4, et connectés au réseau externe. Un lien ISL (interswitch-link) relie les commutateurs 3 et 4. Connexions réseau en maillage intégral Créez les connexions réseau physiques suivantes pour le boîtier FortiGate 1 : Port1 au commutateur 1 (actif) Port2 au commutateur 2 (inactif) Port3 au commutateur 3 (actif) Port4 au commutateur 4 (inactif) 1 Circulation des paquets du réseau interne à travers le cluster en maillage intégral et vers l Internet Dans le cas où le cluster opère en mode actif-passif et que le boîtier FortiGate 2 est le membre primaire, tous les paquets prennent le chemin suivant, du réseau interne vers Internet : Du réseau interne au commutateur 2. (Le commutateur 2 est la connexion active au FortiGate 2, le membre primaire dans notre exemple. C est donc le membre primaire qui reçoit tous les paquets). 2 Du commutateur 2 à l interface port1 du FortiGate 2. (Connexion active entre le commutateur 2 et le boîtier FortiGate 2. Port1 est le membre actif de l interface redondante). 3 4 Créez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 : Port1 au commutateur 2 (actif) Port2 au commutateur 1 (inactif) Port3 au commutateur 4 (actif) Port4 au commutateur 3 (inactif) Du port1 du FortiGate 2 au port3 du FortiGate 2 (Connexion active entre le commutateur 4 et le boîtier FortiGate 2. Port1 est le membre actif de l interface redondante). Du commutateur 4 au routeur externe et vers Internet. Guide d Administration FortiGate Version

146 Configurer les FortiGate-5001 pour opérer en HA Tous les membres FortiGate-5001 du cluster doivent être configurés identiquement quant à leurs paramètres HA. La procédure suivante parcourt la configuration des membres FortiGate-5001 pour opérer en HA. Voir «Options HA» à la page 114 pour plus d informations sur les options HA reprises dans cette procédure. 1 Installez les FortiGate-5001, ainsi que les cartes de commutations FortiSwitch dans le châssis et mettez ensuite le châssis sous tension. 2 Connectez-vous à l interface d administration web d un des FortiGate Facultativement, vous pouvez donner un nom d hôte au FortiGate. Voir «Modification du nom d hôte du FortiGate» à la page 52. Les noms d hôte servent à identifier les membres du cluster individuellement. 4 Sélectionnez Système > Configuration > HA. 5 Définissez le mode Actif-Passif ou Actif-Actif. 6 7 Entrez un mot de passe pour le cluster. Celui-ci doit être identique pour tous les membres FortiGate du cluster. Cliquez sur OK. Remarque : Vous pouvez maintenir la configuration par défaut des options HA restantes et les modifier plus tard, une fois le cluster opérationnel. Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK, la connexion du FortiGate risque d être perdue pendant un moment car le cluster HA négocie et le FGCP modifie l adresse MAC des interfaces FortiGate (voir «Adresses MAC d un cluster virtuel» à la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC d administration en effaçant l entrée du tableau ARP pour votre FortiGate (ou simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisez la commande CLI similaire à arp d. 8 Répétez cette procédure pour l autre membre FortiGate-5001 du cluster. Les membres FortiGate-5001 négocient pour former un cluster. Ajouter des interfaces redondantes au cluster Une fois le cluster opérationnel, vous pouvez lui ajouter des interfaces redondantes avant d intégrer d additionnelles modifications de configuration. Vous ne pouvez pas ajouter des interfaces physiques à une interface redondante si les interfaces physiques ont été configurées avec une adresse IP (ou d autres options de configuration d interface) ou encore si celles-ci sont comprises dans d autres paramètres de configuration. Les procédures suivantes décrivent comment ajouter port1 et port2 à une interface redondante et port3 et port4 à une autre. A partir de la configuration par défaut, il est nécessaire de supprimer les adresses IP de port1 et port2, ainsi que port2 de la route par défaut. La procédure suivante ne rentre pas dans les détails et n explique pa s comment maintenir une connexion à l interface graphique pendant la démarche ci-dessous. Il y a plusieurs façons d accomplir les étapes de la proc édure et cela dépend de votre configuration. Par exemple, vous pouvez utiliser une connexion console à l interface de ligne de commande pour configurer une 146 Guide d Administration FortiGate Version 3.0

147 interface différente (par exemple port5) avec une adresse IP et un accès administratif. 1 Connectez-vous à l interface d administration web du cluster. 2 Sélectionnez Système > Réseau > Interface Supprimez la route par défaut, ainsi que toutes les routes éventuellement ajoutées aux port1, port2, port3 et port4. Vous pouvez également éditer des routes statiques pour configurer le dispositif sur un nom d interface différent Editer le port1 et affectez lui l IP/Masque de réseau / Editer le port2 et affectez lui l IP/Masque de réseau / Sélectionnez Routeur > Static > Route Statique. Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau et ajoutez la première interface redondante. Nom Type Membres de l interface physique Mode d Adressage Nom Type Mode d Adressage R_Int_1_2 Connecter le cluster à votre réseau Interface Redondante Ajouter port1 et port2 à la liste des Interfaces Sélectionnées. Sélectionnez le mode d adressage requis pour votre réseau et ajoutez un IP/Masque de réseau si nécessaire. Cliquez sur Créer Nouveau et ajoutez la deuxième interface redondante. Membres de l interface physique R_Int_3_4 Interface Redondante Ajouter port3 et port4 à la liste des Interfaces Sélectionnées. Sélectionnez le mode d adressage requis pour votre réseau et ajoutez un IP/Masque de réseau si nécessaire. La procédure suivante permet de connecter le cluster de deux membres FortiGate à une configuration en maillage intégral HA. Elle décrit les connexions des interfaces des FortiGate 1 et 2 tels que représentées dans l illustration 65 à la page 144. Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 1 : Connectez le port1 du FortiGate-5001 au commutateur 1. Connectez le port2 du FortiGate-5001 au commutateur 2. Connectez le port3 du FortiGate-5001 au commutateur 3. Connectez le port4 du FortiGate-5001 au commutateur 4. 2 Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 : Connectez le port1 du FortiGate-5001 au commutateur 2. Connectez le port2 du FortiGate-5001 au commutateur 1. Connectez le port3 du FortiGate-5001 au commutateur 4. Guide d Administration FortiGate Version

148 Connectez le port4 du FortiGate-5001 au commutateur 3. 3 Connectez les commutateurs 1 et 2 au réseau interne. 4 5 Connectez les commutateurs 3 et 4 au routeur externe. Activez la communication ESL entre les commutateurs 1 et 2 et entre les commutateurs 3 et 4. La configuration en maillage intégral HA de base est à présent terminée. Vous pouvez configurer le cluster de la même manière qu un équipement FortiGate autonome. Vous pouvez mettre le cluster en service et modifier les paramètres HA de la même manière qu un cluster HA standard. Maillage intégral HA pour clustering virtuel Les FortiGate-800 et plus supportent la configuration en maillage intégral HA pour les clusters FortiGate opérant en tant que cluster virtuel. La configuration en maillage intégral HA d un clustering virtuel consiste en une expansion du maillage intégral HA à chaque domaine virtuel du cluster. Par exemple, un cluster de deux FortiGate-5001 peut opérer comme un cluster HA dont les domaines virtuels et le clustering virtuel sont activés. Le cluster peut être configuré avec deux domaines virtuels : le domaine virtuel root et vous pouvez ajouter un domaine virtuel appelé vdom_1. Le domaine virtuel root peut comprendre les interfaces suivantes : Interface redondante R_Int_1_2 comprenant les interfaces physiques port1 et port2. R_Int_1_2 peut être connectée à des commutateurs redondants euxmêmes connectés à un réseau interne. Interface redondante R_Int_3_4 comprenant les interfaces physiques port3 et port4. R_Int_3_4 peut être connectée à des commutateurs redondants euxmêmes connectés à Internet. Le domaine virtuel vdom_1 peut comprendre les interfaces suivantes : Interface redondante R_Int_5_6 comprenant les interfaces physiques port5 et port5. R_Int_5_6 peut être connectée à des commutateurs redondants euxmêmes connectés à un réseau interne. Interface redondante R_Int_7_8 comprenant les interfaces physiques port7 et port8. R_Int_7_8 peut être connectée à des commutateurs redondants euxmêmes connectés à Internet. Les domaines virtuels supportent des configurations mixtes maillage intégral et HA classique. Par exemple, vous pouvez configurer en maillage intégral HA le domaine virtuel root et procéder à une configuration HA classique pour le domaine virtuel vdom_1. Remarque : Les interfaces physiques ajoutées à une interface redondante doivent être ajoutées au même domaine virtuel que l interface redondante avant même d être ajoutées à l interface redondante. 148 Guide d Administration FortiGate Version 3.0

149 HA et interfaces redondantes Sur les modèles FortiGate-800 et plus, vous pouvez utiliser des interfaces redondantes pour combiner deux ou plusieurs interfaces en une seule interface redondante. Pour plus d informations sur l ajout d interfaces redondantes, voir «Création d une interface redondante» à la page 67. L adresse MAC de l interface redondante est celle de la première interface répertoriée dans la liste des interfaces ajoutées à la configuration de l interface redondante. La liste de ces interfaces apparaît dans l ordre alphabétique. Dès lors, dans l exemple où l interface redondante comprend les port1 et port2, l interface redondante apparaît seule sur le réseau avec l adresse MAC du port1. Un cluster HA avec une interface redondante peut par exemple comprendre deux boîtiers FortiGate-800 opérant en mode HA et installés entre un serveur réseau et Internet. La connexion entre le cluster et le serveur réseau consiste en une connexion de l interface redondante vers port1 et port2 des boîtiers FortiGate-800 dans le cluster. L interface redondante est configurée comme une interface HA contrôlée. Le commutateur est également connecté au serveur réseau. Le cluster est connecté à Internet via une connexion gigabyte à un commutateur. Le commutateur se connecte aux ports4 des deux membres FortiGate-800 dans le cluster. Illustration 66 : Exemple d un cluster avec une interface redondante Surveillance de l interface HA, réplication de lien et interfaces redondantes La surveillance de l interface HA contrôle l interface redondante comme une interface unique et ne contrôle donc pas les interfaces physiques individuelles dans l interface redondante. Cette surveillance enregistre une défaillance de l interface redondante uniquement si toutes les interfaces physiques de cette interface redondante sont en panne. Si seules certaines de ces interfaces physiques sont en panne ou déconnectées, la haute disponibilité considère l interface redondante comme opérant normalement. Guide d Administration FortiGate Version

150 Adresses MAC HA et interfaces redondantes Dans le cas d un boîtier FortiGate autonome, une interface redondante possède l adresse MAC de la première interface physique dans la configuration de l interface redondante. Une interface redondante comprenant port1 et port2 aurait l adresse MAC de port1. Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces du cluster en adresses MAC virtuelles. Une interface redondante dans un cluster obtient l adresse MAC virtuelle qu aurait dû obtenir la première interface physique qui apparaît dans la configuration de l interface redondante. Connexion de multiples interfaces redondantes à un commutateur en mode HA actif-passif L HA affecte les mêmes adresses MAC virtuelles aux interfaces du membre subordonné qu aux interfaces correspondantes du membre primaire. Prenons l exemple d un cluster composé de deux FortiGate opérant en mode actif-passif avec une interface redondante comprenant des port1 et port2. Vous pouvez connecter de multiples interfaces redondantes au même commutateur si vous le configurez de manière à ce qu il définisse de multiples interfaces redondantes séparées et mettent les interfaces redondantes de chaque membre du cluster dans des interfaces redondantes séparées. Avec une telle configuration, chaque membre du cluster forme une interface redondante séparée avec le commutateur. Cependant, si le commutateur est configuré avec une configuration d interface redondante unique 4-ports (parce que les mêmes adresses MAC sont utilisées par les deux membres du cluster), le commutateur ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du membre subordonné) à la même interface redondante. Pour éviter des résultats imprévisibles, lors de la connexion du commutateur à des interfaces redondantes dans un cluster actif-passif, il est conseillé de configurer des interfaces redondantes séparées sur le commutateur, une pour chaque membre du cluster. Connexion de multiples interfaces redondantes à un commutateur en mode HA actif-actif Dans un cluster actif-actif, tous les membres du cluster reçoivent et envoient des paquets. Pour créer un cluster avec interfaces redondantes en mode actif-actif, avec de multiples interfaces redondantes connectées au même commutateur, vous devez séparer les interfaces redondantes de chaque membre du cluster en interfaces redondantes différentes sur le commutateur connecté. HA et interfaces agrégées 802.3ad Sur les modèles FortiGate-800 et plus, vous pouvez utiliser une agrégation 802.3ad pour combiner deux ou plusieurs interfaces en une interface agrégée unique. A propos des agrégations 802.3ad, voir «Création d une interface agrégée 802.3ad» à la page 66. Une interface agrégée acquiert son adresse MAC de la première interface de la liste des interfaces ajoutées à l agrégation. Les interfaces sont répertoriées dans la configuration agrégée par ordre alphabétique. Ainsi, par exemple, si une 150 Guide d Administration FortiGate Version 3.0

151 agrégation comprend les port1 et port2, l interface agrégée apparaît sur le réseau comme une interface unique avec l adresse MAC du port1. Un cluster HA avec une interface agrégée peut comprendre deux FortiGate-800 opérant en mode HA. Ces deux membres FortiGate-800 sont connectés à Internet via une connexion gigabyte à un commutateur. Le commutateur se connecte au port4 des deux membres FortiGate-800 du cluster. Les domaines virtuels ne sont pas configurés. Un serveur réseau est connecté à un commutateur via deux connexions 100 Mbit/s. Le commutateur utilise des connexions d agrégation de liens (2 x 100Mbit/s) pour se connecter aux port1 et port2 des membres FortiGate-800 du cluster. L interface agrégée est configurée comme une interface HA sous contrôle. Illustration 67 : Exemple d un cluster avec interfaces agrégées Surveillance d interface HA, réplication de lien et agrégation 802.3ad La surveillance de l interface HA contrôle l interface agrégée comme une interface unique et ne contrôle pas les interfaces physiques individuelles dans l agrégation. Cette surveillance enregistre une défaillance de l interface agrégée uniquement si toutes les interfaces physiques de cette interface agrégée sont en panne. Si seules certaines de ces interfaces physiques sont en panne ou déconnectées, la haute disponibilité considère l interface agrégée comme opérant normalement. Adresses MAC HA et agrégation 802.3ad Si une configuration agrégée lien utilise le Link Aggregate Control Protocol (LACP), soit passif ou actif, ce protocole est négocié par delà toutes les interfaces de toute agrégation. Dans le cas d un boîtier FortiGate autonome, l implémentation du LACP FortiGate utilise l adresse MAC de la première interface physique dans la configuration de l agrégation pour identifier uniquement cette agrégation. Une interface agrégée comprenant port1 et port2 aurait l adresse MAC de port1. Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces du cluster en adresses MAC virtuelles. Une interface agrégée dans un cluster obtient l adresse MAC virtuelle qu aurait dû obtenir la première interface de l agrégation. Guide d Administration FortiGate Version

152 Mode HA actif-passif et LACP La haute disponibilité affecte les mêmes adresses MAC virtuelles aux interfaces du membre subordonné que celles affectées aux interfaces correspondantes du membre primaire. Prenons l exemple d un cluster de deux FortiGate opérant en mode actif-passif avec une interface agrégée comportant les port1 et port2. Vous pouvez connecter de multiples interfaces agrégées au même commutateur si vous le configurez de manière à ce qu il définisse des agrégations séparées. Le commutateur place ensuite les interfaces de chaque membre du cluster dans des agrégations séparées. Avec une telle configuration, chaque membre du cluster forme une agrégation séparée avec le commutateur. Cependant si le commutateur est configuré avec un agrégation unique de quatre ports et puisque les mêmes adresses MAC sont utilisées par les deux membres du cluster, le commutateur ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du membre subordonné) à la même agrégation. Cela engendre des problèmes puisque le commutateur distribue le trafic à travers les quatre interfaces de l agrégation. Ainsi, le trafic pourrait être reçu par une interface du m embre primaire et renvoyé par une interface connectée au membre subordonné. Pour empêcher ce problème, lors de la connexion du commutateur aux interfaces agrégées d un cluster en mode actif-passif, vous devriez configurer des agrégations séparées sur le commutateur ; un pour chaque membre du cluster. SNMP Si vous devez malgré tout ajouter les deux membres FortiGate à la même agrégation, vous pouvez empêcher le membre subordonné d envoyer ou d accepter des paquets LACP en définissant le mot-clé CLI config system interface lacp-ha-slave sur disable. De cette manière, le membre subordonné ne participe pas à l agrégation. En cas de réplication, lorsque le membre subordonné devient le nouveau membre primaire, ce dernier commence à envoyer et recevoir des paquets LACP et rejoint l agrégation. La commande lacpha-slave est activée par défaut. Voir le FortiGate CLI Reference pour plus d informations sur le mot-clé lacp-ha-slave. Vous pouvez configurer l agent SNMP FortiGate pour transmettre des rapports sur les informations du système et envoyer des traps (alarmes et messages sur les événements) aux superviseurs SNMP. A l aide de l un de ces superviseurs, vous pouvez accéder aux traps et données SNMP à partir de n importe quelle interface FortiGate ou sous-interface VLAN configurée pour un accès administratif SNMP. L implémentation FortiGate SNMP est autorisée en lecture uniquement. Les superviseurs compatibl es SNMP v1 et v2c ne possèdent que les droits en lecture des informations sur le système FortiGate et reçoivent des traps FortiGate. Pour contrôle r les informations sur le système FortiGate et recevoir les traps FortiGate, vous devez compiler les MIB privées Fortinet ainsi que les MIB standard supportées par votre superviseur SNMP. Le support des RFC intègre le support de la majorité des informations de la RFC 2665 (MIB type Ethernet) ainsi que de celle de la RFC 1213 (MIB II) (Pour plus d informations, voir «MIB FortiGate» à la page 156). 152 Guide d Administration FortiGate Version 3.0

153 Configuration SNMP Pour configurer l agent SNMP, sélectionnez Système > Configuration > SNMP v1/v2c. Illustration 68 : Configuration SNMP Activer SNMP Active l agent SNMP FortiGate. Description Entrez une information descriptive à propos du FortiGate. Cette information ne doit pas dépasser 35 caractères. Localisation Entrez la localisation physique du boîtier FortiGate. Cette information ne doit pas dépasser 35 caractères. Contact Entrez les informations de contact de la personne responsable de ce boîtier FortiGate. Cette information ne doit pas dépasser 35 caractères. Appliquer Enregistre les modifications apportées à la description, la localisation et au contact. Créer Nouveau Cliquez sur Créer Nouveau pour ajouter une nouvelle communauté SNMP. Voir «Configuration d une communauté SNMP» à la page 154. Communautés La liste des communautés SNMP ajoutées à la configuration FortiGate. Vous pouvez ajouter jusqu à trois communautés. Nom Le nom de la communauté. Requêtes Le statut des requêtes SNMP de chaque communauté SNMP. Ce statut peut être activé ou désactivé. Traps Le statut des traps SNMP de chaque communauté SNMP. Ce statut peut être activé ou désactivé. Activer Active une communauté. Icône Supprimer Supprime une communauté SNMP. Icône Editer/Visualiser Permet de modifier ou visualiser une communauté SNMP. Guide d Administration FortiGate Version

154 Configuration d une communauté SNMP Une communauté SNMP est un regroupement d équipements dans un objectif d administration de réseaux. La création de communautés permet aux superviseurs SNMP de se connecter à l équipement FortiGate pour prendre connaissance des informations su r le système et pour recevoir des traps SNMP. Vous pouvez créer jusqu à trois communautés. Chacune d entre elles peut être configurée différemment pour les requêtes et traps SNMP. Chaque communauté peut être configurée pour contrôler différents types d événements du boîtier FortiGate. Vous pouvez également ajouter jusqu à 8 adresses IP de superviseurs SNMP à chaque communauté. Illustration 69 : Options pour les communautés SNMP (partie 1) Illustration 70 : Options pour les communautés SNMP (partie 2) Communauté Serveur SNMP Entrez un nom d identification de la communauté. Entrez l adresse IP et identifiez les superviseurs SNMP qui peuvent utiliser les paramètres de cette communauté SNMP pour surveiller l équipement FortiGate. 154 Guide d Administration FortiGate Version 3.0

155 Adresse IP Interface Supprimer Ajouter Requêtes Traps Evénements SNMP Entrez l adresse IP d un superviseur SNMP qui peut utiliser les paramètres de la communauté pour surveiller l équipement FortiGate. Vous pouvez également définir l adresse IP sur pour que tout superviseur SNMP puisse utiliser cette communauté. Facultativement, sélectionnez le nom de l interface que ce superviseur SNMP utilise pour se connecter à l équipement FortiGate. Cette démarche est nécessaire que si le superviseur SNMP n est pas sur le même sous-réseau que l équipement FortiGate. C est le cas par exemple d un superviseur passant par Internet ou placé derrière un routeur. Cliquez sur l icône supprimer du superviseur que vous désirez supprimer. Créer une nouvelle ligne dans la liste Serveur SNMP. Il est possible d ajouter jusqu à 8 superviseurs SNMP à une communauté. Entrez le numéro du port (161 par défaut) utilisé par les superviseurs de cette communauté pour les requêtes SNMP v1 et SNMP v2c pour recevoir des informations sur la configuration de la part du boîtier FortiGate. Cochez les cases Activer pour activer les requêtes de chaque version SNMP. Entrez les numéros de ports local et distant (port 162 par défaut pour chacun) que le boîtier FortiGate utilise pour envoyer des traps SNMP v1 et SNMP v2c vers les superviseurs SNMP de cette communauté. Cochez les cases Activer pour activer les traps pour chaque version SNMP. Cochez les cases Activer des événements SNMP dont les traps doivent être envoyés aux superviseurs SNMP de cette communauté par le boîtier FortiGate. Configurer une interface pour un accès SNMP Afin de permettre les connexions d un superviseur SNMP à distance à un agent FortiGate, il est nécessaire de configurer une ou plusieurs interfaces SNMP pour accepter les connexions SNMP. 1 Sélectionnez Système > Réseau > Interface. 2 Cliquez sur l icône Editer d une interface à laquelle se connecte un superviseur SNMP. 3 Dans la section Administration, cochez la case SNMP. 4 Cliquez sur OK. Configurer un accès SNMP en mode Transparent 1 Sélectionnez Système > Configuration > Operation Mode. 2 Entrez l adresse IP utilisée pour l accès administratif et le masque de réseau dans le champ IP/Masque de réseau de gestion. 3 Cliquez sur Appliquer. Guide d Administration FortiGate Version

156 Vous devez con figurer une ou plusieurs interfaces dans votre VDOM pour accepter l accès SNMP. MIB FortiGate L agent SNMP FortiGate supporte les MIB privées FortiGate, ainsi que les MIB standard des RFC 1213 et RFC Le support RFC comprend un support pour l es parties de la RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB II) qui s appliquent à la configuration du FortiGate. L es MIB FortiGate, ainsi que les deux MIB RFC sont répertoriées dans le tableau 10. Ces fichiers MIB sont disponibles au Support Technique Fortinet. Pour pouvoir communiquer avec l agent SNMP, vous devez compiler toutes ces MIB dans votre superviseur SNMP. Il est probable que votre superviseur SNMP contiennent déjà des MIB standard et privées dans une base de do nnées prête à l emploi. Il est cependant nécessaire d ajouter les MIB privées Fortinet à cette base de données. Dans le cas où les MIB standard utilisées par l agent SNMP Fortinet sont déjà compilées dans votre superviseur SNMP, il n est pas nécessaire de les recompiler. Tableau 10 : MIB FortiGate Nom de ficher MIB ou RFC fortinet.3.00.mib RFC-1213 (MIB II) RFC-2665 (MIB type Ethernet) Description La MIB privée Fortinet comprend des informations détaillées sur la configuration du système et sur les traps. Votre superviseur SNMP requiert ces informations pour surveiller les paramètres de configuration FortiGate et recevoir les traps de l agent SNMP FortiGate. Voir «Traps FortiGate» ci-dessous et «Champs MIB Fortinet» à la page 158. L agent SNMP FortiGate supporte les groupes MIB II avec les exceptions suivantes : Pas de support pour le groupe EGP de MIB II (RFC 1213, section 3.11 et.10). Les statistiques sur le protocole renvoyées pour les groupes MIB II (IP/ICMP/TCP/UDP/etc.) ne capturent pas précisément toute l activité du trafic FortiGate. Des informations plus précises peuvent être obtenue par les informations reportées par la MIB Fortinet. L agent SNMP FortiGate supporte les informations MIB type Ethernet à l exception de : Pas de support pour les groupes dot3tests et dot3errors. Traps FortiGate L agent FortiGate peut envoyer des traps aux superviseurs SNMP des communautés SNMP. La réception des traps ne peut se faire qu après avoir chargé et compilé la MIB Fortinet 3.0 sur le superviseur SNMP. Tous les traps comprennent le message trap ainsi que le numéro de série du boîtier FortiGate. 156 Guide d Administration FortiGate Version 3.0

157 Tableau 11 : Traps FortiGate génériques Message trap Description ColdStart WarmStart LinkUp LinkDown Tableau 12 : Traps Système FortiGate Message trap Description CPU usage high (fntrapcpuhigh) Traps standard tels que décrits dans la RFC Le taux CPU dépasse 90%. Memory low Le taux mémoire dépasse 90% (fntrapmemlow) Interface IP change (fntrapifchange) (fnfmtrapifchange) (fnfmtrapconfchange) Tableau 13 : Traps VPN FortiGate Message trap Description VPN tunnel is up (fntrapvpntunup) VPN tunnel down (fntrapvpntundown) T ableau 14 : Traps IPS FortiGate Message trap Description IPS Anomaly (fntrapipsanomaly) IPS Signature (fntrapipssignature) Modification d une adresse IP sur une interface FortiGate. Le message trap comprend le nom de l interface, la nouvelle adresse IP et le numéro de série du boîtier FortiGate. Vous pouvez utiliser ce trap pour trouver les modifications d adresse IP des interfaces dont les adresses IP dynamiques sont définies via DHCP ou PPPoE. Pas de message. L interface change d IP. Envoyé uniquement pour contrôler le FortiManager. Tout changement apporté au FortiGate, à l exception des changements apportés par un FortiManager connecté. Un tunnel VPN IPSec commence. Un tunnel VPN IPSec se ferme. Anomalie IPS détectée. Signature IPS détectée. Tableau 15 : Traps antivirus FortiGate Message trap Description Virus detected (fntrapavevent) Tableau 16 : Traps logging FortiGate Message trap Description Log full (fntraplogfull) Le boîtier FortiGate détecte un virus et le supprime du fichier infecté du téléchargement HTTP ou FTP ou du message . Sur un équipement FortiGate muni d un disque dur, l utilisation du disque dépasse 90%. Sur un équipement FortiGate non muni d un disque dur, l utilisation de la journalisation en mémoire dépasse 90%. Guide d Administration FortiGate Version

158 Tableau 17 : Traps HA FortiGate Message trap Description HA switch (fntraphaswitch) Tableau 18 : Traps FortiBridge Message trap Description FortiBridge detects fail (fntrapbridge) Le membre primaire d un cluster tombe en panne et est remplacé par un n ouveau membre primaire. Un équipement FortiBridge détecte une panne d un équipement FortiGate. Champs MIB Fortinet Les MIB Fortinet comprennent des champs concernant les statuts courants du système FortiGate. Les tableaux ci-dessous ré pertorient les noms des champs MIB et leur description. Des informations plus détaillées sur les champs MIB Fortinet sont disponibles en compilant le fichier fortinet.3.00.mib sur votre superviseur SNMP et en parcourant les champs MIB Fortinet. T ableau 19 : Champs MIB du système Champ MIB Description fnsysmodel fnsysserial fnsysversion fnsysversionav Le numéro du modèle boîtier FortiGate, par exemple 400 pour un FortiGate-400. Le numéro de série de l équipement FortiGate. La version du microcode installé sur l équipement FortiGate. La version de la base de connaissance antivirus installée sur l équipement FortiGate. fnsysversionnids La version de l a base de connaissance des attaques installée sur l équipement FortiGate. fnsyshamode Le mode HA en cours (stand alone, A-A, A-P). fnsysopmode fnsyscpuusage fnsysmemusage fnsyssescount fnsysdiskcapacity fnsysdiskusage Tableau 20 : Champs MIB HA Champ MIB Description fnhaschedule fnhastatstable Le mode de fonctionnement en cours (NAT ou Transparent). Le taux CPU (en pourcentage). Le taux d utilisation de la mémoire (en Mbit). Le compteur de sessions IP en cours. La capacité du disque dur (Mbit). L usage en cours du disque dur (Mbit). Horaire pour l équilibrage de charge en mode A-A. Statistiques pour les membres individuels FortiGate d un cluster HA. fnhastatsindex Le numéro de l index du membre dans le cluster. fnhastatsserial Le numéro de série du membre FortiGate. fnhastatscpuusage Le taux CPU du membre FortiGate (%). fnhastatsmemusage fnhastatsnetusage fnhastatssescount fnhastatspktcount Le taux usage de la mémoire du membre FortiGate. L utilisation réseau en cours (Kbit/s). Le nombre de sessions actives. Le nombre de paquets traités. 158 Guide d Administration FortiGate Version 3.0

159 fnhastatsbytecount fnhastatsidscount fnhastatsavcount Le nombre d octets traités par le membre FortiGate. Le nombre d attaques détectées par l IPS les dernières 20 heures. Le nombre de virus détectés par l antivirus les dernières 20 heures. Tableau 21 : Comptes Administrateurs Champ MIB Description fnadminnumber fnadmintable Le nombre d administrateurs sur l équipement FortiGate. Le tableau des administrateurs. fnadminindex fnadminname fnadminaddr Tableau 22 : Utilisateurs locaux Champ MIB Description Le numéro de l index du compte administrateur. Le nom du compte administrateur. Une adresse d un hôte ou sous-réseau de confiance à partir duquel ce compte administrateur peut être utilisé. fnadminmask Le masque de réseau de fnadminaddr. fnusernumber L e nombre de comptes utilisateurs locaux sur l équipement FortiGate. fnusertable Le tableau des utilisateurs locaux. fnuserindex fnusername fnuserauth fnuserstate Le numéro de l index du compte de l utilisateur local. Le nom du compte de l utilisateur local. Le type d authentification pour l utilisateur local : local un mot de passe sauvegardé sur l équipement FortiGate. radius-single un mot de passe sauvegardé sur un serveur RADIUS. radius-multiple tous les utilisateurs qui peuvent s authentifier sur un serveur RADIUS peuvent se connecter. ldap un mot de passe sauvegardé sur un serveur LDAP. Etat de l utilisateur local : activé ou désactivé. Tableau 23 : Options Champ MIB fnoptidletimeout fnoptauthtimeout fnoptlanguage fnoptlcdprotection Description La période d inactivité en minutes après laquelle un administrateur doit se réauthentifier. La période d inactivité en minutes après laquelle un utilisateur doit se réauthentifier avec un pare-feu. La langue de l interface d administration web. Dans le cas où un PIN LCD a été envoyé. Guide d Administration FortiGate Version

160 Tableau 24 : Journalisation Champ MIB Description fnlogoption Tableau 25 : Messages personnalisés Champ MIB Description fnmessages Tableau 26 : Domaines virtuels Champ MIB Description fnvdnumber fnvdtable Les préférences en matière de journalisation. Le nombre de messages personnalisés sur l équipement FortiGate. Le nombre de domaines virtuels sur l équipement FortiGate. Tableau des domaines virtuels fnvdindex fnvdname Tableau 27 : Sessions IP actives Champ MIB Description Le numéro de l index du domaine virtuel interne sur l équipement FortiGate. Le nom du domaine virtuel. fnipsessindex Le numéro de l index de la session IP active. fnipsessproto Le protocole IP (TCP, UDP, ICMP, etc.) de la session. fnipsessfromaddr L adresse IP source de la session IP active. fnipsessfromport Le por t source de la session IP active. fnipsesstoport L adresse IP de destination de la session IP active. fnipsesstoaddr Le port de destination de la session IP active. fnipsessexp Le temps d expiration en secondes pour la session. Tableau 28 : VPN dialup Champ MIB fnvpndialupindex fnvpndialupgateway fnvpndialuplifetime Description L index du dialup VPN paire. L adresse IP distante de la passerelle. La durée de fonctionnement en secondes du tunnel VPN. fnvpndialuptimeout Le temps restant jusqu au prochain échange de clé (en secondes). fnvpndialupsrcbegin fnvpndialupsrcend fnvpndialupdstaddr L adresse du sous-réseau distant. Le masque du sous-réseau distant. L adresse du sous-réseau local. 160 Guide d Administration FortiGate Version 3.0

161 Messages de remplacement Sélectionnez Système > Configuration > Messages de Remplacement pour modifier les messages de remplacement et personnaliser les s et informations sur les alertes que le boîtier FortiGate ajoute aux flux de contenu tels que messages s, pages Internet et sessions FTP. L équipement FortiGate adjoint des messages de remplacement à plusieurs types de flux de contenu. Par exemple, si un virus est trouvé dans un , le fichier contaminé est supprimé de l et remplacé par un message de remplacement. Cette procédure s applique également aux pages Internet bloquées par un filtrage web et aux s bloqués par un filtrage antispam. Liste des messages de remplacement Illustration 71 : Liste des messages de remplacement Nom L e type de message de remplacement. Cliquez sur le triangle bleu pour afficher la catégorie. Vous pouvez modifier les messages adjoints aux s dont les pièces jointes sont infectées par un virus pages web (http) sessions ftp messages de mails d alertes smtp bloqués comme spam pages web bloquées par une des catégories du filtrage web sessions de messagerie instantanée et peer-to-peer Vous pouvez également modifier la page d ouverture de la session pour une authentification de l utilisateur les messages d informations d authentification de l utilisateur (certains modèles) la page d ignorance du filtrage web FortiGuard la page d ouverture de session pour VPN SSL Guide d Administration FortiGate Version

162 Description Icône Visualiser/Editer Description du type de message de remplacement. L interface d administration web décrit l endroit où chaque message de remplacement est utilisé par le boîtier FortiGate. Sélectionnez pour éditer ou visualiser un message de remplacement. Modification des messages de remplacement Illustration 72 : Exemple d un message de remplacement d un virus HTTP L es messages de remplacement s écrivent sous forme de texte ou de messages HTML. Vous pouvez ajouter un co de HTML à des messages HTML. De plus, les messages de remplacement peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs reçoivent le message de remplacement, la balise est remplacée par un contenu en rapport avec le message. Le tableau 29 répertorie les balises des messages de remplacement qui peuvent être adjointes. Tableau 29 : Balises de messages de remplacement Balise Description %%CATEGORY%% %%CRITICAL_EVENT%% %%DEST_IP%% Le nom de la catégorie de contenu du site web. Ajouté aux messages d événement critique d alerte. %%CRITICAL_EVENT%% est remplacée par le message d événement critique qui a enclenché l d alerte. L adresse IP de la destination à partir de laquelle un virus a été reçu. Dans le cas d , il s agit de l adresse IP du serveur qui a envoyé l contaminé. Dans le cas de HTTP, il s agit de l adresse IP de la page web qui a envoyé le virus. %% _FROM%% L adresse de l expéditeur du message duquel le fichier a été supprimé. %% _TO% L adresse du destinataire à l attention duquel le message du fichier a été supprimé. %% FIL E%% Le nom du fichier ayant été supprimé d un flux de contenu. Il peut s agir d un fichier qui contenait un virus ou qui a été bloqué par un antivirus. %%FILE%% peut être utilisé dans les messages de blocage de virus et fichiers. 162 Guide d Administration FortiGate Version 3.0

163 %%FORTIGUAR D_WF%% %%FORTINET%% Le logo FortiGuard Filtrage Web. Le logo Fortinet. %%HTTP_ERR_CODE%% Le code erreur HTTP. Par exemple «404». %%HTTP_ERR_DESC%% %%NIDSVEVENT%% %%NIDS_EVENT%% %%OVERRIDE%% %%OVRD_FORM%% %%PROTOCOL%% %%QUARFILENAME%% %%SERVICE%% %%SOURCE_IP%% %%URL%% %%VIRUS%% La description de l erreur HTTP. Le message de l attaque IPS. %%NIDSEVENT%% est ajouté aux messages d intrusions d alerte. Le lien vers le formulaire d ignorance du filtrage web FortiGuard. Visible uniquement par les utilisateurs qui appartiennent à un groupe qui a la permission de créer des ignorances de filtrage web FortiGuard. Le formulaire d ignorance du filtrage web FortiGuard. Cette balise doit être présente dans le formulaire d ignorance du filtrage web FortiGuard et ne doit pas être utilisée dans les autres messages de remplacement. Le protocole (http, ftp, pop3, imap ou smtp) dans lequel le virus a été détecté. %%PROTOCOL%% est ajouté aux messages des virus des s d alertes. Le nom d un fichier qui a été supprimé d un flux de contenu et placé en quarantaine. Il peut s agir d un fichier qui contient un virus ou a été bloqué par un antivirus. %%QUARFILENAME%% peut être utilisé dans les messages de blocage de virus et fichier. La mise en quarantaine n est possible que sur les équipements FortiGate équipé d un disque local. Le nom du service de filtrage web. L adresse IP du destinataire qui aurait dû recevoir le fichier bloqué. Dans le cas d , il s agit de l adresse IP de l ordinateur de l utilisateur qui a tenté de télécharger le message à partir duquel le fichier a été retiré. L URL d une page web. Il peut s agir d une page web bloquée par un filtre de contenu web ou un blocage d URL. %%URL%% peut aussi être utilisé dans les messages des virus http et de blocage de fichier pour être l URL de la page à partir de laquelle un utilisateur a tenté de télécharger un fichier qui a été bloqué. Le nom du virus trouvé dans un fichier par le système antivirus. %%VIRUS%% peut être utilisé dans les messages virus. Modification de la page de connexion et d authentification Les utilisateurs voient s afficher une page d authentification lorsqu ils utilisent un VPN ou une règle pare-feu qui nécessitent une authentification. Vous pouvez personnaliser cette page de la même manière que vous avez modifié d autres messages de remplacement. Cependant il existe quelques exigences particulières : La page de connexion doit être une page HTLM contenant un formulaire avec ACTION= «/» et METHOD= «POST» Le formulaire doit contenir les contrôles cachés suivants : <INPUT TYPE="hidden" NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%"> Guide d Administration FortiGate Version

164 <INPUT TYPE="hidden" NAME="%%STATEID%%" VALUE="%%STATEVAL%%"> <INPUT TYPE="hidden" NAME="%%REDIRID%%" VALUE="%%PROTURI%%"> Le formulaire doit contenir les contrôles visibles suivants : Exemple <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> <INPUT TYPE="password" NAME="%%PASSWORDID%%" size=25> Ci-dessous un exemple d une page d authentification simple qui répond aux exigences énoncées ci-dessus. <HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this service.</h4> <FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH>Username:</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> <TR><TH>Password:</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR> <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML> Modification de la page d ignorance du filtrage web FortiGuard La balise %%OVRD_FORM%% fournit le formulaire utilisé pour initier une ignorance dans le cas où le filtrage web FortiGuard bloque l accès à une page web. Ne pas retirer cette balise du message de remplacement. 164 Guide d Administration FortiGate Version 3.0

165 Modification du message de connexion VPN SSL Le message de connexion VPN SSL présente une page web à partir de laquelle les utilisateurs se connectent au portail web VPN SSL. La page est reliée au boîtier FortiGate et vous devez l éditer en respectant les exigences suivantes. La page de connexion doit être une page HTML contenant un formulaire avec ACTION="%%SSL_ACT%%" et METHOD="%%SSL_METHOD%%" Le formulaire doit contenir la balise %%SSL_LOGIN%% pour fournir le formulaire de connexion. Le formulaire doit contenir la balise %%SSL_HIDDEN%%. Modification de la page d information d authentification La page d information d authentification, disponible sur certains modèles, s ouvre par un texte sur l usage de règles que l utilisateur doit accepter avant que l accès au FortiGate ne lui soit permis. L autorisation s active dans une règle pare-feu. Voir «Autorisation de l authentification de l utilisateur» dans «Options des règles parefeu» à la page 234. Il est conseillé de ne modifier que le texte de l autorisation et non pas le code HTML du formulaire. Guide d Administration FortiGate Version

166 Mode de fonctionnement des VDOM et accès administratif Vous pouvez configurer un accès administratif pour chaque interface de votre VDOM. Voir «Contrôler l accès administratif d une interface» à la page 74. En mode NAT/Route, l adresse IP de l interface est utilisée pour l accès administratif. En mode Transparent, vous devez configurer une seule adresse IP d administration qui s applique à toutes les interfaces du VDOM qui permettent un accès administratif. L équipement FortiGate utilise également cette adresse IP pour se connecter au FDN pour la mise à jour de virus et d attaques (voir «Centre FortiGuard» à la page 183.) Un administrateur régulier peut uniquement accéder au VDOM auquel il appartient. L ordinateur d administration doit être connecté à une des interfaces de ce VDOM. L administrateur admin peut accéder à tous les VDOM, peu importe le VDOM auquel appartient l interface. Dans les deux cas, l ordinateur d administration doit se connecter à une interface qui permette l accès administratif et dont l adresse IP doit se trouver sur le même réseau. Vous pouvez autoriser l administration à distance de l équipement FortiGate. Cependant, permettre une administration à distance via l Internet pourrait compromettre la sécurité de l équipement FortiGate. Ceci est donc à éviter à moins que la configuration l exige. Pour améliorer la sécurité de l équipement FortiGate lors d une administration à distance, il est fortement conseillé de : utiliser des mots de passe utilisateurs administratifs sécurisés. modifier régulièrement ces mots de passe. activer un accès administratif sécurisé à cette interface via HTTPS ou SSH. maintenir la valeur par défaut (5 minutes) du timeout d inactivité du système (voir «Paramètres» à la page 178 ). Modification du mode de fonctionnement Vous pouvez définir un mode de fonctionnement (aussi appelé mode d opération) pour votre domaine virtuel et accomplir des configurations réseau suffisantes pour assurer une connexion à l interface d administration web dans ce nouveau mode. Passer du mode NAT/ Route au mode Transparent 1 Sélectionnez Système > Configuration > Operation Mode ou cliquez sur Changer à côté de Mode de Fonctionnement sur la page des Statuts du Système pour le domaine virtuel. 2 Sélectionnez Transparent dans la liste Mode d Opération. 3 Entrez les informations suivantes et cliquez ensuite sur Appliquer. 166 Guide d Administration FortiGate Version 3.0

167 IP/Netmask de gestion Passerelle par défaut Entrez l adresse IP et le masque de réseau d administration. Il doit s agir d une adresse IP valide pour le réseau à partir duquel vous voulez administrer l équipement FortiGate. Entrez la passerelle par défaut requise pour atteindre d autres réseaux à partir du boîtier FortiGate. Passer du mode Transparent au mode NAT/Route 1 Sélectionnez Système > Configuration > Operation Mode ou cliquez sur Changer à côté de Mode de Fonctionnement sur la page des Statuts du Système pour le domaine virtuel. 2 Sélectionnez NAT dans la liste Mode d Opération. 3 Entrez les informations suivantes et cliquez ensuite sur Appliquer. IP/Netmask de l interface Interface (ou Device) Passerelle par défaut Interface de la passerelle (ou Gateway Device) Entrez une adresse IP et un masque de réseau valides pour le réseau à partir duquel vous voulez administrer l équipement FortiGate. Sélectionnez dans la liste l interface pour laquelle les paramètres IP/masque de réseau s appliquent. Entrez la passerelle par défaut requise pour atteindre d autres réseaux à partir du boîtier FortiGate. Sélectionnez dans la liste l interface à laquelle la passerelle par défaut est connectée. Guide d Administration FortiGate Version

168 Administration du Système Administrateurs Cette section décrit comment configurer des comptes administrateurs sur votre équipement FortiGate. Les administrateurs accèdent au boîtier FortiGate pour configurer son fonctionnement. L équipement possède, par défaut, un administrateur : admin. A partir de l interface d administration web ou de l interface de ligne de commande, vous pouvez configurer des administrateurs supplémentaires avec des niveaux variés d accès aux différentes parties de la configuration de l équipement FortiGate. Cette section couvre les sujets suivants : Administrateurs Profils d administration FortiManager Paramètres Contrôle des administrateurs Il existe deux types de comptes administrateurs : Un administrateur régulier Un compte pa r défaut, admin Un compte administrateur régulier a accès aux options de configuration déterminées par son profil d administration. Dans le cas où des domaines virtuels sont activés, l administrateur régulier est affecté à l un de ces VDOM et ne peut pas accéder aux options de la configuration globale ni à la configuration d un autre VDOM. Pour plus d informations à propos des options globales et spécifiques aux VDOM, voir «Paramètres de configuration d un domaine virtuel» à la page 41 et «Paramètres de la configuration globale» à la page 42. Le compte administrateur par défaut, l admin, a accès à la totalité de la configuration du boîtier FortiGate. De plus, il peut: activer la configuration VDOM créer des VDOM configurer des VDOM affecter des administrateurs réguliers aux VDOM configurer des options globales Le compte admin n ayant pas de profil d administration, on ne sait pas en limiter ses droits. Il est par ailleurs impossible de supprimer le compte admin, mais il est possible de le renommer, de lui définir des hôtes de confiance et d en modifier le mot de passe. Par défaut, l admin n a pas de mot de passe. Vous pouvez authentifier un administrateur par un mot de passe sauvegardé sur un boîtier FortiGate ou sur un serveur RADIUS. Facultativement, vous pouvez sauvegarder tous les comptes administrateurs sur un serveur RADIUS, à 168 Guide d Administration FortiGate Version 3.0

169 l exception du compte admin par défaut. Les comptes RADIUS étant sur le même serveur RADIUS partagent le même profil d administration. Configuration de l authentification RADIUS des administrateurs Si vous prévoyez d utiliser un serveur RADIUS pour authentifier les administrateurs dans votre VDOM, vous devez configurer l authentification avant de créer des comptes administrateurs. Pour ce faire, vous avez besoin de : configurer l accès au serveur R ADIUS sur le boîtier FortiGate créer un groupe d utilisateurs dont le serveur RADIUS est le seul membre Les procédures suivantes prévoient que vous ayez déjà configuré un serveur RADIUS sur votre réseau avec les noms et mots de passe de vos administrateurs. Pour plus d informations sur la configuration d un serveur RADIUS, reportez-vous à la documentation de votre serveur RADIUS. Configurer un boîtier FortiGate pour accéder au serveur RADIUS 1 Sélectionnez Utilisateur > RADIUS. 2 Cliquez sur Créer Nouveau. 3 Entrez les informations suivantes : Nom Entrez un nom pour le serveur RADIUS. Vous utilisez ce nom lorsque vous créez le groupe utilisateur. Nom / adresse IP Le nom de domaine ou l adresse IP du serveur RADIUS. Secret Le secret du serveur RADIUS. L administrateur du serveur RADIUS peut vous fournir cette information. 4 Cliquez sur OK. Créer le groupe d utilisateurs d administration 1 Sélectionnez Utilisateur > Groupe utilisateur. 2 Cliquez sur Créer Nouveau. 3 Dans le champ Nom, tapez un nom pour le groupe d administrateurs. 4 Dans la liste Utilisateurs Disponibles, sélectionnez le nom du serveur RADIUS. 5 Cliquez sur la flèche verte droite pour déplacer le nom vers la liste Membres. 6 Sélectionnez un profil de protection dans la liste. 7 Cliquez sur OK. Visualisation de la liste des administrateurs A partir du compte admin ou d un compte qui possède les droits en lecture et en écriture des utilisateurs admin, vous pouvez créer de nouveaux comptes administrateurs et contrôler leurs niveaux de permission. Sélectionnez Système > Admin > Administrateurs. A moins que vous soyez l administrateur admin, la liste des administrateurs n affiche que les administrateurs pour le domaine virtuel en cours. Guide d Administration FortiGate Version

170 Illustration 73 : Liste des Administrateurs Créer Nouveau Nom Poste IP Profil Type Icône Suppression Icône Editer ou Visualiser Icône Changer le mot de passe Permet d ajouter un compte administrateur. Le nom du compte administrateur. L adresse IP et le masque de réseau d hôtes de confiance à partir desquels l administrateur peut se connecter. Pour plus d informations, voir «Utilisation d hôtes de confiance» à la page 173. Le profil d administration pour l administrateur. L administrateur admin par défaut n a pas de profil. Le type d authentification pour cet administrateur. Cela peut être : Local un mot de passe local RADIUS authentification d un compte spécifique via un serveur RADIUS RADIUS+Wildcard authentification de n importe quel compte via un serveur RADIUS. Permet de supprimer le compte administrateur. Le compte administrateur admin ne peut pas être supprimé. Permet d éditer ou de visualiser le compte administrateur. Permet de modifier le mot de passe du compte administrateur. Modifier le mot de passe d un administrateur 1 Sélectionnez Système > Admin > Administrateurs. 2 Cliquez sur l icône Changer le mot de passe à côté du compte administrateur dont vous voulez modifier le mot de passe. 3 Entrez et confirmez le nouveau mot de passe. 4 Cliquez sur OK. Configuration d un compte administrateur La création d un nouvel administrateur nécessite une connexion à partir du compte admin ou à partir d un compte administrateur possédant les droits en lecture et écriture d utilisateur Admin. Sélectionnez Système > Admin > Administrateurs et cliquez sur Créer Nouveau. 170 Guide d Administration FortiGate Version 3.0

171 Illustration 74 : Configuration d un compte administrateur authentification locale. Illustration 75 : Configuration d un compte administrateur authentification RADIUS Nom de compte RADIUS Wildcard Groupe utilisateur Mot de Passe Entrez le nom du compte administrateur. Cochez cette case pour authentifier l administrateur via un serveur RADIUS. L authentification RADIUS pour administrateurs doit être configurée d abord. Voir «Configuration RADIUS pour une authentification des administrateurs» à la page 169. Cochez cette case pour faire de tous les comptes du serveur RADIUS des administrateurs. Cette fonction est uniquement disponible si RADIUS a été sélectionné. Dans le cas d une utilisation d une authentification RADIUS, sélectionnez dans la liste le groupe d utilisateurs d administrateurs qui compte comme membre le serveur RADIUS approprié. Entrez un mot de passe pour le compte administrateur. Pour plus de sécurité, le mot de passe doit être composé d au moins 6 caractères. Si RADIUS est activé, l équipement FortiGate tente une première authentification RADIUS. En cas d échec, il tente une authentification via mot de passe. Ceci n est pas disponible si la fonction Wildcard a été activée. Guide d Administration FortiGate Version

172 Confirmer le Mot de Passe Entrez le mot de passe une seconde fois pour confirmer la première entrée. Ceci n est pas disponible si la fonction Wildcard a été activée. Poste IP # 1 Poste IP # 2 Poste IP # 3 Profil d administration Domaine Virtuel Facultativement, entrez l adresse IP et le masque de réseau d un hôte de confiance auquel l administrateur est restreint sur le boîtier FortiGate. Vous pouvez spécifier jusqu à trois hôtes de confiance. Les adresses par défaut sont respectivement /0, /0 et /32. La mise en place d hôtes de confiance pour vos administrateurs permet d augmenter la sécurité du système. Pour plus d informations, voir «Utilisation d hôtes de confiance» à la page 173. Sélectionnez le profil d administration de l administrateur. Le profil préconfiguré prof_admin fournit un accès total au boîtier FortiGate. Vous pouvez également cliquer sur Créer Nouveau pour créer un nouveau profil d administration. Pour plus d informations sur les profils d administration, voir «Configuration d un profil d administration» à la page 176. Sélectionnez le domaine virtuel que cet administrateur peut configurer. Ce champ est uniquement disponible si vous êtes l administrateur admin et que la configuration des domaines virtuels est activée. Configurer un compte administrateur 1 Sélectionnez Système > Admin > Administrateurs. 2 Cliquez sur Créer Nouveau pour ajouter un compte administrateur ou cliquez sur l icône Editer pour apporter des modifications à un compte administrateur existant. 3 Dans le champ Nom de compte, entrez un nom pour le compte administrateur. Si vous utilisez une authentification RADIUS pour cet administrateur mais n utilisez pas la fonction wildcard, le nom de l administrateur doit correspondre à un des comptes du serveur RADIUS. 4 Si vous utilisez une authentification RADIUS pour cet administrateur : Sélectionnez RADIUS. Sélectionnez Wildcard si vous désirez que tous les comptes du serveur RADIUS soient des administrateurs de l équipement FortiGate. Sélectionnez le groupe d utilisateurs des administrateurs dans la liste Groupe Utilisateur. 5 Entrez et confirmez votre mot de passe pour ce compte administrateur. Cette étape n est pas nécessaire dans le cas d une authentification RADIUS Wildcard. 6 Facultativement, entrez l adresse IP et le masque de réseau d un hôte de confiance à partir duquel l administrateur puisse se connecter à l interface d administration web. 7 Sélectionnez le profil d administration pour cet administrateur. 8 Cliquez sur OK. 172 Guide d Administration FortiGate Version 3.0

173 Utilisation d hôtes de confiance La mise en place d hôtes de confiance pour tous les administrateurs augmente la sécurité de votre réseau car en restreint l accès administratif. En plus de devoir connaître le mot de passe, l administrateur doit se connecter uniquement à partir du ou des sous-réseau(x) spécifié(s). Vous pouvez aller jusqu à restreindre un administrateur à une seule adresse IP si vous ne définissez qu une adresse IP d hôte de confiance avec un masque de réseau Si vous définissez des hôtes de confiance pour tous les administrateurs, l équipement FortiGate ne répond pas aux tentatives d accès administratif de tout autre hôte. Cela fournit la meilleure sécurité. Si vous laissez, ne fût-ce qu un seul administrateur sans restriction, l équipement accepte les tentatives d accès administratif de n importe quelle interface dont l accès administratif est activé, exposant ainsi le boîtier à des tentatives d accès non autorisées. Par défaut les adresses d h ôtes de confiance sont respectivement /0, /0 et /32. S i une des adresses /0 est modifiée par une adresse non nulle, l autre adresse / 0 sera ignorée. La seule façon d utiliser une entrée métacaractère (wildcard) est de maintenir les deux adresses d hôtes de confiance sur /0. Tou tefois, ceci ne constitue pas une configuration sans risque. Guide d Administration FortiGate Version

174 Profils d administration Chaque compte administrateur appartient à un profil d administration. Le profil d administration sépare les caractéristiques FortiGate en catégories de droits d accès pour lesquels vous pouvez activer des droits en lecture et/ou écriture. Le t ableau suivant répertorie les pages de l interface d administration web auxquelles chaque catégorie fournit un accès : Tableau 30 : Droits d accès des profi ls d administration aux pages de l interface d administration web Contrôle d accès Pages de l interface d administration web affectées Utilisateurs d administration Système > Admin Configuration Antivirus Utilisateurs authentifiés Configuration firewall Antivirus Utilisateur Pare-feu Mise à jour FortiGuard Système > Maintenance > FortiGuard Center Configuration IPS Journaux et rapports Maintenance Configuration réseau Configuration routeur Configuration Spamfilter Intrusion Protection Journaux/Alertes Système > Maintenance Système > Réseau > Interface Système > Réseau > Zone Système > DHCP Routeur Anti-Spam Configuration système Système > Statut, y compris les informations sur la session Systèm e > Configuration Système > Maintenance > Sauvegarde et Restauration Systèm e > Maintenance > Support Configuration VPN Configuration Webfilter VPN Filtrage Web Les droits en lecture autorisent l administrateur à visualiser la page de l interface d administration web. L administrateu r nécessite les droits en écriture pour apporter des modifications aux paramètres de la page. Remarque : Lorsque la configuration de domaines virtuels est activée (voir «Paramètres» à la page 178), seul l administrateur admi n a accès aux paramètres généraux. Même si les paramètres généraux sont activés dans le profil d administration, un administrateur régulier ne peut accéder qu aux paramètres spécifiques VDOM. Pour plus d informations à propos des paramètres généraux, voir «Paramètres de configuration d un domaine virtuel» à la page 41. Le profil d administration affecte similairement l accès des administrateurs aux commandes CLI. Le tableau suivant décrit les types de commande disponibles pour chaque catégorie de droits d accès. Les droits en lecture donnent accès aux commandes «get» et «show», tandis que les droits en écriture permettent d accéder à la commande «config». 174 Guide d Administration FortiGate Version 3.0

175 Tableau 31 : Droits d accès des profils d administration aux commandes CLI Contrôle d accès Commandes CLI disponibles Utilisateurs d administration system admin (admingrp) system accprofile Configuration Antivirus (avgrp) antivirus Utilisateurs authentifiés (authgrp) Configuration Pare-feu (fwgrp) Mise à jour FortiGuard (updategrp) user firewall system autoupdate execute backup execute update_now Configuration IPS (ipsgrp) ips Journaux et rapports (loggrp) alert log Maintenance (mntgrp) execute factoryreset execute formatlogdisk execute reboot execute restore execute shutdown Configuration réseau (netgrp) system arp system dhcp reserved-address system dhcp server system interface system status system zone execute dhcp lease-clear execute dhcp lease-list Configuration routeur (routegrp) router execute router Configuration Filtrage Antispam (spamgrp) Configuration système (sysgrp) Configuration VPN (vpngrp) Configuration Filtrage web (webgrp) spamfilter system à l exception de accprofile, admin et autoupdate execute date execute dhcpclear execute enter execute ha execute ping execute ping-options execute ping6 execute restore execute time execute traceroute vpn execute vpn webfilter Sélectionnez Système > Admin > Droits d Accès pour ajouter des profils d administration aux administrateurs FortiGate. Chaque compte administrateur appartient à un profil d administration. Vous pouvez créer des profils d administration qui empêchent ou permettent les droits en lecture uniquement, droits en écriture uniquement ou les deux : droits en lecture et écriture des fonctionnalités FortiGate. Guide d Administration FortiGate Version

176 Un administrateur qui possède les droits en lecture d une fonction peut accéder à la page d administration web de cette fonction mais ne peut pas apporter de modifications à la configuration. Les boutons Créer ou Appliquer n apparaissent pas sur la page. Les listes affichent l icône Visualiser ( ) à la place des icônes Editer, Supprimer ou toute autre commande de modification. Visualisation de la liste des profils d administration Pour créer ou éditer des profils d administration, utilisez un compte admin ou un compte qui possèdent les droits en lecture et en écriture des utilisateurs admin. Sélectionnez Système > Admin > Droits d Accès. Illustration 76 : Liste des profils d administration Créer Nouveau Nom du profil Icône Suppression Icône Editer Ajoute un nouveau profil d administration. Le nom du profil d administration. Sélectionnez cette icône pour supprimer un profil d administration. Il est impossible de supprimer un profil d administration tant qu un ou plusieurs administrateur(s) y est (sont) encore affecté(s). Sélectionnez cette icône pour modifier le profil d administration. Configuration d un profil d administration Pour éditer des profils d administration, utilisez un compte admin ou un compte qui possèdent les droits en lecture et en écriture des utilisateurs admin. Sélectionnez Système > Admin > Droits d Accès et cliquez sur Créer Nouveau. 176 Guide d Administration FortiGate Version 3.0

177 Illustration 77 : Options des profils d administration Nom de profil Droits d accès Lecture Ecriture Les catégories des droits d accès Entrez le nom du profil d administration. Les droits d accès répertorient les catégories dont le profil d administration contrôle l accès. Cochez la case Lecture pour cocher les droits en lecture de toutes les catégories. Cochez la case Ecriture pour cocher les droits en écriture de toutes les catégories. Sélectionnez les cases none/lecture et/ou écriture pour les différentes catégories en fonction de vos besoins. Pour plus de détails à propos des catégories des droits d accès, voir «Profils d administration» à la page 174. Guide d Administration FortiGate Version

178 FortiManager Pour permettre à votre FortiGate d être administré par un serveur FortiManager, sélectionnez Système > Admin > FortiManager pour configurer votre équipement FortiGate. La communication entre votre équipement FortiGate et le serveur FortiManager se fait via un VPN IPSec pré-configuré et invisible sur votre FortiGate. Illustration 78 : Configuration FortiManager Paramètres Paramètres FortiManager Activer Cochez la case Activer pour permettre une communication sécurisée entre le boîtier FortiGate et le Serveur FortiManager. Sans quoi, la communication n est pas sécurisée. ID Adresse IP Entrez le numéro de série du Serveur FortiManager. Entrez l adresse IP du Serveur FortiManager. Sélectionnez Système > Admin > Settings (Paramètres) pour définir les options suivantes : Les ports pour les accès administratifs HTTP et HTTPS Les paramètres des timeo uts, y compris le timeout de l administrateur et le timeout de l utilisateur La langue de l interface d administration web Une protection à l aide d un PIN pour l écran LCD et les boutons de commandes (pour les modèles équipés de ces fonctions uniquement) 178 Guide d Administration FortiGate Version 3.0

179 Illustration 79 : Paramètres des administrateurs Web Administration Ports HTTP HTTPS Paramètres de timeout Administrateurs Utilisateur (authentification pare-feu) Langage Interface d administration Entrez le port TCP utilisé pour l accès administratif HTTP. La valeur par défaut est 80. Entrez le port TCP utilisé pour l accès administratif HTTPS. La valeur par défaut est 443. Entrez le nombre de minute pendant lesquelles la connexion peut rester inactive avant que l administrateur ne doive se reconnecter. Le temps maximum est de 480 minutes (8 heures). Pour une meilleure sécurité, il est conseillé de maintenir la valeur par défaut de 5 minutes. Entrez le nombre de minute pendant lesquelles une connexion authentifiée peut rester inactive avant que l utilisateur ne doive se réauthentifier. Le temps maximum est de 480 minutes (8 heures). La valeur par défaut est 15 minutes. Pour plus d informations, voir «Paramétrage du timeout d authentification» à la page 324. Sélectionnez la langue désirée de l interface d administration web. Vous avez le choix entre l anglais, le chinois simplifié ou traditionnel, le japonais, le coréen ou le français. Remarque : Il est conseillé de choisir la langue dans laquelle opère le système d exploitation de l ordinateur d administration. Panneau LCD (pour les équipements équipés de cette fonction) Protection PIN Cochez la case Protection PIN et tapez un pin de 6 caractères dans le champ prévu à cet effet. Virtual Domain Configuration Les administrateurs doivent alors entrer le PIN pour accéder aux commandes de l écran LCD et des boutons. Cochez cette case si vous désirez opérer de multiples VDOM. Cela active les droits de création et de configuration des VDOM du compte administrateur admin Guide d Administration FortiGate Version

180 Contrôle des administrateurs par défaut. Pour plus d informations sur la création et l administration de VDOM, voir «Domaines Virtuels» à la page 40. Le nombre d administrateurs connectés apparaît dans la barre des statuts des pages de l interface d administration web. Illustration 80 : Les administrateurs connectés dans la barre des statuts Cliquez sur l icône Administrateurs Connectés pour visualiser les informations sur les administrateurs connectés à l interface d administration web en cours. Une nouvelle fenêtre s ouvre affichant la liste des administrateurs connectés à ce moment-là. Illustration 81 : Fenêtre de contrôle des administrateurs connectés Déconnecter Rafraîchir Fermer Les cases à cocher Nom d utilisateur Type De Heure Déconnecte les administrateurs sélectionnés. Cette fonction n est disponible qu aux administrateurs qui possèdent les droits en écriture de la Configuration du Système. Met la liste à jour. Ferme la fenêtre. Cochez les cases des administrateurs à déconnecter et cliquez ensuite sur Déconnecter. Cette fonction n est disponible qu aux administrateurs qui possèdent les droits en écriture de la Configuration du Système. Le nom du compte administrateur. Le type d accès : WEB ou CLI. Dans le cas d un Type WEB, apparaît dans ce champ l adresse IP de l administrateur. Dans le cas d un Type CLI, apparaît dans ce champ, soit «ssh» ou «telnet», soit l adresse IP de l administrateur ou «console». La date et l heure auxquelles s est connecté l administrateur. 180 Guide d Administration FortiGate Version 3.0

181 Maintenance du Système Cette section décrit comment sauvegarder et restaurer la configuration de votre système et comment configurer des mises à jour automatiques à partir du FDN (FortiGuard Distribution Network). Les sujets suivants sont parcourus dans cette section : Sauvegarde et Restauration FortiGuard Center Licence Sauvegarde et Restauration Pour sauvegarder et restaurer la configuration de votre système, et pour gérer le microcode, sélectionnez Système > Maintenance > Sauvegarde et Restauration. Vous pouvez sauvegarder la configuration du système, y compris les fichiers de contenu web et les fichiers de filtrage antispam sur l ordinateur d administration ou sur un disque USB (pour les modèles qui le supportent). Vous pouvez également restaurer la configuration du système à partir de fichiers de sauvegarde déjà téléchargés. Pour inclure les certificats VPN dans le fichier de sauvegarde, vous devez permettre le cryptage du fichier de sauvegarde. Lorsque la configuration des domaines virtuels est activée, le contenu du fichier de sauvegarde dépend du compte administrateur qui l a créé. Une sauvegarde de la configuration du système faite à partir d un compte administrateur admin comprend les paramètres généraux et les paramètres de chaque VDOM. Seul l administrateur admin peut restaurer la configuration de ce fichier. Une sauvegarde faite à partir d un compte administrateur régulier comprend les paramètres généraux et les paramètres du VDOM géré par cet administrateur. Seul un compte administrateur régulier peut restaurer la configuration sauvée sur ce fichier. Guide d Administration FortiGate Version

182 Illustration 82 : Options de sauvegarde et de restauration Dernière Sauvegarde Sauvegarde Sauvegarde de la Sélectionnez le support sur lequel vous désirez sauvegarder configur ation vers : le fichier de configuration : local PC ou clé USB. La sélection de Clé USB n est possible que si la clé est connectée à l équipement FortiGate. Nom du fichier : Chiffrer le fichier de configuration Sauvegarde Restaurer Restaurer la configuration depuis : Nom du fichier : Mot de Passe Le jour et l heure de la dernière sauvegarde vers le PC local. Sauvegarde la configuration actuelle. Si vous sélectionnez Clé USB, nommez le fichier de sauvegarde. Cochez cette case pour crypter le fichier de sauvegarde. Entrez ensuite un mot de passe dans le champ Mot de Passe et entrez le une seconde fois dans le champ Confirmer. Ce mot de passe est exigé pour la restitution du fichier. Pour sauvegarder des certificats VPN, le cryptage permis sur le fichier de sauvegarde. doit être Cliquez sur ce bouton pour sauvegarder la configuration. Restaure la configuration à partir d un fichier. Sélectionnez le support sur lequel vous avez sauvegardé la configuration : local PC ou Clé USB. La sélection de Clé USB n est possible que si la clé est connectée à l équipement FortiGate. Dans le cas où vous restaurez la configuration à partir de la clé USB, sélectionnez le nom du fichier de configuration dans la liste. Dans le cas où vous restaurez la configuration à partir du PC d administration, entrez le nom du fichier de configuration ou utilisez le bouton Parcourir (Browse). Dans le cas où le fichier de sauvegarde est crypté, entrez le mot de passe. 182 Guide d Administration FortiGate Version 3.0

183 Restaurer Firmware Partition Active Dernière Mise à jour Version du Firmware Cliquez sur le bouton Restaurer pour restaurer la configuration à partir du fichier sélectionné. Une partition peut contenir une version du logiciel et de la configuration du système. Les modèles FortiGate 100 et plus possèdent deux partitions. Une des partitions est active, tandis que l autre est une sauvegarde. Une marque V verte indique la partition comprenant le logiciel et la configuration en cours. Le jour et l heure de la dernière mise à jour de cette partition. La version du microcode FortiGate. La partition de sauvegarde permet de : Sélectionner Charger pour remplacer le microcode par celui qui se trouve sur le PC d administration ou sur la clé USB. Sélectionnez Charger et Redémarrer pour remplacer le microcode et en faire la partition active. Démarrer sur firmware Cliquez sur ce bouton pour redémarrer le boîtier FortiGate alternatif en utilisant le microcode sauvegardé. Cette fonction n est disponible que sur les FortiGate 100 et plus. Avancés (USB Auto-Install, Import CLI Commands, Download Debug Log) Cette section n est disponible que dans le cas où une clé USB est connectée à l équipement FortiGate. Sélectionnez les options requises et redémarrez le boîtier FortiGate. Si vous sélectionnez les mises à jour de configuration et de microcode, les deux s enclenchent lors du redémarrage. Un microcode ou un fichier de configuration déjà téléchargé ne seront pas re-téléchargés. Quand le système redémarre, mettre à jour la configuration de la FortiGate par celle de la clé USB si le Fichier de Configuration par défaut est présent sur celle-ci. Met la configuration à jour automatiquement lors du redémarrage. Assurez-vous que le nom du fichier de configuration par défaut corresponde au nom de ce fichier sur la clé USB. Quand le système redémarre, mettre à jo ur le FirmWare de la FortiGate par celle de la clé USB si l Image par défaut est présente sur celle-ci. Met le microcode à jour automatiquement lors du redémarrage. Assurez-vous que le nom de l Image par défaut corresponde au nom du fichier de l image sur la clé USB. Import Bilk CLI Commands Importe sur l équipement FortiGate des définitions de filtres URL et de filtres antispam à partir d un fichier texte présent sur l ordinateur d administration. Entrez le chemin d accès et le nom de fichier ou cliquez sur Parcourir (Browse) pour localiser le fichier. Download Debug Log Vous pouvez créer le fichier texte en extrayant la section appropriée d un fichier de sauvegarde de configuration FortiGate ou en tapant les commandes CLI appropriées. Télécharger un journal de déboguage crypté dans un fichier. Vous pouvez ensuite l envoyer au Service Technique de Fortinet qui vous aidera à diagnostiquer les problèmes éventuels rencontrés sur votre FortiGate. Guide d Administration FortiGate Version

184 Centre FortiGuard Le Centre FortiGuard configure votre FortiGate pour le FortiGuard Distribution Network (FDN - Réseau de Distribution FortiGuard) et les Services FortiGuard. Le FDN fournit des mises à jour des bases de connaissance antivirus et IPS. Les Services FortiGuard procurent quant à eux des listes noires d adresses IP, d URL et autres outils de filtrage antispam. Réseau de Distribution FortiGuard Ce réseau, appelé FDN, est un réseau mondial de FortiGuard Distribution Servers (FDS). Le FDN fournit des mises à jour des bases de données antivirus (y compris grayware) et IPS (contre les attaques). Lorsque le boîtier FortiGate se connecte au FDN, il se connecte au FDS le plus proche, considérant le fuseau horaire défini. L équipement FortiGate supporte les mises à jour des fonctionnalités suivantes : Mises à jour initiées par l utilisateur à partir du FDN, Mises à jour mensuelles, hebdomadaires voire toutes les heures, des bases de données antivirus et IPS, à partir du FDN, Mises à jour forcées à partir du FDN, Statuts des mises à jour, y compris les numéros des versions, les dates d expiration, ainsi que les dates et heures des mises à jour, Mises à jour forcées à partir d un serveur NAT. Services FortiGuard Vous devez d abord enregistrer votre FortiGate sur la page web du support de Fortinet. Voir «Enregistrement d un équipement FortiGate» à la page 37. Pour recevoir des mises à jour programmées, l équipement FortiGate doit pouvoir se connecter au FDN via HTTPS sur le port 443. Pour plus d informations sur la configuration de programmation de mises à jour, voir «Activer la programmation de mise à jour» à la page 190. Vous pouvez également configurer votre FortiGate pour qu il accepte des mises à jour forcées. Pour ce faire, le FDN doit être capable d acheminer des paquets vers le boîtier FortiGate via UDP port Pour plus d informations à ce sujet, voir «Activer les mises à jour forcées» à la page 191. Les Points de Service FortiGuard (FortiGuard Service Points) offrent une couverture mondiale. Fortinet crée des nouveaux Points de Service à chaque fois que nécessaire. Le boîtier FortiGate communique par défaut avec le Point de Service le plus proche. Si celui-ci devient, pour quelque raison que ce soit, injoignable, l équipement FortiGate contacte un autre Point de Service dont les informations s affichent après quelques secondes. Par défaut le boîtier FortiGate communique avec le Point de Service via UDP sur le port 53. Comme alternative, vous pouvez utiliser UDP port 8888 en sélectionnant Système > Maintenance > FortiGuard Center. Pour modifier, si nécessaire, le nom d hôte du Point de Service FortiGuard par défaut, entrez le mot-clé hostname dans la commande CLI system 184 Guide d Administration FortiGate Version 3.0

185 fortiguard. Il n est pas possible de modifier ce nom d hôte à partir de l interface d administration web. Pour plus d informations sur les services FortiGuard, rendez-vous sur la page web FortiGuard Center. Service Antispam FortiGuard FortiGuard-Antispam est un système antispam de Fortinet qui comprend des listes noires d adresses IP, d URL et des outils de filtrage antispam. La liste noire d adresses IP contient des adresses IP de serveurs mails connus pour générer des spams. La liste noire d URL contient des URL de sites web trouvés dans ces spams. Les procédés FortiGuard-Antispam sont complètement automatisés et configurés par Fortinet. Grâce à un contrôle constant et des mises à jour dynamiques, FortiGuard-Antispam est toujours actualisé. Vous pouvez activer ou désactiver FortiGuard-Antispam dans les profils de protection pare-feu. Pour plus d informations, voir «Options du filtrage antispam» à la page 286. Une licence gratuite, valable 30 jours, pour un essai du FortiGuard Antispam est offerte à l achat d un équipement FortiGate. La gestion de ces licences est suivie par les serveurs Fortinet. Il n est pas nécessaire d entrer un numéro de licence. Lors de l activation de FortiGuard-Antispam, le boîtier FortiGate contacte automatiquement un Point de Service FortiGuard-Antispam. Pour renouveler la licence après la période d essai de 30 jours, contactez le Support Technique de Fortinet. Pour activer FortiGuard-Antispam, sélectionnez Système > Maintenance > FortiGuard Center et configurez ensuite les options du Filtrage Antispam pour chaque profil de protection pare-feu. Voir «Options du filtrage antispam» à la page 286. Service FortiGuard-Web Le FortiGuard-Web est une solution de filtrage de contenu web de Fortinet. Ce service trie des centaines de millions de pages web en diverses catégories que les utilisateurs peuvent accepter, bloquer ou contrôler. Le boîtier FortiGate accède au Point de Service FortiGuard-Web le plus proche pour déterminer la catégorie de la page web souhaitée et applique ensuite la règle pare-feu configurée pour cet utilisateur ou cette interface. Une licence gratuite, valable 30 jours, pou r un essai du FortiGuard-Web est offerte à l achat d un équipement FortiGate. La gestion de ces licences est suivie par les serveurs Fortinet. Il n est pas nécessaire d entrer un numéro de licence. Lors de l activation du service de blocage des catégories FortiGuard, l équipement FortiGate contacte automatiquement un Point de Service FortiGuard. Pour renouveler la licence FortiGuard après la période d essai de 30 jours, contactez le Sup port Technique de Fortinet. Pour activer FortiGuard-Web, sélectionnez Système > Maintenance > FortiGuard Center et configurez ensuite les options du filtrage FortiGuard-Web pour chaque profil de protection pare-feu. Voir «Options du filtrage FortiGuard-Web» à la page 285. Guide d Administration FortiGate Version

186 Configuration du boîtier FortiGate pour les services FDN et FortiGuard Pour configurer l accès aux mises à jour FDN et aux services FortiGuard, sélectionnez Système > Maintenance > FortiGuard Center. Illustration 83 : Centre de Mise à jour Réseau de distribution FortiGuard Etat FDN Mise à jour forcée L état de la connexion au FortiGuard Distribution Network (FDN) : vert Le boîtier FortiGate arrive à se connecter au FDN. Vous pouvez le configurer pour des mises à jour programmées. Voir «Activer la programmation de mises à jour» à la page 190. rouge-jaune clignotant Le boîtier FortiGate n arrive pas se connecter au FDN. Voir «Résolution de problèmes de connexion FDN» à la page 188. Le statut de réception des mises à jour forcées provenant du FDN : vert Le FDN arrive à se connecter à l équipement FortiGate pour envoyer des mises à jour forcées. Vous pouvez configurer l équipement FortiGate pour des mises à jour forcées. Voir «Activer les mises à jour forcées» à la page 191. à 186 Guide d Administration FortiGate Version 3.0

187 rouge-jaune clignotant Le boîtier FortiGate n arrive pas à se connecter au FDN pour envoyer des mises à jour forcées. Voir «Résolution de problèmes de connexion FDN» à la page 188. Réactualiser Utiliser l adresse de remplacement Mise à jour Version Date d expiration Dernière tentative de mise à jour Cliquez sur Réactualiser pour que le boîtier FortiGate teste sa connexion au FDN. Les résultats s affichent en haut de la page FortiGuard Center. Configurez un serveur override si vous n arrivez pas à vous connecter au FDN ou si votre entreprise fournit des mises à jour via son propre serveur FortiGuard. Cochez cette case et entrez une adresse IP ou un nom de domaine d un serveur FortiGuard. Cliquez ensuite sur Appliquer. Si l état FDN indique toujours un problème de connexion, voir «Résolution de problèmes de connexion FDN» à la page 188. Ce tableau reprend les statuts des mises à jour des bases de données antivirus et IPS FortiGuard. Le numéro de la version du fichier de la base de données courante sur le boîtier FortiGate. La date d expiration de votre licence pour ce service FortiGuard. Le jour et l heure de la dernière tentative par le boîtier FortiGate de télécharger les mises à jour des bases de données. Statut de la dernière Le résultat de la dernière tentative de mise à jour : mise à jour Pas de mise à jour ; No Updates la dernière tentative a été installée avec succès, pas de nouvelle mise à jour disponible. Permettre les mises à jour forcées Utiliser l adresse IP de remplacement Mises à jour installées ; Installed Updates - la dernière tentative a été installée avec succès, de nouvelles mises à jour ont été installées. D autres messages peuvent indiquer que l équipement FortiGate n a pas réussi à se connecter au FDN ou autre message d erreur. Cochez cette case pour permettre des mises à jour automatiques de votre FortiGate. Spécifiez une adresse IP et un port de remplacement lors de la présence d un serveur NAT entre le boîtier FortiGate et le FDN. Cochez la case, entrez l adresse IP et le numéro du port auxquels le FDN doit envoyer les mises à jour. Cliquez ensuite sur Appliquer. Pour plus d informations, voir «Activation des mises à jour forcées via un serveur NAT» à la page 192. Programmation des mises à jour régulières Cochez cette case pour activer les mises à jour programmées. Chaque Tente une mise à jour toutes les 1 à 23 heures. Sélectionnez le nombre d heure désiré entre chaque requête de mise à jour. Guide d Administration FortiGate Version

188 Journalière Hebdomadaire Mettre à jour FortiGuard Service Activer Service Licence Expire Utiliser le cache Cache TTL Etat Use Default Port (53) Use Alternate Port (8888) Test Availability Tente une mise à jour une fois par jour. Vous pouvez en spécifier l heure. La tentative de mise à jour s enclenche à un moment déterminé arbitrairement pendant l heure sélectionnée. Tente une mise à jour une fois par semaine. Vous pouvez en spécifier le jour et l heure. La tentative de mise à jour s enclenche à un moment déterminé arbitrairement pendant l heure sélectionnée. Sélectionnez cette fonction pour initier manuellement une mise à jour FDN. Active le service. Un des services FortiGuard : Anti Spam, Filtrage Web ou AV Query (future). Etat de votre licence pour ce service. Date d expiration de votre licence pour ce service. Permet le cache des informations des Services FortiGuard. Cela améliore les performances grâce à la réduction des requêtes de l équipement FortiGate au serveur FortiGuard. Le cache est configuré pour utiliser 6% de la mémoire du FortiGate. Lorsque le cache est plein, l adresse IP ou l URL utilisée le moins récemment est supprimée. «Time to live». Le nombre de secondes pour stocker les adresses IP et URL bloquées dans le cache avant de recontacter le serveur. Etat de la connexion vers le serveur FortiGuard-Antispam : Rouge/jaune clignotant échec de la connexion avec le serveur Vert permanent succès de la connexion avec le serveur Sélectionnez cette fonction pour utiliser le port 53 pour communiquer avec les serveurs FortiGuard-Antispam. Sélectionnez cette fonction pour utiliser le port 8888 pour communiquer avec les serveurs FortiGuard-Antispam. Sélectionnez cette fonction pour tester la connexion au serveur FortiGate-Antispam. Les résultats s affichent en dessous du bouton et sur les indicateurs des Statuts. Résolution de problèmes de connexion FDN Dans le cas où votre équipement FortiGate n arrive pas à se connecter au FDN, il est nécessaire de vérifier votre configuration. Par exemple, vous devrez probablement ajouter des routes à la table de routage FortiGate ou encore configurer votre réseau afin de permettre à l équipement FortiGate l utilisation HTTPS sur le port 443 pour se connecter à Internet. Vous devrez également peut-être vous connecter à un serveur override FortiGuard pour recevoir des mises à jour. Voir «Ajouter un serveur override» à la page 190. Si cela ne fonctionne toujours pas, vérifiez votre configuration pour vous assurer de la connexion entre le serveur override FortiGuard et l équipement FortiGate. 188 Guide d Administration FortiGate Version 3.0

189 Les mises à jour forcées risquent de ne pas être disponibles si : Vous n avez pas enregistré votre équipement FortiGate (voir «Enregistrement d un équipement FortiGate» à la page 37.) Un serveur NAT est installé entre votre FortiGate et le FDN (voir «Activation de mises à jour forcées via un serveur NAT» à la page 192.) Votre FortiGate se connecte à Internet via un serveur proxy (voir «Activer la programmation de mises à jour via un serveur proxy» à la page 190.) Mise à jour des signatures antivirus et IPS Les procédures suivantes vous guident dans la configuration de votre FortiGate pour une connexion au Réseau de Distribution FortiGuard (FDN) afin de mettre à jour les bases de connaissance antivirus et IPS (contre les attaques). 1 Sélectionnez Système > Statut et cliquez sur Changer à côté de Heure Système dans la section des Informations sur le système. 2 S assurer que l équipement FortiGate se connecte au FDN Assurez-vous que le bon fuseau horaire est sélectionné, dépendant de la localisation de votre FortiGate. 3 Sélectionnez Système > Maintenance > FortiGuard Center. 4 Cliquez sur Réactualiser. Le boîtier FortiGate tente alors une connexion avec le FDN. Les résultat du test s affichent en haut de la page des Mises à jour du système. Mettre à jour les signatures antivirus et IPS 1 Sélectionnez Système > Maintenance > FortiGuard Center. 2 Cliquez sur Mettre à jour pour mettre à jour les bases de connaissance antivirus et IPS. En cas de succès de la connexion au FDN ou au serveur override, l interface d administration web affiche un message du type : Your update request has been sent. Your database will be updated in a few minutes. Please check your update page for the status of the update. A savoir: Votre demande de mise à jour a été envoyée. Votre base de données sera mise à jour dans quelques minutes. Merci de vérifier l état de la mise à jour sur votre page de mise à jour. Lorsqu une mise à jour est disponible, la page du Centre FortiGuard affichera, après quelques minutes, les nouvelles versions d antivirus, en fonction de leurs dates de création et numéros de version. Le journal Evénement enregistre les messages témoignant du succès ou de l échec des mises à jour. Remarque : La mise à jour des définitions d antivirus, par l ajout de nouvelles signatures par FortiGate dans la base de données, peut entraîner une brève rupture du trafic analysé. Il est Guide d Administration FortiGate Version

190 dès lors préférable de programmer les mises à jour lorsque le trafic est faible, par exemple pendant la nuit. Activer la programmation de mise à jour Sélectionnez Système > Maintenance > FortiGuard Center. Cochez la case Programmation des mises à jour régulières. Sélectionnez une des fréquences suivantes pour la vérification et le téléchargement des mises à jour : Chaque Journalière Hebdomadaire Cliquez sur Appliquer. Toutes les 1 à 23 heures. Sélectionnez le temps souhaité (en heures et minutes) entre chaque demande de mise à jour. La mise à jour a lieu quotidiennement. Vous pouvez en spécifier l heure précise dans la journée. La mise à jour a lieu une fois par semaine. Vous pouvez en spécifier le jour et l heure. La nouvelle programmation de fréquence entre en vigueur immédiatement. A chaque fois que le boîtier FortiGate procède à une mise à jour, l action est enregistrée dans le journal Evénement. Ajouter un serveur override Dans le cas où vous ne parvenez pas à vous connecter au FDN, ou encore si votre entreprise vous fournit les mises à jour de leur propre serveur FortiGuard, les procédures suivantes vous permettront d ajouter une adresse IP d un serveur override FortiGuard. 1 Sélectionnez Système > Maintenance > FortiGuard Center. 2 Cochez la case Utiliser l adresse de remplacement. 3 Entrez le nom de domaine entier ou l adresse IP d un serveur FortiGuard. 4 Cliquez sur Appliquer. Le boîtier FortiGate teste la connexion vers le serveur override. En cas de succès, le paramètre du FDN affiche un statut disponible. Dans le cas contraire où le FDN affiche un statut de service indisponible, le boîtier FortiGate n arrivant pas à se connecter au serveur override, vérifiez les configurations du FortiGate et du réseau et tentez de déceler les paramètres empêchant la connexion au serveur override FortiGuard. A ctiver la programmation de mise à jour via un serveur proxy Si votre FortiGate doit se connecter à Inte rnet via un serveur proxy, vous pouvez utiliser la commande config system autoupdate tunneling pour permettre au FortiGate de se connecter (via un tunnel) au FDN via le serveur proxy. Pour plus d informations, voir le FortiGate CLI Reference. 190 Guide d Administration FortiGate Version 3.0

191 Activation des mises à jour forcées Le FDN peut forcer les mises à jour sur le boîtier FortiGate en vue de fournir une réponse la plus rapide possible aux situations critiques. Votre équipement FortiGate doit d abord avoir été enregistré pour recevoir ces mises à jour forcées. Voir «Enregistrement d un équipement FortiGate» à la page 37. Les équipements FortiGate configurés pour recevoir les mises à jour forcées envoient un message SETUP au FDN. De cette manière, lorsque les nouvelles bases de connaissance antivirus et IPS sont créées, le FDN informe tous les FortiGate configurés pour la mise à jour forcée d une nouvelle mise à jour disponible. Dans les 60 secondes après la réception de ce message, les FortiGates demandent la mise à jour au FDN. 3 Remarque : Les mises à jour forcées ne sont pas supportées dans le cas de l utilisation d un serveur proxy pour se connecter au FDN. Pour plus d informations, voir «Activer la programmation de mises à jour via un serveur proxy» à la page 190. Lorsque la configuration du réseau le permet, il est recommandé d activer les mises à jour forcées en plus de la configuration des mises à jour programmées. Cela permet au FortiGate de recevoir plus rapidement les mises à jour. Cependant, la programmation de mises à jour assurent au FortiGate une meilleure garantie de réception des dernières mises à jour. L activation des mises à jour forcées comme seul moyen d obtention des mises à jour n est pas recommandée. Il existe toujours un risque que le boîtier FortiGate ne reçoive pas l information de la disponibilité de nouvelles mises à jour. De plus une telle information n active qu une seule tentative de connexion au FDN et de téléchargement des mises à jour. Activer les mises à jour forcées 1 Sélectionnez Système > Maintenance > FortiGuard Center. 2 Sélectionnez Permettre les mises à jour forcées. Cliquez sur Appliquer. Mises à jour FortiGate forcées en cas de modification des adresses IP Le message SETUP envoyé par le boîtier FortiGate lors de l activation de mises à jour forcées comprend l adresse IP de l interface à laquelle vient se connecter le FDN. En mode Transparent, le message SETUP comprend l adresse IP d administration FortiGate. En mode NAT/Route, ce message comprend l adresse IP d une interface, dépendant du modèle boîtier FortiGate. Tableau 32 : Interface pour les mises à jour forcées FDN Modèle Interface pour les mises à jour forcées FDN 50A, 50AM, 100, 200, 300, 500, 800, 2000, 3000, 3600, 4000 Externe 60, 60M, 60Wi-Fi WAN1 100A, 200A, 300A, 400, 400A, 500A Port 2 Guide d Administration FortiGate Version

192 Dans le cas d un changement manuel d une adresse IP de l interface ou de changement dynamique via DHCP ou PPPoE, l équipement FortiGate envoie un message SETUP. Le FDN doit pouvoir se connecter à cette adresse IP pour permettre à votre FortiGate de recevoir les messages de mises à jour forcées. Si votre FortiGate se trouve derrière un serveur NAT, voir «Activation de mises à jour forcées via un serveur NAT» à la page 192. Dans le cas de connexions Internet redondantes, le boîtier FortiGate envoie également un message SETUP lorsque l une des connexions échoue et qu une autre prend le relais. Si un changement d adresse IP d administration a lieu, en mode Transparent, l équipement FortiGate envoie également un message SETUP pour en informer le FDN. Activation de mises à jour forcées via un serveur NAT Dans le cas où le FDN ne se connecte au FortiGate qu à travers un serveur NAT, il est nécessaire de configurer le relayage de port sur le serveur NAT et d ajouter ces informations dans la configuration des mises à jour forcées. Lors de l utilisation d un relayage de port, le FDN se connecte au FortiGate via UDP soit sur le port 9443 soit sur un port de remplacement spécifié. Remarque : Vous ne pouvez pas recevoir de mise à jour forcée via un serveur NAT si son adresse IP externe est dynamique (par exemple, via l utilisation de PPPoE ou DHCP). Procédure générale Les procédures suivantes vous guident dans la configuration du serveur NAT FortiGate et du boîtier FortiGate sur le réseau interne pour la réception des mises à jour forcées. 1 Ajoutez une IP virtuelle de relayage de port sur le serveur NAT FortiGate. 2 Ajoutez une règle pare-feu sur le serveur NAT FortiGate qui comprenne l IP virtuelle du relayage de port. 3 Configurez l équipement FortiGate sur le réseau interne avec une IP et un port de remplacement. Remarque : Avant de clôturer cette procédure, assurez-vous d avoir enregistré votre réseau interne du FortiGate de manière à ce qu il puisse recevoir les mises à jour forcées. 192 Guide d Administration FortiGate Version 3.0

193 Licence Pour les modèles FortiGate-3000 et plus, des clés de licence sont en vente auprès de Fortinet pour augmenter le nombre maximum de VDOM jusqu à 25, 50, 100 ou 250. Le boîtier FortiGate supporte par défaut un maximum de 10 VDOM. La clé de licence est un code de 32 caractères fournit par Fortinet. Votre numéro de série est exigé pour générer cette clé de licence. Sélectionnez Système > Maintenance > Licence pour entrer la clé de licence. Illustration 84 : Clé de licence pour ajout de VDOM supplémentaires Current License Le nombre actuel maximum de domaines virtuels. Input License Key Entrez la clé de licence fournie par Fortinet et cliquez ensuite sur Appliquer. Guide d Administration FortiGate Version

194 Routeur Statique Route Statique Vous trouverez dans cette section la façon de définir des routes statiques et de créer des règles de route. Une route fournit au FortiGate l information nécessaire pour transférer un paquet vers une destination particulière. Une route statique entraîne le transfert de paquets vers une destination autre que celle de la passerelle par défaut configurée à l origine. La route statique par défaut configurée à l origine vous fournit un point de départ pour configurer la passerelle par défaut. Vous pouvez éditer cette route statique par défaut et spécifier une passerelle par défaut différente pour le boîtier FortiGate, ou vous pouvez la supprimer et spécifier votre propre route statique par défaut qui dirige vers la passerelle par défaut (voir «Route par défaut et passerelle par défaut» à la page 198). Les routes statiques sont définies manuellement. Elles contrôlent le trafic sortant du FortiGate vous pouvez spécifier l interface à travers laquelle les paquets sortent et l interface vers laquelle ces paquets sont dirigés. Facultativement, il est possible de définir des règles de route (route policies). Celles-ci ajoutent des critères supplémentaires pour l examin des propriétés des paquets entrants. Ces règles permettent également de configurer le boîtier FortiGate pour diriger les paquets en fonction de leurs adresses IP source et/ou de destination et autres critères tels que l interface qui a reçu le paquet ou le protocole (service) et/ou port utilisé pour le transport du paquet. Les sujets suivants sont parcourus dans cette section : Route Statique Règle de Routage Les routes statiques se configurent en définissant l adresse IP et le masque de réseau de destination des paquets que le boîtier FortiGate s apprête à intercepter et en spécifiant une adresse IP (de passerelle) pour ces paquets. L adresse de la passerelle indique le routeur du prochain saut vers lequel le trafic va être dirigé. Remarque : La commande CLI config router static6 permet d ajouter, éditer ou supprimer les routes statiques du trafic IPv6. Pour plus d informations, voir le chapitre sur les routeurs dans le FortiGate CLI Reference. Concepts de routage Le routage étant un sujet complexe, certains le considèrent comme trop difficile à maîtriser. Cependant, le boîtier FortiGate étant un appareil dédié à la sécurité sur le réseau, ce guide développe un certain nombre de concepts de base sur le routage de manière à ce que la configuration du FortiGate puisse être réalisée avec efficacité. Que le réseau à administrer soit grand ou petit, ce module vous aide à comprendre les fonctions de routage exécutées par un équipement FortiGate. 194 Guide d Administration FortiGate Version 3.0

195 Comment se construit une table de routage? La table de routage FortiGate comprend, par défaut, une seule route statique par défaut. Vous pouvez ajouter des informations à la table de routage en définissant des routes statiques supplémentaires. La table peut comprendre plusieurs routes différentes vers une même destination. Les adresses IP du routeur du prochain saut spécifié dans ces routes peuvent varier, de même que les interfaces FortiGate associées à ces routes. Comment les décisions de routage sont-elles prises? L équipement FortiGate sélectionne la «meilleure» route pour un paquet en évaluant les informations de la table de routage. La meilleure route est typiquement associée à la distance la plus courte entre l équipement FortiGate et le routeur le plus proche du prochain saut. Dans le cas où la meilleure route est indisponible, c est la meilleure route suivante qui est sélectionnée. Les meilleures routes sont reprises dans la table de relayage FortiGate, qui représente un sous- ensemble de la table de routage FortiGate. Les paquets sont donc transférés en fonction des informations contenues dans la table de relayage. A chaque fois qu un paquet arrive sur l une des interfaces du FortiGate, ce dernier détermine si le paquet a été reçu par une interface légitime en lançant une recherche inversée utilisant l adresse IP source de l en-tête du paquet. Dans le cas où le boîtier FortiGate n arrive pas à communiquer avec l ordinateur de cette adresse IP source, le boîtier FortiGate annule le paquet. Dans le cas où l adresse de destination correspond à une adresse locale (et que la configuration locale permet la livraison), l équipement FortiGate livre le paquet au réseau local. Si le paquet est destiné à un autre réseau, l équipement FortiGate transfère le paquet vers le routeur du prochain saut d après la règle de route correspondante (voir «Règle de routage» à la page 201) et/ou d après les informations disponibles dans la table de relayage FortiGate. Comment la distance administrative affecte-t-elle la préférence des routes? Lorsque plusieurs entrées vers une même destination sont présentes dans le table de routage, il est possible de forcer l équipement FortiGate à sélectionner une route primaire (préférée) parmi les différentes routes, en diminuant sa distance administrative. La distance administrative se situe entre 1 et 255. Toutes les entrées de la table de routage sont associées à une distance administrative. Si la table de routage contient plusieurs entrées vers une même destination (les entrées pouvant avoir des associations de passerelles ou d interfaces différentes), l équipement FortiGate compare et sélectionne les entrées ayant les distances les plus basses et les installe comme routes dans la table de relayage. De cette manière la table de relayage FortiGate ne contient que des routes ayant les distances les plus basses vers toutes les destinations possibles. Pour toutes informations sur la modification de ces distances administratives, voir «Ajout d une route statique à la table de routage» à la page 200. Comment le numéro de séquence d une route affecte-t-elle la priorité de cette route? Une fois la sélection des routes statiques dans la table de relayage définie, la priorité de routage s appuie sur le numéro de la route dans la liste. Lorsqu il existe Guide d Administration FortiGate Version

196 deux routes pour une même destination dans la table de relayage, c est la route qui possède le numéro le plus bas dans la succession qui est considérée comme la route avec la plus grande priorité. Dans la version 3.0 de FortiOS, il est possible de définir un champ de priorités pour les routes à partir des commandes CLI. Ce champ ne tient pas compte du numéro de séquence dans le cas où deux routes ont la même distance administrative la route ayant la priorité la plus élevée est le route primaire. Si deux routes ont la même priorité, il est possible de définir le champ de priorités via la commande CLI set priority <integer> dans la commande config route static. Pour plus d informations, voir le FortiGate CLI Reference. DH New 3.0, partial fix for bug. Lorsqu une route statique est créée dans la liste de Routes Statiques à partir de l interface d administration web, l équipement FortiGate lui affecte automatiquement le prochain numéro de séquence. Par exemple, dans l illustration 85, deux routes statiques vers une même destination ( /24) ont été créées pour montrer comment les numéros d entrée et les numéros de séquence sont affectés par l interface graphique. Les deux routes spécifient la même passerelle, mais dans un cas, le paquet quitte l équipement FortiGate via l interface «port1» et dans le deuxième cas, via l interface «port2». Illustration 85 : Routes statiques créées à partir de l interface d administration web Le numéro de séquence dans la table de routage dépend de l ordre de création des entrées. Ainsi l entrée 2 a été créée avant l entrée 3. Lorsque l équipement FortiGate évalue ces deux routes pour une même destination, celles-ci seront toutes les deux ajoutées dans la table de relayage car leur distance administrative est basse. Une fois dans la table de relayage, le numéro de séquence détermine la priorité de la route, à moins que celle-ci ait été définie à partir de la commande CLI set priority. L entrée 2 ayant le numéro de séquence le plus bas, elle devient la route préférée. Remarque : Il est possible d afficher les numéros des routes statiques dans la table de routage à partir de la comma nde CLI config router static, et tapez ensuite get. Le numéro d une route est équivalente à la valeur edit < ID_integer> entrée précédemment par une commande CLI. Pour plus d informations, voir config router static dans le FortiGate CLI Reference. Lorsque toutes les routes statiques sont configurées à partir de l interface graphique, l ordre des entrées dans la liste de Routes Statiques équivaut à la séquence des routes statiques dans la table de routage. Cependant, le numéro de séquence d une route ne correspond pas toujours à son numéro d entrée dans la liste de Routes Statiques. C est le cas lorsque les numéros de séquence ont été définis lors d e leur création à partir de l interface de commande en ligne. Les numéros de séquence peuvent être spécifiés à partir de commandes CLI uniquement. En résumé, si une route de la table de routage possède un numéro de séquence plus bas qu une autre route pour la même destination, l équipement FortiGate 196 Guide d Administration FortiGate Version 3.0

197 choisit la route avec le numéro de séquence le plus bas. Etant donné que vous pouvez, lors de la configuration de routes statiques, à partir de l interface de ligne de commande, spécifier les numéros de séquence ou la priorité à affecter, les routes vers une même destination peuvent être définies comme prioritaires ou non en fonction de leurs numéro de séquence et priorité. Pour mettre la priorité sur une route statique, vous devez créer cette route à partir de la commande CLI config router static et spécifier un numéro de séquence bas ou une priorité haute pour cette route. Visualisation, création et édition de routes statiques La liste des Routes Statiques affiche les informations que l équipement FortiGate compare aux en-têtes des paquets dans le but de les diriger. Au départ, la liste comprend les routes statiques configurées par défaut (voir «Route par défaut et passerelle par défaut» à la page 198). Des entrées supplémentaires peuvent être créées manuellement. Lorsque vous ajoutez une route à la liste des Routes Statiques, l équipement FortiGate évalue les nouvelles informations pour déterminer si celles représentent un e route différente comparée à toutes les autres routes présentes dans la table de routage. Si aucune de ces routes ne possèdent la même destination, l équipement FortiGate ajoute cette nouvelle route à la table de routage. Pour visualiser la liste des routes statiques, sélectionnez Routeur > Static > Route Statique. Pour éditer une entrée de route statique existante, cliquez sur son icône Editer. L illustration 86 présente un exemple de liste de routes statiques appartenant à un équipement FortiGate. Les noms des interfaces varient d un modèle FortiGate à un autre. Illustration 86 : Liste des Routes Statiques Créer Nouveau IP Masque Passerelle Interface Distance Permet d ajouter une route statique à la liste des Routes Statiques. Voir «Ajout d une route statique à la table de routage» à la page 200. Les adresses IP de destination des paquets interceptés par l équipement FortiGate. Le masque de réseau associé aux adresses IP. Les adresses IP des routeurs du prochain saut vers lequel les paquets interceptés sont envoyés. Le nom de l interface FortiGate à travers laquelle les paquets interceptés sont reçus et envoyés. Les distances administratives associées à chaque route. La valeur représente la distance vers les routeurs du prochain saut. Icônes Supprimer et Editer Permet de supprimer ou d éditer l entrée dans la liste. Guide d Administration FortiGate Version

198 Route par défaut et passerelle par défaut Dans la configuration d origine, l entrée numéro 1 dans la liste des Routes Statiques est associée à l adresse de destination / , ce qui signifie toutes destinations. Cette route est appelée «la route statique par défaut». Si aucune autre route n est présente dans la table de routage et qu un paquet doit être envoyé au-delà de l équipement FortiGate, la route par défaut d origine permet à l équipement FortiGate d envoyer le paquet vers la passerelle par défaut. Pour empêcher cela vous pouvez soit éditer la route statique par défaut et spécifier une passerelle par défaut différente, soit supprimer cette route statique par défaut et en spécifier une nouvelle qui dirige vers la passerelle par défaut. L illustration 87 offre l exemple d un équipement FortiGate connecté à un routeur. Pour s assurer que tous les paquets destinés à tout réseau au-delà du routeur sont commutés vers la bonne destination, il vous faut éditer la configuration par défaut et faire du routeur la passerelle par défaut de l équipement FortiGate. Illustration 87 : Faire d un routeur une passerelle par défaut Dans cet exemple, pour diriger les paquets sortants du réseau interne vers des destinations qui ne sont pas sur le réseau /24, vous pouvez éditer la route par défaut et inclure les paramètres suivants : IP/Masque de destination : / Passerelle : Interface : Nom de l interface connectée au réseau /24 (par exemple, external). Distance : Guide d Administration FortiGate Version 3.0

199 Le paramètre Passerelle spécifie, pour l interface external du FortiGate, l adresse IP de l interface du routeur du prochain saut. L interface derrière le routeur ( ) est la passerelle par défaut pour FortiGate_1. Dans certains cas, il peut y avoir des routeurs derrière l équipement FortiGate. Si la destination d une adresse IP d un paquet n est pas sur le réseau local mais sur un réseau derrière l un de ces routeurs, la table de routage de l équipement FortiGate doit comprendre une route statique vers ce réseau. Dans l exemple de l illustration 88, l équipement FortiGate doit être configuré avec des route statiques vers les interfaces et dans le but de commuter les paquets respectivement vers Network_1 et Network_2. Illustration 88 : Destinations vers des réseaux derrière les routeurs internes Pour diriger les paquets du Network_1 vers le Network_2, Router_1 doit être configuré pour utiliser l interface internal de l équipement FortiGate comme sa passerelle par défaut. Vous pourriez, pour cet exemple, créer sur l équipement FortiGate une nouvelle route statique avec les paramètres suivants : IP/Masque de destination : /24 Passerelle : Interface : dmz Distance : 10 Pour diriger les paquets du Network_2 vers le Network_1, Router_2 doit être configuré pour utiliser l interface dmz de l équipement FortiGate comme sa passerelle par défaut. Vous pourriez, pour cet exemple, créer sur l équipement FortiGate une nouvelle route statique avec les paramètres suivants : IP/Masque de destination : /24 Passerelle : Interface : internal Distance : 10 Guide d Administration FortiGate Version

200 Spécifier une passerelle différente pour la route par défaut La passerelle par défaut détermine vers quelle destination les paquets correspondants à la route par défaut seront envoyés Spécifier une passerelle différente pour la route par défaut 5 Dans le champ Distance, ajoutez, facultativement, la valeur de la distance administrative. 6 Sélectionnez Routeur > Static > Route statique. Cliquez sur l icône Editer de la ligne 1. Dans le champ Passerelle, tapez l adresse IP du routeur du prochain saut vers lequel le trafic sortant doit être dirigé. Si l équipement FortiGate atteint le routeur du prochain saut via une interface différente (comparé à l interface en cours sélectionnée dans le champ Interface), sélectionnez le nom de l interface dans le champ Interface. Cliquez sur OK. Ajout d une route statique à la table de routage Une route fournit au FortiGate les informations nécessaires pour envoyer un paquet vers une destination particulière. Une route statique permet aux paquets d être envoyés vers une destination autre que la passerelle par défaut. Les routes statiques se définissent manuellement. Les routes statiques contrôlent le trafic sortant de l équipement FortiGate vous pouvez spécifier à partir de quelle interface le paquet sort et vers quelle interface le paquet doit être dirigé. Pour ajouter une entrée de route statique, sélectionnez Routeur > Static > Route statique et cliquez sur Créer Nouveau. Lorsque vous ajoutez une route statique à partir de l interface d administration web, l équipement FortiGate affecte automatiquement le prochain numéro de séquence à la route et ajoute l entrée à la liste de Routes Statiques. L illustration 89 représente la boîte de dialogue d édition d une route statique appartenant à un équipement FortiGate ayant une interface appelée «internal». Les noms des interfaces varient en fonction des modèles FortiGate. Illustration 89 : Nouvelle route statique Adresse IP destination / Masque Entrez l adresse IP de destination et le masque de réseau des paquets devant être interceptés par l équipement FortiGate. La valeur / est réservée à la route par défaut. 200 Guide d Administration FortiGate Version 3.0

201 Passerelle Interface Distance Règle de Routage Entrez l adresse IP du routeur du prochain saut vers lequel l équipement FortiGate enverra les paquets interceptés. Sélectionnez le nom de l interface FortiGate à travers laquelle les paquets interceptés passeront pour se diriger vers le routeur du prochain saut. Entrez une distance administrative pour la route. La valeur de la distance est arbitraire et devrait refléter la distance vers le routeur du prochain saut. Une valeur plus basse indique une route préférée. La valeur se situe entre 1 et 255. A chaque fois qu un paquet arrive sur l une des interfaces du FortiGate, ce dernier détermine si le paquet a é té reçu par une interface légitime en lançant une recherche inversée utilisant l adresse IP source de l en-tête du paquet. Dans le cas où le boîtier FortiGate n arrive pas à communiquer avec l ordinateur de cette adresse IP source, le boîtier FortiGate annule le paquet. Dans le cas où l adresse de destination correspond à une adresse locale (et que la configuration local e permet la livraison), l équipement FortiGate livre le paquet au réseau local. Si le paquet est destiné à un autre réseau, l équipement FortiGate transfère le paquet vers le routeur du prochain saut d après la règle de route correspondante et/ou d après les informations disponibles dans la table de relayage FortiGate (voir «Concepts de routage» à la page 194). Lorsque des règles de route existent et qu un paquet arrive sur l équipement FortiGate, ce dernier se réfère à la liste des Règles de Routage et tente de faire correspondre le paquet avec l une d entre elles. Si une correspondance est trouvée et que la règle contient assez d informations pour diriger le paquet (l adresse IP du routeur du prochain saut doit être spécifiée, ainsi que l interface FortiGate pour l envoi de paquets vers le routeur du prochain saut), l équipement FortiGate dirige le paquet en fonction des informations contenues dans la règle de routage. Si aucune règle de routage correspond au paquet, l équipement FortiGate dirige le paquet utilisant la table de routage. Remarque : Etant donné que la plupart des paramètres des règles sont optionnels, une règle seule risque de ne pas fournir toute l information nécessaire au FortiGate pour envoyer le paquet. L équipement FortiGate peut se référer à la table de routage dans une tentative de faire correspondre les informations contenues dans l en-tête du paquet avec une route dans la table de routage. Par exemple, si l interface sortante est le seul élément repris dans la règle, l équipement FortiGate vérifie l adresse IP du routeur du prochain saut dans la table de routage. Cette situation pourrait se présenter lorsque les interfaces FortiGate sont dynamiques (l interface reçoit son adresse IP via DHCP ou PPPoE) et vous ne désirez pas ou n arrivez pas à spécifier une adresse IP du routeur du prochain saut car l adresse IP change dynamiquement. Pour voir la liste des règles de routage, sélectionnez Routeur > Static > Policy Route. Pour éditer une règle de routage existante, cliquez sur l icône Editer à côté de la règle que vous voulez éditer. L illustration 90 représente une liste de règles de routage appartenant à un équipement FortiGate qui possèdent des interfaces appelées «external» et «internal». Les noms des interfaces varient selon les modèles FortiGate. Guide d Administration FortiGate Version

202 Illustration 90 : Liste de Règle de Routage Créer Nouveau Permet d ajouter une règle de routage. Voir «Ajout d une règle de routage» à la page 202. # Les numéros ID des règles de routage configurées. Ces numéros sont séquentiels, à moins que des règles aient été modifiées dans la table. Interface source Les in terfaces sur lesquelles les paquets sujets à des règles de routage ont été reçus. Interface destination Les interfaces à travers lesquelles les paquets routés par règles sont dirigés. Source Les adresses IP source et masques de réseau responsables de l application de règles de routage. Destination Icône Supprimer Icône Editer Icône Déplacer Les adresses IP de destination et les masques de réseau responsables de l application de règles de routage. Permet de supprimer une règle de routage. Permet d éditer une règle de routage. Permet de déplacer une règle de routage vers le haut ou le bas dans la table de routage. En sélectionnant cette icône, une nouvelle fenêtre s affiche dans laquelle vous pouvez spécifier la nouvelle localisation dans la table de Règles de Routage. Voir «Déplacer une règles de routage» à la page 203. Ajout d une règle de routage Les options des règles de routage définissent les propriétés d un paquet entrant responsable de l application d un e règle de routage. Si les propriétés d un paquet correspondent à toutes les conditions spécifiées, l équipement FortiGate commute le paquet à travers l interface spécifiée vers la passerelle désignée. Pour ajouter une règle de routage, sélectionnez Routeur > Static > Règle de routage et cliquez sur Créer Nouveau. L illustration 91 représente la boîte de dialogue d une nouvelle règle de routage appartenant à un équipement FortiGate qui possèdent des interfaces appelées «external» et «internal». Les noms des interfaces varient selon les modèles FortiGate. 202 Guide d Administration FortiGate Version 3.0

203 Illustration 91 : Nouvelle Règle de Routage Protocole Interface source Adresse source et masque Adresse destination et masque Ports destination Interface destination Passerelle Pour exécuter des règles de routage en fonction de la valeur dans le champ protocole du paquet, entrez le numéro de protocole correspondant. Cette valeur se situe entre 0 et 255. La valeur 0 désactive la fonctionnalité. Sélectionne le nom de l interface à travers laquelle les paquets entrants sujets à la règle sont reçus. Pour exécuter des règles de routage en fonction de l adresse IP source du paquet, entrez l adresse source et le masque de réseau correspondants. La valeur / désactive la fonctionnalité. Pour exécuter des règles de routage en fonction de l adresse IP de destination du paquet, entrez l adresse de destination et le masque de réseau correspondants. La valeur / désactive la fonctionnalité. Pour exécuter des règles de routage en fonction du port sur lequel est reçu, entrez le même numéro de port dans les champs Début et Fin. Si vous voulez que cette règle s applique à un intervalle de ports, entrez le premier port de la plage dans le champ Début et le dernier dans le champ Fin. Les valeurs 0 désactivent cette fonctionnalité. Sélectionnez le nom de l interface à travers laquelle les paquets concernés pas la règle passeront. Entrez l adresse IP du routeur du prochain saut que l équipement FortiGate peut accéder à travers l interface spécifiée. La valeur n est pas valide. Déplacement d une règle de routage Une nouvelle règle de routage est ajoutée au bas de la table de routage. Si vous désirez qu une règle en précède une autre, vous aurez peut-être à la déplacer plus haut dans la table de routage. Le choix entre deux routes se présente lorsque celles-ci sont identiques. Prenons l exemple suivant de deux routes présentes dans la table de routage : / et / Elles peuvent toutes deux correspondre à mais la deuxième est préférable. Elle devrait donc être positionnée avant l autre dans la table de routage. A partir de l interface de ligne de commande, vous pouvez affecter des priorités aux routes. Ainsi dans le cas de deux routes identiques dans la table de routage, la Guide d Administration FortiGate Version

204 priorité déterminera la route à utiliser. Cette fonctionnalité n est disponible qu à partir de l interface de ligne de commande. Illustration 92 : Déplacement d une règle de routage Avant / Après Policy route ID Sélectionnez Avant pour placer la règle de routage sélectionnée avant la route indiquée. Sélectionnez Après pour placer la règle de routage sélectionnée après la route indiquée. Entrez l ID de la règle de routage avant ou après laquelle doit venir se positionner la règle de routage sélectionnée. 204 Guide d Administration FortiGate Version 3.0

205 Routeur dynamique Cette section explique comment configurer des protocoles dynamiques pour diriger le trafic à travers de larges et complexes réseaux. Les protocoles de routage dynamiques permettent à l équipement FortiGate de partager automatiquement les informations sur les routes et réseaux avec les routeurs voisins. Le boîtier FortiGate supporte les protocoles de routage dynamiques suivants : Routing Information Protocol (RIP) Open Shortest First (OSPF) Border Gateway Protocol (BGP) Remarque : Les options de base de routage RIP, OSPF et BGP peuvent être configurées à partir de l interface d administration web. De nombreuses options supplémentaires peuvent être configurées à partir de l interface de ligne de commande uniquement. Des descriptions et exemples complets sur l utilisation de commandes CLI pour configurer les paramètres RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference. Le boîtier FortiGate sélectionne des routes et met à jour sa table de routage dynamiquement en fonction de règles spécifiées. A partir d un ensemble de règles, l équipement FortiGate peut déterminer la meilleure route pour l envoi de paquets vers une destination. Des règles peuvent également être définies pour supprimer la publicité des routes vers les routeurs voisins et/ou modifier les informations de routage FortiGate avant de les publier. Remarque : Le boîtier FortiGate peut opérer comme un routeur PIM (Protocol Independant Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes PIM clairsemé et dense et peuvent servir de serveurs ou receveurs multicast sur le segment réseau auquel l interface FortiGate est connectée. PIM peut utiliser des routes statiques, RIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations. RIP Les sujets suivants sont parcourus dans cette section : RIP OSPF BGP Multicast Le RIP est un protocole de routage à vecteur de distance prévu pour de petits réseaux relativement homogènes. L implémentation FortiGate du RIP supporte les versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453). Remarque : Les options de base de routage peuvent être configurées à partir de l interface d administration web. De nombreuses options supplémentaires peuvent être configurées à partir de l interface de ligne de commande uniquement. Des descriptions et exemples complets sur l utilisation de commandes CLI pour configurer les paramètres RIP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference. Guide d Administration FortiGate Version

206 Fonctionnement RIP Lorsque le routage RIP est activé, l équipement FortiGate émet des requêtes pour des annonces RIP à partir de chacune de ses interfaces pour lesquelles le RIP est activé. Les routeurs voisins répondent en se basant sur leur table de routage. L équipement FortiGate ajoute les routes de ses voisins, absentes de sa table de routage, à sa propre table de routage. Si une route existe déjà dans sa table de routage, l équipement FortiGa te compare la route diffusée à la route enregistrée et en choisit une. La métrique utilisée par RIP utilise le nombre de sauts (hop count) pour choisir la meilleure route. Un nombr e de sauts de 1 représente un réseau connecté directement à l équipement FortiGate. Un nombre de sauts de 16 représente un réseau que l équipement FortiGate ne peut pas atteindre. Chaque réseau traversé par un paquet pour atteindre sa destination compte en général pour un saut. Lorsque l équipement FortiGate compare deux routes pour une même destination, la route ayant le nombre de sauts le plus bas est ajoutée à la table de routage. Par ailleurs, lorsqu un routage RIP est activé sur une interface, le boîtier FortiGate envoie régulièrement des réponses RIP aux routeurs voisins. Les annonces fournissent des informations à propos des routes présentes dans la table de routage FortiGate en fonction des règles de diffusion spécifiées. Il est possible de préciser la fréquence à laquelle l équipement FortiGate envoie ces annonces, le temps pendant lequel une route est sauvegardée dans la table de routage sans subir de mise à jour, et encore, pour les routes non mises à jour régulièrement, combien de temps l équipement FortiGate diffuse la route comme inatteignable avant qu elle soit supprimée de la table de routage. Visualisation et édition des paramètres de base RIP Lors de la configuration de paramètres RIP, vous devez spécifier les réseaux fonctionnant avec RIP, ainsi que tous les paramètres supplémentaires nécessaires pour ajuster le fonctionnement RIP sur les interfaces FortiGate connectées au réseau RIP. Pour configurer les paramètres de base d un équipement FortiGate connecté à un réseau RIP, sélectionnez Routeur > Dynamic > RIP. Pour éditer les paramètres de fonctionnement d une interface, cliquez sur l icône Editer dans la ligne correspondante à l interface (sur laquelle le routage RIP est activé). L illustration 93 représente les paramètres de base RIP d un équipement FortiGate qui possèdent des interfaces appelées «external» et «internal». Les noms des interfaces varient d un modèle FortiGate à un autre. 206 Guide d Administration FortiGate Version 3.0

207 Illustration 93 : Paramètres de base RIP Version RIP Options Avancées Réseaux Interfaces IP/Masque Add Créer Nouveau Interfaces Version - Envoyés Sélectionnez le niveau de compatibilité. Vous pouvez activer les paramètres globaux RIP sur toutes les interfaces FortiGate connectées aux réseaux RIP : Sélectionnez 1 pour envoyer et recevoir les paquets RIP version 1. Sélectionnez 2 pour envoyer et recevoir les paquets RIP version 2. Sélectionnez Les deux pour envoyer et recevoir les paquets RIP versions 1 et 2. Vous pouvez ignorer les paramètres globaux pour une interface FortiGate spécifique si nécessaire (voir «Ignorer les paramètres de fonctionnement sur une interface» à la page 209). Sélectionnez Options Avancées RIP. Voir «Sélection d options RIP avancées» à la page 208. Les adresses IP et masques de réseau des réseaux principaux (connectés à l équipement FortiGate) muni de RIP. Lorsque vous ajoutez un réseau à la liste des Réseaux, les interfaces FortiGate faisant partie de ce réseau sont diffusées dans les annonces RIP. Vous pouvez activer RIP sur toutes les interfaces FortiGate dont les adresses IP correspondent à l espace adressage du réseau RIP. Entrez l adresse IP et le masque de réseau qui définissent le réseau RIP. Permet d ajouter les informations sur le réseau à la liste des Réseaux. Tous les paramètres supplémentaires nécessaires pour ajuster le fonctionnement RIP sur une interface FortiGate. Permet de configurer les paramètres de fonctionnement RIP d une interface. Ces paramètres ignoreront les paramètres globaux RIP pour cette interface. Voir «Ignorer les paramètres de fonctionnement RIP sur une interface» à la page 209. Sélectionnez l interface pour laquelle configurer les paramètres de fonctionnement RIP. Sélectionnez la version RIP utilisée pour l envoi d annonces à partir de chaque interface : 1, 2 ou les deux. Guide d Administration FortiGate Version

208 Version - Reçus Authentification Passive Icônes Supprimer et Editer Sélectionnez la version RIP utilisée pour la réception d annonces à partir de chaque interface : 1, 2 ou les deux. Sélectionnez le type d authentification utilisé sur cette interface : None, Text ou MD5. Sélectionnez pour bloquer l émission RIP sur cette interface. Permet de supprimer ou d éditer une entrée réseau RIP ou une définition d interface RIP. Sélection d options RIP avancées Les options RIP avancées vous permettent de spécifier les paramètres des compteurs RIP et de définir les métriques pour la redistribution de routes dont l équipement FortiGate a pris connaissance autrement que par les annonces RIP. C est le cas par exemple, si le boîtier FortiGate est connecté à un réseau OSPF ou BGP ou encore si vous ajoutez manuellement une route statique à la table de routage FortiGate. Dans ces cas-là, vous pouvez configurer la diffusion par l équipement FortiGate de ces routes sur les interfaces RIP. Pour sélectionnez les options RIP avancées, sélectionnez Routeur > Dynamic > RIP et dérouler les Options Avancées. Après avoir sélectionné les options, cliquez sur Appliquer. Remarque : Des options avancées supplémentaires peuvent être configurées à partir de l interface de ligne de commande. Par exemple, vous pouvez filtrer les annonces entrantes et sortantes grâce à l utilisation d une carte de route, d une liste d accès ou encore d une liste de préfixes. L équipement FortiGate supporte également des listes offset, qui ajoutent un décalage aux métriques d une route. Pour plus d informations, voir le chapitre «Routeur» dans le FortiGate CLI Reference. Illustration 94 : Options avancées (RIP) Métrique par défaut Annoncer la route par défaut dans RIP Entrez le nombre de sauts par défaut que l équipement FortiGate devrait affecter aux routes ajoutées à la table de routage. Ce nombre varie entre 1 et 16. Cette valeur s applique également à la Redistribution des routes à moins que spécifié différemment. Sélectionnez pour générer et annoncer sans restriction une route par défaut vers les réseaux RIP FortiGate. La route générée peut être basée sur des routes annoncées à partir d un protocole de routage dynamique, des routes de la table de routage ou les deux. 208 Guide d Administration FortiGate Version 3.0

209 Compteurs RIP Ignore les paramètres par défaut du compteur RIP. Ces paramètres sont en vigueur dans la plupart des configurations en cas de modifications de ces paramètres, veillez à ce que les nouveaux paramètres soient compatibles avec les routeurs locaux et les serveurs d accès. Annonces Entrez le laps de temps (en secondes) entre chaque envoi par le boîtier FortiGate des annonces RIP. Route invalidée Entrez le temps maximum (en secondes) pendant lequel une route reste considérée comme atteignable bien qu aucune annonce n est reçue pour cette route. C est le temps maximum pendant lequel l équipement FortiGate gardera une route atteignable dans la table de routage alors qu aucune annonce n est reçue pour cette route. Si l équipement FortiGate reçoit une annonce pour cette route avant que le laps de temps soit écoulé, le compteur redémarre. Cette pério de devrait être au moins trois fois plus longue que la période Annonces ci-dessus. Route supprimée Entrez le temps (en secondes) pendant lequel l équipement FortiGate annoncera une route dont le statut est inatteignable avant de la supprimer de la table de routage. Cette valeur détermine le temps pendant lequel une route inatteignable reste dans la table de routage. Redistribution des routes Activez ou désactivez les annonces RIP concernant les routes qui n ont pas été diffusées via annonces RIP. L équipement FortiGate peut utiliser le RIP pour redistribuer les routes diffusées à partir de réseaux connectés directement, de routes statiques, OSPF et/ou BGP. Connectées Statiques OSPF BGP Sélectionnez cette option pour redistribuer les routes diffusées via des réseaux connectés directement. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case Métrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Sélectionnez cette option pour redistribuer les routes diffusées via des routes statiques. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case Métrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Sélectionnez cette option pour redistribuer les routes diffusées via OSPF. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case Métrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Sélectionnez cette option pour redistribuer les routes diffusées via BGP. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case Métrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Ignorer les paramètres de fonctionnement RIP d une interface Les options des interfaces RIP vous permettent d ignorer les paramètres globaux RIP qui s appliquent à toutes les interfaces connectées à des réseaux RIP. Par exemple, si vous voulez supprimer l envoi d annonces RIP sur une interface connectée à un sous-réseau ou réseau RIP, vous pouvez configurer l interface pour qu elle fonctionne passivement. Les interfaces passives reçoivent les annonces RIP mais ne répondent pas aux requêtes. La version 2 du RIP permet de choisir un mot de passe d authentification afin que l équipement FortiGate authentifie un routeur voisin avant d accepter ses Guide d Administration FortiGate Version

210 annonces. L équipement FortiGate et les routeurs voisins doivent être configurés avec le même mot de passe. Le procédé d authentification garantit l authenticité du paquet d annonces mais ne garantit pas la confidentialité des informations sur le routage contenus dans le paquet. Pour définir les paramètres RIP des interfaces RIP, sélectionnez Routeur > Dynamic > RIP et cliquez sur Créer Nouveau. Remarque : Certaines options supplémentaires telles que «split-horizon» et «key-chain» peuvent être configurées sur chaque interface à partir de l interface de ligne de commande. Pour plus d informations, voir le chapitre Routeur dans le FortiGate CLI Reference. L illustration 95 représente la boîte de dialogue Nouvelle/Editer Interface RIP appartenant à un FortiGate qui possède une interface appelée «internal». Les noms des interfaces varient selon les modèles FortiGate. Illustration 95 : Nouvelle/Editer Interface RIP Interface Version des annonces envoyées, Version des annonces reçues Authentification Passive Interface Sélectionnez le nom de l interface pour laquelle les paramètres ci-dessous s appliquent. L interface doit être connectée à un réseau RIP. L interface peut être une interface virtuelle IPSec ou GRE. Sélectionnez pour ignorer le paramètre par défaut de compatibilité RIP pour l envoi ou la réception des annonces à travers l interface : RIP version 1, version 2 ou les deux. Sélectionnez une méthode d authentification pour les échanges RIP sur l interface spécifiée : Sélectionnez None pour désactiver l authentification. Pour une interface connectée à un réseau muni de RIP version 2, vous pouvez facultativement sélectionner Texte et entrez un mot de passe (jusqu à 35 caractères). L équipement FortiGate et le routeur des annonces RIP doivent être configurés avec le même mot de passe. Le mot de passe est envoyé sous forme de texte à travers le réseau. Sélectionnez MD5 pour authentifier un échange via MD5. Permet de supprimer l annonce des informations de routage FortiGate à travers l interface spécifiée. Pour activer les réponses de l interface aux requêtes RIP, ne pas sélectionner cette case. 210 Guide d Administration FortiGate Version 3.0

211 OSPF OSPF est un protocole de routage IP de type état de lien utilisé généralement sur de larges réseaux hétérogènes pour partager les informations de routage entre les routeurs d un même Système Autonome (AS). L équipement FortiGate supporte OSPF version 2 (voir RFC 2328). Remarque : Les options de base de routage OSPF peuvent être configurée à partir de l interface d administration web. De nombreuses options supplémentaires peuvent être configurées uniquement à partir de l interface de ligne de commande. Pour des descriptions et exemples complets sur la configuration de paramètres OSPF via l utilisation des commandes CLI, voir le chapitre Routeur du FortiGate CLI Reference. Systèmes autonomes OSPF Un système autonome OSPF est divisé en aires (ou zones) logiques reliées par des routeurs de bordure de zones. Une aire comprend un groupe de réseaux environnants. Un routeur de bordure de zones relie une ou plusieurs aires au backbone du réseau OSPF (Aire ID 0). Pour spécifier les caractéristiques d un système autonome OSPF, voir «Définition d un système autonome OSPF» à la page 212. Lorsqu un équipement FortiGate possède une de ses interfaces dans une aire OSPF, il peut alors participer aux échanges de communications OSPF. Le boîtier FortiGate utilise le protocole OSPF Hello pour acquérir des voisins dans une aire. Tout routeur qui possède une interface dans la même aire que le boîtier FortiGate est un voisin. Après un contact initial, l équipement FortiGate échange régulièrement des paquets Hello avec ses voisins OSPF pour confirmer que ceux- ci peuvent être joints. Les routeurs OSPF génèrent des LSA (link-state advertisements) et les envoient à leurs voisins à chaque changement de statut d un voisin ou lorsqu un nouveau voisin apparaît dans l aire. Tant que le réseau OSPF est stable, il n y a pas de LSA entre les voisins OSPF. Un LSA identifie des interfaces de tous les routeurs d une aire et procure des informations qui permettent aux routeurs de sélectionner le chemin le plus court vers une destination. Tous les échanges LSA entre routeurs OSPF sont authentifiés. L équipement FortiGate maintient une base de données des informations d états de lien basée sur les LSA reçus des autres routeurs OSPF. Pour calculer la meilleure route (chemin le plus court) vers une destination, l équipement FortiGate applique l algorithme SPF (Shortest Path First) aux informations d états de lien. Le protocole OSPF utilise le coût relatif comme métrique de base pour le choix de la meilleure route. Le coût impose une pénalité en sortie à chaque interface d un FortiGate. Le coût d une route est calculé en additionnant tous les coûts associés aux interfaces de sorties sur le chemin vers la destination. C est la route au moindre coût qui sera considérée comme la meilleure route. L équipement FortiGate met à jour sa table de routage dynamiquement, en fonction des résultats des calculs SPF pour assurer qu un paquet OSPF sera commuté vers sa destination via le chemin le plus court. Selon la topologie du réseau, les entrées dans la table de routage FortiGate peuvent inclure : les adresses réseaux de l aire locale OSPF (vers lesquels les paquets sont envoyés directement). Guide d Administration FortiGate Version

212 des routes vers les routeurs de bordure d aires OSPF (vers lesquels les paquets destinés à d autres aires sont envoyés). si le réseau contient des aires OSPF et des domaines non-ospf, des routes vers les routeurs frontières AS, qui résident dans le réseau backbone OSPF et sont configurés pour l envoi de paquets vers des destinations en dehors du système autonome OSPF. Le nombre de routes porté es à la connaissance de l équipement FortiGate dépendent de la topologie du réseau. Un seul équipement FortiGate peut supporter des dizaines de milliers de routes si le réseau OSPF est configuré correctement. Définition d un système autonome (AS) OSPF Définir un AS OSPF comprend : la définition de caractéristiques d une ou plusieurs aires OSPF. la création d associations entre aires OSPF que vous définissez et les réseaux locaux à inclure dans l AS OSPF. si nécessaire, ajuster les paramètres des interfaces OSPF. Les procédures suivantes décrivent la configuration de ces tâches à partir de l interface d administration web. Définir un AS OSPF 1 Sélectionnez Routeur > Dynamic > OSPF. 2 Cliquez sur Créer Nouveau dans la section Aires. 3 Définissez les caractéristiques d une ou plusieurs aires OSPF. Voir «Définition d aires OSPF» à la page Cliquez sur Créer Nouveau dans la section Réseaux. 5 Créez des associations entre les aires OSPF que vous définissez et les réseaux locaux à inclure dans l AS OSPF. Voir «Spécification des réseaux OSPF» à la page S il est nécessaire d ajuster les paramètres par défaut d une interface OSPF, cliquez sur Créer Nouveau dans la section Interfaces. 7 Sélectionnez les paramètres de fonctionnement pour l interface. Voir «Sélection de paramètres de fonctionnement d une interface OSPF» à la page Répétez les étapes 6 et 7 si nécessaire pour d autres interfaces OSPF. 9 Facultativement, sélectionnez les options OSPF avancées pour l AS OSPF. Voir «Sélection d options OSPF avancées» à la page Cliquez sur Appliquer. Visualisation et édition de paramètres de base OSPF Lors de la configuration de paramètres OSPF, il vous faut définir l AS dans lequel OSPF est activé et spécifier les interfaces de l équipement FortiGate qui en font partie. Pour cela il faut également spécifier les aires AS et les réseaux à inclure dans ces aires. Vous pouvez facultativement ajuster les paramètres associés aux opérations OSPF sur les interfaces FortiGate. 212 Guide d Administration FortiGate Version 3.0

213 Pour visualiser et éditer les paramètres OSPF, sélectionnez Routeur > Dynamic > OSPF. L illustration 96 représente les paramètres de base OSPF d un équipement FortiGate qui possède une interface appelée «port1». Les noms des interfaces varient en fonction des modèles FortiGate. Illustration 96 : Paramètres de base OSPF Routeur ID Entrez un ID de routeur unique en vue d identifier l équipement FortiGate vis-à-vis des autres routeurs OSPF. Par convention, l ID du routeur est l adresse IP la plus haute (numériquement parlant) de toutes les interfaces FortiGate dans l AS OSPF. Ne pas modifier l ID du routeur pendant le fonctionnement d OSPF. Options Avancées Voir «Sélection d options OSPF avancées» à la page 214. Aires Créer Nouveau Aire Type Informations à propos des aires (zones) qui forment l AS OSPF. L en-tête d un paquet OSPF contient l ID de l aire, ce qui permet d identifier l origine d un paquet au sein d un AS. Permet de définir une aire OSPF et d ajouter cette nouvelle aire à la liste des Aires. Voir «Définition d aires OSPF» à la page 216. Chaque ligne comprend l identificateur (ID) 32 bits unique, exprimé sous forme de notation décimale à point, d une aire dans l AS. L aire portant l ID est l aire backbone de l AS et ne peut être changé ou supprimé. Les différents types des aires dans l AS : Dans le cas où l aire est une aire normale OSPF, le type affiché est «Regular». Si l aire est une «not-so-stubby area», le type affiché est «NSSA». Si l aire est une «stub area», le type affiché est «Stub». Pour plus d informations, voir «Définition d aires OSPF» à la page 216. Guide d Administration FortiGate Version

214 Authentification Les méthodes d authentification de paquets OSPF envoyés et reçus à travers les interfaces FortiGate liées à chaque aire. Lorsque l authentification est désactivée, la mention None s affiche. Lorsqu une authentification avec mot de passe en texte est activée, la mention Texte s affiche. Lorsque l authentification MD5 est activée, la mention MD5 s affiche. Réseaux Créer Nouveau Réseaux Aire Interfaces Créer Nouveau Nom Interface IP Authentification Icônes Supprimer et Editer Des paramètres d authentification différents peuvent s appliquer à certaines interfaces d une aire, tel qu affiché dans la section Interfaces. Par exemple, si une aire utilise des mots de passe simples, vous pouvez configurer un mot de passe différent pour un ou plusieurs réseaux de cette aire. Les réseaux de l AS OSPF et leur ID aire. Lorsqu un réseau est ajouté dans la liste des Réseaux, toutes les interfaces FortiGate faisant partie du réseau sont annoncées via les LSA OSPF. Vous pouvez activer OSPF sur toutes les interfaces dont les adresses IP correspondent à l espace adressage réseau OSPF. Sélectionnez pour ajouter un réseau à l AS, spécifier son ID aire et ajouter une définition à la liste Réseaux. Voir «Spécification des réseaux OSPF» à la page 217. Les adresses IP et masques de réseau des réseaux de l AS sur lesquels OSPF est activé. L équipement FortiGate peut avoir des interfaces physiques ou VLAN connectées au réseau. L ID de l aire affectée à l espace adressage réseau OSPF. Tout paramètre supplémentaire nécessaire à l ajustement du fonctionnement OSPF sur une interface FortiGate. Sélectionnez pour ajouter des paramètres de fonctionnement OSPF supplémentaires ou différents pour une interface FortiGate et ajouter la configuration à la liste des Interfaces. Voir «Sélection de paramètres de fonctionnement d une interface OSPF» à la page 218. Les noms des définitions des interfaces OSPF. Les noms des interfaces physiques ou VLAN ayant des paramètres différents des valeurs par défaut affectées à toutes les autres interfaces d une même aire. Les adresses IP des interfaces OSPF ayant des paramètres supplémentaires ou différents. Les méthodes d authentification des échanges LSA envoyés ou reçus sur des interfaces OSPF spécifiées. Ces paramètres ignorent les paramètres de l authentification de l aire. Sélectionnez pour supprimer ou éditer une aire OSPF, un réseau ou une définition d interface. Sélection d options avancées OSPF Les options OSPF avancées vous permettent de préciser les métriques pour la redistribution de routes dont le boîtier FortiGate a pris connaissance par d autres moyens que les LSA OSPF. C est le cas par exemple, si l équipement FortiGate est connecté à un réseau RIP ou BGP ou encore si vous ajoutez manuellement 214 Guide d Administration FortiGate Version 3.0

215 une route statique à la table de routage FortiGate. Dans ces cas-là, vous pouvez configurer la diffusion par l e FortiGate de ces routes sur les interfaces OSPF. Pour sélectionnez les options OSPF avancées, sélectionnez Routeur > Dynamic OSPF et dérouler les Options Avancées. Après avoir sélectionné les options, cliquez sur Appliquer. Illustration 97 : Options OSPF avancées Information par défaut Aucun Regular Toujours Redistribution Connecté Statiques RIP BGP Génère ou diffuse une route par défaut (external) vers l AS OSPF. La route générée peut être basée sur des routes dont l équipement FortiGate a eu connaissance via un protocole de routage dynamique ou des routes dans la table de routage, ou les deux. Désactive la génération d une route par défaut. Génère une route par défaut dans l AS OSPF et diffus e la route aux systèmes autonomes voisins seulement si la route est présente dans la table de routage. Génère une route par défaut dans l AS OSPF et diffuse la route aux systèmes autonomes voisins inconditionnellement même si la route est absente de la table de routage. Active ou désactive les LSA OSPF à propos des routes non diffusées via OSPF. L équipement FortiGate peut utiliser OSPF pour redistribuer les routes diffusées à partir de réseaux connectés directement, de routes statiques, RIP et/ou BGP. Sélectionnez cette option pour redistribuer les routes diffusées à partir de réseaux connectés directement. Si vous désirez préciser un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et Sélectionnez cette option pour redistribuer les routes diffusées à partir de routes statiques. Si vous désirez spécifier un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et Sélectionnez cette option pour redistribuer les routes diffusées à partir de RIP. Si vous désirez spécifier un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et Sélectionnez cette option pour redistribuer les routes diffusées à partir de BGP. Si vous désirez spécifier un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et Remarque : Des options avancées supplémentaires peuvent être configurées à partir de l interface de ligne de commande. Pour plus d informations, voir le chapitre «Routeur» dans le FortiGate CLI Reference. Guide d Administration FortiGate Version

216 Définitions d aires OSPF Une aire définit logiquement une partie de l AS OSPF. Chaque aire est identifiée par un ID aire de 32 bits exprimé sous forme de notation décimale à point. L aire portant l ID est l aire backbone du réseau OSPF. Il existe trois classifications pour les aires d une AS : Regular Stub NSSA Une aire «Regular» comprend plus d un routeur, chacun ayant au moins une interface OSPF dans cette aire. Pour atteindre le backbone OSPF, les routeurs d une aire stub doivent envoyer les paquets vers un routeur de bordure de zones. Les routes qui mènent vers des domaines non-ospf ne sont pas diffusées aux routeurs des aires stub. Le routeur de bordure de zones diffuse à l AS OSPF une seule route par défaut (destination ) dans l aire stub, qui assure que tous les paquets OSPF ne correspondant pas à une route spécifique correspondront à la route par défaut. Tous les routeurs connectés à une aire stub est considérée comme faisant partie de cette aire. Dans une aire NSSA (Not-So-Stubby Area), les routes qui sortent de l aire vers un domaine non-ospf sont diffusées à l AS OSPF. Cependant, l aire elle-même continue d être traitée comme une aire stub par le reste de l AS. Les aires Regular et stub (y compris NSSA) sont connectées au backbone OSPF par l intermédiaire de routeurs de bordure de zones. Pour définir une aire OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez sur Créer Nouveau dans la section Aires. Pour éditer les propriétés d une aire OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez sur l icône Editer dans la ligne correspondante à l aire concernée. Remarque : Si nécessaire, vous pouvez définir un lien virtuel vers une aire qui a perdu sa connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement être définis entre deux équipements FortiGate qui agissent en tant que routeurs de bordure de zones. Pour plus d informations, voir «config virtual-link» sous la sous-commande OSPF «config area» dans le FortiGate CLI Reference. Illustration 98 : Nouvelle/Editer Aire OSPF Aire Type Entrez un identificateur de 32 bits pour cette aire. La valeur doit être similaire à une adresse IP sous forme de notation décimale à point. Une fois l aire OSPF créée, la valeur IP de cette aire ne peut plus être modifiée. Sélectionnez un type d aire pour catégoriser les caractéristiques du réseau qui seront affectées à l aire : 216 Guide d Administration FortiGate Version 3.0

217 Authentification Sélectionnez Regular si l aire comprend plus d un routeur, chacun ayant au moins une interface OSPF dans l aire. Sélectionnez NSSA si vous désirez des routes vers des domaines non-ospf diffusés sur l AS OSPF et désirez que l aire soit traitée comme une aire stub par le reste de l AS. Sélectionnez STUB si les routeurs de l aire doivent envoyer des paquets vers un routeur en bordure de zones pour atteindre le backbone et que vous ne désirez pas que les routes vers des domaines non-ospf soit diffusées vers les routeurs dans l aire. Sélectionnez la méthode d authentification OSPF des paquets envoyés et reçus par l intermédiaire de toutes les interfaces dans cette aire : Sélectionnez None pour désactiver l authentification. Sélectionnez Texte pour activer un mot de passe d authentification sous forme de texte pour authentifier les échanges LSA. Le mot de passe est envoyé sous forme de texte à travers le réseau. Sélectionnez MD5 pour authentifier un échange via MD5. Si nécessaire, vous pouvez ignorer ce paramètres pour une ou plusieurs interfaces de l aire (voir «Sélection des paramètres de fonctionnement d une interface OSPF» à la page 218. Remarque : Pour affecter un la page 217. réseau à une aire, voir «Spécification des réseaux OSPF» à Spécification de réseaux OSPF Les aires OSPF regroupent plusieurs réseaux environnants. Lorsque vous affectez un ID à un espace adressage du réseau, les propriétés de cette aire sont associées au réseau. Pour affecter un ID aire OS PF à un réseau, sélectionnez Routeur > Dynamic > OSPF et cliquez sur Créer Nouveau dans la section Réseaux. Pour éditer cet ID, sélectionnez Routeur > Dynamic > OSPF et cliquez sur l icône Editer dans la ligne correspondant au réseau concerné. Illustration 99 : Nouveau/Editer Réseau OSPF IP/Masque Aire Entrez l adresse IP et le masque de réseau du réseau local que vous désirez affecter à une aire OSPF. Sélectionnez un ID aire pour le réseau. Les propriétés de l aire doivent correspondre aux caractéristiques et à la topologie du réseau spécifié. Vous devez définir l aire avant de pouvoir sélectionnez l ID aire. Voir «Définition d aires OSPF» à la page 216. Guide d Administration FortiGate Version

218 Sélection de paramètres de fonctionnement d une interface OSPF La définition d une interface OSPF contient des paramètres de fonctionnement spécifiques à une interface OSPF FortiGate. La définition comprend le nom de l interface (par exemple, external ou VLAN_1), l adresse IP affectée à l interface, la méthode d authentification des échanges LSA et les paramètres de temps pour l envoi et la réception des paquets OSPF Hello et dead-interval. Le protocole OSPF peut être activé sur toutes les interfaces FortiGate dont les adresses IP correspondent à l espace réseau OSPF. Par exemple, définissez une aire et un réseau OSPF défini à /16. Définissez ensuite vlan1 à , vlan2 à /24 et vlan3 à /24. Ces trois vlans seront munis d OSPF dans une aire Pour activer toutes les interfaces, vous devriez créer un réseau OSPF /0 ayant une aire qui corresponde à une adresse IP spécifique. Vous pouvez configurer des paramètres OSPF différents pour une même interface FortiGate lorsque plus d une adresse IP ont été assignées à l interface. Par exemple, une même interface FortiGate pourrait être connectée à deux voisins à partir de sous-réseaux différents. Vous pourriez alors configurer une définition de l interface OSPF comprenant un ensemble de paramètres Hello et dead-interval pour la compatibilité avec les paramètres d un voisin, et configurer une deuxième définition de cette même interface pour assurer la compatibilité avec les paramètres du deuxième voisin. Pour sélectionnez les paramètres de fonctionnement d une interface FortiGate, sélectionnez Routeur > Dynamic > OSPF et cliquez sur Créer Nouveau dans la section Interfaces. Pour éditer ces paramètres, cliquez sur l icône Editer dans la ligne correspondant à l interface OSPF à éditer. L illustration 100 représente la boîte de dialogue Nouvelle/Editer Interface OSPF appartenant à un équipement FortiGate qui possède une interface appelée «port1». Les noms des interfaces varient selon les modèles FortiGate. Illustration 100 : Nouvelle/Editer Interface OSPF Nom Interface Entrez un nom pour identifier la définition de l interface OSPF. Par exemple, le nom pourrait indiquer l aire OSPF à laquelle sera reliée l interface. Sélectionnez le nom de l interface à associer à cette définition d interface OSPF (par exemple, port1, external ou VLAN_1). L équipement FortiGate peut avoir des interfaces physiques, VLAN, virtuelles IPSec ou GRE connectées au réseau OSPF. 218 Guide d Administration FortiGate Version 3.0

219 BGP IP Authentification Mot de passe Clés MD5 Hello Interval Entrez l adresse IP affectée à l interface OSPF. L interface devient une interface OSPF lorsque son adresse IP correspond à l espace adresse réseau OSPF. Par exemple, si vous définissez un réseau OSPF /24 et affectez l adresse IP au port1, entrez Sélectionnez une méthode d authentification pour les échanges LSA pour l interface spécifiée : Sélectionnez None pour désactiver l authentification. Sélectionnez Texte pour une authentification à partir d un mot de passe textuel. Ce mot de passe se compose de 35 caractères maximum et est envoyé sous forme de texte à travers le réseau. Sélectionnez MD5 pour l utilisation d une ou plusieurs clé(s) pour générer un hash MD5. Ces paramètres ignorent les paramètres d Authentification pour l aire. Entrez le mot de passe textuel. Entrez une valeur alphanumérique jusqu à 15 caractères. Les voisins OSPF qui envoient des LSA aux interfaces FortiGate doivent être configurés avec le même mot de passe. Ce champ n est disponible que si vous avez choisi la méthode d authentification Texte. Entrez l identificateur clé pour le (premier) mot de passe dans le champ ID (dans un intervalle de 1 à 255) et tapez ensuite le mot de passe associé dans le champ Clé (Key). Le mot de passe est une suite alphanumérique de maximum 16 caractères. Les voisins OSPF qui envoient des LSA à cette interface FortiGate doivent être configurés avec une clé MD5 identique. Si le voisin OSPF utilise plus d un mot de passe pour générer un hash MD5, cliquez sur l icône Ajouter pour ajouter des clés MD5 supplémentaires dans la liste. Ce champ est disponible seulement si vous avez sélectionné la méthode d authentification MD5. Vous pouvez, facultativement, définir un Hello Interval compatible avec les paramètres Hello Interval sur tous les voisins OSPF. Ce paramètre définit la période de temps d attente (en secondes) de l équipement FortiGate entre chaque envoi de paquets Hello par ses interfaces. Dead Interval Facultativement, définissez le Dead Interval compatible avec les paramètres Dead Interval de tous les voisins OSPF. Ce paramètre définit la période de temps d attente (en secondes) de l équipement FortiGate entre chaque réception de paquets Hello provenant de ses voisins sur ses interfaces. Si le FortiGate ne reçoit pas de paquet Hello endéans le temps spécifié, il déclare le voisin inaccessible. Par convention, la valeur du Dead Interval est quatre fois plus grande que la valeur du Hello Interval. BGP est un protocole de routage Internet généralement utilisé par les Fournisseurs d Accès Internet (FAI) pour échanger des informations de routage entre différents réseaux FAI. Par exemple, BGP permet le partage de chemins de réseaux entre le réseau DAI et un système autonome (AS) qui utilise RIP et/ou OSPF pour acheminer les paquets dans l AS. L implémentation FortiGate du BGP supporte BGP-4 et est conforme à la RFC Guide d Administration FortiGate Version

220 Remarque : Les options de base de routage BGP peuvent être configurées à partir de l interface d administration web. De nombreuses options supplémentaires peuvent être configurées uniquement à partir de l interface de ligne de commande. Pour des descriptions et exemples complets sur l utilisation de commande CLI pour la configuration de paramètres BGP, voir le chapitre Routeur du FortiGate CLI Reference. Fonctionnement de BGP Lorsque BGP est activé, l équipement FortiGate envoie des mises à jour de la table de routage aux systèmes autonomes voisins à chaque modification de la table de routage. Chaque AS, y compris celui dont l équipement FortiGate est membre, est associé à un numéro AS. Ce numéro fait référence à une destination particulière sur le réseau. Les mises à jour BGP diffusent le meilleur chemin vers une destination du réseau. Lors de la réception de mises à jour, le boîtier FortiGate examine les propriétés du discriminant multi-sorties (MED Multi-Exit Discriminator) des routes potentielles pour déterminer le meilleur chemin vers une destination du réseau avant d enregistrer ce chemin dans sa table de routage. Visualisation et édition des paramètres BGP Lors de la configuration des paramètres BGP, il est nécessaire de spécifier l AS dont le boîtier FortiGate est membre et d entrer un ID routeur permettant aux autres routeurs BGP d identifier l équipement FortiGate. Vous devez également identifier les voisins BGP du FortiGate et spécifier lequel des réseaux du FortiGate devrait être diffusé aux voisins BGP. Pour visualiser et éditer les paramètres BGP, sélectionnez Routeur > Dynamic > BGP. L interface d administratio n web offre une interface simplifiée pour configurer les options de base BGP. De no mbreuses options avancées BGP peuvent être configurées à partir de l interface de ligne de commande. Pour plus d informations, voir le chapitre Routeur du FortiGate CLI Reference. Illustration 101 : Options de base BGP Local AS Entrez le numéro de l AS local dont le boîtier FortiGate est membre. Router ID Entrez un ID de routeur unique pour permettre l identification de l éq uipement FortiGate aux autres routeurs BGP. L ID du routeur est une adresse IP en format notation décimale à points. Si vous modifiez l ID du routeur pendant le 220 Guide d Administration FortiGate Version 3.0

221 Multicast Voisins IP AS distant Boutons Add/Edit Voisin AS distant Réseaux IP/Masque Bouton Add Réseau Icône Supprimer fonctionnement BGP, toutes les connexions aux paires BGP seront momentanément interrompues jusqu à leurs rétablissement. Les adresses IP et les numéros AS de paires BGP dans les systèmes autonomes voisins. Entrez l adresse IP de l interface du voisin du réseau BGP. Entrez le numéro de l AS auquel le voisin appartient. Sélectionnez Add pour ajouter les informations sur le voisin à la liste Voisins. Sélectionnez Edit pour éditer une entrée de la liste. Les adresses IP des paires BGP. Les numéros des AS associés aux paires BGP. Les adresses IP et masques de réseaux des réseaux à diffuser aux paires BGP. L équipement FortiGate peut avoir une interface physique ou VLAN connectée à ces réseaux. Entrez l adresse IP et le masque de réseau du réseau à diffuser. Sélectionnez pour ajouter des informations sur le réseau à la liste Réseaux. Les adresses IP et masques de réseaux des réseaux majeurs diffusés aux paires BGP. Permet de supprimer un voisin BGP ou une définition réseau BGP. Un équipement FortiGate peut opérer comme routeur Multicast PIM (Protocol Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les modes clairsemé (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et récepteurs multicast sur le segment réseau auquel est connectée une interface FortiGate. Les applications serveurs multicast utilisent une adresse multicast (Class D) pour envoyer une copie du paquet à un groupe de receveurs. Les routeurs PIM à travers le réseau assurent que seule une copie du paquet est envoyée à travers le réseau jusqu à ce qu elle a tteigne sa destination finale. A destination, des copies du paquet sont créées seulement s il est nécessaire de livrer les informations aux applications clients multicast qui nécessitent le trafic destiné à l adresse multicast. Remarque : Toutes les applications envoi/réception et tous les routeurs PIM connectés entre doivent valider le protocole PIM version 2 en vue de supporter les communications PIM. PIM utilise des routes st atiques, RIP, OSPF ou BGP pour transférer des paquets multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source à leur point de destination, soit le mode clairsemé (ou épars), soit le mode dense doit être activé sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsemé ne peuvent pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un équipement FortiGate est localisé entre une source et un routeur PIM, ou entre deux routeurs PIM ou encore est connecté directement à un receveur, vous devez créer une règle pare-feu manuellement pour passer les paquets (multicast) encapsulés ou les données décapsulées (trafic IP) entre la source et la destination. Un domaine PIM est une aire logique comprenant un nombre de réseaux contigus. Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsemé est activé le domaine comprend également plusieurs Points de Rendez-vous (RP) Guide d Administration FortiGate Version

222 et de Designated Routers (DR). Si PIM est activé sur un boîtier FortiGate, ce dernier peut exécuter chacune de ses fonctions à n importe quel moment tel que configuré. Si nécessaire en mode clairsemé, vous pouvez définir des RP statiques. Remarque : Les options de base peuvent être configurées à partir de l interface d administration web. De nombreuses options supplémentaires peuvent être configurées uniquement à partir de l interface de ligne de commande. Pour des descriptions et exemples complets sur l utilisation de commandes CLI pour la configuration de paramètres PIM, voir «m ulticast» dans le chapitre Routeur du FortiGate CLI Reference. Visualisation et édition de paramètres multicast Lorsque le routage multicast (PIM) est activé, vous pouvez configurer le mode clairsemé ou dense sur chacune des interfaces FortiGate. Pour visualiser ou éditer les paramètres PIM, sélectionnez Routeur > Dynamic > Multicast. L interface d administration web offre une interface simplifiée pour configurer les options de base PIM. Les options PIM avancées peuvent être configurées à partir de l interface de ligne de commande. Pour plus d informations, voir le chapitre Routeur du FortiGate CLI Reference. Illustration 102 : Options de base multicast Activer le Routage Multicast Add Static RP (+) Appliquer Créer Nouveau Sélectionnez pour activer le routage PIM version 2. Une règle pare-feu doit être créée sur les interfaces PIM pour laisser passer les paquets encapsulés et les données décapsulées entre leur source et leur destination. Ajouter une adresse RP. Si nécessaire en mode clairsemé, entrez l adresse IP d un Point de Rendezvous (RP) qui peut être utilisé comme racine de l arbre de distribution d un paquet pour un groupe multicast. Les join messages du groupe multicast et les données de la source sont envoyés au RP. Si un RP du groupe multicast de l IP spécifié est déjà connu par le Boot Strap Router, ce RP est utilisé et l adresse RP statique spécifiée ignorée. Permet de sauvegarder les adresses RP statiques entrées. Sélectionnez pour créer une nouvelle entrée multicast pour une interface. Cela vous permettra de régler 222 Guide d Administration FortiGate Version 3.0

223 Interface Mode Statut Priorité Priorité DR Icônes Supprimer et Editer précisément des opérations PIM sur une interface spécifique FortiGate ou ignorer les paramètres globaux PIM sur une interface particulière. Voir «Ignorer les paramètres multicast sur une interface» à la page 223. Les noms des interfaces FortiGate ayant des paramètres spécifiques PIM. Le mode de fonctionnement PIM (Clairsemé ou Dense) valide sur cette interface. Le statut de la candidature RP en mode clairsemé sur l interface. Pour activer ou désactiver la candidature sur une interface, sélectionnez l icône Editer dans la ligne correspondant à l interface. Le numéro de priorité affecté à la candidature RP sur cette interface. Uniquement disponible lorsque la candidature RP est activée. Le numéro de priorité affecté à la candidature DR (Designated Router) sur l interface. Uniquement disponible lorsque le mode clairsemé est activé. Permet de supprimer ou d éditer les paramètres PIM de l interface. Ignorer les paramètres multicast d une interface Les options des interfaces mu lticast (PIM) permettent de définir des paramètres de fonctionnement pour les interfa ces FortiGate connectées à des domaines PIM. Par exemple vous pouvez activer le mode dense sur une interface connectée à un segment réseau PIM. Lorsqu e le mode clairsemé est activé, vous pouvez ajuster le numéro de priorité utilisé pour diffuser les candidatures RP (Rendezvous Point) et/ou DR (Designated Router) sur l interface. Illustration 103 : Paramètres multicast de l interface Interface Mode PIM Sélectionnez le nom de l interface FortiGate du VDOM root à laquelle ces paramètres s appliquent. L interface doit être connectée à un segment réseau PIM version 2. Sélectionnez le mode de fonctionnement : Mode clairsemé ou Mod e dense. Tous les routeurs PIM connectés au même segment réseau doivent fonctionner dans le même mode. Si vou s sélectionnez le mode clairsemé, ajuster les options tel que décrit ci-dessous. Priorité DR Ent rez le numéro de priorité pour la diffusion de candidatures DR sur l interface FortiGate. L intervalle va de 1 à Cette valeur est comparée aux interfaces DR de tous les autres routeurs PIM du même segment réseau. Le routeur ayant la priorité DR la plus haute est sélectionnée pour être le DR. Guide d Administration FortiGate Version

224 Candidat RP Priorité du candidat RP Sélectionnez pour activer ou désactiver la candidature RP sur l interface. Entrez le numéro de priorité de la diffusion de la candidature RP sur l interface FortiGate. L intervalle va de 1 à Guide d Administration FortiGate Version 3.0

225 Table de Routage Cette section vous aide à interpréter la table de routage. Les sujets suivants y sont parcourus : Affichage des informations sur le routage Recherche dans la table de routage FortiGate Affichage des informations sur le routage Par défaut, toutes les routes sont affichées dans la table de routage. La route statique par défaut est définie à /0, ce qui correspond à l adresse IP de destination de «chaque/tout» paquet. Pour afficher les routes de la table de routage, sélectionnez Routeur > Table de routage. L illustration 104 représente une table de routage appartenant à un équipement FortiGate qui possèdent des interfaces appelées «port1», «port4» et «lan». Les noms des interfaces varient en fonction des modèles FortiGate. Illustration 104 : Table de routage Type Sélectionnez un des types suivants pour lancer une recherche dans la table de routage et afficher toutes les routes du type sélectionné : Tout : affiche toutes les routes enregistrées dans la table de routage. Connecté : affiche toutes les routes associées à des connexions directes aux interfaces FortiGate. Statique : affiche les routes statiques ajoutées manuellement à la table de routage. RIP : affiche toutes les routes diffusées par RIP. OSPF : affiche toutes les routes diffusées par OSPF. BGP : affiche toutes les routes diffusées par BGP. HA : affiche toutes les routes RIP, OSPF et BGP synchronisées entre le membre primaire et les membres Guide d Administration FortiGate Version

226 Réseau Passerelle Appliquer le filtre Type Sous-type Réseau subordonnés d un cluster haute disponibilité (HA). Les routes HA étant maintenues au niveau des membres subordonnés, elles ne sont visibles qu à partir d une table de routage d un domaine virtuel configuré comme domaine virtuel subordonné dans un cluster virtuel. Pour plus de détails à propos de la synchronisation de routage, voir le FortiGate High Availability User Guide Guide Utilisateur Haute Disponibilité FortiGate. Entrez l adresse IP et le masque de réseau (par exemple, /24) pour rechercher une table de routage et afficher les routes correspondantes au réseau spécifié. Entrez l adresse IP et le masque de réseau (par exemple, /32) pour rechercher une table de routage et afficher les routes correspondantes à la passerelle spécifiée. Permet de rechercher les entrées d une table de routage sur base d un critère de recherche spécifié et d afficher toutes les routes correspondantes. La valeur type affectée aux routes FortiGate (Statique, Connecté, RIP, OSPF ou BGP). Si d application, reprend la classification du sous-type aux routes OSPF. affecté Pas de mention implique une route intra-aire. La destination est dans une aire à laquelle le boîtier FortiGate est connecté. OSPF inter area : la destination est dans l AS OSPF, mais le boîtier FortiGate n est pas connecté à cette aire. External 1 : la destination est en dehors de l AS OSPF. La métrique d une route redistribuée est calculée en additionnant le coût externe et le coût OSPF. External 2 : la destination est en dehors de l AS OSPF. Dans ce cas, la métrique de la route redistribuée est équivalente au coût externe uniquement, exprimé en coût OSPF. Les adresses IP et masques de réseau de réseaux de destination atteignables par le boîtier FortiGate. OSPF NSSA 1 : équivalent à la mention External 1, si ce n est que la route a été reçue par une aire NSSA (not- so-stubby area). OSPF NSSA 2 : équivalent à la mention External 2, si ce n est que la route a été reçue par une aire NSSA ( not- so-stubby area). Distance La distance administrative associée à la route. La valeur 0 signifie que la route est préférable à toutes les autres routes pour la même destination. Pour modifier la distance administrative affectée aux routes statiques, voir «Ajout d une route statique à la table de routage» à la page 200.Référezvous au FortiGate CLI Reference pour les routes dynamiques. Métrique La métrique associée au type de la route. La métrique d une route influence la façon dont le boîtier FortiGate l ajoute dynamiquement dans la table de routage : Le comptage de sauts est utilisé pour les routes diffusées par RIP. Le coût relatif est utilisé pour les routes diffusées par OSPF. 226 Guide d Administration FortiGate Version 3.0

227 Passerelle Interface Valide depuis Le discriminant multi-sorties (MED) est utilisé pour les routes diffusées par BGP. Cependant, plusieurs propriétés, en plus du MED, déterminent le meilleur chemin vers un réseau de destination. Les adresses IP des passerelles vers les réseaux de destination. L interface à travers laquelle les paquets sont transférés vers la passerelle du réseau de destination. Recherche dans la table de routage FortiGate Des filtres peuvent être utilisés pour faire des recherches dans la table de routage et afficher certaines routes uniquement. Par exemple, vous pouvez afficher des routes statiques, des routes connectées, des routes diffusées par RIP, OSPF ou BGP, et/ou des routes associées au réseau ou à la passerelle que vous spécifiez. Si vous désirez lancer une recherche dans la table de routage en fonction des types et limiter un peu plus l affichage en fonction de réseau ou passerelle, toutes les valeurs des critères de recherche doivent correspondre aux valeurs de la même entrée de la table de routage pour que cette entrée soit affichée (la condition implicite «ET» est appliquée à tous les paramètres de recherches spécifiés). Par exemple, si l équipement FortiGate est connecté au réseau /24 et vous désirez afficher toutes les routes directement connectées au réseau /24, vous devez sé lectionner Connecté dans la liste Type, taper /24 dans le champ Réseau et ensuite cliquer sur Appliquer le Filtre pour afficher la ou les entrée(s) associée(s) de la table de routage. Chaque entrée qui contient le mot Connecté dans le champ Type et la valeur spécifiée dans le champ Passerelle seront affichées. Lancer une recherche dans la table de routage FortiGate 1 Sélectionnez Routeur > Table de routage > Table de routage. 2 Sélectionnez dans la liste Type, le type à afficher. Par exemple, sélectionnez Connecté pour afficher toutes les routes connectées ou sélectionnez RIP pour afficher toutes les routes diffusées par RIP. 3 Si vous désirez afficher les routes pour un réseau spécifique, tapez l adresse IP et le masque de réseau du réseau dans le champ Réseau. 4 Si vous désirez afficher les routes pour une passerelle spécifique, tapez l adresse IP de la passerelle dans le champ Passerelle. 5 Cliquez sur Appliquer le Filtre. Le temps total accumulé pour qu une route diffusée par RIP, OSPF ou BGP soit atteignable. Remarque : Toutes les valeurs des critères de recherche doivent correspondre aux valeurs de la même entrée de la table de routage pour que cette entrée soit affichée. Guide d Administration FortiGate Version

228 Règle Pare-feu Les règles pare-feu contrôlent tout le trafic passant par le boîtier FortiGate. L ajout de règles pare-feu permet de contrôler les connexions et le trafic entre les interfaces FortiGate, les zones et les sous-interfaces VLAN. Cette section couvre les sujets suivants : A propos des règles pare-feu Visualisation de la liste des règles pare-feu Configuration des règles pare-feu A propos des règles pare-feu Les règles pare-feu sont des instructions utilisées par le boîtier FortiGate pour décider de la réponse à donner à une requête de connexion. Lorsque le boîtier FortiGate reçoit une requête de connexion sous la forme d un paquet, il analyse ce paquet pour en extraire l adresse source, l adresse de destination et le service (via le numéro du port). L adresse source, l adresse de destination et le servic e d un paquet qui veut se connecter à travers un FortiGate doivent correspondre à une règle pare-feu. La règle régit l action du pare-feu sur le paquet. Les actions possibles sont l autorisation de la connexion, le blocage de la connexion, la requête d une authentification avant que la connexion soit autorisée ou le traitement du paquet comme un paquet IPSec VPN. Chaque règle peut être configurée pour diriger les connexions ou appliquer le service de translation d adresse réseau (NAT network address translation) pour translater les adresses IP et ports source et de destination. Vous pouvez ajouter des pools IP pour une utilisation NAT dynamique lorsque le pare-feu translate les adresses sources. Vous pouvez utiliser des règles pour configurer la translation d adresse port (PAT port address translation) à travers le boîtier FortiGate. L ajout de profils de protection à des règles de pare-feu permet d appliquer des paramètres de protection différents pour le trafic contrôlé par des règles pare-feu. Vous pouvez utiliser des profils de protection pour : appliquer un contrôle antivirus aux règles HTTP, FTP, IMAP, POP3, IM et SMTP activer du filtrage Web statique sur les règles HTTP appliquer du filtrage web dynamique, par catégorie, sur ces mêmes règles HTTP activer les services antispam sur les règles IMAP, POP3 et SMTP activer les services de prévention d'intrusion sur tous les flux activer la journalisation de contenu pour les flux HTTP, FTP, IMAP, POP3, IM et SMTP configurer le filtrage IM et le contrôle d accès pour AIM, ICQ, MSN et la messagerie instantanée Yahoo 228 Guide d Administration FortiGate Version 3.0

229 configurer l accès P2P et le contrôle de la largeur de bande pour les clients peer-to-peer Bit Torrent, edonkey, Gnutella, Kazaa et Skype décider des actions des profils de protection à journaliser L activation de la journalisation du trafic pour une règle pare-feu entraîne la journalisation par le boîtier FortiGate de toutes les connexions utilisant cette règle. Le pare-feu lance une recherche sur des règles en partant du haut de la liste et descendant jusqu à ce qu il trouve la première correspondance. Il est donc essentiel de hiérarchiser les règles dans la liste de la plus spécifique à la plus générale. Par exemple, la règle par défaut est une règle très générale car elle correspond à toutes les tentatives de connexion. Les exceptions à cette règle sont ajoutées à la liste de règles au-dessus de la règle par défaut. Une règle qui devrait être placée en dessous de la règle par défaut ne représentera jamais une correspondance. Les options de la règle sont configurables lors de la création ou de l édition d une règle pare-feu. Un ensemble différent d options est présenté en fonction du type d action sélectionné. Comment fonctionne la correspondance de règles? Lorsque le boîtier FortiGate reçoit une tentative de connexion sur une interface, il sélectionne une liste de règles dans laquelle il va chercher une règle qui corresponde à la tentative de connexion. Le boîtier FortiGate choisit la liste de règles en fonction des adresses source et de destination de la tentative de connexion. Le boîtier FortiGate commence alors sa recherche par le haut de la liste et descend jusqu à la première règle qui corresponde aux adresses source et de destination, au port service et au jour et heure de la tentative de connexion reçue. La première règle correspondante s applique à la tentative de connexion. Si aucune règle ne correspond, la connexion est abandonnée. En règle générale, toujours organiser les règles pare-feu de la plus spécifique à la plus générale. Les règles générales sont des règles qui peuvent accepter des connexions avec de multiples adresses sources et de destination, ainsi qu avec des intervalles d adresses. Elles peuvent également accepter des connexions de multiples ports service ou avoir des horaires très ouverts. Si vous désirez ajouter des règles qui sont des exceptions aux règles générales, ces exceptions doivent être ajoutées audessus des règles générales. dans la liste de règles Par exemple, vous pouvez avoir une règle générale permettant à tous les utilisateurs de votre réseau interne d accéder à tous les services Internet. Si vous désirez bloquer l accès aux serveurs FTP sur Internet, vous devriez ajouter audessus de la règle générale une règle qui bloque les connexions FTP. La règle de déni bloque les connexions FTP mais les tentatives de connexion de tous les autres types de services ne correspondent pas à la règle FTP mais correspondent à la règle générale. De ce fait, la pare-feu accepte toutes les connexions du réseau interne vers Internet, à l exception des connexions FTP. Guide d Administration FortiGate Version

230 Concernant les correspondances de règles, il faut également savoir que : Les règles qui nécessitent une authentification doivent être ajoutées à la liste de règles au-dessus des règles correspondantes qui n en nécessitent pas. Sinon, la règle qui ne nécessite pas d authentification est sélectionnée en premier. Les règles sur le mode tunnel VPN IPSec doivent être ajoutées à la liste de règles au-dessus des règles d accès ou de blocage correspondantes. Les règles sur le VPN SSL doivent être ajoutées à la liste de règles au-dessus des règles d accès ou de blocage correspondantes. Visualisation de la liste des règles pare-feu Dans le cas où des domaines virtuels sont activés sur le boîtier FortiGate, les règles pare-feu sont configurées séparément pour chaque domaine virtuel. Pour accéder aux règles, sélectionnez un domaine virtuel à partir du menu principal. Ajouter, supprimer, éditer, réorganiser, activer ou désactiver des règles dans la liste des règles. Pour visualiser la liste des règles, sélectionnez Pare-feu > Règle. Illustration 105 : Echantillon d une liste de règles La liste des règles possèdent les icônes et fonctionnalités suivants : Créer Nouveau Icône Commentaire ID Source Destination Permet d ajouter une règle pare-feu. Voir «Ajout d une règle pare-feu» à la page. Cette icône n apparaît que dans le cas où la règle possède un commentaire. Le commentaire apparaît lorsque le curseur de la souris vient se placer sur l icône. L identificateur de la règle. Les règles sont numérotées selon l ordre dans lequel elles sont ajoutées à la liste. L adresse source ou le groupe d adresses auquel la règle s applique. Voir «Adresse Pare-feu» à la page 245. Les informations sur les adresses peuvent également être éditées à partir de la liste. En cliquant sur l adresse, la boîte de dialogue d édition d une adresse s ouvre. L adresse de destination ou le groupe d adresses auquel la règle s applique. Voir «Adresse Pare-feu» à la page 245. Les informations sur les adresses peuvent également être éditées à partir de la liste. En cliquant sur l adresse, la boîte de dialogue d édition d une adresse s ouvre. 230 Guide d Administration FortiGate Version 3.0

231 Schedule Service Action Statut Source -> destination (n) Icône Supprimer Icône Editer Icône Insérer la règle avant Icône Déplacer Détermine la période d activité de la règle. Détermine le service auquel s applique la règle. Définit l action à apporter lorsque la règle correspond à une tentative de connexion. Permet d activer ou de désactiver la règle. Activer la règle la rend disponible pour le pare-feu pour les connexions entrantes. Les titres de la liste des règles indiquant le trafic auquel s applique la règle. Le titre de la liste est en format Source -> Destination (n) où n est le nombre de règles dans la liste. Sélectionnez pour supprimer la règle de la liste. Sélectionnez pour éditer la règle. Sélectionnez pour ajouter une nouvelle règle au-dessus de la règle correspondante (la fenêtre de la nouvelle règle apparaît). Sélectionnez pour déplacer la règle correspondante avant ou après une autre règle dans la liste. Voir «Déplacement d une règle vers une position différente dans la liste» à la page 231. Ajout d une règle pare-feu La procédure suivante décrit comment ajouter une règle pare-feu dans la liste des règles pare-feu. 1 Sélectionnez Pare-feu > Règle. 2 Cliquez sur Créer Nouveau ou sélectionnez l icône «Insérer la règle avant» à côté d une règle pour que la nouvelle règle s ajoute au-dessus de celle-ci. 3 Sélectionnez les interfaces source et de destination. 4 Sélectionnez les adresses source et de destination. 5 Configurez la règle. Pour toute information sur la configuration de règles, voir «Configuration des règles pare-feu» à la page Cliquez sur OK. 7 Hiérarchisez les règles dans la liste de manière à obtenir les résultats attendus. Pour plus d informations sur l arrangement des règles dans une liste, voir «Comment fonctionne la correspondance de règles?» à la page 229 et «Déplacement d une règle vers une position différente dans la liste» à la page 231. Déplacement d une règle dans la liste Vous pouvez déplacer une règ le dans la liste pour influencer les évaluations des règles. Dans le cas où plus d une règle ont été définies pour une même paire d interfaces, la règle qui se trouve en premier dans la liste est évaluée en premier. La disposition des règles de cr yptage pare-feu est importante pour assurer qu elles prennent effet comme prévu les règles de cryptage pare-feu doivent être évaluées avant des règles pare-feu régulières. Déplacer une règle dans la liste ne modifie pas son numéro ID. Guide d Administration FortiGate Version

232 Illustration 106 : Déplacer une règle 1 Sélectionnez Pare-feu > Règle. 2 Cliquez sur l icône Déplacer de la règle que vous voulez déplacer. 3 Entrez une position pour la règle. 4 Clique z sur OK. Configuration des règles pare-feu L utilisation de règles pare-feu permet de définir la façon dont une règle pare-feu est sélectionnée pour être appliquée à une session de communication et de définir comment le boîtier FortiGate traite les paquets pour cette session. Pour ajouter ou éditer une règle pare-feu, sélectionnez Pare-feu > Règle. Vous pouvez ajouter des règle s ACCEPT pour accepter des sessions de communication. Une telle règle permet d appliquer des fonctionnalités FortiGate telles qu une analyse des virus et une authentification de la session de communication acceptée par cette règle. Une règle ACCEPT peut également permettre le trafic VPN IPSec en mode interface si la source ou la destination est une interface virtuelle IPSec. P our plus d informations, voir «Aperçu sur le mode interface IPSec» à la page 294. Vous pouvez ajouter des règles DENY pour interdire des sessions de communication. Vous pouvez également ajouter des règles de cryptage IPSec pour permettre le trafic VPN en mode tunnel IPSec et des règles de cryptage VPN SSL pour permettre le trafic VPN SSL. Des règles de cryptage pare-feu déterminent quels types de trafic IP seront permis pendant une session IPSec ou VPN SSL. Si permis par une règles de cryptage pare-feu, un tunnel peut être initié automatiquement à chaque fois qu un paquet IP du type sélectionné arrive à l interface FortiGate vers le réseau privé local. Pour plus d informations, voir «Options des règles pare-feu IPSec» à la page 242 et «Op tions des règles pare-feu VPN SSL» à la page Guide d Administration FortiGate Version 3.0

233 Illustration 107 : Options des règles règle ACCEPT en mode NAT/Route Illustration 108 : Options des règles règle ACCEPT en mode Transparent Guide d Administration FortiGate Version

234 Illustration 109 : Options des règles règle DENY Les champs Interface/Zone Source et Destination correspondent à la règle pare- feu avec la source et destination d une session de communication. Les champs Adresse correspondent aux adresses sources et de destination de la session de communication. Le champ Horaire permet de d éfinir la plage horaire d activité de la règle pare-feu. Le champ Service correspond à la règle pare-feu avec le service utilisé par une session de communication. Le champ Action définit le traitement du trafic par le boîtier FortiGate. Spécifiez une action pour accepter ou bloquer le trafic ou configurez une règle de cryptage parefeu. Les options des règles pare-feu peuvent être sélectionnées pour définir des fonctionnalités additionnelles : NAT, Profil de Protection, Log Allowed Traffic, Log Violation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut être appliqué aux règles qui bloquent le trafic. Des services supplémentaires différents sont configurables à partir de l interface de ligne de commande (voir le chapitre «firewall» du FortiGate CLI Reference). Options des règles pare-feu Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau pour ajouter une règle pare-feu. Les options suivan tes des règles pare-feu sont configurables : Source Spécifiez les caractéristiques de la source des paquets IP qui seront sujets à la règle. Interface/Zone Sélectionnez le nom de l interface ou de la zone FortiGate sur laquelle les paquets IP sont reçus. Les interfaces et zones sont configurées sur la page Système > Réseau. Voir «Interface» à la page 61 et «Zone» à la page 75 pour plus d informations sur les interfaces et les zones. Si le champ ACTION est positionné sur IPSEC, l interface est associée à un réseau privé local. Si le champ ACTION est positionné sur SSL-VPN, l interface est associée à des connexions à des clients VPN SSL distants. 234 Guide d Administration FortiGate Version 3.0

235 Adresse Destination Interface/Zone Adresse Horaire Service Sélectionnez le nom d une adresse IP précédemment définie à associer à l interface ou zone source ; ou sélectionnez Créer Nouveau pour définir une nouvelle adresse IP. L en-tête du paquet doit contenir l adresse IP associée pour être confronté à la règle. Les adresses peuvent être créées à l avance. Voir «Configuration des adresses» à la page 247. Si le champ ACTION est positionné sur IPSEC, l adresse correspond à l adresse privée de l hôte, serveur ou réseau derrière le boîtier FortiGate. Si le champ ACTION est positionné sur SSL-VPN et que la règle s applique aux clients en mode web, sélectionnez all (tout). Si le champ ACTION est positionné sur SSL-VPN et que la règle s applique aux clients en mode tunnel, sélectionnez le nom de l adresse que vous réservez pour ces clients. Spécifiez les caractéristiques de la destination des paquets IP qui seront sujets à la règle. Sélectionnez le nom de l interface ou de la zone FortiGate vers laquelle les paquets IP sont envoyés. Les interfaces et zones sont configurées sur la page Système > Réseau. Voir «Interface» à la page 61 et «Zone» à la page 75 pour plus d informations sur les interfaces et les zones. Si le champ ACTION est positionné sur IPSEC, l interface est associée à l entrée du tunnel VPN. Si le champ ACTION est positionné sur SSL-VPN, l interface est associée à un réseau privé local. Sélectionnez le nom d une adresse IP précédemment définie à associer à l interface ou zone de destination ; ou sélectionnez Créer Nouveau pour définir une nouvelle adresse IP. L en-tête du paquet doit contenir l adresse IP associée pour être confronté à la règle. Les adresses peuvent être créées à l avance. «Configuration des adresses» à la page 247. Si le champ ACTION est positionné sur IPSEC, l adresse correspond à l adresse IP privée vers laquelle les paquets peuvent être envoyés à la fin du tunnel VPN. Si le champ ACTION est positionné sur SSL-VPN, sélectionnez le nom de l adresse IP qui correspond à l hôte, au serveur ou au réseau dont les clients à distances ont besoin pour accéder derrière l équipement FortiGate. Sélectionnez une plage horaire ponctuelle ou récurrente qui contrôle la période de disponibilité de la règle. Les horaires peuvent être crées à l avance dans Pare-feu > Plage horaire. Voir «Plage horaire des pare-feu» à la page 257. Vous pouvez créer une plage horaire, ponctuelle ou récurrente, pendant la configuration de la règle en cliquant sur Créer Nouveau. Ajoutez les informations requises pour la configuration de la plage horaire et cliquez sur OK. Cette nouvelle plage horaire est alors ajoutée à la liste des plages horaires. Sélectionnez le nom du service ou du groupe de services qui correspond au service ou protocole des paquets auquel s applique cette règle. Vous pouvez sélectionner Guide d Administration FortiGate Version

236 Action ACCEPT DENY IPSEC SSL-VPN NAT Pool d Adresses les services à partir d une longue liste de services prédéfinis. Des services personnalisés peuvent être crées à l avance dans Pare-feu > Service > Personnalisé. Des groupes de services peuvent également être crées à l avance dans Pare-feu > Service > Groupe. Voir «Configuration de services personnalisés» à la page 253 et «Configuration de groupes de services» à la page 255. Vous pouvez créer un service personnalisé ou un groupe de services pendant la configuration de la règle en cliquant sur Créer Nouveau. Ajoutez les informations requises pour la configuration des services personnalisés ou des groupes de services et cliquez sur OK. Ces services sont alors ajoutés à la liste des Services. Sélectionnez la réponse du pare-feu à appliquer lorsqu un paquet correspond aux conditions de la règle. Accepte le trafic correspondant à la règle. Vous pouvez alors configurer les options NAT, profils de protection, log traffic, shape traffic, authentification ou ajouter un commentaire à la règle. Rejette le trafic correspondant à la règle. La seule option configurable est la journalisation (journaliser les connexions refusées par la règle). Vous pouvez également ajouter un commentaire. Configure une règle de cryptage pare-feu IPSEC, qui entraîne le traitement des paquets VPN IPSec par le boîtier FortiGate. Voir «Options des règles pare-feu IPSec» à la page 242. Configure une règle de cryptage pare-feu VPN SSL, qui entraîne l acceptation du trafic VPN SSL par le boîtier FortiGate. Cette option n est disponible qu après avoir ajouté un groupe d utilisateurs VPN SSL. Voir «Options des règles pare-feu VPN SSL» à la page 243. Activer l option NAT (Network Address Translation) pour la règle. NAT translate l adresse source et le port de paquets acceptés par la règle. Lorsque NAT est activé, les fonctions Pool d Adresses et Port Fixe peuvent être configurés. NAT n est pas disponible en mode Transparent. Sélectionnez pour translater l adresse source en une adresse sélectionnée arbitrairement dans un pool d adresses. Un pool d adresses peut se composer d une seule adresse IP ou d une plage d adresses IP. Une liste de pools d adresses apparaît si ces pools ont été ajoutés à l interface de destination. Sélectionnez ANY IP Pool pour que le boîtier FortiGate sélectionne n importe quelle adresse IP de n importe quel pool d adresses ajouté à l interface de destination. Sélectionnez le nom d un pool d adresses ajouté à l interface de destination pour que le boîtier FortiGate translate l adresse source en une des adresses définies dans ce pool. Il n est pas possible de sélectionner Pool d Adresses si l interface de destination, la sous-interface VLAN ou l une des interfaces ou des sous-interfaces VLAN dans la zone de destination est configurée avec DHCP ou PPPoE. Vous ne pouvez pas utiliser des pools d adresses lors de l utilisation de zones. Un pool d adresses peut seulement être associé à une interface. 236 Guide d Administration FortiGate Version 3.0

237 Port fixe Profil de protection Log Allowed Traffic Log Violation Traffic Pour plus d informations sur l ajout de pools d adresses, voir «Plages IP» à la page 277. Sélectionnez un port fixe pour empêcher NAT de translater le port source. Certaines applications ne fonctionnent pas correctement si le port source est modifié. Dans la plupart des cas, si Port fixe est sélectionné, Pool d Adresses est également sélectionné. Si Pool d Adresses n est pas sélectionné, une règle qui a l option Port Fixe sélectionnée ne peut permettre qu une connexion à la fois. Sélectionnez un profil de protection pour configurer la façon dont les antivirus, filtrage web, filtrage par catégorie web, filtrage antispam, IPS, archives et journaux sont appliqués à la règle pare-feu. Les profils de protection peuvent être crées à l avance ou pendant la configuration d un profil. Les profils crées ici apparaissent dans la liste des profils de protection. Pour plus d informations sur l ajout et la configuration de profils de protection, voir «Profil de protection pare-feu» à la page 279. Pour une authentification dans les paramètres avancés, l option de profil de protection est désactivée car le groupe d utilisateurs choisi pour l authentification est déjà lié à un profil de protection. Pour plus d informations à propos de l ajout d une authentification aux règles pare-feu, voir «Ajout d une authentification aux règles pare-feu» à la page 238. Sélectionnez cette option pour les règles ACCEPT, IPSEC ou VPN SSL pour enregistrer les messages dans les journaux à chaque fois que la règle traite une connexion. Activez la journalisation du trafic vers une destination (syslog, WebTrends, un disque local si disponible, mémoire ou FortiAnalyzer) et fixez le niveau de sévérité de la journalisation à Notification ou plus bas. Pour plus d informations sur la journalisation, voir «Journaux et Alertes» à la page 409. Sélectionnez cette option pour les règles DENY pour enregistrer les messages dans les journaux à chaque fois que la règle traite une connexion. Activez la journalisation du trafic vers une destination (syslog, WebTrends, un disque local si disponible, mémoire ou FortiAnalyzer) et fixez le niveau de sévérité de la journalisation à Notification ou plus bas. Pour plus d informations sur la journalisation, voir «Journaux et Alertes» à la page 409. Authentification Ajoutez des utilisateurs et un profil de protection pare-feu à un groupe d utilisateurs avant de sélectionner Authentification. Pour toute information à propos de l ajout et de la configuration de groupes utilisateurs, voir «Groupe d utilisateurs» à la page 330. L authentification est possible si l action est positionnée sur ACCEPT. Pour plus d informations sur l ajout d une authentification aux règles pare-feu, voir «Ajout d une authentification aux règles pare-feu» à la page 238. Traffic Shaping Cette option permet de contrôler la bande passante disponible et de définir les niveaux de priorité du trafic traité par la règle. Remarque : Veillez à activer cette option sur toutes les règles pare-feu. Si vous n appliquez aucune consigne de Guide d Administration FortiGate Version

238 priorité de trafic à une règle, cette dernière est définie comme hautement prioritaire par défaut. Affectez à chaque règle pare-feu une des trois priorités (high, medium ou low). User Authentication Disclaimer Redirect URL Commentaires Assurez-vous que la somme de toutes les bandes passantes garanties de toutes les règles pare-feu est considérablement moindre que la capacité de la bande passante de l interface. Pour toute information sur la configuration des priorités du trafic, voir «Ajout d une priorité de trafic aux règles parefeu» à la page 239. Affiche la page d information d authentification (un message de remplacement). L utilisateur doit accepter ce message pour se connecter à la destination. Ce message peut être utilisé lors d une authentification ou d un profil de protection. Cette option est disponible sur certains modèles uniquement. Si vous entrez un URL dans ce champ, l utilisateur est redirigé vers cette URL après authentification et/ou acceptation de la page d information d authentification de l utilisateur. Cette option est disponible sur certains modèles uniquement. Ajoutez une description ou d autres informations sur cette règle. Le commentaire peut être long de 63 caractères, espaces compris. Ajout d une authentification aux règles pare-feu Ajoutez des utilisateurs et un profil de protection pare-feu à un groupe d utilisateurs avant de sélectionner une Authentification. L authentification est disponible si l Action est positionnée sur ACCEPT. Pour plus d informations sur l ajout et la configuration de groupes utilisateurs, voir «Groupe d utilisateurs» à la page 330. Sélectionnez Authentification, ensuite un ou plusieurs groupes d utilisateurs pour obliger les utilisateurs à entrer un nom d utilisateur et un mot de passe avant que le pare-feu n accepte la connexion. Illustration 110 : Sélection de groupes utilisateurs pour authentification Sélectionnez Authentification pour tous les services. Les utilisateurs peuvent s authentifier avec le pare-feu en utilisant HTTP, Telnet ou FTP. Pour que les utilisateurs puissent s authentifier, ajoutez une règle HTTP, Telnet ou FTP configurée pour authentification. Lorsque les utilisateurs tentent de se connecter à travers le pare-feu via cette règle, il leurs est demandé d entrer un nom d utilisateur et un mot de passe pare-feu. 238 Guide d Administration FortiGate Version 3.0

239 La méthode d authentification pare-feu comprend des groupes d utilisateurs définis locaux, de même que des utilisateurs LDAP ou Radius. Sélectionnez Active Directory dans le menu déroulant pour choisir des groupes Active Directory définis dans Utilisateur > Groupe utilisateur. L authentification avec des groupes Active Directory et d autres groupes ne peut pas être combinée dans une même règle. Remarque : Pour permettre au boîtier FortiGate d authentifier à partir d un serveur Active Directory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active Directory Domain Controller. Le FSAE est disponible auprès du Support Technique Fortinet. Pour que les utilisateurs puissent s authentifier à partir d autres services (par exemple POP3 ou IMAP), créez un groupe de services qui comprend les services pour lesquels une authentification est requise, de même que HTTP, Telnet et FTP. Ainsi, les utilisateurs peuvent s authentifier avec la règle via HTTP, Telnet ou FTP avant d utiliser un autre service. Dans la plupart des cas, assurez-vous que les utilisateurs puissent utiliser DNS à travers le pare-feu sans authentification. Si DNS n est pas disponible, les utilisateurs ne peuvent pas se connecter à un serveur web, FTP ou Telnet avec un nom de domaine. Remarque : Les règles qui n écessitent une authentification doivent être placées, dans la liste, au-dessus des règles correspondantes qui n en nécessitent pas. Sinon, la règle qui ne nécessite pas d authentification est choisie en premier. Ajout d une priorité de trafic aux règles pare-feu Le Traffic Shaping contrôle la bande passante disponible pour la règle et définit le niveau de priorité du trafic traité par cette règle. Le Traffic Shaping permet de contrôler quelles règles ont la priorité la plus haute lorsqu un grand montant de données passent par un boîtier FortiGate. Par exemple, on pourrait attribuer à la règle du serveur web de l organisation une priorité plus haute que celle des règles destinées aux ordinateurs des autres employés. Un employé qui nécessiterait exceptionnellement un accès Internet haut débit pourrait bénéficier d une règle spéciale offrant une bande passante plus grande. L option de priorité de trafic est disponible pour les règles ACCEPT, IPSEC et VPN SSL, ainsi que pour tous les services supportés, y compris H.323, TCP, UDP, ICMP et ESP. Elle sera disponible pour SIP dans les versions futures. Les bandes passantes garantie et maximum, combinée à l option d attente dans la queue, assurent qu un minimum et maximum de bande passante soit disponible pour le trafic. L option de priorité de trafic ne permet pas d augmenter la quantité totale de bande passante disponible, mais elle peut améliorer la qualité pour le trafic utilisant la bande passante de manière intensive ou sensible aux variations de performances. Bande passante garantie et bande passante maximum Lorsque vous entrez une valeur dans le champ de la bande passante garantie d une règle pare-feu, vous garantissez la disponibilité d une quantité de bande passante pour un trafic réseau sélectionné (en Koctets/sec). Par exemple, vous pourriez donner une bande passante garantie plus grande à votre trafic e- commerce. Guide d Administration FortiGate Version

240 Lorsque vous entrez une valeur dans le champ de la bande passante maximum d une règle pare-feu, vous limitez la disponibilité d une quantité de bande passante pour un trafic réseau sélectionné (en Koctets/sec). Par exemple, vous pourriez limiter la bande passante du trafic IM, de manière à avoir plus de bande passante pour le trafic e-commerce plus important. La bande pa ssante utilisée pour le trafic contrôlé par une règle sert au contrôle et aux sessions de données d u trafic dans les deux directions. Par exemple, si la bande passante garantie e st appliquée à une règle FTP interne et externe, lorsqu un utilisateur d un réseau interne utilise FTP pour placer et recevoir des fichiers, les sessions de récep tion et d envoi partagent la bande passante disponible au trafic contrôler par cette règle. La bande passante garantie et maximum disponible pour une règle est la bande passante totale disponible pour tout le trafic contrôlé par cette règle. Si différents utilisateurs commencent plusieurs sessions de communication avec la même règle, toutes ces sessions de communication doivent se partager la bande passante disponible pour cet te règle. Cependant, la disponibilité de la bande passante n est pas partagée entre les instances multiples qui utilisent le même service si ces instances sont contrôlées par des règles différentes. P ar exemple, vous pouvez créer une règle FTP pour limiter la quantité de band e passante disponible pour le service FTP pour une adresse réseau et créer une autre règle FTP avec une disponibilité différente pour une autre adresse réseau. Priorité du trafic Fixer une priorité permet de gérer les priorités relatives des différents types de trafic. Les trafics importan ts devraient avoir un haut niveau de priorité. Les trafics moins importants devraient se voir attribuer un niveau plus bas de priorité. Le pare-feu antivirus FortiGate procure de la bande passante à des connexions moins prioritaires seulement si la bande passante n est pas utilisée pour des connexions hautement prioritaires. Par exemple, vous pouvez ajouter des règles qui garantissent de la bande passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une haute priorité à la règle qui contrôle le trafic «voix» et une priorité medium à la règle qui contrôle le trafic e-commerce. Aux heures de pointe, lorsque les deux trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic voice sera transmis avant le trafic e-commerce puisqu il a la plus haute priorité. Remarques sur la priorité de trafic L option de priorité de trafic tente de normaliser les piques de trafic en donnant la priorité à certains flux. Il y a cependant une limite physique à la quantité de données mise en réserve (dans le buffer) et à son délai. Une fois les seuils dépassés, les trames et paquets seront abandonnés affectant alors le bon déroulement des sessions. Une priorité mal configurée pourrait dégrader un peu plus les flux réseaux étant donné que la quantité de paquets non pris en compte pourrait créer un surplus aux couches supérieures. Un exemple de priorité de trafic de base serait de définir une priorité pour certains flux de trafic au détriment d autres trafics qui ne seront alors pas pris en compte. 240 Guide d Administration FortiGate Version 3.0

241 Ce qui signifie que vous acceptez de sacrifier certaines performances du trafic X dans le but d augmenter ou de garantir la performance et la stabilité du trafic Y. Si, par exemple, vous appliquez une limitation de la bande passante à certains flux, vous devez accepter le fait que ces sessions peuvent être limitées. La priorité de trafic appliquée à une règle pare-feu est renforcée pour le trafic qui peut circuler dans chaque direction. Dès lors une session mise en place par un hôte interne vers un hôte externe, via une règle Interne -> Externe, subira la priorité de trafic appliquée même si le flot de données provient alors d Externe -> Interne. Ce sera par exemple le cas pour un fichier FTP «reçu» ou un serveur SMTP se connectant à un serveur externe dans le but de récupérer des s. La priorité de trafic est efficace pour un trafic IP normal à des taux réguliers. Elle n est pas efficace durant des situations extrêmes de trafic dense alors que le trafic dépasse la capacité du boîtier FortiGate. Les paquets doivent être reçus par le boîtier FortiGate avant qu ils soient sujets à la priorité de trafic. Si le boîtier FortiGate n arrive pas à traiter tout le trafic reçu, le risque de paquets abandonnés, retardés ou latents augmente. Pour assurer un fonctionnement optimal de la priorité de trafic, veillez à ce que les statistiques de l interface Ethernet soient dépourvues d erreurs, de télescopage ou de dépassement du buffer. Si ce n est pas le cas, les paramètres du boîtier FortiGate et du commutateur nécessiteront probablement quelques ajustements. Pour un fonctionnement optimal de la priorité de trafic, veillez à respecter les règles suivantes : Activer la priorité de trafic sur toutes les règles pare-feu. Si vous n appliquez une priorité de trafic qu à une seule règle, cette dernière est définie par défaut comme hautement prioritaire. Affectez à chaque règle pare-feu une des trois priorités (low, medium et high). Assurez-vous également que la somme des bandes passantes garanties de toutes les règles pare-feu est considérablement moindre que la capacité de la bande passante de l interface. Configuration de la priorité de trafic FortiGate La priorité de trafic s active et ses paramètres se définissent lors de la configuration de règles pare-feu. Configurer la priorité de trafic 1 Sélectionnez Pare-feu > Règle. 2 3 Lorsque vous créez une nouvelle règle ou éditer une règle existante, sélectionnez l option Traffic Shaping (Priorité de Trafic). Configurez les trois options suivantes : Bande Passante Garantie Permet de garantir une quantité disponible de bande passante pour une règle à travers le pare-feu. Garantir de la bande passante (en Koctets) assure une disponibilité suffisante de bande passante pour les services hautement prioritaires. Assurez-vous que la somme des bandes passantes garanties de toutes les règles pare-feu est considérablement moindre que la capacité de la bande passante de l interface. Guide d Administration FortiGate Version

242 Bande Passante Maximum Permet de limiter la quantité disponible de bande passante pour une règle à travers le pare-feu. Limiter la bande passante permet d empêcher l utilisation de la bande pour des services mineurs au bénéfice de services plus importants. Niveau de Priorité Sélectionnez High, Medium ou Low. Cela permet de gérer les priorités relatives des différents types de trafic. Par exemple, une règle permettant de se connecter à un serveur web sécurisé et supportant le trafic e-commerce devrait être affectée d une priorité de trafic haute (High). Les services moins importants devraient être affectés d une priorité de trafic basse (low). Le pare-feu fournit de la bande passante aux connexions moins prioritaires seulement lorsque celle-ci n est pas requise pour des connexions hautement prioritaires. Assurez-vous d activer la priorité de trafic sur toutes les règles pare-feu. Si vous n appliquez une priorité de trafic qu à une seule règle, cette dernière est définie par défaut comme hautement prioritaire. Affectez à chaque règle pare-feu une des trois priorités. Remarque : Si vous affectez la valeur 0 (zéro) à la bande passante garantie et à la bande passante maximum, la règle n accepte aucun trafic. Options des règles pare-feu IPSec Lorsque l action est positionnée sur IPSEC, les options suivantes sont disponibles : Illustration 111 : Règle de cryptage IPSEC VPN Tunnel Allow Inbound Allow Outbound Inbound NAT Outbound NAT Sélectionnez le nom du tunnel VPN défini dans la configuration phase 1. Le tunnel spécifié sera sujet à cette règle de cryptage pare-feu. Activez cette option pour permettre au trafic d un client ou d ordinateurs «dialup» d un réseau privé distant de démarrer le tunnel. Activez cette option pour permettre au trafic à partir d ordinateurs du réseau privé local de démarrer le tunnel. Activez cette option pour translater les adresses IP source de paquets entrants décryptés en adresse IP de l interface FortiGate au réseau privé local. Activez cette option en combinaison avec une valeur CLI natip pour translater les adresses sources des paquets sortants en clair en une adresse IP que vous spécifiez. Ne pas sélectionnez cette option à moins que vous n ayez spécifié une valeur natip à partir du CLI. Dans ce cas, les adresses source de paquets IP sortants sont remplacés avant que les paquets ne soient envoyés à travers le tunnel. Pour plus d informations, voir le chapitre «Firewall» du FortiGate CLI Reference. Remarque : Les tunnels IPSec en mode route ( mode interface) ne sont pas configurés de la même manière que les tunnels IPSec en mode tunnel : au lieu de définir une règle de cryptage pare-feu (en mode tunnel «IPSEC») qui permet les connexions VPN et le contrôle du trafic IP à travers le tunnel, celui-ci lie un tunnel VPN en mode route à une interface 242 Guide d Administration FortiGate Version 3.0

243 virtuelle IPSec et spécifie ensuite cette interface comme interface source ou de destination dans une règle pare-feu (ACCEPT ou DENY) régulière. Pour plus d informations, voir le chapitre «Définition d une règle de cryptage parefeu» du Guide Utilisateur VPN IPSec FortiGate FortiGate IPSec VPN User Guide. Options des règles pare-feu VPN SSL Lorsque l Action est positionnée sur SSL-VPN, les options suivantes sont disponibles : Remarque : L option VPN SSL est disponible à partir de la liste Action après qu un ou plusieurs groupes d utilisateurs aient été créés. Pour créer des comptes utilisateurs et des groupes d utilisateurs VPN SSL, voir «Configuration des options des groupes d utilisateurs VPN SSL» à la page 335. Illustration 112 : Règle de cryptage VPN SSL Certificat Client SSL Restrictive Autorise le trafic généré par des titulaires d un certificat de groupe (partagé). Ces titulaires doivent être des membres d un groupe d utilisateurs VPN SSL, et le nom de ce groupe doit être présent dans le champ «Allowed», «Autorisé». Algorithme de la clé de cryptage Sélectionnez une des options suivantes pour déterminer le niveau de cryptage SSL à utiliser. Le navigateur web du client distant doit pouvoir correspondre au niveau sélectionné : Pour utiliser une suite de chiffres 128 bits ou plus, sélectionnez Medium>=128. Authentification Utilisateur Sélectionnez l une des options suivantes : Méthode Pour utiliser une suite de chiffres, sélectionnez Any. Pour utiliser une suite de chiffres 164 bits ou plus, sélectionnez High>=164. Si le groupe d utilisateurs lié à cette règle de pare-feu est un groupe d utilisateurs local, sélectionnez Local. Si les clients à distance seront authentifiés par un serveur RADIUS externe, sélectionnez Radius. Si les clients à distance seront authentifiés par un serveur LDAP externe, sélectionnez LDAP. Sélectionnez Any pour activer toutes les méthodes d authentification ci-dessus. L authentification Local est tentée en premier, suivit de Radius et ensuite LDAP. Groupes Disponibles Sélectionnez le nom du groupe d utilisateurs nécessitant un accès VPN SSL, et cliquez ensuite sur la flèche droite. Ne sélectionnez pas plus d un groupe d utilisateurs à moins que Guide d Administration FortiGate Version

244 tous les membres des groupes d utilisateurs sélectionnés aient des exigences d accès identiques. Pour plus d informations sur comment créer une règle de cryptage pare-feu pour les utilisateurs VPN SSL, voir le chapitre «SSL VPN administration tasks» du FortiGate SSL VPN User Guide. 244 Guide d Administration FortiGate Version 3.0

245 Adresse Pare-Feu A partir de cette page, vous pouvez ajouter, éditer ou supprimer des adresses pare-feu. Les adresses pare-feu sont ajoutées aux règles pare-feu pour correspondre aux adresses IP source ou de destination de paquets reçus par le boîtier FortiGate. Cette section couvre les sujets suivants : A propos des adresses pare-feu Visualisation de la liste des adresses pare-feu Configuration des adresses Visualisation de la liste des groupes d adresses Configuration des groupes d adresses A propos des adresses pare-feu Une adresse pare-feu peut être : L adresse IP d un ordinateur unique ( par exemple, ). L adresse IP d un sous-réseau (par exemple, pour un sous-réseau classe C) pour représenter toutes les adresses IP possibles. Le masque de réseau correspond au type d adresses ajoutées. Par exemple : Le masque de réseau d une adresse IP d un ordinateur unique devrait être Le masque de réseau d un sous-réseau classe A devrait être Le masque de réseau d un sous-réseau classe B devrait être Le masque de réseau d un sous-réseau classe C devrait être Le masque de réseau pour toutes les adresses devrait être Une plage d adresses IP représente : Une plage d adresses IP dans un sous-réseau (par exemple, à ). Remarque : L adresse IP et le masque de réseau ne correspond pas à une adresse de pare-feu valide. Pour simplifier la création de règles, il est conseillé d organiser les adresses ayant un lien entre elles en groupes d adresses. Une adresse pare-feu peut être configurée avec un nom, une adresse IP et un masque de réseau ou un nom et une plage d adresses. Il peut également s agir d un FQDN (Fully Qualified Domain Name). Entrez une adresse IP et un masque de réseau en utilisant les formats suivants : Guide d Administration FortiGate Version

246 x.x.x.x/x.x.x.x., par exemple / x.x.x.x/x, par exemple /24 Entrez une plage d adresses IP en utilisant les formats suivants : x.x.x.x-x.x.x.x, par exemple x.x.x.[x-x], par exemple [ ] x.x.x.*, par exemple * pour représenter toutes les adresses sur le sous-réseau Une adresse IP/Masque peut représenter : L adresse d un sous-réseau (par exemple, un sous-réseau classe C, adresse IP : et un masque de réseau : ) Un e adresse IP unique (par exemple, une adresse IP : et un masque de réseau : ) Toutes les adresses IP possibles (représentées par l adresse IP : et le masque de réseau : ) Entrez un FQDN en utilisant le format suivant : <ho st_name>.< second_level_domain_name>. <top_level_domain_ name> <host_name>.< top_level_domain_name> Un FQDN peut être exemple.com Visualisation de la liste des adresses pare-feu Si des domaines virtuels sont activés sur le boîtier FortiGate, les adresses sont configurées séparément pour chaque domaine virtuel. Pour accéder aux adresses, sélectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez ajouter des adresses à la liste et éditer d es adresses existantes. Le boîtier FortiGate est configuré avec l adresse par défaut «All» qui représente n importe quelle adresse IP sur le réseau. Les adresses dans la liste sont triées par type : IP/Masque, Plage IP et FQDN. Pour visualiser la liste d adresses, sélectionnez Pare-feu > Adresse. Illustration 113 : Ech antillon d une liste d adresses Créer Nouveau Permet d ajouter une adresse pare-feu. Nom Le nom de l adresse pare-feu. Adresse / FQDN L adresse IP et le masque, la plage d adresses IP ou le FQDN. 246 Guide d Administration FortiGate Version 3.0

247 Icône Supprimer Permet de supprimer une adress e de la liste. Cette icône s affiche uniquement si l adresse n est pas reprise dans une règle pare-feu. Icône Editer Permet d éditer les informations suivantes : Nom, Type, Sousréseau/Plage IP. Configuration des adresses Les adresses peuvent également être créées ou éditées pendant la configuration de règles pare-feu à partir de la fenêtre de la règle pare-feu. Vous pouvez lier un FQDN à de multiples machines pour un équilibrage d e charge et de la haute disponibilité. Une règle pare-feu FQDN unique peut être créée pour laquelle le boîtier FortiGate correspond automatiquement et maintient un enregistrement de toutes les adresses auxquelles le FQDN correspond. Attention : L utilisation d un FQDN dans une règle pare-feu peut, malgré sa commodité, présen ter des risques de sécurité. Soyez très prudents lors de l utilisation de cette fonction. Sélectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage d adresses ou un FQDN. Illustration 114 : Options de nouvelles adresses ou de plage IP. Nom Entrez un nom pour identifier l adresse pare-feu. Les adresses, groupes d adresses et IP virtuelles doivent avoir des noms uniques afin d éviter la confusion parmi les règles pare-feu. T ype Sélectionnez le type d adresse : Subnet/IP Range ou FQDN. Subnet/IP Range Entrez l adresse IP du pare-feu / le masque du sous-réseau ou entrez la plage IP séparée par u n tiret. Visualisation de la liste des groupes d adresses Si des domaines virtuels sont activés sur le boîtier FortiGate, les groupes d adresses sont configurés séparément pour chaque domaine virtuel. Pour accéder aux groupes d adresses, sélectionnez un domaine virtuel de la liste dans le menu principal. Pour simplifier la configuration de règles, il est conseillé d organiser les adresses apparentées en groupes d adresses. Par exemple, après avoir ajouté trois adresses et les avoir configuré en un groupe d adresses, configurez une seule règle qui reprend les trois adresses. Pour visualiser la liste des groupes d adresses, sélectionnez Pare-feu > Adresse > Groupe. Remarque : Si un gro upe d adresses est compris dans une règle, il ne peut pas être supprimer à moins qu il soit d abord retirer de la règle. Guide d Administration FortiGate Version

248 I llustration 115 : Echantillon d une liste de groupes d adresses Créer Nouveau Permet d ajouter un groupe d adresses. Nom des groupes Le nom du groupe d adresses. M embres Les adresses faisant partie du gro upe d adresses. Icône Supprimer Permet de supprimer le groupe de la liste. Cette icône s affiche uniquement si le groupe d adresses n est pas repris dans une règle pare-feu. Icône Editer Permet d éditer les informations suivantes : Nom du groupe et Membres Configuration des groupes d adresses Des groupes d adresses peuvent être créés pendant la configuration de pare-feu en cliquant sur Créer Nouveau de la liste déroulante Adresse. Pour organiser les adresses en groupes d adresses, sélectionnez Pare-feu > A dresse > Groupe. Illustration 116 : Options des groupes d adresses Nom du groupe Entrez un nom pour identifier le groupe d adresses. Les adresses, groupes d adresses et IP virtuelles doivent avoir des noms uniques pour éviter la confusion parmi les règles pare- feu. Adresses disponibl es La liste des adresses pare-feu co nfigurées et par défaut. Utilisez les flèches pour déplacer les adresses d une liste à l autre. Membres La liste des adresses dans le groupe. Utilisez les flèches pour déplacer les adresses d une liste à l autre. 248 Guide d Administration FortiGate Version 3.0

249 Service Pare-feu La fonctionnalité Service permet de déterminer les types de communication qui seront acceptés ou refusés par le pare-feu. Vous pouvez ajouter un ou plusieurs service(s) prédéfini(s) au choix à une règle. Vous pouvez également créer des services personnalisés pour chaque domaine virtuel et ajouter des services à des groupes de services. Cette section couvre les sujets suivants : Visualisation de la liste des services prédéfinis Visualisation de la liste des services personnalisés Configuration des services personnalisés Visualisation de la liste des groupes de services Configuration des groupes de services Visualisation de la liste des services prédéfinis Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les services prédéfi nis sont disponibles globalement. Dans le menu principal, sélectionnez Configuration Globale et ensuite Pare-feu > Service pour visu aliser la liste des services prédéfinis. Illustration 117 : Liste des services prédéfinis Nom Détail Le nom du service prédéfini. Le protocole de chaque service prédéfini. Le tableau 33 répertorie les services pare-feu FortiGate prédéfinis. Vous pouvez ajouter ces services à n importe quelle règle. Guide d Administration FortiGate Version

250 Tableau 33 : Services FortiGate prédéfinis Nom du service Description Protocole Port AH Authentication Header. AH fournit une authentification de l hôte source et l intégrité des données, mais pas de secret. Ce protocole est utilisé pour l authentification par les passerelles IPSec distantes définies en mode agressif. 51 ANY Convient aux connexions à n importe all all quel port. Une connexion utilisant n importe lequel des services prédéfinis est autorisé à travers le pare-feu. AOL Protocole de messagerie instantanée TCP AOL. BGP Protocole de routage Border Gateway TCP 179 Protocol. BGP est un protocole de routage intérieur/extérieur. DHCP Dynamic Host Configuration Protocol UDP 67 alloue des adresses réseau et livre des paramètres de configuration à DNS partir de serveurs DHCP vers les hôtes. Domain Name Service pour la TCP 53 traduction de noms de domaines en adresses IP. UDP 53 ESP Encapsulating Security Payload. Ce 50 service est utilisé par les tunnels VPN en clé manuelle et AutoIKE pour communiquer des données cryptées. Les tunnels VPN AutoIKE utilisent ESP après avoir établi le tunnel en utilisant IKE. FINGER Un service réseau fournissant des TCP 79 informations sur les utilisateurs. FTP Service FTP pour le transfert de TCP 21 fichiers. FTP_ GET Service FTP pour le téléchargement TCP 21 de fichiers «reçus». FTP_PUT Service FTP pour le téléchargement TCP 21 de fichiers «à envoyer». GOPHER Service de communications TCP 70 GOPHER. Il organise et affiche les contenus d un serveur Internet sous forme de liste de fichiers structurés hiérarchiquement. GRE Generic Routing Encapsulation. Un 47 protocole permettant à un protocole réseau arbitraire d être transmis sur tout autre protocole réseau arbitraire, en encapsulant les paquets du protocole dans des paquets GRE. H323 Protocole multimédia H.323. Il s agit TCP 1720, 1503 d un standard approuvé par ITU (International Telecommunication Union) définissant comment les données de conférences audiovisuelles sont transmises à travers les réseaux. HTTP HTTP est le protocole utilisé par la toile web mondiale pour le transfert de données pour les pages web. TCP Guide d Administration FortiGate Version 3.0

251 HTTPS HTTPS est un service SSL (Secure TCP 443 socket layer) pour des communications sécurisées des serveurs web. ICMP_ANY Internet Control Message Protocol est ICMP une console de messages et un protocole de rapport d erreurs entre un hôte et une passerelle (Internet). IKE IKE est le protocole pour obtenir UDP 500 l échange de clés authentifiées utilisées avec ISAKMP pour IPSEC IMAP Internet Message Access Protocol est TCP 143 un protocole utilisé pour la réception de courriers électroniques. INFO_ADDRESS Messages de requêtes d informations ICMP 17 ICMP. INFO_REQUEST Messages de requêtes de masque ICMP 15 d adresses ICMP. IRC Internet Relay Chat permet aux TCP personnes connectées à Internet de rejoindre des discussions en ligne. Internet Internet Locator Service comprend TCP 389 Locator - LDAP, User Locator Service, et LDAP Service sur TLS/SSL. L2TP L2TP est un protocole tunnel en mode TCP 1701 PPP pour l accès à distance. LDAP Lightweight Directory Access Protocol TCP 389 est un ensemble de protocoles utilisés pour accéder aux informations des services d annuaires. NFS Network File System autorise les TCP 111, 2049 utilisateurs du réseau d accéder à des fichiers partagés stockés sur des ordinateurs de différents types. NNTP Network News Transport Protocol est TCP 119 un protocole utilisé pour envoyer, distribuer et recevoir des messages USENET. NTP Network Time Protocol pour la synchronisation de la date et l heure avec un serveur NTP. TCP 123 NetMeeting NetMee ting autorise les utilisateurs de participer à des téléconférences via Internet comme moyen de transmission. TCP 1720 OSPF Open Shortest Path First est un 89 protocole de routage commun d état de lien. PC-Anywhere PC-Anywhere est un protocole de UDP 5632 contrôle à distance et de transfert de fichiers. PING ICMP echo request/reply pour tester ICMP 8 des connexions vers d autres machines. POP3 Post Office Protocol est un protocole TCP 110 pour le téléchargement de courriers électroniques à partir d un serveur POP3. PPTP Point-to-Point Tunneling Protocol est un protocole permettant aux organisations d étendre leur propre réseau organisationnel à travers des tunnels privés sur l Internet public. TCP 1723 Guide d Administration FortiGate Version

252 QUAKE Pour les connexions utilisées par le jeu d ordinateur multi-joueurs Quake. UDP 26000, 27000, 27910, RAUDIO Pour fluer le trafic multimedia audio réel. UDP 707 RIP Ro uting Information Protocol est un UDP 520 protocole commun de routage à vecteur de distance. RLOGIN Service RLOGIN pour la connexion à TCP 513 distance à un serveur. SAMBA Samba autorise les clients Microsoft TCP 139 Windows à utiliser les services de fichier et d impression à partir d hôtes TCP/IP. SIP SIP- MSNmessenger SMTP SNMP Session Initiation Protocol définit comment les données de conférence audiovisuelle sont transmises à travers les réseaux. Session Initiation Protocol est utilisé par Microsoft Messenger pour initier une session mulimedia interactive. Simple Mail Transfer Protocol est utilisé pour l envoi de mail entre serveurs s sur Internet. Simple Network Management Protocol est un ensemble de protocoles pour la gestion de réseaux complexes. UDP 5060 TCP 1863 TCP 25 TCP UDP SSH Secure Shell est un service pour TCP 22 connexions sécurisées d ordinateurs lors d administrations distantes. UDP 22 SYSLOG Service syslog pour connexion à UDP 514 distance. TALK Un protocole supportant des UDP conversations entre deux ou plusieurs utilisateurs. TCP Tous les ports TCP. TCP TELNET Service Telnet pour des connexions TCP 23 vers un ordinateur d administration pour en prendre les commandes. TFTP Trivial File Transfert Protocol est un UDP 69 protocole de transfert simple de fichiers similaire à FTP mais sans fonctionnalités de sécurité. TIMESTAMP Messages de requêtes ICMP ICMP 13 timestamp. UDP Tous les ports UDP UDP UUCP Unix to Unix copy utility, un protocole UDP 540 simple de copiage de fichiers. VDOLIVE Pour fluer le trafic multimedia VDO TCP live. WAIS Wide Area Information Server est un TCP 210 protocole de recherche Internet. WINFRAME Pour des communications WinFrame TCP 1494 entre des ordinateurs munis de Windows NT. X-WINDOWS Pour des communications à distance entre un serveur X-Window et des clients X-Window. TCP Guide d Administration FortiGate Version 3.0

253 Visualisation de la liste des services personnalisés Si les domaines virtuels sont activés sur le boîtier FortiGate, les services personnalisés sont configurés séparément pour chaque domaine virtuel. Pour accéder aux services personnalisés, sélectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez ajouter un service personnalisé pour créer une règle pour un service qui ne se trouve pas dans la liste des services prédéfinis. Pour visualiser la liste des services personnalisés, sélectionnez Pare-feu > Service > Personnalisé. Illustration 118 : Liste de services personnalisés Créer Nouveau Nom du Service Détail Icône Supprimer Icône Editer Configuration des services personnalisés Sélectionnez un protocole et cliquez ensuite sur Créer Nouveau pour ajouter un service personnalisé. Permet de supprimer une entrée de la liste. Cette icône s affiche uniquement si le service n est pas repris dans une règle pare-feu. Des services personnalisés peuvent être créés lors de la configuration d une règle pare-feu en sélectionnant Créer Nouveau de la liste Service déroulante. 1 Sélectionnez Pare-feu > Service > Personnalisé. 2 Positionnez le Type de Protocole sur TCP/UDP. 3 Configurez les paramètres suivants : Le nom du service personnalisé. Ajouter un service personnalisé TCP ou UDP Les numéros des protocole et ports pour chaque service personnalisé. Permet d éditer les informations suivantes : Nom, Type de Protocole, Type, Numéro de Protocole, Code, Port Source et Port de Destination. Illustration 119 : Nouveau service personnalisé TCP/UDP Guide d Administration FortiGate Version

254 Nom Entrez un nom au service personnalisé. Type de protocole Sélectionnez le type de protocole du service personnalisé : TCP/UDP. Protocole Port source Port destination Bouton ADD Icône Supprimer Sélectionnez TCP ou UDP comme protocole de la plage des ports ajoutée. Spécifiez la plage des numéros de Port Source pour le service en entrant les numéros de ports les plus bas et plus haut. Si le service n utilise qu un numéro de port, entrez celui-ci dans les champs Début et Fin. Les valeurs par défaut permettent l utilisation de n importe quel port source. Spécifiez la plage des numéros de Port de Destination pour le service en entrant les numéros de ports les plus bas et plus haut. Si le service n utilise qu un numéro de port, entrez celui- Début et ci dans les champs Fin. Si le service personnalisé nécessite plus d une plage de ports, cliquez sur le bouton Add pour permettre plusieurs plages source et de destination. Permet de supprimer une entrée de la liste. Ajouter un service personnalisé ICMP 1 Sélectionnez Pare-feu > Service > Personnalisé. 2 Positionnez le Type de Protocole sur ICMP. 3 Configurez les paramètres suivants : Illustration 120 : Nouveau service personnalisé - ICMP Nom Type de protocole Entrez un nom au service personnalisé ICMP. Type Entrez le numéro du type ICMP pour ce service. Code Sélectionnez le type de protocole du service : ICMP. Entrez le numéro du code ICMP pour ce service si requis. Ajouter un service personnalisé IP 1 Sélectionnez Pare-feu > Service > Personnalisé. 2 Positionnez le Type de Protocole sur IP. 3 Configurez les paramètres suivants : 254 Guide d Administration FortiGate Version 3.0

255 Illustration 121 : Nouveau service personnalisé - IP Nom Type de protocole Numéro de protocole Entrez un nom au service personnalisé IP. Sélectionnez le type de protocole du service : IP. Le numéro de protocole IP pour ce service. Visualisation de la liste des groupes de services Si les domaines virtuels sont activés sur le boîtier FortiGate, les groupes de services sont créés séparément pour chaque domaine virtuel. Pour accéder aux groupes de services, sélectionnez un domaine virtuel de la liste dans le menu principal. Pour faciliter l ajout de règles, vous pouvez créer des groupes de services et ensuite ajouter une règle qui autorise ou bloque l accès à tous les services d un groupe. Un groupe de service peut comprendre des services prédéfinis et personnalisés. Un groupe de services ne peut pas être ajouté à un autre groupe de services. Pour visualiser la liste des groupes de services, sélectionnez Pare-feu > Service > Groupe. Illustration 122 : Echantillon d une liste de groupes de services Créer Nouveau Nom des groupes Membres Icône Supprimer Icône Editer Permet d ajouter un groupe de services. Configuration des groupes de services Le nom d identification du groupe de services. Les services ajoutés à ce groupe de services. Permet de supprimer l entrée de la liste. Cette icône s affiche uniquement si le groupe de services n est pas repris dans une règle pare-feu. Permet d éditer les informations suivantes : Nom des groupes et Membres. Des groupes de services peuvent être créés lors de la configuration d une règle pare-feu en cliquant sur Créer Nouveau dans la liste déroulante. Pour organiser les services en un groupe de services, sélectionnez Pare-feu > Service > Groupe. Guide d Administration FortiGate Version

256 Illustration 123 : Options des groupes de services Nom du groupe Entrez un nom pour identifier le groupe de services. Services disponibles Membres La liste des services configurés et prédéfinis. Utilisez les flèches pour déplacer les services d une liste à l autre. La liste des services dans le groupe. Utilisez les flèches pour déplacer les services d une liste à l autre. 256 Guide d Administration FortiGate Version 3.0

257 Plage horaire d un Pare-feu Cette section décrit l utilisation de plages horaires pour contrôler les périodes d activité et d inactivité des règles. Des plages horaires ponctuelles et récurrentes peuvent être créées. Les plages horaires ponctuelles opèrent une seule fois pendant la période de temps spécifié dans l horaire. Les plages horaires récurrentes se réitèrent chaque semaine. Elles opèrent uniquement lors de périodes de temps spécifiés de la journée ou lors de jours spécifiés dans la semaine. Cette section couvre les sujets suivants : Visualisation de la liste des plages horaires ponctuelles Configuration des plages horaires ponctuelles Visualisation de la liste des plages horaires récurrentes Configuration des plages horaires récurrentes Visualisation de la liste des plages horaires ponctuelles Si des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires ponctuelles sont configurées séparément pour chaque domaine virtuel. Pour accéder aux plages horaires ponctuelles, sélectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez créer une plage horaire ponctuelle qui active ou désactive une règle pour une période de temps spécifiée. Par exemple, un pare-feu peut être configuré avec une règle par défaut qui permet l accès à tous les services Internet à tout moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet accès à Internet pendant une période de congé. Pour visualiser la liste des plages horaires ponctuelles, sélectionnez Pare-feu > Plage horaire > Ponctuelle. Illustration 124 : Listes des plages horaires ponctuelles Créer Nouveau Nom Début Fin Icône Supprimer Icône Editer Permet d ajouter une plage horaire ponctuelle. Le nom de la plage horaire ponctuelle. La date et l heure de début de la plage horaire ponctuelle. La date et l heure de la fin de la plage horaire ponctuelle. Permet de supprimer la plage horaire de la liste. Cette icône apparaît seulement si la plage horaire n est pas reprise dans une règle pare-feu. Permet d éditer la plage horaire. Guide d Administration FortiGate Version

258 Configuration des plages horaires ponctuelles Les plages horaires ponctuelles peuvent être créées lors de la configuration d une règle pare-feu en sélectionnant Créer Nouveau dans la liste Plage Horaire (Schedule) déroulante. Pour ajouter une plage horaire ponctuelle, sélectionnez Pare-feu > Plage horaire > Ponctuelle. Illustration 125 : Nouvelle plage horaire ponctuelle Nom Début Fin Entrez un nom pour identifier la plage horaire ponctuelle. Entrez les date et heure de départ de la plage horaire ponctuelle. Entrez les date et heure de fin de la plage horaire ponctuelle. Pour une plage horaire active tout au long de la journée, affectez 00 aux dates et heures de départ et de fin. Les plages horaires ponctuelles utilisent une horloge de 24 heures (et non pas 12). Visualisation d e la liste des plages horaires récurrentes Si des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires récurrentes sont configurées séparément pour chaque domaine virtuel. Pour accéder aux plages horaires récurrentes, sélectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez créer une plage horaire récurrente qui active ou désactive une règle à des moments de la journée ou lors de certains jours de la semaine spécifiés. Par exemple, empêcher les jeux pendant les heures de travail en créant une plage horaire récurrente. Remarque : Une plage horaire récurrente avec une heure de fin qui a lieu avant l heure de début commence à l heure de début et finit à l heure de fin de la journée suivante. Cette technique permet de créer des plages horaires qui passent du jour au lendemain. Pour créer une plage horaire qui fonctionne 24 heures, affectez la même heure aux heures de début et de fin. Pour visualiser la liste des plages horaires récurrentes, sélectionnez Pare-feu > Plage horaire > Récurrente. 258 Guide d Administration FortiGate Version 3.0

259 Il lustration 126 : Listes des plages horaires récurrentes Créer Nouveau Nom Jour Début Fin Icône Supprimer Icône Editer Permet d ajouter une plage horaire récurrente. Le nom de la plage horaire récurrente. Permet de supprimer la plage horaire de la liste. Cette icône apparaît seulement si la plage horaire n est pas reprise dans une règle pare-feu. Configuration des plages horaires récurrentes Les plages horaires récurrentes peuvent être créées lors de la configuration d une règle pare-feu en sélectionnant Créer Nouveau dans la liste Plage Horaire (Schedule) déroulante. Pour ajouter une plage horaire récurrente, sélectionnez Pare-feu > Plage horaire > Récurrente. Illustration 127 : Nouvelle plage horaire récurrente Les initiales des jours de la semaine pendant lesquelles la plage horaire récurrente est active. L heure de début de la plage horaire récurrente. L heure de fin de la plage horaire récurrente. Permet d éditer la plage horaire. Nom Select Début Fin Entrez un nom pour identifier la plage horaire récurrente. Cochez les jours de la semaine pendant lesquelles la plage horaire récurrente doit être active. Sélectionnez l heure de départ de la plage horaire récurrente. Sélectionnez l heure de fin de la plage horaire récurrente. Les plages horaires récurrentes utilisent une horloge de 24 heures (et non pas 12). Guide d Administration FortiGate Version

260 IP virtuelles Cette section explique comment configurer et utiliser dans les règles pare-feu les IP virtuelles et les plages IP FortiGate. IP virtuelles Cette section couvre les sujets suivants : IP virtuelles Visualisation de la liste d IP virtuelles Configuration des IP virtuelles Plages IP Visualisation des Plages IP Configuration des Plages IP Les adresses IP virtuelles sont utilisées pour permettre des connexions à travers le boîtier FortiGate en utilisant des règles pare-feu NAT (Network Address Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au boîtier FortiGate de répondre aux requêtes ARP sur le réseau pour un serveur installé sur un autre réseau. Proxy ARP est défini par la RFC Par exemple, vous pouvez ajouter une adresse IP virtuelle à une interface externe FortiGate de manière à ce que cette interface puisse répondre aux requêtes de connexion des utilisateurs en réalité connectés à un serveur du réseau DMZ ou du réseau interne. Comment les adresses IP virtuelles gèrent-elles leurs connexions à travers le boîtier FortiGate? Un exemple d utilisation d une adresse IP virtuelle de translation est de permettre un accès public facile à un serveur web d un réseau privé protégé par un boîtier FortiGate. De la manière la plus simplifiée, cette situation implique seulement trois parties, tel qu exemplifié dans l illustration 128 : Le serveur web du réseau privé, la machine cliente et le boîtier FortiGate connecté aux deux réseaux. Un ordinateur client tentant de se connecter au serveur envoie des paquets de données reçus par le boîtier FortiGate. Les adresses reprises dans les paquets sont réécrites et transférées au serveur du réseau privé. Illustration 128 : Exemple d une adresse IP virtuelle de translation simple Les paquets envoyés par l ordinateur client ont une adresse IP source et une adresse IP de destination Le boîtier FortiGate reçoit ces paquets sur son interface externe. Les paramètres de l adresse IP 260 Guide d Administration FortiGate Version 3.0

261 virtuelle indiquent une red irection de à , les adresses des paquets ayant été modifié es. L adresse source est devenue et celle de destination L e boîtier FortiGate enregistre cette translation dans sa table de session du pare-feu. Les paquets sont ensuite envoyés et arrivent finalement sur le serveur. Illustration 129 : Exemple de translation d adresse d un paquet pendant une translation client - serveur Vous remarquerez que l adresse de l ordinateur client n apparaît pas dans les paquets reçus par le serveur. En effet, après que le boîtier FortiGate ait translaté les adresses réseaux, il n y a plus de référence faite au réseau de l ordinateur client. Le serveur n a pas d indication sur l existence d un autre réseau. Pour lui, toutes les communications viennent directement du boîtier FortiGate. Lorsque le serveur répond à l ordinateur client, la procédure fonctionne de la même manière mais dans la direction opposée. Le serveur envoie ses paquets réponses ayant une adresse IP source et une adresse IP de destination Le boîtier FortiGate reçoit ces paquets sur son interface interne. Cependant, cette fois-ci, l entrée dans la table de session pare-feu va servir à déterminer l adresse de destination translatée. Dans cet exemple, l adresse source est réécrite et devient et la destination Les paquets sont ensuite envoyés et arrivent finalement sur l ordinateur client. L adresse du serveur n apparaît pas dans les paquets que le client reçoit. En effet, après que le boîtier FortiGate ait translaté les adresses réseaux, il n y a plus de référence faite au réseau du serveur. Le client n a pas d indication sur l existence du réseau privé du serveur. Pour lui, le boîtier FortiGate est le serveur web. Illustration 130 : Exemple de translation d adresse d un paquet pendant une translation serveur - client Remarque : Les adresses IP virtuelles ne sont pas disponibles ou requises en mode Transparent. Une adresse IP virtuelle peut être une seule adresse IP ou une plage d adresses IP limitée à une interface FortiGate. Lorsque vous faites correspondre une adresse IP ou une plage d adresses IP à une interface FortiGate fonctionnant avec une adresse IP virtuelle, l interface répond aux requêtes ARP pour l adresse IP ou pour la plage d adresses IP correspondante. Guide d Administration FortiGate Version

262 Dans le cas où la case NAT n a pas été sélectionnée lors de la configuration d une règle pare-feu, cette règle effectuera la DNAT (destination network address translation). La DNAT accepte les paquets d un réseau externe à l attention d une adresse IP de destination spécifique, translate l adresse de destination des paquets en une adresse IP de correspondance d un autre réseau caché et transfère ensuite les paquets à travers le boîtier FortiGate vers ce réseau de destination caché. A l inverse des exemples précédents, l adresse source n est pas translatée. Une fois sur le réseau de destination caché, les paquets peuvent arriver à leur destination finale. Les adresses IP virtuelles translatent également l adresse IP source des paquets de retour de l adresse source du réseau caché pour qu elle soit identique à l adresse de destination des paquets originaux. Les plages d adresses IP virtuelles peuvent être de presque n importe quelle taille et peuvent translater les adresses vers différents sous-réseaux. Les plages d adresses IP virtuelles ont les restrictions suivantes : L adresse IP de correspondance ne peut pas inclure ou L adresse IP externe ne peut pas être si le type de cette adresse est NAT statique et est tra nslatée en une plage d adresses IP. Seuls l équilibrage de charge des adresses IP virtuelles, et les adresses IP virtuelles translatées vers une seule adresse IP, supportent une adresse IP externe La translation de Port translate une plage de ports externes vers une plage de ports internes. Le nombre de ces ports doit être le même. Pour cela, le port externe doit être défini de manière à ce que sa plage ne dépasse pas Par exemple, une plage interne de 20 ports translatées du port externe n est pas valide puisque le dernier port de la plage serait Lors du relayage de port, la plage d adresses IP externes ne peut pas inclure d adresses IP d interfaces. La plage d adresses IP de correspondance ne doit pas inclure d adresses IP d interfaces. Le nom d une adresse IP virtuelle ne peut pas être identique à celui d une adresse ou d un groupe d adresses. Les entrées dupliquées ou de plages qui se chevauchent ne sont pas permises. En plus de lier l adresse IP ou la plage d adresses IP à l interface, l adresse IP virtuelle contient également toutes les informations requises pour translater l adresse IP ou la plage d adresses IP de l interface qui reçoit les paquets vers l interface connectée au même réseau que l adresse IP ou la plage d adresses IP actuelle. Vous pouvez créer cinq différents types d adresses IP virtuelles, chacun pouvant être utilisé pour une variation de DNAT. Static NAT Les adresses IP virtuelles de translation translate une adresse IP externe ou une plage d adresses IP d un réseau source vers une adresse IP translatée ou une plage d adresses IP d un réseau de destination. 262 Guide d Administration FortiGate Version 3.0

263 Static NAT Port Forwarding Equilibrage de charge Load Balancing Port Forwarding Dynamic virtual IPs Les adresses IP virtuelles de translation utilisent une translation un-à-un. Une seule adresse IP externe est translatée vers une seule adresse IP. Une plage d adresses IP externes est translatée vers une plage correspondante d adresses IP. Une adresse IP donnée dans la plage d adresses sources est toujours translatée vers la même adresse IP dans la plage d adresses de destination. Le relayage de port NAT statique translate une seule adresse IP ou une plage d adresses et un seul numéro de port ou de plage de ports sur un réseau vers une seule adresse IP ou une plage d adresses différente et un seul numéro de port ou de plage de ports différente sur un autre réseau. Le relayage de port NAT statique est également appelé relayage de port. Les adresses IP virtuelles du relayage de port NAT statique utilisent une translation un à un. Une plage d adresses IP externes est translatée vers une plage correspondante d adresses IP et une plage de ports externes est translatée vers une plage correspondante de ports. Les adresses IP virtuelles de relayage de port peuvent être utilisées pour configurer le boîtier FortiGate pour le PAT (port address translation). Egalement appelé relayage de port dynamique. Une adresse IP virtuelle d équilibrage de charge translate une seule adresse IP sur un réseau vers une plage d adresses IP sur un autre réseau. L équilibrage de charge utilise une translation un-à-plusieurs et un algorithme d équilibrage de charge pour affecter une adresse IP de destination de la plage d adresses IP pour assurer une distribution du trafic plus équilibrée. Un équilibrage de charge avec une adresse IP virtuelle de relayage de port translate une seule adresse IP et un seul numéro de port sur un réseau vers une plage d adresses IP et une plage de numéros de ports sur un autre réseau. Un équilibrage de charge relayage de port utilise un algorithm e d équilibrage de charge un-à-plusieurs pour affecter l adresse IP de destination d une plage d adresses IP pour assurer une distribution plus équilibrée du trafic et également pour affecter le port de destination de la plage de ports de destination. Si vous définissez l adresse IP externe d une adresse IP virtuelle à vous créez une adresse IP virtuelle dynamique pour laquelle toute adresse IP externe est translatée vers l adresse IP ou la plage d adresses IP translatée. Vous devez ajouter l adresse IP virtuelle à une règle pare-feu NAT pour réellement implémenter la translation configurée dans l adresse IP virtuelle. Pour ajouter une règle pare-feu qui translate des adresses sur un réseau externe vers un réseau interne, vous ajoutez une règle pare-feu de l externe vers l interne et ajoutez l adresse IP virtuelle dans le champ de l adresse de destination de la règle. Par exemple, si l ordinateur muni d un serveur web est localisé sur le réseau interne, il pourrait avoir une adresse IP privée telle que Pour recevoir des paquets d Internet vers le serveur web, il doit y avoir une adresse externe du serveur web sur Internet. Ajoutez une adresse IP virtuelle au pare-feu qui translate l adresse externe IP du serveur web sur Internet vers l adresse actuelle du serveur web du réseau interne. Pour autoriser des connexions d Internet vers le serveur Guide d Administration FortiGate Version

264 web, ajoutez une règle pare-fe u de l externe vers l interne et affectez l adresse IP virtuelle à l Adresse de Destination. Visualisation de la liste d IP virtuelles Pour visualiser la liste des adresses IP virtuelles, sélectionnez Pare-feu > IP virtuelle > IP virtuelle. Illustration 131 : Liste d adresses IP virtuelles Créer Nouveau Nom IP Port Adresse IP réelle Port réel Icône Supprimer Icône Editer Permet d ajouter une adresse IP virtuelle. Le nom de l adresse IP virtuelle. L adresse IP ou la plage d adresses externe. Configuration des adresses IP virtuelles Le numéro du port externe ou la plage de ports. Le port de service est compris dans le relayage de port d adresses IP virtuelles. La translation vers l adresse IP ou la plage d adresses sur le réseau de destination. La translation vers le numéro du port ou la plage de ports. Le port réel est compris dans le relayage de port d adresses IP virtuelles. Permet de supprimer l adresse IP virtuelle de la liste. Cette icône apparaît seulement si cette adresse n est pas reprise dans une règle pare-feu. Permet de modifier toute option d une adresse IP virtuelle notamment son nom. Pour ajouter une liste d adresses IP virtuelles, sélectionnez Pare-feu > IP virtuelle > IP virtuelle et cliquez sur Créer Nouveau. Pour éditer une adresse IP virtuelle, cliquez sur l icône Editer de l adresse à éditer. Une adresse IP virtuelle de translation pour une seule adresse IP est la configuration la plus simple d une adresse IP virtuelle. Une seule adresse IP sur un réseau est translatée vers une autre adresse IP sur un second réseau. Le boîtier FortiGate connecte les deux réseaux et autorise la communication entre eux. Pour ajouter ou éditer une adresse IP virtuelle, sélectionnez Pare-feu > IP virtuelle > IP virtuelle. Nom Interface externe Type Entrez ou modifiez le nom d identification de l adresse IP virtuelle. Pour éviter toute confusion, les règles pare-feu, les adresses, les groupes d adresses et les adresses IP virtuelles ne peuvent pas avoir des noms en commun. Sélectionnez l interface externe de l adresse IP virtuelle dans la liste. L interface externe est connectée au réseau source et reçoit les paquets à transférer au réseau de destination. Vous pouvez sélectionner n importe quelle interface FortiGate, sousinterface VLAN ou interface VPN. Sélectionnez NAT statique ou Load Balance. 264 Guide d Administration FortiGate Version 3.0

265 External IP Address/Range Mapped IP Address/Range Port forwarding Protocole Port externe Port réel Entrez l adresse IP externe que vous voulez translater vers une adresse sur le réseau de destination. Pour configurer une adresse IP virtuelle dynamique qui accepte les connexions pour n importe quelle adresse IP, affectez à l adresse IP externe. Pour une adresse IP virtuelle dynamique de translation vous ne pouvez ajouter qu une adresse IP translatée. Pour une adresse IP virtuelle dynamique d équilibrage de charge vous pouvez spécifier une seule adresse ou une seule plage d adresses translatée. Entrez l adresse IP réelle sur le réseau de destination de l adresse IP externe translatée. Vous pouvez également entrer une plage d adresses pour transférer les paquets vers de multiples adresses IP sur le réseau de destination. Pour une adresse IP virtuelle de translation, si vous ajoutez une plage d adresses IP translatées, le boîtier FortiGate calcule la plage d adresses IP externe et ajoute cette plage dans le champ External IP Adresse/Range. Permet d ajouter une adresse IP virtuelle de relayage de port. Sélectionnez le protocole (TCP ou UDP) que les paquets transférés utiliseront. Entrez le numéro du port service externe pour lequel vous désirez configurer le relayage de port. Entrez le numéro du port sur le réseau de destination dont le numéro du port externe est translaté. Vous pouvez également entrer une plage de ports pour transférer les paquets vers de multiples ports sur le réseau de destination. Pour une adresse IP virtuelle de translation, si vous ajoutez une translation à une plage de ports, le boîtier FortiGate calcule la plage de ports externes et ajoute cette plage dans le champ Port Externe. Ajout d une adresse IP virtuelle de translation à une seule adresse IP L adresse IP sur Internet est translatée à sur un réseau privé. Les tentatives pour communiquer avec sur Internet sont translatées et envoyées à par le boîtier FortiGate. Les ordinateurs sur Internet n ont pas connaissance de cette translation et ne voient qu un ordinateur avec une adresse IP au lieu d un boîtier FortiGate avec un réseau privé derrière. Illustration 132 : Exemple d adresse IP virtuelle de translation à une seule adresse IP Guide d Administration FortiGate Version

266 Ajouter une adresse IP virtuelle de translation à une seule adresse IP Sélectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Créer Nouveau. Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs d Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l interface wan1 du boîtier FortiGate est connectée à Internet et l interface dmz1 est connectée au réseau DMZ. Nom Interface externe Type External IP Address/Range Map to IP/IP Range simple_static_nat wan1 NAT statique L adresse IP Internet du serveur web. L adresse IP externe doit être une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit également être une adresse IP unique qui n est pas utilisée par un autre hôte et ne peut pas être la même que l adresse IP de l interface externe que l IP virtuelle va utiliser. Cependant, l adresse IP externe doit être routée vers l interface sélectionnée. L adresse IP virtuelle et l adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l adresse IP virtuelle, l interface externe répond aux requêtes ARP pour l adresse IP externe. L adresse IP du serveur sur le réseau interne. Puisqu il n y a qu une adresse IP, laissez le deuxième champ vide. Illustration 133 : Options des adresses IP virtuelles : IP virtuelles de translation à une seule adresse IP 4 Cliquez sur OK. Ajouter une adresse IP virtuelle de translation à une seule adresse IP dans une règle pare-feu Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l adresse IP virtuelle de manière à ce que lorsque des utilisateurs sur Internet tentent de se connecter à l adresse IP du serveur web, les paquets passent à travers le boîtier FortiGate de l interface wan1 à l interface dmz1. L adresse IP virtuelle translate l adresse de destination de ces paquets de l IP externe vers l adresse IP du réseau DMZ du serveur web. 1 2 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau. Configurez la règle pare-feu : Source Interface/Zone wan1 Source Adresse All (ou une adresse spécifique précise) 266 Guide d Administration FortiGate Version 3.0

267 3 4 Destination Interface/Zone Destination Adresse Horaire Service Action Cochez la case NAT. Cliquez sur OK. dmz1 simple_static_nat always HTTP ACCEPT Ajout d une adresse IP virtuelle de translation à une plage d adresses IP La plage d adresses IP sur Internet est translatée vers sur un réseau privé. Les paquets des ordinateurs Internet communiquant avec sont translatées et envoyées à par le boîtier FortiGate. Similairement, les paquets destinés à sont translatés et envoyés à et les paquets destinés à sont translatés et envoyés à Les ordinateurs sur Internet n ayant pas connaissance de la translation ne voient que trois ordinateurs avec des adresses IP individuelles au lieu d un boîtier FortiGate avec un réseau privé derrière. Illustration 134 : Exemple d adresse IP IP virtuelle de translation à une plage d adresses Ajouter une adresse IP virtuelle de translation à une plage d adresses IP Sélectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Créer Nouveau. Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs d Internet de se connecter à trois serveurs web individuels sur le réseau DMZ. Dans notre exemple, l interface wan1 du boîtier FortiGate est connectée à Internet et l interface dmz1 est connectée au réseau DMZ. Nom static_nat_range Interface externe wan1 Type NAT statique External IP Address/Range La plage d adresses IP Internet des serveurs web. Les adresses IP externes doivent être des adresses IP Guide d Administration FortiGate Version

268 Map to IP/IP Range statiques obtenues par votre FAI pour votre serveur web. Ces adresses doivent également être des adresses IP uniques qui ne sont pas utilisées par un autre hôte et ne peuvent pas être les mêmes que les adresses IP de l interface externe que l IP virtuelle va utiliser. Cependant, les adresses IP externes doivent être routées vers l interface sélectionnée. Les adresses IP virtuelles et l adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l adresse IP virtuelle, l interface externe répond aux requêtes ARP pour les adresses IP externes. La plage d adresses IP des serveurs du réseau interne. Définissez la plage en entrant la première adresse de la plage dans le premier champ et la dernière adresse de la plage dans le deuxième champ. Illustration 135 : Options des adresses IP virtuelles : IP virtuelles de translation avec une plage d adresses IP 4 Cliquez sur OK. Ajouter une adresse IP virtuelle de translation avec une plage d adresses IP à une règle pare-feu Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l adresse IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent à travers le boîtier FortiGate de l interface wan1 à l interface dmz1. L adresse IP virtuelle translate les adresses de destination de ces paquets de l adresse IP externe vers les adresses IP du réseau DMZ des serveurs web. 1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau. 2 Configurez la règle pare-feu : Source Interface/Zone wan1 Source Adresse All (ou une adresse spécifique précise) Destination Interface/Zone dmz1 Destination Adresse static_nat_range Horaire always Service HTTP Action ACCEPT 3 Cochez la case NAT. 4 Cliquez sur OK. 268 Guide d Administration FortiGate Version 3.0

269 Ajout d un relayage de port de translation à une seule adresse IP et un seul port L adresse IP , port 80 sur Internet est translatée vers , port 8000 sur un réseau privé. Les tentatives de communication avec , port 80 d Internet sont translatées et envoyées vers , port 8000 par le boîtier FortiGate. Les ordinateurs sur Internet n ayant pas connaissance de cette translation ne voient qu un seul ordinateur au , port 80 au lieu d un boîtier FortiGate avec un réseau privé derrière. Illustration 136 : Exemple de relayage de port de l adresse IP virtuelle de translation pour une seule adresse IP et un seul port Ajouter un relayage de port de l adresse IP virtuelle de translation à une seule adresse IP et un seul port 1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle. 2 Cliquez sur Créer Nouveau. 3 Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l interface wan1 du boîtier FortiGate est connectée à Internet et l interface dmz1 est connectée au réseau DMZ. Nom Interface externe Type External IP Address/Range Map to IP/IP Range Port forwarding Protocole Port externe Port_fwd_NAT_VIP wan1 NAT statique L adresse IP Internet du serveur web. L adresse IP externe doit être une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit également être une adresse IP unique qui n est pas utilisée par un autre hôte et ne peut pas être la même que l adresse IP de l interface externe que l adresse IP virtuelle va utiliser. Cependant, l adresse IP externe doit être routée vers l interface sélectionnée. L adresse IP virtuelle et l adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l adresse IP virtuelle, l interface externe répond aux requêtes ARP pour l adresse IP externe. L adresse IP du serveur sur le réseau interne. Puisqu il n y a qu une adresse IP, laissez le deuxième champ vide. Sélectionné TCP Le port utilisé par le trafic provenant d Internet. Pour un serveur web, il s agit généralement du port 80. Guide d Administration FortiGate Version

270 Port réel Le port sur lequel le serveur reçoit le trafic. Puisqu il n y a qu un port, laissez le deuxième champ vide. Illus tration 137 : Options des adresses IP virtuelles : Relayage de port d une adresse IP virtuelle de translation à une seule adresse IP et un seul port 4 Cliquez sur OK. Ajouter un relayage de port d une adresse IP virtuelle de translation à une seule adresse IP et un seul port à une règle pare-feu Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l adresse IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent à travers le boîtier FortiGate de l interface wan1 à l interface dmz1. L adresse IP virtuelle translate les adresses et ports de destination de ces paquets de l adresse IP externe vers les adresses IP du réseau DMZ des serveurs web. 1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau. 2 Configurez la règle pare-feu : Source Interface/Zone wan1 Source Adresse All (ou une adresse spécifique précise) Destination Interface/Zone dmz1 Destination Adresse Port_fwd_NAT_VIP Horaire always Service HTTP Action ACCEPT 3 Cochez la case NAT. 4 Cliquez sur OK. Ajout d un relayage de port de translation à une plage d adresses IP et une plage de ports Les ports 80 à 83 des adresses à sur Internet sont translatées aux ports 8000 à 8003 des adresses à sur un réseau privé. Les tentatives de communication vers , port 82 d Internet par exemple, sont translatées et envoyées vers , port 8002 par le boîtier FortiGate. Les ordinateurs sur Internet n ayant pas connaissance de cette translation ne voient qu un seul ordinateur au au lieu d un boîtier FortiGate avec un réseau privé derrière. 270 Guide d Administration FortiGate Version 3.0

271 Illustration 138 : Exemple de relayage de port d une adresse IP virtuelle de translation à une plage d adresses IP et une plage de ports Ajouter un relayage de p ort de l adresse IP virtuelle de translation à une plage d adresses IP et une plage de ports 1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle. 2 Cliquez sur Créer Nouveau. 3 Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l interface wan1 du boîtier FortiGate est connectée à Internet et l interface dmz1 est connectée au réseau DMZ. Nom Interface externe Type External IP Address/Range Map to IP/IP Range Port forwarding Protocole Port externe Port réel Port_fwd_NAT_VIP_port_range wan1 NAT statique L adresse IP Internet du serveur web. Les adresses IP externes doivent être des adresses IP statiques obtenues par votre FAI. Ces adresses doivent également être uniques et inutilisées par un autre hôte et ne peuvent pas être identiques à l adresse IP de l interface externe que l adresse IP virtuelle va utiliser. Cependant, les adresses IP externes doivent être routées vers l interface sélectionnée. Les adresses IP virtuelles et l adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l adresse IP virtuelle, l interface externe répond aux requêtes ARP pour les adresses IP externes. Les adresses IP du serveur sur le réseau interne. Définissez la plage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième champ. Sélectionné TCP Les ports utilisés par le trafic provenant d Internet. Pour un serveur web, il s agit généralement du port 80. Les ports sur lesquels le serveur attend le trafic. Définissez la plage en entrant le premier port de cette plage dans le premier champ et le dernier port dans le deuxième champ. S il n y a qu un seul port, laissez le deuxième champ vide. Illustration 139 : Options de l adresse IP virtuelle : relayage de port de l adresse IP virtuelle de translation à une plage d adresses IP et une plage de ports Guide d Administration FortiGate Version

272 4 Cliquez sur OK. Ajouter un relayage de port d une adresse IP virtuelle de translation à une plage d adresses IP et une plage de ports à une règle pare-feu Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent à travers le boîtier FortiGate de l interface wan1 à l interface dmz1. L IP virtuelle translate les adresses et ports de destination de ces paquets de l IP externe vers les adresses IP du réseau DMZ des serveurs web. 1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau. 2 Configurez la règle pare-feu : Source Interface/Zone wan1 Source Adresse All (ou une adresse spécifique précise) Destination Interface/Zone dmz1 Destination Adresse Port_fwd_NAT_VIP_port_range Horaire always Service HTTP Action ACCEPT 3 Cochez la case NAT. 4 Cliquez sur OK. Ajout d une IP virtuelle d équilibrage de charge à une plage d adresses IP L adresse IP sur Internet est translatée vers à sur un réseau privé. La translation d adresse IP est déterminée par l algorithme de l équilibrage de charge du boîtier FortiGate. Les tentatives de communication avec d Internet sont translatées et envoyées vers , ou par le boîtier FortiGate. Les ordinateurs sur Internet n ayant pas connaissance de cette translation ne voient qu un seul ordinateur à au lieu d un boîtier FortiGate avec un réseau privé derrière. 272 Guide d Administration FortiGate Version 3.0

273 Illustration 140 : Exemple d IP virtuelle d équilibrage de charge d une plage d adresses IP Ajouter une IP virtuelle d équilibrage de charge à une plage d adresses IP 1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle. 2 Cliquez sur Créer Nouveau. 3 Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l interface wan1 du boîtier FortiGate est connectée à Internet et l interface dmz1 est connectée au réseau DMZ. Nom Interface externe Type External IP Address/Range Map to IP/IP Range Load_Bal_VIP wan1 Load Balance L adresse IP Internet du serveur web. L adresse IP externe doit être une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit également être une adresse IP unique qui n est pas utilisée par un autre hôte et ne peut pas être la même que l adresse IP de l interface externe que l IP virtuelle va utiliser. Cependant, l adresse IP externe doit être routée vers l interface sélectionnée. L adresse IP virtuelle et l adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l IP virtuelle, l interface externe répond aux requêtes ARP pour l adresse IP externe. L adresse IP des serveurs sur le réseau interne. Définissez la plage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième champ. Illustration 141 : Options de l IP virtuelle : IP virtuelle d équilibrage de charge 4 Cliquez sur OK. Guide d Administration FortiGate Version

274 Ajouter une IP virtuelle d équilibrage de charge à une plage d adresses IP à une règle pare-feu Ajoute z une règle pare-feu wan1 vers dmz1 qui utilise l IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter à l adresse IP du serveur, les paquets passent à travers le boîtier FortiGate de l interface wan1 à l interface dmz1. L IP virtuelle translate l adresse de destination de ces paquets de l IP externe vers les adresses IP du réseau DMZ des serveurs web. 1 Sélection nez Pare-feu > Règle et cliquez sur Créer Nouveau. 2 Configurez la règle pare-feu : Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action 3 Cochez la case NAT. 4 Cliquez sur OK. wan1 All (ou une adresse spécifique précise) dmz1 Load_Bal_VIP always HTTP ACCEPT Ajout d une IP virtuelle relayage de port équilibrage de charge à une plage d adresses IP et une plage de ports Les connexions vers sur Internet sont translatées vers à sur un réseau privé. La translation d adresse IP est déterminée par l algorithme de l équilibrage de charge du boîtier FortiGate. Les ports 80 à 83 sur sont translatés vers 8000 à Les ordinateurs sur Internet n ayant pas connaissance de cette translation ne voient qu un seul ordinateur à au lieu d un boîtier FortiGate avec un réseau privé derrière. Illustration 142 : Exemple d IP virtuelle relayage de ports équilibrage de charge à une plage d adresses IP et une plage de ports Ajouter une IP virtuelle d équilibrage de charge à une plage d adresses IP 1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle. 2 Cliquez sur Créer Nouveau. 3 Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans 274 Guide d Administration FortiGate Version 3.0

275 notre exemple, l interface wan1 du boîtier FortiGate est connectée à Internet et l interface dmz1 est connectée au réseau DMZ. Nom Interface externe Type External IP Address/Range Load_Bal_VIP_port_forward L adresse IP Internet du serveur web. L adresse IP externe doit être une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit également être une adresse IP unique qui n est pas utilisée par un autre hôte et ne peut pas être la même que l adresse IP de l interface externe que l IP virtuelle va utiliser. Cependant, l adresse IP externe doit être routée vers l interface sélectionnée. L adresse IP virtuelle et l adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l IP virtuelle, l interface externe répond aux requêtes ARP pour l adresse IP externe. Map to IP /IP Range L adresse IP des serveurs sur le réseau interne. Définissez la plage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième champ. Port Forwarding Protocole Port externe Port réel wan1 Load Balance Sélectionné. TCP Les ports que le trafic provenant d Internet utiliseront. Pour un serveur web, il s agit généralement du port 80. Les ports sur lesquels le serveur attend le trafic. Définissez la plage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième champ. S il n y a qu un port, laissez le deuxième champ vide. Illustration 143 : Options de l IP virtuelle : IP virtuelle d équilibrage de charge 4 Cliquez sur OK. Ajouter une IP virtuelle d équilibrage de charge pour une plage d adresses IP à une règle pare-feu Ajoutez une règle pare-feu wan1 vers dmz1 qui utilise l IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter à l adresse IP du serveur, les paquets passent à travers le boîtier FortiGate de l interface wan1 à l interface dmz1. L IP virtuelle translate l adresse de destination de ces paquets de l IP externe vers les adresses IP du réseau DMZ des serveurs web. 1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau. Guide d Administration FortiGate Version

276 2 Configurez la règle pare-feu : Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action 3 Cochez la case NAT. 4 Cliquez sur OK. wan1 All (ou une adresse spécifique précise) dmz1 Load_Bal_VIP_port_forward always HTTP ACCEPT Ajout d IP virtuelles dynamiques Ajouter une IP virtuelle dynamique est similaire à l ajout d une IP virtuelle. La différence est que l adresse IP Externe doit être définie sur de manière à ce qu elle corresponde à n im porte quelle adresse IP. Illustration 144 : Ajout d une nouvelle translation d IP virtuelle le relayage de port dynamique Ajouter une IP virtuelle dynamique 1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle. 2 Cliquez sur Créer Nouveau. 3 Entrez un nom pour l IP virtuelle dynamique. 4 Sélectionnez l Interface Externe de l IP virtuelle dans la liste. L interface externe est connectée au réseau source et reçoit les paquets à transférer au réseau de destination. Sélectionnez n importe quelle interface pare-feu ou sous-interface VLAN. 5 Définissez l Adresse IP Externe sur Cela correspond à toute adresse IP. 6 Entrez le numéro du Port Externe pour lequel configurer le relayage de port dynamique. Le numéro de port externe doit correspondre au port de destination des paquets à transférer. Par exemple, si l IP virtuelle fournit un accès PPTP au serveur PPTP à travers l Internet, le numéro du port externe devrait être 1723 (le port PPTP). 7 Entrez l adresse Map to IP (ou Mapped IP Address) vers laquelle translater l adresse IP externe. Par exemple, l adresse IP d un serveur PPTP sur un réseau interne. 276 Guide d Administration FortiGate Version 3.0

277 Plages IP 8 Entrez le numéro du Port Réel à ajouter aux paquets lors de leur transfert. Entrez le même numéro que le Port Externe si le port n est pas destiné à être translaté. 9 Cliquez sur OK. Vous pouvez utiliser des plages IP pour ajouter des règles NA T qui translatent les adresses sources en adresses sélectionnées arbitrairement dans la plage IP au lieu d être limité à l adresse IP de l interface de destination. Une plage IP définit une adresse ou une plage d adresses IP dont chacune répond aux requêtes ARP sur l interface à laquelle la plage IP est ajoutée. Lors de la configuration d une règle pare-feu, cochez la case Pool d adres ses pour translater l adresse source de paquets sortants en une adres se sélectionnée arbitrairement dans la plage IP. Une liste de plages IP apparaît lorsque l interface de destination de la règle est la même que l interface de plage IP. Avec une plage IP ajoutée à l interface interne, vous pouvez sélectionner une plage IP dynamique pour les règles avec l interface interne comme destination. Vous pouvez ajouter des plages IP à n importe quelle interface et sélectionné la plage IP à utiliser lors de la configuration d une règle pare-feu. Une seule adresse IP est entrée normalement. Par exemple, est une adresse de plage IP valide. Si une plage d adresses IP est nécessaire, entrez l un des formats suivants : x.x.x.x-x.x.x.x, par exemple x.x.x.[x-x], par exemple [ ] Plages IP et NAT dynamique Vous pouvez utiliser des plages IP pour une NAT dynamique. Par exemple, une entreprise peut avoir acheté une plage d adresses Internet mais n a qu une connexion Internet sur l interface externe de son boîtier FortiGate. Affectez une des adresses IP Internet de l entreprise à l interface externe du boîtier FortiGate. Si le boîtier FortiGate fonctionne en mode NAT/Route, toutes les connexions du réseau vers Internet semblent venir de cette adresse IP. Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette plage d adresses à une plage IP pour l interface externe. Sélectionnez ensuite Pool d adresses pour toutes les règles qui ont l interface externe comme destination. Pour chaque connexion, le pare-feu sélectionne dynamiquement une adresse IP de la plage d adresses qui servira d adresse source à la connexion. Les connexions vers Internet semblent alors provenir de n importe quelle adresse IP de la plage IP. Plages IP pour les règles pare-feu utilisant des ports fixes Certaines configurations réseaux ne fonctionnent pas correctement si une règle NAT translate le port source des paquets utilisés par la connexion. La NAT translate les ports sources pour garder une trace des connexions pour un service particulier. Sélectionnez Port Fixe pour les règles NAT dans le but d empêcher la Guide d Administration FortiGate Version

278 translation de port source. Cependant, la sélection de Port Fixe signifie qu une seule connexion peut être supportée à travers le pare-feu pour ce service. Pour être capable de supporter des connexions multiples, ajoutez une plage IP à l interface de destination, et sélectionnez ensuite Pool d adresses dans la règle. Le pare-feu sélectionne arbitrairement une adresse IP de la plage IP et l affecte à chaque connexion. Dans ce cas, le nombre de connexions que le pare-feu peut supporter est limité par le nombre d adresses IP dans la plage IP. Visualisation des plages IP Si les domaines virtuels sont activés sur le boîtier FortiGate, les plages IP sont créées séparément pour chaque domaine virtuel. Pour accéder aux plages IP, sélectionnez un domaine virtuel de la liste dans le menu principal. Les plages IP ne sont pas disponibles en mode Transparent. Pour visualiser la liste des IP. Illustration 145 : Liste de plages IP plages IP, sélectionnez Pare-feu > IP virtuelle > Plage Créer Nouveau Nom Permet d ajouter une plage IP. Le nom de la plage IP. Début de la plage Définit la première adresse de la plage IP. Fin de la plage Définit la dernière adresse de la plage IP. Icône Supprimer Permet de retirer une entrée de la liste. Cette icône n apparaît que si la plage IP n est pas reprise dans une règle pare-feu. Icône Editer Permet d éditer les informations suivantes : Nom, Interface, Plage IP/Réseau. Configuration des plages IP Pour ajouter une plage IP, sélectionnez Pare-feu > IP virtuelle > Plage IP. Illustration 146 : Nouvelle Plage IP dynamique Nom Entrez ou modifie z le nom de la plage IP. Interface Sélectionnez l interface à laquelle ajouter une plage IP. Plage IP/Réseau Entrez la plage d adresses IP pour cette plage IP. La plage d adresses IP définit le début et la fin de la plage IP. Le début de la plage doit être inférieur à la fin. La plage IP ne doit pas forcément se trouver sur le même sous-réseau que l adresse IP de l interface à laquelle la plage IP est ajoutée. 278 Guide d Administration FortiGate Version 3.0

279 Profil de Protection Cette section décrit comment ajouter des profils de protection aux règles en mode NAT/Route et mode Transparent. Cette section couvre les sujets suivants : Qu est-ce qu un profil de protection? Profil de protection par défaut Visualisation de la liste des profils de protection Configuration d un profil de protection Ajout d un profil de protection à une règle Configuration CLI d un profil de protection Qu est-ce qu un profil de protection? Un profil de protection est un groupe de paramètres ajustables pour parvenir à un but particulier. Les profils de protection appliquant différents paramètres de protection aux trafics contrôlés par les règles pare-feu, vous pouvez adapter les paramètres au type de trafic que chaque règle contrôle. L utilisation de profils de protection permet de : configurer une protection antivirus aux règles HTTP, FTP, IMAP, POP3, SMTP et IM. configurer un filtrage de contenu web pour les règles HTTP. configurer un filtrage par catégorie du contenu web pour les règles HTTP. configurer un filtrage anti-spam pour les règles IMAP, POP3 et SMTP. activer l IPS pour tous les services. configurer un archivage de contenu pour les règles HTTP, FTP, IMAP, POP3, SMTP et IM. configurer un filtrage IM et un contrôle d accès pour les messageries instantanées AIM, ICQ, MSN et Yahoo. configurer un contrôle d accès et de la bande passante P2P pour les clients peer-to-peer Bit Torrent, edonkey, Gnutella, Kazaa, Skype et WinNY. configurer les profils de protection à journaliser. Grâce à l utilisation de prof ils de protection, vous pouvez personnaliser les types et niveaux de protection pou r les différentes règles pare-feu. Par exemple, alors que le trafic entre les adresses interne et externe nécessitent probablement une protection stricte, le trafic entre des adresses internes de confiance nécessitent quant à lui une protection modérée. Il est conseillé de configurer des règles pour des services de trafics différents qui utiliseront des profils de protection identiques ou différents. Guide d Administration FortiGate Version

280 Si les domaines virtuels sont activés sur le boîtier FortiGate, les profils de protection sont configu rés globalement et sont disponibles pour tous les domaines virtuels. Pour accéder aux profils de protection, sélectionnez Configuration Globale > Pare-feu > Profil de protection. Profils de protection par défaut Quatre profils de protection sont pré-configurés: Strict Scan Web Applique une protection maximum pour le trafic HTTP, FTP, IMAP, POP3 et SMTP. Vous n utiliserez probablement pas ce profil rigoureux de protection en circonstances normales mais il est disponible en cas de problème de virus nécessitant une analyse maximum. Applique une analyse antivirus et une mise en quarantaine de fichiers du contenu du trafic HTTP, FTP, IMAP, POP3 et SMTP. Sur les modèles FortiGate muni d un disque dur, lorsque l analyse antivirus détecte un virus dans un fichier, ce dernier est mis en quarantaine sur le disque dur du boîtier FortiGate. Si nécessaire, les fichiers placés en quarantaine peuvent être récupérés. Applique une analyse antivirus et un blocage du contenu web. Vous pouvez ajouter ce profil de protection aux règles pare-feu qui contrôlent le trafic HTTP. Unfiltered (Non-filtré) N applique ni analyse, ni blocage, ni IPS. A utiliser dans le cas où aucune protection du contenu du trafic n est souhaitée. Vous pouvez ajouter ce profil de protection aux règles pare-feu pour les connexions entre des réseaux hautement fiables et sécurisés dont le contenu ne nécessite pas d être protégé. Visualisation de la liste des profils de protection Pour visualiser la liste des profils de protection, sélectionnez Pare-feu > Profil de protection. Illustration 147 : Profils de protection par défaut Créer Nouveau Nom Icône Supprimer Icône Editer Permet d ajouter un profil de protection. Le nom du profil de protection. Permet de retirer un profil de protection de la liste. Cette icône apparaît uniquement si le profil n est pas repris dans une règle pare-feu. Permet de modifier un profil de protection. Remarque : Un profil de protection ne peut pas être supprimé s il est repris dans une règle pare-feu ou compris dans un groupe d utilisateurs. 280 Guide d Administration FortiGate Version 3.0

281 Configuration d un profil de protection Dans le cas où les profils de protection par défaut ne fournissent pas les paramètres requis, vous pouvez créer des profils de protection personnalisés. Pour ajouter un profil de protection, sélectionnez Pare-feu > Profil de protection et cliquez sur Créer Nouveau. Illustration 148 : Nouveau profil de protection Nom du profil Entrez un nom au profil de protection. Comments Si nécessaire, entrez une description au profil. Antivirus Voir «Options Antivirus» à la page 282. Filtrage Web Voir «Options du filtrage Web» à la page 283. FortiGuard-Web Filtering Voir «Options du filtrage Web FortiGuard» à la page 285. Filtrage antispam Voir «Options du filtrage anti-spam» à la page 286. IPS Voir «Options IPS» à la page 289. Archiver le contenu Voir «Options des archives de contenu» à la page 289. IM & P2P Voir «Options IM et P2P» à la page 290. Logging Voir «Options de la journalisation» à la page 291. Remarque : Si les fonctionnalités Viru s Scan et File Block sont toutes deux activées, le boîtier FortiGate bloque les fichiers correspondant aux types de fichiers activés avant de procéder à une analyse antivirus. Guide d Administration FortiGate Version

282 Options Antivirus Illustration 149 : Options antivirus du profil de protection Remarque : Les options NNTP ne peuvent pas être sélectionnées. Le support sera ajouté dans une version ultérieure. Les options antivirus suivantes sont disponibles dans les profils de protection. Détection de virus File Pattern Quarantaine (log disk requis) Transmettre les mails fragmentés Comfort Clients Activez ou désactivez l analyse de virus pour chaque protocole (HTTP, FTP, IMAP, POP3, SMTP, IM). L option Grayware, si activée dans Antivirus > Config > Grayware, est comprise avec l Analyse de virus. Notez que le mode continu est activé automatiquement lorsque vous activez l analyse de virus. Activez ou désactivez l option «file pattern» pour chaque protocole. Les fichiers peuvent être bloqués ou autorisés en fonction de leur nom, leur extension ou tout autre critère. Ce processus offre la flexibilité de bloquer des fichiers qui contiendraient des éléments nuisibles. Liste déroulante de File Pattern : Sélectionnez la liste File Pattern à utiliser avec ce profil de protection. La liste par défaut est appelée «built-in-patterns». Seuls les modèles FortiGate- 800 et plus sont munis de cette liste. Activez ou désactivez l option de mise en quarantaine pour chaque protocole. Vous pouvez visualiser les fichiers suspects placés en quarantaine ou les soumettre à Fortinet pour analyse. Cette option n est pas affichée si le boîtier FortiGate ne possède pas de disque dur ou un équipement FortiAnalyzer configuré. Activez ou désactivez les s fragmentés pour les protocoles de mail (IMAP, POP3, SMTP). Les mails fragmentés ne peuvent pas subir une analyse virus. Activez ou désactivez cette option pour les trafics HTTP et FTP. Cette option fournit le statut des fichiers mis en réserve (buffer) pour téléchargement via HTTP ou FTP. Les utilisateurs peuvent observer les pages web ou fichiers en cours de téléchargement. Si désactivée, les utilisateurs n ont aucune indication quant à la mise en réserve du téléchargement et peuvent annuler le transfert pensant qu il a échoué. Interval Le temps en secondes avant que l option Comfort Client démarre après que le téléchargement ait commencé. Il s agit 282 Guide d Administration FortiGate Version 3.0

283 Amount également du temps entre des intervalles prochains. Le nombre d octets envoyés à chaque intervalle. Fichier/Mail dépassant Sélectionnez Tran smettre ou Bloquer pour les fichiers la taille limite et les messages mails excédant les seuils configurés pour chaque protocole. Ajout d une signature aux mails sortants Threshold Si le fichier est plus grand que la valeur du seuil (en mégaoctets), le fichier est transmis ou bloqué, selon ce qui a été défini dans l option Fichier/Mail dépassant la taille limite. Le seuil maximum pour l analyse en mémoire est 10% de la RAM du boîtier FortiGate. Remarque : Pour l analyse de mails, le seuil de taille limite fait référence à la taille finale du mail après encodage du mail client, y compris les pièces jointes. Les mails clients peuvent utiliser une variété de types d encodage dont certains translatent en taille plus grande que la taille de la pièce jointe originale. L encodage le plus commun, base64, translate 3 octets de données binaires en 4 octets de données en base64. Dès lors un fichier peut être bloqué ou journalisé comme trop grand même si la pièce jointe est de quelques mégaoctets plus petite que la taille limite configurée dans le seuil. Permet de créer et d ajouter une signature aux mails sortants (SMTP uniquement). Voir «Antivirus» à la page 337 pour des options antivirus supplémentaires. Options du filtrage Web Illustration 150 : Options de filtrage Web du profil de protection Les options de filtrage Web suivantes sont disponibles dans les profils de protection. Filtrage Web par Activez ou désactivez le blocage de pages web pour le trafic mots clefs HTTP basé sur les critères de blocage de contenu dans la liste de blocage de contenu. Liste déroulante de blocage de contenu : Permet de sélectionner une liste de blocage de contenu à utiliser avec ce Guide d Administration FortiGate Version

284 Web Content Exempt Web URL Filter profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection. Thresho ld : Si les résultats combinés des critères de blocage de contenu apparaissant sur une page web excèdent la valeur du seuil, la page sera bloquée. Voir «Visualisation de la liste de blocage de contenu web» à la page 369. Activez ou désactivez l override (l ignorance) du blocage de contenu web basé sur des critères de dispense de contenu dans la liste de contenu dispensé. Liste déroulante de contenu web dispensé : Sélectionnez une liste de contenu dispensé à utiliser avec ce profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection. Activez ou désactivez un filtrage de page web pour le trafic HTTP basé sur une liste d URL. Liste déroulante de filtre d URL web : Permet de sélectionner une liste de filtre d URL web à utiliser avec ce profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection. ActiveX Filter Permet d activer le blocage de contrôle ActiveX. Cookie Filter Java Applet Filter Ne pas reprendre les transferts Web en cours Permet d activer le blocage de cookies. Permet d activer le blocage des Applets Java. Permet de bloquer les transferts de partie d un fichier déjà partiellement téléchargé. Cette option empêche le téléchargement involontaire de virus cachés dans des fichiers fragmentés. Notez que certains types de fichiers, comme PDF, sont fragmentés pour augmenter la vitesse de téléchargement. L activation de cette option pourrait donc entraîner des interruptions dans le téléchargement de ces types de fichier. Voir «Filtrage Web» à la page 366 pour des options supplémentaires de configuration de filtrage web. 284 Guide d Administration FortiGate Version 3.0

285 Options du filtrage FortiGuard-Web Illustration 151 : Options de filtrage FortiGuard-Web du profil de protection Activer FortiGuard-Web Filtering Active le blocage par catégorie (HTTP seulement) FortiGuard-Web TM. Activer FortiGuard-Web Filtering Overrides (HTTP uniquement) Active l override (l ignorance) de catégories. Une fois sélectionnée, une liste de groupes est affichée. Si aucun groupe n est disponible, l option est grisée. Pour plus d informations sur les overrides, voir «Visualisation de la liste override» à la page 379 et «Configuration de règles d ignorance» à la page 380. Pour plus d informations sur les groupes, voir «Groupe d utilisateurs» à la page 330. Fournir les détails pour les Affiche un message de remplacement pour les erreurs bloquées HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si l erreur est (HTTP uniquement) autorisée, des sites malintentionnés peuvent utiliser ces pages d erreurs pour passer outre le blocage par catégorie web. Evaluer les images par URL (les images bloquées seront remplacées par des blancs) (HTTP uniquement) Autoriser les sites web lors d une erreur d évaluation (HTTP uniquement) Blocage strict Bloque les images qui ont été évaluées par FortiGuard. Les images bloquées sont remplacées sur les pages web par des blancs. Les types d image qui sont évalués sont GIF, JPEG, PNG, BMP et TIFF. Autorise les pages web qui renvoient une erreur d évaluation du service de filtrage web. Lorsque cette option est activée, l accès au site web Guide d Administration FortiGate Version

286 (HTTP uniquement) Evaluer les URL par domaines et adresses IP Catégorie Classification est rejeté si l une des classifications ou catégories correspond à l évaluation du site. Lorsque cette option est désactivée, l accès au site web est accepté si l une des classifications ou catégories correspond à la liste autorisée. Ceci est définit par défaut. Lorsque cette option est activée, elle envoie l URL et l adresse IP du site requis pour contrôle, fournissant ainsi une sécurité additionnelle contre les tentatives de contournements du système FortiGuard. Le service de filtrage de contenu FortiGuard-Web offre de nombreuses catégories de filtrages du trafic web. Définissez les actions à prendre pour les pages web de chaque catégorie : autorise, bloque, journalise ou autorise l override. Les classifications bloquent des classes entières de sites web. Des sites qui fournissent des contenus cachés, comme Google par exemple, peuvent être bloqués. Des sites web qui autorisent des recherches d images, d audio ou de vidéos peuvent également être bloqués. Des sites web qui sont classifiés sont également évalués dans l une des catégories ou ne sont pas évalués. Choisissez entre autorise, bloque, journalise ou autorise l override. Voir «Filtrage Web FortiGuard» à la page 378 pour plus d options de configuration du blocage de catégories. Options du filtrage antispam Illustration 152 : Options du filtrage antispam du profil de protection Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté dans une version ultérieure. Les options de filtrage antispam suivantes sont disponibles dans les profils de protection. FortiGuard Anti-spam Vérification de Activez ou désactivez la liste noire l adresse IP d adresses IP du filtrage FortiGuard- Antispam TM. Le FortiGuard-Antispam extrait 286 Guide d Administration FortiGate Version 3.0

287 l adresse source du serveur mail SMTP et envoie l adresse IP vers un serveur FortiGuard-Antispam pour la comparer à la liste des spammers connus. Si l adresse IP est trouvée FortiGuard-Antispam met fin à la session. Si l adresse IP n est pas trouvée le serveur mail envoie le mail à son destinataire. Voir «Service FortiGuard- Antispam» à la page 185 pour plus d informations sur ce service. URL check Activez ou désactivez la liste noire URL du filtrage FortiGuard-Antispam TM. Le corps de messages mails sont filtrés pour en extraire tout lien URL. Ces liens URL sont envoyés vers un serveur FortiGuard-Antispam pour comparaison avec ses listes. Des messages spam contiennent souvent des liens URL vers des sites publicitaires. S il y a une correspondance d URL, le FortiGuard- Antispam met fin à la session. S il n y a pas de correspondance, le serveur mail envoie le mail à son destinataire. Voir «Service FortiGuard-Antispam» à la page 185 pour plus d informations sur ce service. Vérification Activez ou désactivez la liste noire de Checksum somme de vérification (checksum) de messages mails FortiGuard-Antispam. Lorsque cette option est activée, ce filtre calcule la somme de vérification d un message mail et l envoie aux serveurs FortiGuard afin de déterminer si cette somme de vérification fait partie de la liste. Le boîtier FortiGate transfère ensuite ou marque/bloque le message mail en fonction de la réponse du serveur. Spam submission Lors que cette option est activée, tous les messages mails définis comme spam se voient ajouter un lien dans le corps du message. Si le message mail n est pas un spam, cliquez simplement sur le lien dans le message pour en informer FortiGuard. Filtrage par liste d adresses IP HELO DNS lookup Activez ou désactivez le contrôle des adresses IP entrantes en fonction de la liste d adresses IP du filtre antispam configuré (SMTP uniquement). Liste déroulante de filtrage par liste d adresses IP : Permet de sélectionner une liste blanche/noire d adresses IP à utilise r avec ce profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection. Activez ou désactivez la recherche du nom du domaine source (com mande SMTP HELO) dans le Domain Name Server. Filtrage par liste d adresses mail :Activez ou désactivez le filtrage d adresses mail entrants avec la liste d adresses mail du filtre antispam configuré. Liste déroulante de filtrage par liste d adresses mail : Permet de sélectionner une liste blanche/noire d adresses mail à utiliser avec ce profil de protection. Guide d Administration FortiGate Version

288 Seuls les modèles FortiGate-800 et plus offrent cette sélection. Return DNS check Filtrage par mots clefs Action antispam Insertion Tag Activez ou désactivez cette option qui contrôle si le domaine spécifié da ns les champs Reply to (Répondre à) et From Address (A partir de l adresse) possède un enregistrement DNS A ou MX. Activez ou désactivez le filtrage de mail source en fonction d une liste de mots-clés du filtre antispam configuré. Liste déroulante de filtrage par mots clefs : Permet de sélectionner une liste de mots-clés à utiliser avec ce profil de protection. Seuls les modèles FortiGatecette sélection. 800 et plus offrent Threshold Si les résultats combinés des critères de mots-clés apparaissant dans un message mail excèdent la valeur du seuil, le message sera traité selon les paramètres définis dans Spam Action. Voir «Visualisation de la liste des mots bannis antispam» à la page 390. Définit les actions mises en vigueur par le filtre antispam. L action Tag vous permet d ajouter une balise personnalisée à un sujet ou un en-tête de mail identifié comme spam. Pour le trafic SMTP, si l analyse de virus ou le mode continu est activé, vous ne pourrez que rejeter les mails spams, ces connexions étant alors abandonnées. (Notez que le mode continu est activé automatiquement lorsque l analyse de virus est activée). Sans mode continu ou analyse de virus activé, vous pouvez choisir entre baliser ou rejeter les spams SMTP. Vous pouvez baliser les mails en insérant un mot ou une phrase dans le sujet ou en ajoutant un en-tête MIME et une valeur dans l en-tête du mail. Vous pouvez choisir de journaliser toute action spam dans le Journal d événements. Permet d insérer une balise au sujet ou en-tête MIME du mail identifié comme spam. Entrez un mot ou une phrase (tag/balise) à insérer au mail identifié comme spam. La longueur maximum étant de 63 caractères. Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en fonction de leur en-tête MIME. Contrôlez les paramètres de votre mail client avant de définir comment baliser les spams. Voir «Antispam» à la page 386 pour plus d options de configuration de filtre antispam. Pour configurer le service FortiGuard-Antispam, voir «Configuration du boîtier FortiGate pour les services FDN et FortiGuard» à la page Guide d Administration FortiGate Version 3.0

289 Options IPS Illustration 153 : Options IPS du profil de protection Les options suivantes sont disponibles pour l IPS à travers le profil de protection. IPS Signature IPS Anomaly Sélectionnez un ou plusieurs niveaux de sévérité des signatures IPS pour ce profil : Critical, High, Medium, Low et Information. Les signatures avec niveau de sévérité qui n ont pas été sélectionnés ne sont pas enclenchées. Sélectionnez un ou plusieurs niveaux de sévérité d anomalie pour ce profil : Critical, High, Medium, Low et Information. Les anomalies avec niveau de sévérité qui n ont pas été sélectionnées ne sont pas enclenchées. Options des archives de contenu Voir «Protection contre les intrusions» à la page 352 pour des options de configuration IPS supplémentaires. Pour accéder à toutes les options des archives de contenu, un équipement FortiAnalyzer doit être configuré et une connexion activée. Pour plus d informations, voir «Journalisation sur un boîtier FortiAnalyzer» à la page 411. Illustration 154 : Options des archives de contenu du profil de protection Remarque : Les options NNTP et d archivage de fichiers ne peuvent pas être sélectionnés. Un support sera ajouté dans une version ultérieure. Les options suivantes sont disponibles pour l archivage de contenu à travers le profil de protection. Afficher les meta-informations Permet d avoir des meta-informations pour chaque dans le tableau de bord Système types de trafic qui s affichent dans la section Content Summary de la page Statut du boîtier FortiGate. Visualiser les statistiques pour les trafics HTTP, FTP et messages mails (IMAP, POP3 et SMTP combinés). Archive to FortiAnalyzer Activez ou désactivez l archivage sur un équipement FortiAnalyzer de meta-informations sur le contenu pour chaque protocole. Les meta-informations sur le contenu Guide d Administration FortiGate Version

290 Archive a copy of all files transferred Log s to FortiAnalyzer Archive IM to FortiAnalyzer peuvent comprendre la date et l heure, la source et le résultat de l analyse. L archivage de contenu n est disponible que si un équipement FortiAnalyzer est activé dans Journaux/Alertes > Configuration > Configuration du Journal. Activez ou désactivez des informations condensées de journalisation pour les protocoles IM: AIM, ICQ, MSN et Yahoo. Des informations condensées peuvent comprendre la date et l heure, les informations sur la source et la destination, la taille de la requête et de la réponse et le résultat de l analyse. Remarque : Vous devez activer les options IM dans la section IM & P2P du profil de protection pour un archivage de contenu opérationnel. Archive full IM chat information to FortiAnalyzer Activez ou désactivez l archivage de l entièreté des chats pour le protocole IM sur un équipement FortiAnalyzer. L archivage de contenu n est disponible que si le FortiAnalyzer est activé dans Journaux/Alertes > Configuration > Configuration du Journal. Archive a copy of all files transferred Activez ou désactivez l archivage de copies de fichiers téléchargés. Permet de sauvegarder une copie de tous les messages mails sur un équipement FortiAnalyzer. Remarque : Vous devez activer les options IM dans la section IM et P2P du profil de protection pour un archivage de contenu opérationnel. Activez ou désactivez l archivage de copies de fichiers transférés. Remarque : Vous devez activer les options IM dans la section IM & P2P du profil de protection pour un archivage de contenu opérationnel. Options IM et P2P Illustration 155 : Options IM et P2P pour un profil de protection Les options suivantes d archivage de contenu sont disponibles dans les profils de protection. Bloquer la connexion Bloquer le transfert de fichiers Empêche les utilisateurs de messageries instantanées de se connecter aux services AIM, ICQ, MSN et Yahoo. Bloque les transferts de fichiers pour les protocoles AIM, ICQ, MSN et Yahoo. 290 Guide d Administration FortiGate Version 3.0

291 Bloquer l audio Inspecter les ports non standard Bloque l audio pour les protocoles AIM, ICQ, MSN et Yahoo. Active l inspection de ports non standard pour le trafic IM. Action Transfère, bloque ou évalue une limite des transferts P2P pour les protocoles BitTorrent, edonkey, Gnutella, Kazaa et WinNY. Les transferts Skype peuvent être transférés ou bloqués, mais pas limités. Limite (Koctets/sec) Spécifiez une limite de bande passante pour les protocoles BitTorrent, edonkey, Gnutella, Kazaa et WinNY si l action est définie sur Limitation de Bande Passante. Les changements apportés aux options des profils de protection IM, alors que des utilisateurs sont connectés, ne prendront effet qu à leur prochaine connexion. Activer le blocage de connexion, par exemple, ne peut pas être utilisé pour déconnecter les utilisateurs qui ont une connexion en cours. Voir «IM/P2P» à la page 403 pour des options de configuration IM supplémentaires. Options de la journalisation Illustration 156 : Options de connexion du profil de protection Les options de journalisation suivantes sont disponibles dans les profils de protection. Antivirus Virus Active la journalisation de virus scannés. Fichiers bloqués Fichiers/ s surdimensionnés Active la journalisation de fichiers bloqués. Active la journalisation de fichiers et messages mails surdimensionnés. Filtrage Web Blocage de contenu Active la journalisation du blocage de contenu. Guide d Administration FortiGate Version

292 Filtrage d URL Filtrer les ActiveX Filtrer les Cookies Filtrer les Applets Java Active la journalisation d URL bloquées et exemptées. Active la journalisation des ActiveX bloqués. Active la journalisation des cookies bloqués. Active la journalisation des Applets Java bloqués. FortiGuard Web Filtering Erreurs d évaluation Active la (HTTP uniquement) journalisation des erreurs d évaluation. Filtrage Antispam Log Spam Active la journalisation des spams détectés. IPS Journaliser les intrusions Active la journalisation des intrusions de signatures et anomalies. IM / P2P Journaliser l activité IM Active la journalisation de l activité IM. Journaliser l activité p2p Active la journalisation de l activité P2P. Pour plus d informations à propos de la journalisation, voir «Journaux/Alertes» à la page 409. Ajout d un profil de protection à une règle Vous pouvez activer un profil de protection pour les règles pare-feu dont l action est définie sur Allow ou IPSe c et dont le service est défini sur ANY, HTTP, FTP, IMAP, POP3, SMTP ou un groupe de services comprenant ces services. Si les domaines virtuels sont activés sur le boîtier FortiGate, les profils de protection doivent être ajoutés aux règles dans chaque domaine virtuel. Pour accéder à une règle, sélectionnez un domaine virtuel dans le menu principal. 1 Sélectionnez Par e-feu > Règle. 2 Sélectionnez une liste de règles à laquelle ajouter un profil de protection. Par exemple, pour activer une protection réseau sur les fichiers téléchargés d Internet par les utilisateurs internes du réseau, sélectionnez une liste de règles Interne > Externe. 3 Cliquez sur Créer Nouveau pour ajouter une règle ou cliquez sur l icône Editer d une règle à modifier. 4 Sélectionnez Profil de protection. 5 Sélectionnez un des profils de protection de la liste. 6 Configurez les autres paramètres de la règle si nécessaire. 7 Cliquez sur OK. 8 Répétez cette procédure pour toutes les règles pour lesquelles il faut activer une protection réseau. 292 Guide d Administration FortiGate Version 3.0

293 Configuration CLI d un profil de protection Remarque : Pour des descriptions et exemples complets sur l utilisation de commandes CLI, référez-vous au FortiGate CLI Reference. Config firewall profile La commande CLI config firewall profile vous permet d ajouter, d éditer ou de supprimer des profils de protection. Les profils de protection appliquent des paramètres de protectio n différents pour le trafic contrôlé par les règles pare-feu. Guide d Administration FortiGate Version

294 VPN IPSEC Cette section couvre les informations sur les options des modes tunnel et route (mode interface) VPN IPSec disponibles à partir de l interface d administration web. Les boîtiers FortiGate implémentent le protocole ESP (Encapsulated Security Pauload) en mode tunnel. Les paquets cryptés ressemblent à des paquets ordinaires qui peuvent être routés à travers n importe quel réseau IP. IKE (Internet Key Exchange) s effectue automatiquement en fonction des clés partagées ou de certificats digitaux X.509. Facultativement, vous pouvez spécifier des clés manuelles. Le mode interface est uniquement supporté en mode NAT/Route. Cela crée une interface virtuelle pour la fin locale d un tunnel VPN. Cette section parcourt les sujets suivants : Aperçu du mode interface IPSec Auto Key Clé Manuelle Tunnels actifs Aperçu du mode interface IPSec Lors de la définition d un tunnel IPSec en mode route (mode interface), une interface virtuelle IPSec est créée automatiquement. Peu importe d avoir des clés IKE générées automatiquement ou des clés manuelles, l interface virtuelle IPSec est créée comme une sous-interface d une interface physique FortiGate locale, agrégée ou VLAN sélectionnée lors de la définition des paramètres de la phase 1 IPSec. L adresse IP de l interface physique locale, agrégée ou VLAN est obtenue sur Système > Réseau > Interface. Remarque : Il est possible de lier une interface IPSec à une zone. Une interface virtuelle IPSec est considérée comme active (up) lorsqu elle peut établir une connexion phase 1 avec un client ou paire VPN. Cependant, l interface virtuelle IPSec ne peut pas être utilisée pour envoyer du trafic tant qu elle n est pas liée à une définition de tunnel phase 2. Le s liens des interfaces virtuelles IPSec sont affichés sur la page Système > Réseau > Interface. Les noms de tous les tunnels liés aux interfaces physiques sont affichés sous l interface physique associée dans la colonne Nom. Pour plus d informations sur la pag e Interface, voir «Interface» à la page 61. Après qu une interface virtuelle IPSec ait été liée à un tunnel, le trafic peut être routé vers l interface utilisant des métriques spécifiques pour les routes statiques et de règles. De plus, vous pouvez créer une règle pare-feu ayant l interface virtuelle IPSec comme interface source ou de destination. Lorsque le trafic IP provenant de derrière le boîtier FortiGate local arrive à une interface FortiGate de sortie agissant comme sortie locale du tunnel IPSec (si le mode interface IPSec est activé sur l interface), le trafic est encapsulé par le tunnel et transféré à travers l interface physique à laquelle l interface virtuelle IPSec est liée. Lorsque le trafic encapsulé d un client distant atteint une interface physique FortiGate locale, le boîtier FortiGate détermine si une interface virtuelle IPSec est 294 Guide d Administration FortiGate Version 3.0

295 associée à l interface phys ique à travers des sélecteurs dans le trafic. Si le trafic correspond aux sélecteurs prédéfinis, il est encapsulé et transféré vers l interface virtuelle IPSec. Pour les flux en sortie, le boîtier FortiGate exécute une recherche de route pour trouver l interface à travers laquelle il doit transférer le trafic en vue d atteindre le routeur du prochain saut. Si la route trouvée passe par une interface virtuelle liée à un tunnel VPN spécifique, le trafic est crypté et envoyé à travers le tunnel VPN. Pour les flux en entrée, le boîtier FortiGate identifie un tunnel VPN en utilisant l adresse IP de destination et le SPI (Security Parameter Index) du datagramme ESP pour identifier la SA (security association) de la phase 2 correspondante. Si une SA correspondante est trouvée, le datagramme est décrypté et le trafic IP associé est redirigé à travers l interface virtuelle IPSec. La règle pare-feu associée à un chemin spécifique est responsable du contrôle de tout le trafic passant entre les adresses source et de destination. Si nécessaire, vous pouvez configurer plusieurs règles pare-feu pour réguler le flux du trafic entrant et/ou sortant du tunnel VPN en mode route. Deux règles pare-feu sont nécessaires pour supporter le trafic bidirectionnel à travers un tunnel IPSec en mode route : l un pour contrôler le trafic vers l extérieur et l autre pour le trafic vers l intérieur. Auto Key Les VPN en mode route simplifient l implémentation de la redondance de tunnel VPN. Vous pouvez configurer une route pour le même trafic IP utilisant des métriques de routes différentes. Vous pouvez également configurer l échange d informations de routage dynamique (RIP, ISPF ou BGP) à travers des tunnels VPN. Si la connexion primaire VPN échoue ou la priorité d une route est modifiée par un routage dynamique, une route alternative sera sélectionnée pour envoyer le trafic en utilisant une connexion redondante. Deux paires VPN (ou un serveur dialup FortiGate et un client VPN) peuvent être configurés pour générer des clés uniques IKE (Internet Key Exchange) automatiquement durant les échanges IPSec en phases 1 et 2. Pour configurer le boîtier FortiGate pour qu il génère des clés uniques automatiquement en phases 1 et 2, sélectionnez VPN > IPSEC > Auto Key (IKE). Lors de la définition des pa ramètres de création du tunnel en phase 2, vous pouvez choisir n importe quel ensemble de paramètres de la phase 1 pour mettre en place une connexion sécurisée pour le tunnel et authentifier le paire à distance. La configuration Auto Key s ap plique aux VPN en modes tunnel et interface. Guide d Administration FortiGate Version

296 Illustration 157 : Liste Auto Key Créer Phase 1 Créer Phase 2 Phase 1 Phase 2 Interface Binding Icônes Supprimer et Editer Créer une nouvelle configuration phase 1. Voir «Création d une nouvelle configuration phase 1» à la page 296. Créer une nouvelle configuration phase 2. Voir «Création d une nouvelle configuration phase 2» à la page 302. Les noms des configurations phase 1 existantes. Les noms des configurations tunnel phase 2 existantes. Les noms des interfaces physiques locales, agrégées VLAN auxquelles les tunnels IPSec sont liés. Supprime ou édite une configuration phase 1. ou Création d une nouvelle configuration phase 1 En phase 1, deux paires VPN (ou un serveur dialup FortiGate et un client VPN) s authentifient l un l autre et échangent des clés pour établir un canal de communication sécurisé e ntre eux. Les paramètres de base de la phase 1 associent les paramètres de la phase 1 avec une passerelle à distance et déterminent : si les paramètres variés de la phase 1 seront échangés en étapes multiples avec des informations d authentification cryptées ou en un message unique avec des informations d authentification qui ne sont pas cryptées (mode agressif). si une clé partagée ou des certificats digitaux seront utilisés pour authentifier les identités des deux paires VPN (ou un serveur VPN et ses clients). si un identificateur spécial, un certificat «distinguished name», ou un nom de groupe seront utilisés pour identifier le paire ou client VPN à distance lors d une tentative de connexion. Pour définir les paramètres de base de la phase 1 IPSec, sélectionnez VPN > IPSEC > Auto Key (IKE) et cliquez sur Créer Phase Guide d Administration FortiGate Version 3.0

297 Illustration 158 : Nouvelle Phase 1 Nom Passerelle Dynamique DNS Interface locale Entrez un nom qui représente la définition de la phase 1. La longueur maximum du nom est de 15 caractères pour un VPN en mode interface, 35 caractères pour un VPN basé sur une règle. Le nom des VPN en mode tunnel devrait faire référence à l origine de la connexion à distance. Dans le cas d un tunnel en mode route (mode interface), le boîtier FortiGate utilise ce même nom pour l interface virtuelle IPSec qu il crée automatiquement. Sélectionnez la nature de la connexion à distance : Si c est un paire à distance avec une adresse IP statique qui se connectera au boîtier FortiGate, sélectionnez Adresse IP Statique. Si ce sont un ou plusieurs utilisateurs dialup FortiClient TM /FortiGate avec des adresses IP dynamiques qui se connecteront au boîtier FortiGate, sélectionnez Utilisateur Dialup. Si c est un paire à distance qui possède un nom de domaine et souscrit à un service dynamique DNS qui se connectera au boîtier FortiGate, sélectionnez Dynamique DNS. Adresse IP Si vous avez sélectionné Adresse IP Statique, entrez l adresse IP du paire à distance. Mode Si vous avez sélectionné Dynamique DNS, entrez le nom de domaine du paire à distance. Cette option est disponible en mode NAT/Route uniquement. Sélectionnez l interface physique, agrégée ou VLAN à laquelle le tunnel IPSec sera lié. Le boîtier FortiGate obtient l adresse IP de l interface sur Système > Réseau > Interface (voir «Interface» à la page 61) à moins que vous spécifiez une adresse IP différente dans le champ Passerelle IP locale dans les options avancées de la Phase 1 (voir «Passerelle IP locale» à la page 300). Sélectionnez Aggressive ou Main, en fonction des paramètres des Options de Connexion ci-dessous. En mode Main, les paramètres de la phase 1 sont échangés en étapes multiples avec des informations d authentification cryptées. En mode Agressif, les paramètres de la phase 1 sont échangés via un message unique avec des informations d authentification non cryptées. Lorsque le client ou paire VPN à distance possède une adresse IP dynamique, ou qu il sera authentifié via un identifiant (ID Guide d Administration FortiGate Version

298 Méthode d authentification Clef partagée local), vous devez sélectionner le mode Agressif s il y a plus d une configuration phase 1 dialup pour l adresse IP de l interface. Sélectionnez Clef partagée ou Signature RSA. Si vous avez sélectionné Clef partagée, entrez la clef partagée que le boîtier FortiGate utilisera pour s authentifier auprès du paire à distance ou du client dialup pendant les négociations de la phase 1. Vous devez définir la même valeur au client ou paire distant. La clé doit contenir au moins 6 caractères imprimables et ne doit être connue que des administrateurs réseau. Pour une protection optimum contre les attaques connues, la clé devrait se constituer d un minimum de 16 caractères alphanumériques choisis arbitrairement. Nom du certificat Dans le cas où vous avez sélectionné Signature RSA, choisissez le no m du certificat du serveur que le boîtier FortiGate utilisera pour s authentifier auprès du paire à distance ou client dialup penda nt les négociations de la phase 1. Pour obtenir et charger le certificat du serveur, voir le FortiGate Certificate Management U ser Guide. Options de connexion Une ou plusieurs des options suivantes sont disponibles pour l authentification des paires ou clients VPN, en fonction de la Passerelle et des paramètres de la Méthode d authentification. Lorsque la Méthode d authentification est définie sur Clef partagée, vous pouvez sélectionner l option «Accepter tout identifiant de connexion». Dans ce cas, le boîtier FortiGate ne contrôlent pas les identifiants (ID locaux). Le mode peut être défini sur Aggressive ou Main. Lorsque la Méthode d authentification est définie sur Clef partagée, vous pouvez authentifier un paire à distance qui a une adresse IP dynamique, ou plusieurs clients dialup FortiGate/FortiClient en fonction d un identifiant particulier. Sélectionnez «Accepter cet identifiant» et entrez l identifiant. Pour un paire DDNS ou un client dialup FortiGate qui se connecte via un tunnel dédié, cette valeur doit être identique à la valeur dans le champ ID local de la configuration de la passerelle en phase 1 sur le pair distant ou le client dialup. Si vous configurez des paramètres d authentification pour des clients dialup FortiClient, référez-vous au document Authenticating FortiClient Dialup Clients Technical Note. Si plusieurs clients dialup FortiGate/FortiClient se connecteront à travers le même tunnel VPN et utilisant le même identifiant (partagé), le Mode doit être défini sur Aggressive. Lorsque la Méthode d authentification est définie sur Clef partagée, sélectionnez «Accepter les identifiants du groupe dialup» pour authentifier de multiples clients dialup FortiGate/FortiClient qui utilisent des identifiants uniques et des clés partagées pour se connecter au VPN à travers le même tunnel VPN. Dans ce cas, vous devez créer un groupe dialup dans un but d authentification. Voir «Groupe d utilisateurs» à la page 330. Lorsque cette option est sélectionnée, vous pouvez sélectionner le nom du groupe dans la liste. Pour configurer des clients dialup FortiGate, référez-vous au FortiGate IPSec VPN User Guide. Pour configurer, des clients dialup FortiClient, référez-vous à la note Authenticating FortiClient Dialup Clients Technical Note. Le Mode doit être défini sur Aggressive lorsque les clients dialup utilisent des identifiants et clés partagées uniques. S ils utilisent seulement des clés partagées 298 Guide d Administration FortiGate Version 3.0

299 uniques, vous pouvez définir le Mode sur Main s il n y a qu une seule configuration dialup de la phase 1 pour cette adresse IP d interface. Avancé... Lorsque la Méthode d authentification est définie sur Signature RSA, vous pouvez authentifier un (ou plusieurs) paire à distance ou client dialup sur base d un certificat de sécurité particulier (ou partagé). Sélectionnez le nom du certificat dans la liste. Le certificat doit être ajouté à la configuration FortiGate via la commande CLI config user paire avant qu il ne puisse être sélectionné. Pour plus d informations, voir le chapitre «User» dans le FortiGate CLI Reference. Si le paire ou client VPN à distance possède une adresse IP dynamique, définissez le Mode sur Aggressive. Lorsque la Méthode d authentification est définie sur Signature RSA, vous pouvez utiliser un groupe de certificats pour authentifier les paires à distance et les clients dialup qui ont des adresses IP dynamiques et utilisent des certificats uniques. Sélectionnez le nom du groupe de la liste. Le groupe doit être ajouté à la configuration FortiGate via les commandes CLI config user paire et config user peergrp avant qu il ne puisse être sélectionné. Pour plus d informations, voir le chapitre «User» dans le FortiGate CLI Reference. Si le paire ou client VPN à distance possède une adresse IP dynamique, définissez le Mode sur Aggressive. Permet de définir les paramètres avancés de la phase 1. Voir «Définition des paramètres avancés de la phase 1» ci-dessous. Définition des paramètres avancés de la phase 1 Les paramètres avancés de la Proposition Phase 1 permettent de sélectionner les algorithmes de cryptage et d authentification que le boîtier FortiGate utilise pour générer des clés pour l échange IKE. Des paramètres avancés supplémentaires de la phase 1 peuvent être sélectionnés pour assurer une bonne opération des négociations de la phase 1. Pour modifier les paramètres avancés de la phase 1 IPSec, sélectionnez VPN > IPSEC > Auto Key (IKE), cliquez sur Créer Phase 1 et ensuite sur Avancé. Illustration 159 : Paramètres avancés de la Phase 1 Guide d Administration FortiGate Version

300 Activer le mode interface IPSec Passerelle IP locale Proposition Phase 1 Groupe DH Créer une interface virtuelle pour le fin locale du tunnel VPN. Ceci n est pas disponible en mode Transparent. Dans le cas où le mode Interface IPSec est activé, il faut spécifier une adresse IP pour la fin locale du tunnel VPN. Sélectionnez l une des options suivantes : Interface IP principale Le boîtier FortiGate obtient l adresse IP de l interface à partir des paramètres dans Système > Réseau > Interface (voir «Interface» à la page 61). Spécifier Spécifier une adresse IP. Cette adresse IP sera assignée à l interface physique, agrégée ou VLAN qui est sélectionnée à ce moment dans le champ Interface locale de la phase 1 (voir «Interface locale» à la page 297). Vous ne pouvez pas configurer le mode Interface dans un VDOM en mode Transparent. Sélectionnez les algorithmes de cryptage et d authentification qui seront utilisés pour générer des clés pour la protection des négociations. Ajouter ou supprimer des algorithmes de cryptage et d authentification tel que nécessaire. Sélectionnez un minimum de 1 et un maximum de trois combinaisons. Le paire ou client distant doit être configuré pour utiliser au moins une des propositions que vous définissez. Vous pouvez sélectionner chacun des algorithmes à clés symétriques suivants : DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une clé de 56 bits. 3DES Triple- DES, avec lequel le texte clair est crypté trois fois par trois clés. AES128 un algorithme de 128 bits qui utilise une clé de 128 bits. AES192 un algorithme de 128 bits qui utilise une clé de 192 bits. AES256 un algorithme de 128 bits qui utilise une clé de 256 bits. Vous pouvez sélectionner chacun des messages récapitulatifs pour vérifier l authenticité des messages pendant les négociations de la phase 1 : MD5 Message Digest 5, l algorithme de hachage développé par RSA Data Security. SHA1 Secure Hash Algorithm 1, qui produit un message résumé de 160 bits. Pour ajouter une troisième combinaison, cliquez sur le bouton + à côté des champs de la seconde combinaison. Sélectionnez un ou plusieurs groupes Diffie-Hellman des groupes DH 1, 2 et 5. Lors de l utilisation du mode agressif, les groupes DH ne peuvent pas être négociés. Si les deux paires VPN (ou un serveur d accès distant VPN et son client) ont des adresses IP statiques et utilisent un mode agressif, sélectionnez un seul groupe DH. 300 Guide d Administration FortiGate Version 3.0

301 Le paramétrage du boîtier FortiGate doit être identique au paramétrage du paire distant ou du client dialup. Lorsque le paire VPN distant ou le client possède une adresse IP dynamique et utilise un mode agressif, sélectionnez jusqu à trois groupes DH sur le boîtier FortiGate et un groupe DH sur le paire à distance ou client dialup. Le paramétrage du paire ou client distant doit être identique à l une des sélections du boîtier FortiGate. Durée de vie de la clef Entrez la période de temps ( en secondes) avant que la clé de cryptage IKE expire. Lors de l expiration d une clé, une autre clé est générée sans interruption de service. La durée de vie de la clé peut varier entre 120 et secondes. ID local XAuth Nat-traversal Si l un des paire ou client VPN emploie le mode main, vous pouvez sélectionner de multiples groupes DH. Au moins, l un des paramètres du paire ou client à distance doit être identique aux sélections du boîtier FortiGate. Si le boîtier FortiGate agit comme client VPN et que vous utilisez des ID paire pour authentification, entrez l identifiant que le boîtier FortiGate fournira au serveur d accès distant VPN pendant l échange de la phase 1. Si le boîtier FortiGate agit comme client VPN et que vous utilisez des certificats de sécurité pour authentification, sélectionnez le nom DN (distinguished name) du certificat du serveur local que le boîtier FortiGate utilisera pour l authentification. Si le boîtier FortiGate est un client dialup et ne partagera pas un tunnel avec d autres clients dialup (ce qui signifie que le tunnel sera dédié à ce client dialup FortiGate), définissez le Mode sur Aggressive. Cette option est fournie pour supporter l authentification de clients dialup. Si le boîtier FortiGate est un client dialup et que vous sélectionnez «Activer en tant que client», entrez le nom d utilisateur et le mot de passe dont le boîtier FortiGate aura besoin pour s authentifier auprès du serveur à distance XAuth. Si la passerelle est définie sur Utilisateur dialup et que les clients dialup s authentifieront comme membres d un groupe dialup, le boîtier FortiGate peut agir comme un serveur XAuth. Pour pouvoir sélectionner «Activer en tant que serveur», vous devez d abord créer des groupes d utilisateurs pour identifier les clients dialup qui nécessitent un accès au réseau derrière le boîtier FortiGate. Voir «Configuration d un groupe d utilisateurs» à la page 333. Vous devez également configurer le boîtier FortiGate pour envoyer les requêtes d authentification à un serveur d authentification externe RADIUS ou LDAP. Pour plus d informations à ce propos, voir «Configuration d un serveur RADIUS» à la page 326 et «Configuration d un serveur LDAP» à la page 328. Sélectionnez un paramètre de Type de Serveur pour déterminer le type de méthode de cryptage à utiliser entre un boîtier FortiGate, un client XAuth et le serveur d authentification externe. Sélectionnez ensuite le groupe d utilisateurs dans la liste des Groupes Utilisateur. Activez cette option si un serveur NAT existe entre le boîtier FortiGate local et le paire ou client VPN. Le boîtier FortiGate local et le paire ou client VPN doivent avoir les mêmes paramètres de NAT traversal (tous deux sélectionnés ou désactivés). Guide d Administration FortiGate Version

302 Fréquence des keepalive DPD Si vous activez NAT-traversal, entrez un paramètre de fréquence des keepalive. Cette valeur représente un intervalle entre 0 et 900 secondes. Dead Paire Detection Activez cette option pour rétablir des tunnels VPN sur des connexions inactives et se débarrasser des paires IKE morts si nécessaire. Vous pouvez utiliser cette option pour recevoir une notification à chaque fois qu un tunnel devient actif ou inactif. Vous pouvez aussi activer l option pour garder les connexions tunnel ouvertes lorsque aucun trafic n est généré à l intérieur du tunnel (par exemple, dans les scénarios où un client dialup ou paire DNS dynamique se connecte d une adresse IP qui change régulièrement le trafic peut être suspendu pendant que l adresse IP change). Lorsque l option de DPD est activée, vous pouvez utiliser les commandes CLI config vpn ipsec phase1 (mode tunnel) ou c onfig vpn ipsec phase1-interface (mode interface) pour spécifier optionnellement un temps d inactivité court et long, un nombre d essais et un intervalle entre chaque tentative. Pour plus d informations, voir le FortiGate CLI Reference. Création d une nouvelle configuration phase 2 Après que les négociations de la phase 1 IPSec se terminent avec succès, la phase 2 commence. Les paramètres de la phase 2 définissent les algorithmes que le boîtier FortiGate pourrait utiliser pour crypter et transférer des données pour le reste de la session. Pendant la phase 2, les associations spécifiques de sécurité IPSec nécessaires à l implémentation de services de sécurité sont sélectionnées et un tunnel est établi. Les paramètres de base de la phase 2 associent les paramètres IPSec de la phase 2 avec la configuration de la p hase 1 et spécifient le point final à distance du tunnel VPN. Dans la plupart des cas, vous n avez besoin de configurer que les paramètres de base de la phase 2. Pour configurer les paramètres de la phase 2, sélectionnez VPN > IPSEC > Auto Key (IKE) et cliquez sur Créer Phase 2. Illustration 160 : Nouvelle Phase 2 Nom Phase 1 Avancé Entrez un nom pour identifier la configuration du tunnel. Sélectionnez la configuration de la phase 1 à affecter à ce tunnel. Voir «Création d une nouvelle configuration phase 1» à la page 296. La configuration phase 1 décrit comment des paires ou clients VPN à distance seront authentifiés sur ce tunnel, et comment la connexion sera sécurisée. Permet de définir les paramètres avancés de la phase 2. Voir «Définition des paramètres avancés de la phase 2» cidessous. 302 Guide d Administration FortiGate Version 3.0

303 Définition des paramètres avancés de la phase 2 Pendant la phase 2, le boîtier FortiGate et le paire ou client VPN s échangent encore des clés pour établir un canal de communication sécurisé entre eux. Les paramètres de la proposition Phase 2 sélectionnent les algorithmes de cryptage et d authentification nécessaires à la génération de clés pour la protection des détails d implémentation de SA (Securtity Associations). Les clés sont générées automatiquement via un algorithme Diffie-Hellman. Un nombre de paramètres supplémentaires avancés de la phase 2 sont disponibles pour améliorer l opération du tunnel. Pour modifier les paramètres avancés de la phase 2 IPSec, sélectionnez VPN > IPSEC > Auto Key (IKE), cliquez sur Créer Phase 2 et ensuite sur Avancé. Illustration 161 : Paramètres avancés de la Phase 2 Proposition Phase 2 Sélectionnez les algorithmes de cryptage et d authentification qui seront utilisés pour modifier les données en code crypté. Ajoutez ou supprimez les algorithmes de cryptage et d authentification tel que requis. Sélectionnez un minimum de 1 et un maximum de 3 combinaisons. Le paire à distance doit être configuré pour utiliser au moins une des propositions que vous avez définies. Vous pouvez sélectionner un des algorithmes à clés symétriques suivants : NULL Ne pas utiliser d algorithme de cryptage. DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une clé de 56 bits. 3DES Triple-DES, dans lequel le texte clair est crypté trois fois par trois clés. AES128 Un algorithme de 128 bits qui utilise une clé de 128 bits. AES192 Un algorithme de 128 bits qui utilise une clé de 192 bits. AES256 Un algorithme de 128 bits qui utilise une clé de 256 bits. Guide d Administration FortiGate Version

304 Vous pouvez sélectionner chacun des messages récapitulatifs pour vérifier l authenticité des messages pendant les négociations de la phase 2 : NULL Ne pas utiliser de message récapitulatif. MD5 Message Digest 5, l algorithme de hachage développé par RSA Data Security. SHA1 Secure Hash Algorithm 1, qui produit un résumé de 160 bits. message Pour spécifier une seule combinaison, affectez à la seconde combinaison, la mention NULL. Pour ajouter une troisième combinaison, cliquez sur le bouton + à côté des champs de la seconde combinaison. Activer l option Facultativement, vous pouvez activer ou désactiver «Replay detection» l option Replay Detection. Les attaques rejouées ont lieu lorsqu une partie non autorisée intercepte une série de paquets IPSec et les rejoue dans le tunnel. Activer l option«perfect forward secrecy» (PFS) Groupe DH Durée de vie Tunnel toujours actif DHCP-IPSec Quick Mode Selector Activer ou désactiver PFS. Cette option améliore la sécurité en forçant un nouvel échange Diffie-Hellman à chaque fois qu une durée de vie d une clé expire. Sélectionnez un groupe Diffie-Hellman (1, 2 ou 5). Le paire distant ou client dialup doit être configuré pour utiliser le même groupe. Sélectionnez la méthode pour déterminer quand la clé de la phase 2 expire : Secondes, Koctets ou les deux. Si vous sélectionnez les deux, la clé expire soit quand la période de temps s est écoulée, soit lorsque le nombre de Ko a été traité. Les intervalles s étendent de 120 à secondes ou de 5120 à Ko. Activez l option tunnel toujours actif si vous désirez que le tunnel reste actif lorsque aucune donnée n est traitée. Activez cette option si le boîtier FortiGate agit comme serveur dialup et qu un relais DHCP FortiGate sera utilisé pour affecter des adresses VIP aux clients dialup FortiClient. N activez pas cette option sur les boîtiers FortiGate qui agissent comme clients dialup. Les paramètres du relais DHCP doivent être configurés séparément. Pour plus d informations, voir «Système > DHCP» à la page 99. Si le boîtier FortiGate agit comme serveur dialup et vous affectez manuellement les adresses VIP des clients dialup FortiClient qui correspondent au réseau derrière le serveur dialup, sélectionnez Activer pour que le boîtier FortiGate agisse comme proxy pour ses clients dialup. Ceci n est disponible que pour les configurations phase 2 en mode tunnel associées à une configuration phase 1 dialup. Facultativement, vous pouvez spécifier les adresses IP source et de destination à utiliser comme sélecteurs pour des négociations IKE. Si le boîtier FortiGate est un serveur dialup, la valeur par défaut /0 devrait être maintenue à moins qu il soit nécessaire de contourner des problèmes causés par des adresses IP ambiguës entre un ou plusieurs réseaux privés constituant le VPN. Vous pouvez spécifier une seule adresse IP hôte, une plage d adresses IP ou une adresse réseau. Vous pouvez en option spécifier les numéros de ports source et de destination et/ou un numéro de protocole. Si vous éditez une configuration de tunnel phase 2 existante, les champs Adresse Source et Adresse 304 Guide d Administration FortiGate Version 3.0

305 Adresse source Port source Adresse destination Port destination Protocole Destination sont indisponibles si le tunnel a été configuré pour utiliser des adresses pare-feu comme sélecteurs. Cette option n existe que sur l interface de ligne de commande. Voir les mots-clés dst-addrtype, dst-name, src-addr-type et src-name de la commande vpn ipsec phase2 dans le FortiGate CLI Reference. Si le boîtier FortiGate est un serveur dialup, entrez l adresse IP source qui corresponde à/aux expéditeur(s) local/locaux ou au réseau derrière le paire VPN local. Par exemple, /24 ou / pour un sous- réseau, ou /32 ou / pour un serveur ou un hôte, ou [80-100] ou pour une plage d adresses. Une valeur de /0 représente toutes les adresses IP derrière le paire VPN local. Si le boîtier FortiGate est un client dialup, l adresse source doit référer au réseau privé derrière le client dialup FortiGate. Entrez le numéro du port que le paire VPN local utilise pour transporter le trafic lié au service spécifié (numéro du protocole). L intervalle varie entre 0 et Pour spécifier tous les ports, entrez 0. Entrez l adresse IP de destination qui corresponde aux destinataires ou réseau derrière le paire VPN distant. Par exemple /24 pour un sous-réseau, ou /32 pour un serveur ou un hôte, ou [80-100] pour une plage d adresses. Une valeur de /0 représente toutes les adresses IP derrière le paire VPN à distance. Entrez le numéro du port que le paire VPN à distance utilise pour transporter le trafic lié au service spécifié (numéro de protocole). L intervalle varie entre 0 et Pour spécifier tous les ports, entrez 0. Entrez le numéro du protocole IP du service. L intervalle varie entre 1 et 255. Pour spécifier tous les ports, entrez 0. Clé Manuelle Remarque : Vous pouvez permettre aux utilisateurs VPN de naviguer sur Internet à travers le boîtier FortiGate. Pour ce faire, configurez une règle pare-feu IPSec supplémentaire avec comme interface source et d e destination l interface publique FortiGate, l adresse source all, l adresse de destination le réseau à distance et la translation en entrée activée. Pour plus d informations sur les règles pare-feu, voir «Configuration de règles pare-feu» à la page 232. Si nécessaire, vous pouvez dé finir manuellement des clés de cryptographie pour l établissement d un tunnel VPN IPSec. Des clés manuelles peuvent être définies dans les cas suivants : Une connaissance antérieure de la clé de cryptage et/ou d authentification est nécessaire (c est-à-dire lo rsque l un des paires VPN requiert une clé spécifique de cryptage et/ou d authentification). Guide d Administration FortiGate Version

306 Le cryptage et l authentification doivent être désactivés. Dans les deux cas, vous ne sp écifiez pas les paramètres des phases 1 et 2 IPSec ; au lieu de cela, vous définissez des clés manuelles sur la page VPN > IPSEC > Clef Manuelle. Remarque : Il y a toujours un risque dans la définition de clés manuelles car il faut compter sur les administrateurs réseaux pour garder les clés confidentielles et la propagation sécurisée de changements aux paires VPN à distance risque d être difficile. Illustration 162 : Liste des clés manuelles Créer Nouveau Nom du tunnel Créer une nouvelle configuration de clé manuelle. Voir «Création d une nouvelle configuration à clé manuelle» ci-dessous. Les noms des configuration de clés manuelles existantes. Passerelle Les adresses IP des paires distants ou des clients dialup. Algorithme de chiffrement Algorithme d authentification Icônes Supprimer et Editer Les noms des algorithmes de chiffrement spécifiés dans les configurations de clés manuelles. Les noms des algorithmes d authentification spécifiés dans les configurations de clés manuelles. Permet de supprimer ou d éditer une configuration de clé manuelle. Création d une nouvelle configuration à clé manuelle Si l un des équipements VPN utilise des clés d authentification et/ou de cryptage pour établir un tunnel, les deux équipements VPN doivent être configurés pour utiliser des clés d authentification et/ou de cryptage identiques. De plus, il est essentiel que ces deux équipements VPN soient configurés avec les paramètres complémentaires SPI (Security Parameter Index). Chaque SPI identifie un SA (Security Association). La valeur est placée dans des datagrammes ESP pour lier les datagrammes au SA. Lorsqu un datagramme est reçu, le destinataire se réfère au SPI pour déterminer quel SA s applique au datagramme. Un SPI doit être spécifié manuellement pour chaque SA. Etant donné qu un SA s applique à la communication dans une seule direction, vous devez spécifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les communications bidirectionnelles entre deux équipements VPN. Attention : Si vous n êtes pas familier avec les règles de sécurité, SA, sélecteurs et bases de données SA, ne tentez pas la procédure suivante sans assistance qualifiée. Pour spécifier des clés manuelles pour la création d un tunnel, sélectionnez VPN > IPSEC > Clef Manuelle et cliquez sur Créer Nouveau. 306 Guide d Administration FortiGate Version 3.0

307 Illustration 163 : Nouvelle Clé Manuelle Nom SPI Local SPI Distant Passerelle Entrez un nom pour le tunnel VPN. La longueur du nom ne doit pas dépasser 15 caractères pour un VPN en mode interface, 35 caractères pour un VPN basé sur une règle. Entrez un nombre hexadécimal (jusqu à 8 caractères, 0-9, a-f) qui représente le SA qui traite le trafic sortant sur le boîtier FortiGate local. L intervalle s étend de 0x100 à 0xffffffff. Cette valeur doit correspondre à la valeur SPI Distant dans la configuration de la clé manuelle du paire distant. Entrez un nombre hexadécimal (jusqu à 8 caractères, 0-9, a-f) qui représente le SA qui traite le trafic entrant sur le boîtier FortiGate local. L intervalle s étend de 0x100 à 0xffffffff. Cette valeur doit correspondre à la valeur SPI Local dans la configuration de la clé manuelle du paire distant. Entrez l adresse IP de l interface publique vers le paire distant. L adresse identifie le destinataire des datagrammes ESP. Local Interface Cette option n est disponible qu en mode NAT/Route. Sélectionnez le nom de l interface physique, agrégée ou VLAN à laquelle le tunnel IPSec sera lié. Le boîtier FortiGate obtient l adresse IP de l interface dans les paramètres de Système > Réseau > Interface (voir «Interface» à la page 61). Algorithme de chiffrement Vous pouvez sélectionner un des algorithmes à clé symétrique suivants : NULL Ne pas utiliser d algorithme de chiffrement. DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une clé de 56 bits. 3DES Triple-DES, dans lequel le texte est crypté trois fois par trois clés. AES128 Un algorithme de 128 bits qui utilise une clé de 128 bits. AES192 Un algorithme de 128 bits qui utilise une clé de 192 bits. AES256 Un algorithme de 128 bits qui utilise une clé de 256 bits. Clef de chiffrement Si vous avez sélectionné : DES, entrez un numéro hexadécimal de 16 symboles (0-9, a-f). Guide d Administration FortiGate Version

308 Concentrateur Algorithme d authentification Clef d authentification Si vous sélectionnez : IPSec Interface Mode 3DES, entrez un nombre hexadécimal de 48 symboles (0-9, a-f), séparé en trois segments de 16 symboles. AES128, entrez un nombre hexadécimal de 32 symboles (0-9, a-f), séparé en deux segments de 16 symboles. AES192, entrez un nombre hexadécimal de 48 symboles (0-9, a-f), séparé en trois segments de 16 symboles. AES256, entrez un nombre hexadécimal de 64 symboles (0-9, a-f), séparé en quatre segments de 16 symboles. Vous pouvez sélectionner un des messages récapitulatifs suivants: NULL Ne pas utiliser de message récapitulatif. MD5 Message Digest 5, algorithme qui produit un message récapitulatif de 128 bits. SHA1 Secure Hash Algorithm 1, qui produit un message récapitulatif de 160 bits. MD5, entrez un nombre hexadécimal de 32 symboles 9, a-f) séparé en deux segments de 16 symboles. SHA1, entrez un nombre hexadécimal de 40 symboles (0-9, a-f), séparé en un segment de 16 symboles et un second de 24 symboles. Créez une interface virtuelle pour la fin locale du tunnel VPN. Cette commande n est disponible qu en mode NAT/Route. Dans une configuration «hub-and-spoke», les connexions à plusieurs paires distants partent d un seul boîtier FortiGate central. Les connexions site à site entre les paires à distance n existent pas ; cependant, des tunnels VPN entre deux des paires à distance peuvent être établis à travers un hub FortiGate. Dans un réseau «hub-and-spoke», tous les tunnels VPN se terminent au hub. Les paires qui se connectent au hub sont connus sous le nom de «spokes». Le hub fonctionne comme un concentrateur sur le réseau, gérant toutes les connexions VPN entre les «spokes». Le trafic VPN passe d un tunnel à un autre à travers le hub. Vous définissez un concentrateur pour inclure des «spokes» dans la configuration «hub-and-spoke». Pour définir un concentrateur, sélectionnez VPN > IPSEC > Concentrateur. (0-308 Guide d Administration FortiGate Version 3.0

309 Illustration 164 : Liste des concentrateurs Créer Nouveau Nom du concentrateur Membres Icônes Supprimer et Editer Définissez un nouveau concentrateur pour une configuration IPSec hub-and-spoke. Voir «Définition des options d un concentrateur» ci-dessous. Les noms des concentrateurs VPN IPSec existants. Les tunnels qui sont associés aux concentrateurs. Permet de supprimer ou d éditer un concentrateur. Définition des options d un concentrateur Une configuration de concentrateur spécifie quels spokes inclure dans une configuration hub-and-spoke IPSec. Pour spécifier les spokes d une configuration hub-and-spoke IPSec, sélectionnez VPN > IPSEC > Concentrateur et cliquez sur Créer Nouveau. Illustration 165 : Nouveau Concentrateur VPN Nom du concentrateur Tunnels Disponibles Membres Entrez un nom pour le concentrateur. Une liste de tunnels VPN IPSec définis. Sélectionnez un tunnel de la liste et cliquez ensuite sur la flèche droite. Répétez cette étape jusqu à ce que tous les tunnels associés aux spokes soient inclus dans le concentrateur. Une liste de tunnels membres du concentrateur. Pour enlever un tunnel du concentrateur, sélectionnez le tunnel et cliquez sur la flèche gauche. Guide d Administration FortiGate Version

310 Tunnels actifs Cette page vous permet de visualiser l activité des tunnels VPN IPSec, et également de les démarrer ou de les arrêter. S affichent à l écran une liste d adresses, d ID proxy et d informations timeout pour tous les tunnels actifs, y compris les tunnels en mode tunnel et en mode route (mode interface). Pour visualiser les tunnels actifs, sélectionnez VPN > IPSEC > Tunnels actifs. Illustration 166 : Liste des tunnels actifs La liste des tunnels dialup fournit des informations sur le statut des tunnels établis pour les clients dialup. La liste reprend les adresses IP de clients dialup et les noms de tous les tunnels actifs. Le nombre de tunnels affichés dans la liste se modifie quand un client dialup se connecte ou se déconnecte. Icône Flush dialup tunnels Permet d arrêter tous les tunnels dialup et le trafic passant à travers tous les tunnels dialup. Les utilisateurs dialup auront peut-être à se reconnecter pour établir des nouvelles sessions VPN. Icône Page suivante et Page précédente Nom Passerelle distante Compte utilisateur Timeout ID Proxy Source Affiche la page suivante et précédente de la liste des statuts des tunnels dialup. Les noms de tunnels configurés. Lorsqu un client dialup FortiClient établit un tunnel, le champ Passerelle Distante affiche soit l adresse IP publique et le port UDP de la machine de l hôte distant (sur lequel l application FortiClient Host Security est installée), soit, dans le cas où un serveur NAT existe à l avant de l hôte distant, l adresse IP publique et le port UDP de l hôte distant. Lorsqu un client dialup FortiGate établit un tunnel, le champ Passerelle Distante affiche l adresse IP publique et le port UDP du client dialup FortiGate. L ID du paire, le nom du certificat ou le nom utilisateur XAuth du client dialup ( dans le cas où ces éléments ont été affectés au client dialup dans le but d une authentification). La période de temps avant le prochain échange de clés de la phase 2. Ce temps est calculé en soustrayant le temps passé depuis le dernier échange de clés de la durée de vie de la clé. Lorsque la clé de la phase 2 expire, une nouvelle clé est générée sans interruption de service. Les adresses IP des hôtes, serveurs ou réseaux privés situés derrière le boîtier FortiGate. Une plage de réseau s affiche si l adresse source de la règle pare-feu de chiffrement a été exprimée sous forme de plage d adresses IP. 310 Guide d Administration FortiGate Version 3.0

311 ID Proxy Destination Lorsqu un client dialup FortiClient établit un tunnel : Si les adresses VIP ne sont pas utilisées et que l hôte distant se connecte à Internet directement, le champ Proxy ID Destination affiche l adresse IP publique de la NIC (Network Interface Card) dans l hôte distant. Si les adresses VIP ne sont pas utilisées et l hôte distant est derrière un serveur NAT, le champ Proxy ID Destination affiche l adresse IP privée de la NIC dans l hôte distant. Si les adresses VIP ont été configurées (manuellement ou à travers un relais FortiGate DHCP), le champ Proxy ID Destination affiche soit l adresse VIP appartenant à un client dialup FortiClient, soit l adresse d un sous-réseau à partir duquel les adresses VIP ont été affectées. Lorsqu un client dialup FortiGate établit un tunnel, le champ Proxy ID Destination affiche l adresse IP du réseau privé distant. Icône Tunnel up et tunnel Une flèche verte pointant vers le haut signifie que le down tunnel est en train de traiter du trafic. Une flèche rouge pointant vers le bas signifie que le tunnel n est pas en train de traiter du trafic. La liste de tunnels IP statiques et de tunnels DNS dynamiques fournit des informations à propos des tunnels VPN aux paires à distance qui ont des adresses IP statiques ou des noms de domaine. Cette liste permet de visualiser les statuts et informations sur les adressages IP pour chaque configuration de tunnel. Vous pouvez également commencer ou arrêter des tunnels individuels à partir de cette liste. Icône Page suivante et Page précédente Nom Passerelle distante Timeout ID Proxy Source ID Proxy Destination Icône Tunnel up et tunnel down Affiche la page précédente ou suivante de la liste des statuts des tunnels VPN. Les noms des tunnels configurés. Les adresses IP et les ports UDP des passerelles. Pour les tunnels DNS dynamiques, les adresses IP sont mises à jour dynamiquement. La période de temps avant le prochain échange de clés de la phase 2. Ce temps est calculé en soustrayant le temps passé depuis le dernier échange de clés de la durée de vie de la clé. Lorsque la clé de la phase 2 expire, une nouvelle clé est générée sans interruption de service. Les adresses IP des hôtes, serveurs ou réseaux privés derrière le boîtier FortiGate. Une plage de réseaux s affiche si l adresse source de la règle pare-feu de chiffrement a été exprimée sous forme de plage d adresses IP. Les adresses IP des hôtes, serveurs et réseaux privés derrière le boîtier FortiGate distant. Une flèche verte pointant vers le haut signifie que le tunnel est en train de traiter du trafic. Une flèche rouge pointant vers le bas signifie qu aucun traitement de trafic par le tunnel n est en cours. Guide d Administration FortiGate Version

312 VPN PPTP Le boîtier FortiGate supporte PPTP pour créer un tunnel pour le trafic PPP entre deux paires VPN. Les clients Windows et Linux peuvent établir un tunnel PPTP avec un boîtier FortiGate configuré comme serveur PPTP. Comme alternative, vous pouvez configurer le boîtier FortiGate pour envoyer des paquets PPTP vers un serveur PPTP sur le réseau derrière le boîtier FortiGate. Le VPN PPTP est uniquement disponible en mode NAT/Route. Cette section explique comment utiliser l interface d administration web pour spécifier une plage d adresses IP pour les clients PPTP. Pour toute information sur la mise en place du VPN PPTP, voir le FortiGate PPTP VPN User Guide. Plage PPTP Cette section parcourt la plage PPTP. Vous pouvez spécifier une plage d adresses PPTP sur la page Plage PPTP. La plage d adresses PPTP est une plage d adresses réservée aux clients PPTP distants. Lorsqu un client PPTP distant se connecte, le boîtier FortiGate affecte une adresse IP d une plage d adresses IP réservées à l interface PPTP du client. Le client PPTP utilise l adresse IP affectée comme adresse source pendant la durée de la connexion. Pour activer PPTP et spécifier la plage d adresses PPTP, sélectionnez VPN > PPTP > Plage PPTP, sélectionnez les options requises et cliquez ensuite sur Appliquer. Illustration 167 : Editer la plage PPTP Activer PPTP Avant de pouvoir sélectionner cette option, vous devez ajouter un groupe d utilisateurs. Voir «Groupe d utilisateurs» à la page 330. IP début de plage Entrez l adresse de départ de la plage d adresses IP réservées. IP fin de plage Entrez l adresse de fin de la plage d adresses IP réservées. Groupe Utilisateur Sélectionnez le nom du groupe d utilisateurs PPTP que vous avez défini. Désactiver PPTP Désactive le support PPTP. 312 Guide d Administration FortiGate Version 3.0

313 VPN SSL Cette section fournit les in formations sur les fonctionnalités de la page VPN > SSL dans l interface d administration web. Le boîtier FortiGate supporte ces fonctionnalités en mode NAT/Route uniquement. Configuration Remarque : Pour davantage d instructions détaillées sur la configuration des opérations en mode web et mode tunnel, voir le FortiGate SSL VPN User Guide. Cette section couvre les sujets suivants : Configuration Monitor La page Config comporte les paramètres de base VPN SSL y compris des valeurs timeout et des préférences de cryptage SSL. Si nécessaire, vous pouvez également activer l utilisation de certificats digitaux pour l authentification des clients distants. Remarque : Si nécessaire, vous pouvez activer le cryptage SSL version 2 (compatible avec des navigateurs plus anciens) à partir de l interface de ligne de commande. Pour plus d informations, voir «SSL Settings» dans le chapitre «VPN» du FortiGate CLI Reference. Sélectionnez VPN > SSL > Config pour un affichage des paramètres de configuration SSL en cours. Illustration 168 : Paramètres VPN SSL Activer SSL-VPN Active les connexions VPN SSL. Guide d Administration FortiGate Version

314 Port de Login Plage IP du tunnel Certificat Serveur Nécessite un certificat client Facultativement, entrez un numéro de port HTTPS différent pour les navigateurs web des clients distants pour se connecter au boîtier FortiGate. Le numéro de port par défaut est Spécifiez la plage d adresses IP réservées pour les clients VPN SSL en mode tunnel. Entrez les adresses de départ et de fin qui définissent la plage d adresses IP réservées. Sélectionnez le certificat serveur signé à utiliser pour le processus d authentification. Si vous maintenez le paramétrage par défaut (Self-Signed), le boîtier FortiGate propose son certificat installé par défaut par Fortinet aux clients distants lors de leurs connexions. Sélectionnez cette option si vous désirez permettre l utilisation de certificats de groupes pour l authentification de clients distants. Par après, lorsque le client distant initie une connexion, le boîtier FortiGate génère un message chez lui concernant sa partie du certificat, ceci faisant partie du processus d authentification. Algorithme de la clé de Sélectionnez l algorithme pour la création d une cryptage connexion sécurisée SSL entre le navigateur web du client distant et le boîtier FortiGate. Nécessite une longueur Sélectionnez cette option pour le navigateur web d un de clé>=128bit(défaut) client distant capable de correspondre à une suite de chiffres de 128 bits et plus. Nécessite une longueur Si le navigateur web d un client distant est capable de clé>128bit(haute) de correspondre à un haut niveau de cryptage SSL, sélectionnez cette option pour activer des suites de chiffres utilisant plus de 128 bits pour crypter les données. Nécessite une longueur Si vous n êtes pas certain du niveau de cryptage SSL de clé>=64bit(basse) que supporte le navigateur web du client distant, sélectionnez cette option pour activer une suite de chiffres de 64 bits et plus. Idle Timeout Message du portail Avancé (Serveurs DNS et WINS) Serveur DNS #1 Serveur DNS #2 Timeout d inactivité : Entrez la période de temps (en secondes) pendant laquelle la connexion peut rester inactive avant de forcer l utilisateur à se reconnecter. L intervalle varie entre 10 et secondes. Ce paramètre s applique à la session VPN SSL. La connexion ne se coupe pas tant que des sessions d application web ou des tunnels sont activés. Facultativement, entrez le message personnalisé que vous désirez voir apparaître sur le portail. Entrez jusqu à deux Serveurs DNS fournis pour une utilisation clients. Serveur WINS #1 Serveur WINS #2 Entrez jusqu à deux Serveurs WINS fournis pour une utilisation clients. 314 Guide d Administration FortiGate Version 3.0

315 Monitor Vous pouvez afficher une liste de toutes les sessions actives VPN SSL. La liste affiche le nom utilisateur de l utilisateur distant, son adresse IP et l heure à laquelle la connexion a été initiée. La liste répertorie également quels services sont fournis. Pour visualiser la liste des sessions actives VPN SSL, sélectionnez VPN > SSL > Monitor. Illustration 169 : Liste Monitor No. Utilisateur IP Source Heure de début Description Icône Supprimer L identificateur de la connexion. Les noms utilisateurs de tous les utilisateurs distants connectés. Les adresses IP des hôtes connectés au boîtier FortiGate. L heure de début de chaque connexion. Des informations sur les services fournis. Lorsqu un utilisateur en mode tunnel est connecté, le champ Description affiche l adresse IP que le boîtier FortiGate affecte au client distant. Supprime un tunnel. Guide d Administration FortiGate Version

316 Certificats Certificat locaux VPN Cette section explique comment gérer les certificats de sécurité X.509 à partir de l interface d administration web FortiGate. Ce module vous apprend à générer des requêtes de certificat, installer des certificats signés, importer le certificat de l autorité de certification et des listes de révocation, sauvegarder et restaurer des certificats et leurs clés privées associées. Pour plus d informations, voir le FortiGate Certificate Management User Guide. Cette section parcourt les sujets suivants : Certificats locaux Certificats CA CRL Les requêtes de certificat et les certificats serveurs installés sont affichés dans la liste des Certificats Locaux. Après avoir soumis une requête à une autorité de certification (AC), cette dernière vérifie les informations et enregistre les informations de contact sur un certificat digital qui contient un numéro de série, une date d expiration et la clé publique de l autorité de certification. L AC va ensuite signer et vous envoyer le certificat à installer sur votre boîtier FortiGate. Pour visualiser des requêtes de certificat et/ou importer des certificats de serveur signés, sélectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les détails du certificat, sélectionnez l icône Voir les Détails du Certificat du certificat concerné. A la première ligne de l illustration 170 s affiche une requête de certificat et à la deuxième ligne, un certificat serveur signé. Illustration 170 : Liste des Certificats Locaux Générer Importer Nom Sujet Etat Génère une requête de certificat local. Voir «Générer une requête de certificat» à la page 317. Importer un certificat local signé. Voir «Importation d un certificat serveur signé» à la page 319. Les noms des certificats locaux existants et des requêtes de certificat en suspens. Les DS (Distinguished Names) des certificats signés locaux. Le statut du certificat local. PENDING désigne une requête de certificat nécessitant un téléchargement et une signature. 316 Guide d Administration FortiGate Version 3.0

317 Icône Voir les Détails du Certificat Icône Supprimer Icône Sauvegarder Affiche les détails du certificat tels que le nom du certificat, l émetteur, le sujet et les dates de validité. Voir Illustration 171. Supprime la requête de certificat sélectionnée ou le certificat serveur installé lors de la configuration FortiGate. Sauvegarde une copie de la requête du certificat sur un ordinateur local. Envoyez la requête à votre autorité de certification pour obtenir un certificat serveur signé pour le boîtier FortiGate. Illustration 171 : Informations détaillées sur le certificat Pour des informations détaillées et des procédures pas à pas pour l obtention et l installation des certificats digitaux, voir le FortiGate Certificate Management User Guide. Générer une requête de certificat Le boîtier FortiGate génère une requête de certificat basée sur les informations entrées pour identifier le boîtier FortiGate. Les requêtes générées sont affichées dans la liste des Certificats Locaux avec le statut PENDING. Après avoir généré une requête de certificat, vous pouvez télécharger la requête sur un ordinateur qui possède un accès administratif au boîtier FortiGate et transférer ensuite la requête à une autorité de certification (AC). Pour compléter une requête de certificat, sélectionnez VPN > Certificats > Certificats Locaux et cliquez sur Générer. Pour télécharger et transférer une requête de certificat, voir «Téléchargement et soumission d une requête de certificat» à la page 318. Illustration 172 : Générer des Requêtes de Signature de Certificat Guide d Administration FortiGate Version

318 Nom du certificat Information sur le sujet Unité organisationnelle Organisation Localité (Ville) Etat/Province Pays Mail Type de clef Longueur de la clef Entrez un nom au certificat. En général, il s agit du nom du boîtier FortiGate. Pour activer l exportation d un certificat signé sous forme d un fichier PKCS12 si nécessaire, même plus tard, ne pas inclure d espace dans le nom. Entrez les informations requises pour identifier le boîtier FortiGate : Si le boîtier FortiGate possède une adresse IP statique, sélectionnez Adresse IP de l hôte et entrez l adresse IP publique du boîtier FortiGate. Si celui-ci ne possède pas d adresse IP publique, utilisez à la place une adresse mail (ou un nom de domaine si disponible). Si le boîtier FortiGate possède une adresse IP statique et souscrit à un service DNS dynamique, utilisez un nom de domaine si disponible pour identifier le boîtier FortiGate. Si vous sélectionnez Nom de Domaine, entrez le FQDN du boîtier FortiGate. Ne pas inclure le protocole de spécification ( ni numéro de port ni noms de chemin. Si un nom de domaine n est pas disponible et que le boîtier FortiGate souscrit à un service dynamique DNS, un message de type «Unable to verify certificate» («Impossibilité de vérifier le certificat») peut s afficher dans une fenêtre du navigateur à chaque changement d adresse IP publique du boîtier FortiGate. Si vous sélectionnez Mail, entrez l adresse mail du propriétaire du boîtier FortiGate. Facultativement, entrez le nom de votre département. Facultativement, entrez le nom légal de votre entreprise ou organisation. Facultativement, entrez le nom de la ville où est situé le boîtier FortiGate. Facultativement, entrez le nom de l état, de la province ou du département où est situé le boîtier FortiGate. Facultativement, entrez le nom du pays où est situé le boîtier FortiGate. Facultativement, entrez l adresse mail de contact. Seul RSA est supporté. Choisissez entre 1024bit, 1536bit et 2048bit. Les plus grandes clés sont plus lentes à générer mais procurent une sécurité plus accrue. Téléchargement et soumission d une requête de certificat Vous devez compléter une requête de certificat et générer la requête avant de pouvoir soumettre les résultats à l autorité de certification. Pour plus d informations, voir «Générer une requête de certificat» à la page 317. Télécharger et soumettre une requête de certificat 1 Sélectionnez VPN > Certificats > Certificats Locaux. 2 Dans la liste des Certificats locaux, sélectionnez l icône Sauvegarder de la requête de certificat générée. 318 Guide d Administration FortiGate Version 3.0

319 3 Dans la boîte de dialogue de Sauvegarde du Fichier, sélectionnez Sauvegarder. 4 Nommez le fichier et sauvegardez-le dans le système de fichiers locaux. 5 Soumettez votre requête à votre autorité de certification de la manière suivante : A partir du navigateur web sur l ordinateur d administration, allez sur le site web de l autorité de certification. Suivez les instructions de l autorité de certification pour effectuer une requête de certificat au format PKCS#10 encodé en base64 et téléchargez votre requête de certificat. Suivez les instructions de l autorité de certification pour télécharger leur certificat et leur liste de révocation (Certificate Revocation List), et installez-les ensuite sur chaque client à distance (référez-vous à la documentation du navigateur). 6 Lors de la réception du certificat signé de l AC, installez-le sur le boîtier FortiGate. Voir «Importation d un certificat serveur signé» ci-dessous. Importation d un certificat serveur signé Votre autorité de certification va vous fournir un certificat serveur signé à installer sur le boîtier FortiGate. Lors de la réception de ce certificat, sauvegardez-le sur un ordinateur qui possède un accès administratif au boîtier FortiGate. Pour installer le certificat serveur signé, sélectionnez VPN > Certificats > Certificats Locaux et cliquez sur Importer. Installez le certificat à partir de la boîte de dialogue de téléchargement du certificat local en haut de la page. Le fichier du certificat peut se trouver sous le format PEM ou DER. Les autres boîtes de dialogue servent à importer des certificats exportés précédemment et leurs clés privées. Illustration 173 : Télécharger le certificat local Télécharger le fichier Browse Entrez le chemin complet et le nom du fichier du certificat serveur signé. Alternativement, accédez au certificat sauvegardé sur l ordinateur d administration, sélectionnez alors le certificat et cliquez sur OK. Importation d un certificat serveur exporté et de sa clé privée Le certificat serveur et sa clé privée à importer doivent avoir été exporté précédemment sous forme d un fichier unique PKCS12 à partir de la commande CLI execute vpn certificate key export. Ce fichier est associé à un mot de passe nécessaire à son importation. Avant de commencer, sauvegardez une copie du fichier sur un ordinateur qui possède un accès administratif au boîtier FortiGate. Pour plus d informations, se référer au FortiGate Certificate Management User Guide. Guide d Administration FortiGate Version

320 Pour importer le fichier PKCS12 ; sélectionnez VPN > Certificats > Certificats Locaux et cliquez sur Importer. Illustration 174 : Télécharger le certificat PKCS12 Certifier avec un fichier clé Entrez le chemin complet et le nom du fichier du fichier PKCS12 exporté précédemment. Browse Mot de passe Alternativement, accédez au fichier PKCS12 sauvegardé sur l ordinateur d administration, sélectionnez-le et cliquez sur OK. Entrez le mot de passe requis pour télécharger le fichier PKCS12. Importation de fichiers séparés de cer tificat serveur et leur clé privée A partir de la boîte de dialogue de téléchargement de certificat, importez les fichiers du certificat serveur et de sa clé privée associée lorsque la requête de certificat et la clé privée n ont pas été générées par le boîtier FortiGate. Les deux fichiers à imp orter doivent être disponibles sur l ordinateur d administration. Illustration 175 : Télécharger le certificat Certificats CA fichier certificat Fichier clé Mot de passe Entrez le chemin complet et le nom du fichier du certificat exporté précédemment. Entrez le chemin complet et le nom du fichier de la clé exporté précédemment Entrez, si requis, le mot de passe pour télécharger et ouvrir les fichiers. Lorsque vous appliquez pour un certificat personnel (administratif) ou de groupe à installer sur des clients distants, vous devez obtenir le certificat racine correspondant et la liste de révocation (CRL) de votre autorité de certification. A la réception du certificat personnel ou de groupe, installez-le sur les clients distants en respectant les procédures décrites dans la documentation du navigateur. Installez le certificat racine et le CRL de votre autorité de certification sur vot re boîtier FortiGate. Les certificats CA installés sont affichés dans la liste de Certificats CA. Pour visualiser des certificats racines AC installés ou pour en importer,sélectionnez VPN 320 Guide d Administration FortiGate Version 3.0

321 > Certific ats > Certificats CA. Pour visualiser les détails du certificat racine, sélectionnez l icône Voir les détails du certificat du certificat concerné. Illustration 176 : Liste des certificats CA Importer Nom Sujet Icône Supprimer Icône Sauvegarder Importez un certificat racine CA. Voir «Importation de certificats de l autorité de certification» ci-dessous. Les noms des certificats racines CA existants. Le boîtier FortiGate affecte des noms uniques (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.) aux certificats AC lors de leur importation. Informations sur l autorité de certification émettrice. Supprime un certificat racine CA de la configuration FortiGate. Icône Voir les Détails du Certificat Affiche les détails du certificat. Sauvegardez une copie du certificat racine CA sur un ordinateur local. Pour des informations détaillées et des procédures pas à pas pour l obtention et l installation de certificats digitaux, se référer au FortiGate Certificate Management User Guide. Importation de certificats de l autorité de certification Après avoir téléchargé le certificat racine de l autorité de certification, sauvegardez le certificat sur un ordinateur qui possède un accès administratif au boîtier FortiGate. Pour importer un certificat racine CA, sélectionnez VPN > Certificats > Certificats CA et cliquez sur Importer. Illustration 177 : Télécharger un certificat CA Télécharger le fichier Browse Entrez le chemin complet et le nom de fichier du certificat racine CA. Alternativement, accédez au certificat sauvegardé sur l ordinateur d administration, sélectionnez-le et cliquez sur OK. Guide d Administration FortiGate Version

322 CRL Le système affecte un nom unique à chaque certificat. Les noms sont numérotés consécutivement (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.). Une liste de Révocation de Certificat (CRL) est une liste de souscripteurs de certificat CA et des informations sur le statut du certificat. Les CRL installés sont affichés dans la liste CRL. Le boîtier FortiGate utilise des CRL pour s assurer de la validité des certificats appartenant à des AC et à des clients distants. Pour visualiser des CRL installés ou un CRL importé/mis à jour, sélectionnez VPN > Certificats > CRL. Illustration 178 : Liste de révocation de certificat Importer Importe un CRL. Voir «Importation d une liste de révocation de certificat» ci-dessous. Nom Le s noms des listes de révocation de certificat existantes. Le bo îtier FortiGate affecte des noms uniques (CRL_1, CRL_2, CRL_ 3, etc.) aux listes lors de leur importation. Sujet Informations sur les listes de révocation de certificat. Icône Supprimer Supprime le CRL sélectionné de la configuration FortiGate. Illustration 179 : Détails d un certificat CA Importation d une liste de révocation de certificat Il est conseillé d accéder régulièrement à des listes de révocation de certificat sur les sites web des AC et de mettre à jour les informations correspondantes sur le boîtier FortiGate pour s assurer que les clients dont les certificats ont été révoqués ne puissent plus établir de connexions avec le boîtier FortiGate. Après avoir télécharger un CRL d un site web d une AC, sauvegardez-le sur un ordinateur qui possède un accès administratif vers le boîtier FortiGate. Pour importer une liste de révocation de certificat, sélectionnez VPN > Certificats > CRL et cliquez sur Importer. 322 Guide d Administration FortiGate Version 3.0

323 Illustration 180 : Télécharger CRL Télécharger le fichier Browse Entrez le chemin complet et le nom de fichier du CRL. Alternativement, accédez au CRL sauvegardé sur l ordinateur d administration, sélectionnez-le et cliquez sur OK. Le système affecte un nom unique à chaque CRL. Les noms sont numérotés consécutivement (CRL_1, CRL_2, CRL_3, etc.). Guide d Administration FortiGate Version

324 Utilisateur Cette section explique comment installer des comptes utilisateurs, des groupes d utilisateurs et des serveu rs d authentification externes. Certains composants de l authentification de l utilisateur permettent de contrôler l accès aux ressources du réseau. Cette section couvre les sujets suivants : Configuration de l authentification d un utilisateur Comptes utilisateurs locaux Serveurs RADIUS Serveurs LDAP Serveurs Windows AD Groupe d utilisateurs Configuration de paires et de groupes paires Configuration de l authentification d un utilisateur L authentification FortiGate contrôle l accès par les groupes utilisateurs. La création de groupes d utilisateurs n est pas la première étape de la configuration de l authentification. Vous devez configurer l authentification d un utilisateur en respectant l ordre suivant : 1 Si une authentification externe utilisant des serveurs RADIUS ou LDAP est requise, configurez l accès à ces serveurs. Voir «Serveurs RADIUS» à la page 326 et «Serveurs LDAP» à la page Configurez des comptes utilisateurs locaux dans Utilisateur > Local. Pour chaque utilisateur, le mot de passe peut être authentifié par le boîtier FortiGate, un serveur RADIUS ou un serveur LDAP. Vo ir «Comptes utilisateurs locaux» à la page En cas d utilisation d un serveur Microsoft Windows Active Directory pour l authentification, configurez-en l accès. Voir «Configuration d un serveur Windows AD» à la page 329. Les u tilisateurs authentifiés par un serveur Active Directory n ont pas besoin de comptes utilisateurs locaux sur le boîtier FortiGate. Vous devez installe r les Fortinet Server Authentication Extensions (FSAE) sur votre réseau Windows. 4 Créez des groupes d utilisateurs dans Utilisateur > Groupe utilisateur et ajoutez- Il y a trois types de groupes d utilisateurs : Pare-feu, Active y des membres. Directory et VPN SSL. Paramétrage du timeout d authentification Les timeouts d authentification contrôlent combien de temps une connexion parefeu authentifiée peut rester inactive avant que l utilisateur ne doive s authentifier à nouveau. 324 Guide d Administration FortiGate Version 3.0

325 Définir un timeout d authentification 1 Sélectionnez Système > Admin > Settings. 2 Dans Paramètres de Timeout Utilisateur, entrez une période de temps en minutes. Le timeout d authentification par défaut est de 15 minutes. Comptes utilisateurs locaux Sélectionnez Utilisateur > Local pour ajouter des comptes utilisateurs locaux et con figurer une authentification. Illustration 181 : Liste des utilisateurs locaux Créer Nouveau Nom des utilisateurs Type Icône Supprimer Icône Editer Permet d ajouter un nouveau compte utilisateur local. Le nom de l utilisateur local. Le type d authentification à mettre en place pour cet utilisateur. Supprimer l utilisateur. Cette icône n apparaît pas si l utilisateur appartient à un groupe d utilisateurs. Permet d éditer le compte utilisateur. Remarque : Supprimer le nom utilisateur supprime également l authentification configurée pour l utilisateur. Edition d un compte utilisateur Sélectionnez Utilisateur > Local et cliquez sur Créer Nouveau pour créer un nouveau compte utilisateur. Vous pouvez également sélectionner l icône Editer d un compte utilisateur existant pour visualiser ou modifier ses paramètres. Illustration 182 : Options des utilisateurs locaux Nom de compte Entrez ou modifiez le nom du compte. Désactiver Cochez cette case si vous voulez empêcher cet utilisateur de s authentifier. Mot de passe Sélectionnez un mot de passe pour authentifier cet utilisateur à partir d un mot de passe stocké sur le boîtier FortiGate. Entrez un mot de passe d au moins 6 caractères de long. LDAP Cochez LDAP pour authentifier cet utilisateur à partir d un mot de passe stocké sur un serveur LDAP. Sélectionnez le serveur LDAP. Vous pouvez seulement sélectionner un serveur LDAP Guide d Administration FortiGate Version

326 RADIUS Serveurs RADIUS qui a été ajouté à la configuration LDAP FortiGate. Voir «Serveurs LDAP» à la page 327. Cochez RADIUS pour authentifier cet utilisateur à partir d un mot de passe stocké sur un serveur RADIUS. Sélectionnez le serveur RADIUS. Vous pouvez seulement sélectionner un serveur RADIUS qui a été ajouté à la configuration RADIUS FortiGate. Voir «Serveurs RADIUS» ci-dessous. Si vous avez configuré un support RADIUS et qu un utilisateur doit s authentifier à l aide d un serveur RADIUS, le boîtier FortiGate contacte ce serveur pour authentification. Sélectionnez Utilisateur > RADIUS pour configurer les serveurs RADIUS. Le port par défaut pour le trafic RADIUS est le Si votre serveur RADIUS utilise le port 1645, vous pouvez modifier le port RADIUS par défaut à partir de l interface de ligne de commande. Pour plus d informations,voir la commande config system global dans le FortiGate CLI Reference. Illustration 183 : Liste des serveurs RADIUS Créer Nouveau Nom Nom/Adresse IP Icône Supprimer Icône Editer Permet d ajouter un nouveau serveur RADIUS. Le nom du serveur RADIUS. Le nom de domaine ou l adresse IP du serveur RADIUS. Supprime une configuration de serveur RADIUS. Vous ne pouvez pas supprimer un serveur RADIUS qui a été ajouté à un groupe d utilisateurs. Editer une configuration de serveur RADIUS. Configuration d un serveur RADIUS Sélectionnez Utilisateur > RADIUS et cliquez sur Créer Nouveau pour créer une nouvelle configuration de serveur RADIUS. Vous pouvez également cliquer sur l icône Editer d un serveur RADIUS existant pour le modifier. Illustration 184 : Configuration RADIUS Nom Nom/Adresse IP Secret Entrez un nom pour identifier le serveur RADIUS. Entrez un nom de domaine ou une adresse IP d un serveur RADIUS. Entrez le secret du serveur RADIUS. 326 Guide d Administration FortiGate Version 3.0

327 Serveurs LDAP Si vous avez configuré un support LDAP et qu un utilisateur doit s authentifier à l aide d un serveur LDAP, le boîtier FortiGate contacte ce serveur pour authentification. Pour authentifier avec le boîtier FortiGate, l utilisateur entre un nom d utilisateur et un mot de passe. Le boîtier FortiGate envoie ces informations au serveur LDAP. Si ce serveur peut authentifier l utilisateur, celui-ci est connecté avec succès au boîtier FortiGate. Si le serveur LDAP ne peut pas authentifier l utilisateur, la connexion au boîtier FortiGate lui est refusée. Le boîtier FortiGate supporte la fonctionnalité du protocole LDAP définie dans la RFC2251 pour la recherche et la validation des noms d utilisateurs et mots de passe. FortiGate LDAP supporte tous les serveurs LDAP compatibles avec LDAP v3. Le support FortiGate LDAP ne couvre pas les fonctionnalités «privées», telle que la notification de la date d expiration d un mot de passe, qui est parfois disponible sur certains serveurs LDAP. Le support FortiGate LDAP ne fournit pas d informations à l utilisateur sur les raisons de l échec de l authentification. Sélectionnez Utilisateur > LDAP pour configurer les serveurs LDAP. Illustration 185 : Liste des serveurs LDAP Créer Nouveau Nom Nom/Adresse IP Port Identifiant Nom Commun Distinguished Name Icône Supprimer Icône Editer Ajoute un nouveau serveur LDAP. Le nom d identification du serveur LDAP sur le boîtier FortiGate. Le nom de domaine ou l adresse IP du serveur LDAP. Le port utilisé pour communiquer avec le serveur LDAP. L identifiant nom commun pour le serveur LDAP. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains serveurs utilisent un autre l identifiant tel que uid. Le distinguished name utilisé pour rechercher des entrées dans le serveur LDAP. Le distinguished name reflète la hiérarchie des classes d objets des bases de données LDAP au-dessus de l Identifiant Nom Commun. Supprime une configuration de serveur LDAP. Edite une configuration de serveur LDAP. Guide d Administration FortiGate Version

328 Configuration d un serveur LDAP Sélectionnez Utilisateur > LDAP et cliquez sur Créer Nouveau pour créer une nouvelle configuration de serveur LDAP. Vous pouvez également cliquez sur l icône Editer d une configuration d un serveur LDAP existante. Illustration 186 : Configuration d un serveur LDAP Nom Nom/Adresse IP Serveurs Windows AD Entrez ou modifiez un nom d identification de ce serveur LDAP. Entrez un nom de domaine ou une adresse IP du serveur LDAP. Port Entrez le port utilisé pour communiquer avec le serveur LDAP. Par défaut, LDAP utilise port 389. Identifiant Nom Commun Entrez l Identifiant Nom Commun pour le serveur LDAP. Ce champ est limité à 20 caractères. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains serveurs utilisent un autre l identifiant tel que uid. Distinguished Name Entrez le distinguished name utilisé pour rechercher des entrées sur le serveur LDAP. Entrez le distinguished name de base pour le serveur utilisant le X.500 correct ou le format LDAP. Le boîtier FortiGate transfère ce distinguished name inchangé au serveur. Par exemple, vous pouvez utiliser le distinguished name de base suivant : ou=marketing,dc=fortinet,dc=com où ou est le département dans l organisation et dc, le composant du domaine. Vous pouvez également spécifier des instances multiples du même champ dans le distinguished name, par exemple, pour spécifier de multiples unités organisationnelles : ou=account,ou=marketing,dc=fortinet,dc=com. Sur les réseaux utilisant des serveurs Windows Active Directory (AD) pour l authentification, les boîtiers FortiGate peuvent authentifier les utilisateurs de manière transparente, sans avoir à leur demander leur compte utilisateur et mot de passe. Vous devez pour cela installer le Fortinet Server Authentication Extensions (FSAE) sur le réseau et configurer le boîtier FortiGate pour retrouver les informations du serveur W indows AD. Pour plus d informations sur le FSAE, voir la FSAE Technical Note. Sélectionnez Utilisateur > Windows AD pour configurer les serveurs Windows AD. 328 Guide d Administration FortiGate Version 3.0

329 Illustration 187 : Liste de serveurs Windows AD Créer Nouveau FortiClient AD Adresse IP Icône Supprimer Icône Editer Icône Rafraîchir Permet d ajouter un nouveau serveur Windows AD. Le nom du serveur Windows AD avec FSAE. Vous pouvez étendre le nom du serveur pour afficher les informations du groupe et domaine Windows AD. Les adresses IP et les ports TCP d agents collecteurs (jusqu à maximum 5) qui envoient des informations sur la connexion au serveur Windows AD au boîtier FortiGate. Supprime ce serveur Windows AD. Edite ce serveur Windows AD. Fournit des informations sur les groupes et domaines à partir du serveur Windows AD. Configuration d un serveur Windows AD Sélectionnez Utilisateur > Windows AD et cliquez sur Créer Nouveau pour créer une nouvelle configuratio n de serveur Windows AD. Pour plus d informations à propos de FSAE, voir la FSAE Technical Note. Illustration 188 : Configuration du serveur Windows AD FortiClient AD Server # Adresse IP Mot de passe Entrez un nom pour le serveur Windows AD. Ce nom apparaît dans la liste des serveurs Windows AD lorsque vous créez des groupes d utilisateurs. 1 - # 5 Entrez les informations suivantes des agents collecteurs (maximum 5 agents collecteurs). Port Entrez l adresse IP du serveur Windows AD où cet agent collecteur est installé. Entrez le port TCP utilisé pour Windows AD. Ce doit être le même que le port FortiGate spécifié dans la configuration de l agent collecteur FSAE. Entrez le mot de passe pour l agent collecteur. Ceci est requis uniquement si vous avez configuré votre agent collecteur FSAE pour qu il requiert un accès authentifié. Guide d Administration FortiGate Version

330 Groupe d utilisateurs Un groupe d utilisateurs est une liste d identités d utilisateurs. Une identité peut être : un compte utilisateur local (compte utilisateur et mot de passe) stocké sur le boîtier FortiGate un compte utilisateur local avec mot de passe stocké sur un serveur RADIUS ou LDAP un serveur RADIUS ou LDAP (toutes les identités sur le serveur peuvent s authentifier) un groupe d utilisateurs défini sur un serveur Microsoft Active Directory (AD) Dans la plupart des cas, le boîtier FortiGate authentifie les utilisateurs en requérant leur compte utilisateur et mot de passe. Le boîtier FortiGate vérifie d abord les comptes utilisateurs locaux. En absence de correspondance, le boîtier FortiGate vérifie les serveurs RADIUS et LDAP qui appartiennent au groupe d utilisateurs. L authentification réussit lorsque la correspondance du compte utilisateur et du mot de passe a lieu. Pour un groupe d utilisateurs Active Directory, le serveur Active Directory authentifie les utilisateurs lorsqu il s se connectent au réseau. Le boîtier FortiGate reçoit les noms et adresse IP des utilisateurs de l agent collecteur FSAE. Pour plus d informations sur le FSAE, voir FSAE Technical Note. Vous pouvez configurer les groupes d utilisateurs pour fournir un accès authentifié à : des règles pare-feu qui requièrent une authentification Voir «Ajout d une auth entification aux règles pare-feu» à la page 238. des VPN SSL sur le boîtier FortiGate Voir «Options des règles pare-feu VPN SSL» à la page 243. des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup. Voir «Création d une nouvelle configuration phase 1» à la page 296. de XAuth pour les configurations Phase 1 VNP IPSec Voir XAUTH dans «Définition des paramètres avancés de la phase 1» à la page 299. de la configuration PPTP FortiGate Voir «Plage PPTP» à la page 312. de la configuration L2TP FortiGate Configurable uniquement à partir de la commande CLI config vpn 12tp. Voir le FortiGate CLI Reference. d une connexion administrateur via une authentification RADIUS Voir «Configuration d une authentification RADIUS des administrateurs» à la page 169. des groupes override du Filtrage Web FortiGuard Voir «Filtrage Web FortiGuard» à la page Guide d Administration FortiGate Version 3.0

331 Pour chaque ressource qui nécessite une authentification, vous devez spécifier quels groupes utilisateurs ont une permission d accès. Vous devez également déterminer le nombre et l adhésion des groupes d utilisateurs membres concernés pour vos besoins d authentification. Types de groupe d utilisateurs Il existe trois types de groupes d utilisateurs : Groupe d utilisateurs pare-feu Un groupe d utilisateurs pare-feu fournit un accès à une règle pare-feu qui requiert une authentification de type pare-feu et comprend le groupe d utilisateurs parmi les groupes autorisés. Le boîtier FortiGate requiert le compte utilisateur et mot de passe des membres du groupes lorsque l utilisateur tente d accéder aux ressources protégées par la règle pare-feu. Pour plus d informations, voir «Ajout d une authentification aux règles pare-feu» à la page 238. Un groupe d utilisateurs pa re-feu peut également fournir un accès à un VPN IPSec aux utilisateurs dialup. Dans ce cas, la configuration de la phase 1 VPN IPSec utilise l ID paire Accept dans l option paire groupe dialup. Le client VPN de l utilisateur est configuré avec comme compte utilisateur l ID du paire et comme mot de passe la clé partagée. L utilisateur arrive à se connecter au VPN IPSec uniquement si son compte utilisateur est membre d un groupe d utilisateurs autorisé et que le mot de passe corresponde à celui stocké sur le boîtier FortiGate. Un groupe d utilisateurs ne peut pas être un groupe dialup si l un des membres est authentifié à partir d un serveur RADIUS ou LDAP. Pour plus d informations, voir «Création d une nouvelle configuration phase 1» à la page 296. Un groupe d utilisateurs pare-feu peut être utilisé pour fournir des privilèges d override pour le filtrage web FortiGuard. Voir «Configuration des options override FortiGuard pour un groupe d utilisateurs» à la page 334. Pour des informations détaillées sur FortiGuard Web Filter, voir «Filtrage Web FortiGuard» à la page 378. Groupe d utilisateurs Active Directory Sur un réseau Microsoft Windows, le boîtier FortiGate peut permettre l accès aux membres de groupes utilisateurs d un serveur Active Directory qui ont été authentifiés sur le réseau Windows. Le FSAE (Fortinet Server Authentication Extensions) doit être installé sur les contrôleurs du domaine du réseau. Un groupe d utilisateurs Active Directory fournit un accès à une règle pare-feu qui requiert une authentification de type Active Directory et comprend le groupe d utilisateurs parmi les groupes autorisés. Les membres du groupe d utilisateurs sont des groupes Active Directory que vous sélectionnez dans une liste que le boîtier FortiGate reçoit des serveurs Windows AD que vous avez configurés. Voir «Serveurs Windows AD» à la page 328. Un groupe d utilisateurs Active Directory ne peut pas bénéficier des privilèges override FortiGuard ou d un accès VPN SSL. Guide d Administration FortiGate Version

332 Liste de groupes d utilisateurs Groupe d utilisateurs VPN SSL Un groupe d utilisateurs VPN SSL fournit un accès à une règle pare-feu qui requiert une authentification de type VPN SSL et comprend le groupe d utilisateurs parmi les groupes autorisés. Les comptes utilisateurs locaux, ainsi que les serveurs RADIUS et LDAP peuvent être membres d un groupe d utilisateurs VPN SSL. Le boîtier FortiGate requiert le nom du compte utilisateur et son mot de passe lorsque l utilisateur accède au portail web VPN SSL. Les paramètres du groupe d utilisateurs comprennent des options pour les fonctionnalités VPN SSL. Voir «Configuration des options d un groupe d utilisateurs VPN SSL» à la page 335. Un groupe d utilisateurs VPN SSL peut également fournir un accès aux utilisateurs dialup VPN IPSec. Dans ce cas, la configuration phase 1 VPN IPSec utilise l identifiant du paire à accepter configuré dans l option du groupe de paires. Le client VPN de l utilisateur est configuré avec comme compte utilisateur l IP du paire et comme mot de passe, la clé partagée. L utilisateur arrive à se connecter au VPN IPSec uniquement si le compte utilisateur est membre d un groupe d utilisateurs autorisé et que le mot de passe corresponde à un mot de passe stocké sur le boîtier FortiGate. Un groupe d utilisateurs ne peut pas être un groupe dialup si l un des membres est authentifié à partir d un serveur RADIUS ou LDAP. Pour plus d informations, voir «Création d une nouvelle configuration phase 1» à la page 296. Sélectionnez Utilisateur > Groupe utilisateur pour configurer des groupes d utilisateurs. Illustration 189 : Liste des groupes d utilisateurs Créer Nouveau Nom des groupes Membres Profil de protection Icône Supprimer Icône Editer Permet d ajouter un nouveau groupe d utilisateurs. Le nom du groupe d utilisateurs. Les noms sont répertoriés par type de groupe d utilisateurs : Pare-feu, Active Directory et VPN SSL. Les utilisateurs et serveurs RADIUS ou LDAP du groupe d utilisateurs. Le profil de protection associé à ce groupe d utilisateurs. Supprime le groupe d utilisateurs. Vous ne pouvez pas supprimer un groupe d utilisateurs repris dans une règle parefeu, une configuration phase 1 d un utilisateur dialup ou une configuration PPTP ou L2TP. Edite l adhésion d un membre et les options du groupe. 332 Guide d Administration FortiGate Version 3.0

333 Configuration d un groupe d utilisateurs Sélectionnez Utilisateur > Groupe utilisateur et cliquez sur Créer Nouveau ou s ur l icône Editer d un groupe existant pour configurer ses membres et autres options. Illustration 190 : Configuration d un group e d utilisateurs Nom Entrez le nom du groupe d utilisateurs. T ype Sélectionnez le type du groupe d utilisateurs : Voir «Types de groupe d utilisateurs» à la page 331. Profil de protection Utilisateurs disponibles Membres Bouton Flèche Droite Bouton Flèche Gauche Firewall Active Directory SSL-VPN Vous pouvez sélectionner ce groupe pour chaque règle pare-feu requérant une authentification pare-feu. Voir «Ajout d une authentification aux règles parefeu» à la page 238. Vous pouvez sélectionner ce groupe pour chaque règle pare-feu requérant une authentification Active Directory. Voir «Ajout d une authentification aux règles pare-feu» à la page 238. Vous pouvez sélectionner ce groupe pour chaque règle pare-feu dont l Action est définie sur SSL-VPN. Voir «Options des règles pare-feu VPN SSL» à la page 243. Disponible uniquement si le type est Firewall ou Active Directory. Sélectionnez un profil de protection pour ce groupe d utilisateurs. Vous pouvez sélectionner Créer Nouveau pour créer un nouveau profil de protection. La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP qui peuvent être ajoutés à un groupe d utilisateurs. La liste des utilisateurs, serveurs RADIUS ou serveurs qui appartiennent à un groupe d utilisateurs. LDAP Permet d ajouter un utilisateur ou un serveur à la liste des Membres. Sélectionnez le nom d un utilisateur ou d un serveur dans la liste Utilisateurs Disponibles et cliquez sur la flèche droite pour le transférer dans la liste des Membres. Permet de supprimer un utilisateur ou un serveur de la liste des Membres. Sélectionnez le nom d un utilisateur ou d un serveur dans la liste des Membres et cliquez sur la flèche Guide d Administration FortiGate Version

334 Override du filtrage web FortiGuard Options de groupe d utilisateurs SSL-VPN gauche pour le transférer dans la liste des Utilisateurs Disponibles. Ceci est uniquement disponible si le Type est défini sur Firewall. Permet de configurer les options override du filtrage web FortiGuard pour ce groupe. Voir «Configuration des options override FortiGuard pour un groupe d utilisateurs» cidessous. Ceci est uniquement disponible si le Type est défini sur VPN SSL. Pour des instructions détaillées à propos de la configuration du mode web ou du mode tunnel, voir le FortiGate SSL VPN User Guide. Remarque : Si vous tentez d ajouter des serveurs LDAP ou des utilisateurs locaux à un groupe configuré pour une authentification d administrateurs, un message d erreur s affiche. Configuration des options override FortiGuard pour un groupe d utilisateurs Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l icône Editer d un groupe d utilisateurs pare-feu. Afficher la section Override du filtrage Web FortiGuard. Illustration 191 : Configuration de l override du filtrage web FortiGuard Permettre l override du filtrage Web FortiGuard Override Scope Utilisateur Groupe d utilisateurs IP Profil Demander Catégories Les membres de ce groupe peuvent solliciter l override (l ignorance) de la page de blocage du filtrage Web FortiGuard. Le profil de protection pare-feu gérant la connexion doit avoir activé l override de FortiGuard. Le profil de protection désigne un groupe d utilisateurs comme groupe Override. Les membres de ce groupe Override peuvent authentifier sur la page FortiGuard Web Filter Block Override pour accéder au site bloqué. Pour plus d informations détaillées, voir «Filtrage Web FortiGuard» à la page 378. L override peut s appliquer au seul utilisateur qui sollicite l override ou en comprendre d autres. Choisissez entre : L utilisateur seul Le groupe d utilisateurs auquel appartient l utilisateur N importe quel utilisateur à l adresse IP de l utilisateur N importe quel utilisateur sur le sous-réseau de l utilisateur L utilisateur en cours d authentification choisit l override Type d Override Choisissez pour permettre l accès : Directory Domaine uniquement au niveau le plus bas du directory dans l URL à l intégralité du domaine du site web à la catégorie FortiGuard 334 Guide d Administration FortiGate Version 3.0

335 Demander Off-site URLs Autorisé Interdit Demander Override Time Constant Demander L utilisateur en cours d authentification choisit le type d override Choisissez si l utilisateur peut accéder aux liens des sites extérieurs du site bloqué : L utilisateur peut suivre les liens des autres sites. L utilisateur peut uniquement suivre les liens vers les destinations définies par le type d Override. L utilisateur en cours d authentification choisit de permettre l accès aux liens de sites extérieurs. Etablissez la durée de l override. Définissez la durée de l override en jours, heures, minutes. L utilisateur en cours d authentification détermine la durée de l override. La durée que vous définissez est la durée maximum. Configuration des options des groupes d utilisateurs VPN SSL Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l icône Editer d un groupe d utilisateurs VPN SSL. Affichez la section Options de groupe d utilisateurs VPN SSL. Pour des instructions détaillées sur la configuration en mode web et mode tunnel, voir le FortiGate SSL VPN User Guide. Illustration 192 : Options de groupe d utilisateurs VPN SSL Activer le service tunnel SSL-VPN Vérifier si le FortiClient est installé et fonctionne Vérifier la présence d un antivirus tiers Activer pour permettre aux utilisateurs de ce groupe de se connecter au réseau derrière le boîtier FortiGate utilisant le tunnel VPN SSL. Ceci n est pas disponible en mode Transparent. Permettre au client de se connecter seulement s il fonctionne avec le FortiClient Host Security Software. Pour plus d informations à propos de ce software, visitez le site de Documentation Technique Fortinet. Permettre au client de se connecter seulement si un logiciel antivirus Norton (Symantec) ou McAfee est installé. Cette option n est pas disponible si vous sélectionnez Vérifier si le FortiClient est installé et fonctionne. Guide d Administration FortiGate Version

336 Vérifier la présence d un firewall logiciel tiers Restreindre la plage IP du tunnel pour ce groupe Activer Web Application Proxy HTTP/HTTPS FTP Telnet (applet) Samba Activer Cache Clean Redirect URL Permettre au client de se connecter seulement si un logiciel pare-feu Norton (Symantec) ou McAfee est installé. Cette option n est pas disponible si vous sélectionnez Vérifier si le FortiClient est installé et fonctionne. Entrez les adresses IP de début et de fin de la plage intervalle pour ce groupe si vous désirez un override de la plage Tunnel IP définie dans VPN > SSL > Config. Activez le portail web pour fournir un accès aux application web. Ceci n est pas disponible en mode Transparent. Si vous activez Web Application, activez chaque applications dont l accès est permis aux utilisateurs de ce groupe. Enlève tous les fichiers temporaires Internet créés sur l ordinateur client entre la connexion et la déconnexion. Ceci s effectue grâce à un contrôle ActiveX téléchargé et fonctionne uniquement avec Internet Explorer sur Windows 2000 et Windows XP. Facultativement, ouvrez une deuxième fenêtre de navigation vers cette URL lorsque la page du portail VPN SSL s ouvre. Le serveur web de cette URL doit se trouver sur le réseau privé derrière le boîtier FortiGate. Vous pouvez également modifier la page de connexion du portail web VPN SSL. Pour plus d informations, voir «Modification du message de connexion VPN SSL» à la page 165. Personnaliser le message du portail pour ce groupe Entrez le message personnalisé à afficher sur la page de garde du portail pour ce groupe. Configuration de paires et de groupes de paires Vous pouvez définir des paires et des groupes de paires utilisés pour l authentification dans certaines configurations VPN. Pour ce faire, utilisez les commande CLI config user paire et config user peergrp. Pour davantage d informations, voir le chapitre «User» du FortiGate CLI Reference. 336 Guide d Administration FortiGate Version 3.0

337 Antivirus Cette section décrit comment configurer les options antivirus associées aux profils de protection pare-feu. Cette section couvre les sujets suivants : Antivirus Antivirus Modèles de Fichier Mise en Quarantaine Configuration Configuration de l Antivirus à partir de l interface de ligne de commande Le traitement Antivirus comprend des modules et des appliances variés exécutant des tâches séparées. Le boîtier FortiGate procède aux traitements antivirus dans l ordre d apparition des fonctionnalités dans le menu de l interface d administration web : modèle de fichier, analyse antivirus, et grayware, suivis par heuristique, configurable uniquement à partir de l interface de ligne de commande. Les services FortiGuard-Antivirus TM constituent d excellentes ressources offrant des mises à jour automatiques des bases de données antivirus et IPS, de même que de l antispam local DNSBL, et ce, à partir du FortiGuard Distribution Network (FDN). Par ailleurs, le Centre FortiGuard fournit une encyclopédie FortiGuard- Antivirus des virus et attaques, et publie le bulletin FortiGuard. Pour plus de détails, visitez le site de la Base de Connaissance Fortinet où vous trouverez également un lien vers le Centre FortiGuard. La connexion entre le boîtier FortiGate et le Centre FortiGuard se configure dans Système > Maintenance > FortiGuard Center. Voir «Configuration du boîtier FortiGate pour les services FDN et FortiGuard» à la page 186. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Alors que des paramètres antivirus sont configurés pour une utilisation globale, des paramètres spécifiques peuvent être implémentés pour chaque profil. Le tableau 34 compare les options antivirus des profils de protection et les paramètres du menu antivirus. Guide d Administration FortiGate Version

338 Tableau 34 : Configuration antivirus des profils de protection et du menu Antivirus Options antivirus des Profils de Paramètres Antivirus Protection Analyse antivirus Activer ou désactiver l analyse antivirus pour chaque protocole (http, FTP, IMAP, POP3, SMTP, IM). Modèle de fichier Modèles de Fichier Activer ou désactiver le traitement de modèle de Fichier (File Pattern) pour chaque protocole. Mise en Quarantaine Activer ou désactiver la mis e en quarantaine pour chaque protocole. Cette option est disponible sur les boîtiers avec un disque local ou un FortiAnalyzer configuré. Passer les s fragmentés Activer ou désactiver le passage d s fragmentés. Les s fragmentés ne peuvent pas être analysés contre les virus. Option «Comfort Client» Activer ou désactiver cette option pour le trafic HTTP et FTP. Etablir un intervalle et un volume en octets pour déclencher l option de comfort client. Fichier/Mail surdimensionné Configurer le boîtier FortiGate pour bloquer ou autoriser les fichiers et mails surdimensionnés pour chaque protocole. Etablir des seuils de taille pour les fichiers et mails pour chaque protocole dans Antivirus. Ajouter une signature aux mails sortants. Créer et activer une signature à ajouter aux mails sortants (SMTP seulement). Antivirus > Config > Liste de Virus Visualiser une liste (en lecture uniquement) des virus actuels. Antivirus > File Pattern Configurer des modèles de fichier pour bloquer ou autoriser ces fichiers. Des modèles peuvent aussi être activés ou désactivés individuellement. Antivirus > Mise en Quarantaine Visualiser et trier la liste des fichiers en quarantaine, configurer des modèles de fichier pour téléchargement automatique vers Fortinet pour analyse et configurer les options de quarantaine dans Antivirus. Antivirus > Config > Grayware Activer ou désactiver le blocage de grayware par catégorie. La configuration de modèles de fichier (File Pattern) permet de bloquer tous les fichiers potentiellement menaçants et empêcher les attaques et virus. Les fichiers peuvent être bloqués sur base du nom, de l extension ou tout autre caractéristique. Le blocage de modèles de nom de fichier offre la flexibilité de bloquer des contenus potentiellement dangereux. Remarque : Les entrées de modèles de fichier ne sont pas sensibles à la casse des caractères (lettre majuscule/minuscule). Par exemple, ajouter *.exe à une liste de modèles de fichier entraîne un bloca ge de tous les fichiers se terminant par.exe. 338 Guide d Administration FortiGate Version 3.0

339 En cas d opération standard, vous pouvez choisir de désactiver File Pattern dans le Profil de Protection et de l activer temporairement pour bloquer les menaces spécifiques quand elles apparaissent. Le boîtier FortiGate bloque les fichiers qui correspondent à un modèle de fichier spécifique et affiche un message de remplacement à la place. Le boîtier FortiGate enregistre un message dans le Journal Virus et peut être configuré pour envoyer un message d alerte. Si File Pattern et Virus Scan sont tout deux activés, le boîtier FortiGate bloque les fichiers correspondants aux modèles de fichier activés et ne procède pas à une analyse des virus. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Visualisation du catalogue de la liste des modèles de fichier (FortiGate-800 et plus uniquement) Les modèles FortiGate-800 et plus prévoient la possibilité d ajouter des listes de modèles de fichier et de sélectionner ensuite la liste la plus appropriée pour c haque profil de protection. Pour visualiser le catalogue des listes de modèles de fichier, sélectionnez Antivirus > File Pattern. Pour visualiser une liste de modèles de fichier, cliquez sur l icône Editer de la liste. Illustration 193 : Echantillon d un catalogue de listes de modèles de fichier Remarque : Le catalogue des listes de Modèles de Fichier par défaut s appelle builtinpatterns. Créer Nouveau Nom # entrées Le nombre de modèles de fichier dans chaque liste. Profils Commentaire Icône Supprimer Icône Editer Permet d ajouter une nouvelle liste de modèles de fichier au catalogue. Les listes de modèles de fichier disponibles. Les profils de protection auxquels la liste a été appliquée. Description facultative de chaque liste. Permet de retirer la liste du catalogue. Cette icône n est pas disponible lorsque la liste est reprise dans un profil de protection. Permet d éditer des informations de la liste de modèles de fichier telles que le nom de la liste ou le commentaire. Sélectionnez les listes de modèles de fichier dans les profils de protection. Pour plus d informations, voir «Options Antivirus» à la page 282. Guide d Administration FortiGate Version

340 Création d une nouvelle liste de modèles de fichier ( FortiGate-800 et plus uniquement) Pour ajouter une liste de modèles de fichier dans le catalogue, sélectionnez Antivirus > File Pattern et cliquez sur Créer Nouveau. Illustration 194 : Nouvelle liste de modèles de fichier Nom Commentaire Entrez un nom pour cette nouvelle liste. Entrez un commentaire pour décrire cette liste si nécessaire. Visualisation de la liste de modèles de fichier Pour visualiser la liste de modèles de fichier sur les modèles FortiGate-500 et moins, sélectionnez Antivirus > File Pattern. Illustration 195 : Liste des modèles de fichier par défaut pour les modèles FortiGate- 500 et moins Pour visualiser la liste des modèles de fichier sur les modèles FortiGate-800 et plus, sélectionnez Antivirus > File Pattern et cliquez sur l icône Editer de la liste à visualiser. 340 Guide d Administration FortiGate Version 3.0

341 Illustration 196 : Echantillon d une liste de modèles de fichier pour les modèles- FortiGate-800 et plus Nom Commentaire Créer Nouveau Filtre Action Activer Icône Supprimer Icône Editer Icône Déplacer Le nom de la liste. Pour modifier le nom, éditez le texte dans ce champ et cliquez sur OK. Le champ Nom apparaît sur les modèles FortiGate-800 et plus. Commentaire facultatif. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ commentaire et cliquez sur OK. Le champ commentaire apparaît sur les modèles FortiGate- 800 et plus. Permet d ajouter un nouveau modèle à la liste. La liste actuelle des modèles de fichier. Les fichiers correspondants aux modèles de fichier peuvent être définis sur Bloquer ou Autoriser. Décochez la case pour désactiver le modèle de fichier. Permet de retirer le modèle de fichier de la liste. Permet d éditer le modèle de fichier et son action. Permet de modifier la position du modèle de fichier dans la liste. Les fichiers sont comparés aux modèles de fichier activés, et ce dans leur ordre d apparition dans la liste, de haut en bas. Dans le cas où un fichier ne correspond pas à l un de modèles de fi chier spécifiés, il subit une analyse virale (si activée). Les fichiers passent s ils ne sont pas explicitement bloqués. L action Autoriser permet de renverser la procédure, en bloquant tous les fichiers sauf ceux précisés explicitement. Entrez tous les modèles de fichier que vous voulez laisser passer associés à l attribut Autoriser. A la fin de la liste, ajoutez le méta-caractère (*.*) associé à l action Autoriser. Les fichiers autorisés passent à travers l analyseur de virus (si activé) alors que les fichiers ne correspondant à aucun modèle de fichier sont bloqués grâce au méta-caractère ajouté à la fin de la liste. Sur les modèles FortiGate-500 et moins, la liste des modèles de fichier est préconfigurée avec les modèles par défaut suivants : Les fichiers exécutables (*.bat, *.com, *.exe) Les fichiers compressés ou archivés (*.gz, *.rar, *.tar, *.tgz, *.zip) Les librairies dynamiques (*.dll) Les applications HTML (*.hta) Guide d Administration FortiGate Version

342 Les fichiers Microsoft Office (*.doc, *.ppt, *.xl) Les fichiers Microsoft Works (*.wps) Les fichiers Visual Basic (*.vb) Les fichiers Screen Saver (*.scr) Les fichiers d informations de programmes (*.pif) Les modèles de fichier sont activés dans les profils de protection. Pour plus d information, voir «Options Antivirus» à la page 282. Configuration de la liste de modèles de fichier Les modèles de fichier peuvent faire 80 caractères de long. Une liste peut contenir un maximum de 5000 modèles de fichier. Pour ajouter un nouveau modèle de fichier, cliquez sur Créer Nouveau. Pour éditer un modèle de fichier existant, cliquez sur l icône Editer associée au modèle. Illustration 197 : Nouveau modèle de fichier Pattern Entrez le modèle de fichier. Celui-ci peut correspondre au nom exacte d un fichier ou inclure des méta-caractères. Action Sélectionnez un type de modèle de la liste déroulante : Wildcard ou Expression régulière. Activer Mise en Quarantaine Cochez pour activer le modèle. Les boîtiers FortiGate munis d un disque local peuvent placer en quarantaine des fichiers bloqués ou infectés. Vous pouvez visualiser le nom du fichier et ses statuts dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des fichiers spécifiques et d ajouter des modèles de fichier à la liste de soumission automatique pour un téléchargement automatique vers Fortinet pour analyse. Les boîtiers FortiGate non munis d un disque local peuvent placer en quarantaine des fichiers bloqués ou infectés sur un boîtier FortiAnalyzer. Les fichiers stockés sur un FortiAnalyzer peuvent êtres récupérés pour visualisation. Pour configurer un boîtier FortiAnalyzer, sélectionnez Journaux/Alertes > Configuration > Configuration du Journal. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. 342 Guide d Administration FortiGate Version 3.0

343 Visualisation de la liste des Fichiers mis en Quarantaine La liste des fichiers mis en quarantaine affiche des informations à propos de chaque fichier mis en quarantaine pour cause d infection par virus ou de blocage de fichiers. Vous pouvez trier les fichiers par nom de fichier, date, service, état, décompte (DC) ou time to live (TTL). Il est également possible de filtrer la liste selon l état ou le service du fichier en quarantaine. Pour visualiser la liste des Fichiers mis en quarantaine, sélectionnez Antivirus > Mise en Quarantaine > Fichiers en quarantaine. Illustration 198 : Liste des fichiers mis en quarantaine Cette liste comporte les fonctionnalités suivantes et affiche les informations suivantes pour chaque fichier mis en quarantaine : Appliquer Classer par Filtre Nom du Fichier Date Service Permet d appliquer les sélections de tri et de filtrage à la liste. Trie la liste. Choisissez entre Etat, Service, Nom du Fichier, Date, TTL ou décompte. Cliquez sur Appliquer pour lancer le tri. Le nom du fichier en quarantaine. Lorsqu un fichier est mis en quarantaine, tous les espaces sont enlevés du nom du fichier et une somme de vérification de 32-bit est exécuté sur le fichier. La somme de vérification apparaît dans le message de remplacement mais pas dans le fichier en quarantaine. Le fichier est stocké sur le disque dur du FortiGate avec la convention suivante : <32bit_CRC>.<processed_filename> Par exemple, un fichier du nom de Over Size.exe est stocké sous 3fc155d2.oversize.exe La date et l heure de la mise en quarantaine du fichier, sous le format jj/mm/aaaa hh:mm. Cette valeur indique le moment auquel le premier fichier a été mis en quarantaine si le décompte augmente. Le service à partir duquel le fichier a été mis en quarantaine (HTTP, FTP, IMAP, POP3, SMTP, IM). Etat La raison pour laquelle le fichier a été mis en quarantaine : contaminés, heuristiques ou filtrés. Description du statut Filtre la liste. Choisissez entre Etat (contaminés, heuristiques, filtrés) ou service (IMAP, POP3, SMTP, FTP ou HTTP). Cliquez sur Appliquer pour lancer le filtrage. Le mode heuristique est configurable à partir de l interface de ligne de commande seulement. Voir «Configuration de l Antivirus à partir de l interface de ligne de commande» à la page 350. Informations spécifiques relatives à l état, par exemple «File is infected with «W32/Klez.h»» ou «File was stopped by file block pattern». Guide d Administration FortiGate Version

344 DC TTL Statut du téléchargement Icône Supprimer Icône Télécharger Icône Soumettre Duplicate count - Décompte. Le nombre de duplicata du même fichier mis en quarantaine. Un nombre augmentant rapidement peut être un signal de la présence d un virus. Time to live sous le format hh:mm. Une fois le TTL écoulé, le boîtier FortiGate nomme le fichier EXP sous l en-tête TTL. Dans le cas de duplicata de fichiers, chaque duplicata trouvé rafraîchit le TTL. Un Y indique que le fichier a été téléchargé vers Fortinet pour analyse. Un N signifie que ce fichier n a pas été téléchargé. Permet de retirer un fichier de la liste. Permet de télécharger le fichier correspondant dans son format original. Permet de soumettre un fichier suspect à Fortinet pour analyse. Remarque : Les duplicatas de fichiers (basés sur la somme de vérification) ne sont pas stockés, seulement comptés. La valeur TTL et le comptage de duplicata sont mis à jour à chaque fois qu un fichier est trouvé. Visualisation de la liste de soumission automatique Vous pouvez configurer le boîtier FortiGate pour télécharger les fichiers suspects automatiquement vers Fortinet pour analyse. Vous pouvez également ajouter des modèles de fichier à la liste de soumission automatique en utilisant les méta- tères (* ou?). Les modèles de fichier sont appliqués à l AutoSubmit, sans carac tenir compte des paramètres de blocage de fichier. Téléchargez les fichiers vers Fortinet selon l état (filtré ou heuristique) ou soumettez des fichiers individuels directement à partir de la liste des fichiers mis en quarantaine. Le bo îtier FortiGate utilise des mails cryptés pour soumettre les fichiers à un serveur SMTP à partir du port 25. Cette option est disponible uniquement sur les boîtiers FortiGate munis d un disque local. Pour visualiser la liste de soumission automatique, sélectionnez Antivirus > Mise en Qua rantaine > Soumission automatique. Illustration 199 : Echantillon d une liste de soumission automatique Créer Nouveau Nom de fichier Icône Supprimer Permet d ajouter un nouveau modèle de fichier à la liste de soumission automatique. La liste en cours de modèles de fichier qui sera téléchargée automatiquement. Créez un modèle en utilisant les métacaractères? ou *. Cochez la case pour activer tous les modèles de fichier de la liste. Permet de retirer une entrée de la liste. 344 Guide d Administration FortiGate Version 3.0

345 Icône Editer Permet d éditer les informations suivantes : Modèle de Fichier et Activer. Configuration de la liste de soumission automatique Pour ajouter un modèle de fichier à une liste de soumission automatique, sélectionnez Antivirus > Mise en Quarantaine > Soumission automatique. Illustration 200 : Nouveau modèle de fichier Filtre Activer Entrez le modèle de fichier ou le nom de fichier à télécharger automatiquement vers Fortinet. Sélectionnez pour activer le modèle de fichier. Remarque : Pour activer un téléchargement automatique des modèles de fichier configurés, sélectionnez Antivirus > Mise en Quarantaine > Config et cochez Activer le téléchargement automatique et sélectionnez Utiliser les filtres de nom. Configuration des options de mise en quarantaine Sélectionnez Antivirus > Mise en Quarantaine > Config pour définir des options de configuration de mise en quarantaine, notamment le choix de mettre en quarantaine ou pas les fichiers contaminés ou filtrés et à partir de quel service. Configurez le TTL et les valeurs de taille de fichiers et activez les paramètres AutoSubmit. Illustration 201 : Configuration de la mise en Quarantaine (FortiGate avec disque local) Guide d Administration FortiGate Version

346 Illustration 202 : Configuration de la mise en Quarantaine (FortiAnalyzer d un FortiGate avec disque local) Illustration 203 : Configuration de la mise en Quarantaine (FortiAnalyzer d un FortiGate sans disque local) Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté dans l avenir. La configuration de la mise en quarantaine offre les options suivantes : Options Mise en quarantaine des fichiers contaminés: Sélectionnez les protocoles à partir desquels mettre en quarantaine les fichiers contaminés identifiés par l analyseur antivirus. Mise en quarantaine des fichiers suspects: Sélectionnez les protocoles à partir desquels mettre en quarantaine les fichiers suspects identifiés par heuristique. Mise en quarantaine des fichiers bloqués: Sélectionnez les protocoles à partir desquels mettre en quarantaine les fichiers bloqués identifiés par un blocage de fichiers antivirus. Cette option n est pas disponible pour les protocoles HTTP, FTP et IM parce qu un nom de fichier est bloqué avant téléchargement et ne peut pas être mis en quarantaine. Âge limite Le temps limite en heures pendant lequel les fichiers sont maintenus en quarantaine. Cette limite est utilisée pour formuler la valeur dans le colonne TTL de la liste des fichiers mis en quarantaine. Lorsque la limite est atteinte, la colonne TTL affiche EXP. et le fichier est supprimé (bien qu un enregistrement est maintenu dans la liste des fichiers mis en 346 Guide d Administration FortiGate Version 3.0

347 quarantaine). La valeur 0 (zéro) permet un stockage indéfini, dépendant de l espace libre sur le disque. Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Une quarantaine taille maximum trop haute pourrait impacter la performance. Configuration Espace disque faible FortiAnalyzer Sélectionnez l action à prendre lorsque le disque local est complet : Ecraser les plus vieux fichiers ou Ne pas mettre en quarantaine les nouveaux fichiers. Sélectionnez pour activer le stockage des fichiers bloqués ou en quarantaine sur un boîtier FortiAnalyzer. Voir «Journaux/Alertes» à la page 409 pour plus d informations sur la configuration d un boîtier FortiAnalyzer. Activer le téléchargement Active la fonctionnalité de soumission automatique. automatique Sélectionnez une ou les deux options ci-dessous : Appliquer Utiliser les filtres de nom : Active le téléchargement automatique des fichiers correspondants aux modèles de fichier dans la liste de soumission automatique. Utiliser le statut des fichiers : Active le téléchargement automatique de fichiers en quarantaine selon leur statut. Sélectionnez soit Heuristique, soit Nom filtré. Heuristique est configurable à partir de l interface de ligne de commande uniquement. Voir «Configuration de l Antivirus à partir de l interface de ligne de commande» à la page 350. Enregistre la configuration. La page Config affiche une liste des virus actuels bloqués par le boîtier FortiGate. Il est également possible de configurer des limites de tailles de fichiers et de mails, et de bloquer des graywares. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Visualisation de la liste des virus La liste des virus affiche une liste alphabétique FortiGuard des définitions actuelles des virus (appelées également définitions AV) installée sur le boîtier FortiGate. Celui-ci utilise les définitions de virus pour détecter ou enlever les virus, vers, troyens et autres menaces lorsqu ils passent à travers le boîtier FortiGate. Visualiser la liste complète ou des parties de cette liste en sélectionnant un intervalle numérique ou alphabétique. Pour visualiser la liste des virus, sélectionnez Antivirus > Config. La liste FortiGuard des définitions de virus est mise à jour à chaque réception d une nouvelle version FortiGuard des définitions AV par le boîtier FortiGate. L Encyclopédie des Virus du Centre FortiGuard comprend des descriptions détaillées de virus, vers, troyens et autres menaces pouvant être détectés et retirés par votre boîtier FortiGate grâce aux informations des définitions des virus FortiGuard. Guide d Administration FortiGate Version

348 Illustration 204 : Liste (partielle) des virus Les définitions AV FortiGuard sont généralement mises à jour automatiquement à partir du réseau de distribution FortiGuard (FDN FortiGuard Distribution Network). Sélectionnez Système > Maintenance > FortiGuard Center pour configurer automatiquement les mises à jour automatiques des définitions AV à partir du FDN. Vous pouvez également mettre à jour manuellement les définitions AV à partir du tableau de bord (sélectionnez Système > Statut). Visualisation de la liste des Graywares Les programmes Grayware sont des logiciels commerciaux non désirés qui s installent sur les ordinateurs, en général sans l autorisation ni connaissance de l utilisateur. Ces programmes sont considérés comme désagréments pouvant entraîner des problèmes de performance, vo ir être utilisés à des fins malveillantes. Le boîtier FortiGate procède à une analyse en vue des programmes exécutables grayware pour chaque catégorie activée. La liste et les contenus des catégories s ont ajoutés ou mis à jour à chaque réception de mise à jour de l antivirus par le boîtier FortiGate. De nouvelles catégories peuvent être créées à tout moment et seront téléchargées lors de la mise à jour antivirus. Par défaut, toutes les nouvelles catégories sont désactivées. L option de recherche de Grayware est activée dans un profil de protection lorsque Virus Scan est activé. L es catégories Grayware sont composées d e fichiers exécutables connus. A chaque réception des mises à jour des définitions antivirus et IPS par le boîtier F ortigate, les catégories grayware sont mises à jour. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globale ment. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Pour visualiser la liste Grayware, sélectionnez Antivirus > Config > Grayware. 348 Guide d Administration FortiGate Version 3.0

349 Illustration 205 : Echantillons des options grayware L activation d une catégorie grayware entraîne le blocage de tous les fichiers répertoriés dans cette catégorie. Les catégories peuvent être modifiées ou complétées lors des mises à jour. Choisissez parmi les catégories suivantes, celles que vous voulez bloquer : Adware BHO Dial Download Blocage des programmes adware. Les adwares sont généralement ancrés dans des logiciels gratuits qui entraînent l apparition de publicités à chaque ouverture ou utilisation du programme. Blocage des Browser Helper Object. Les BHO sont des fichiers DDL souvent installés dans des logiciels de manière à ce que ce logiciel puisse contrôler le comportement de l Internet Explorer 4.x et plus. Certains BHO sont bienveillants, mais il y a toujours un risque potentiel de rassembler des informations sur les habitudes de navigation. Blocage des programmes dialer. Les dialers sont des petits programmes qui peuvent se créer une nouvelle connexion Internet à des numéros surtaxés ou longues distances via les modems d autres PC. Blocage des programmes de téléchargement. Les téléchargements ont généralement lieu lors du démarrage Windows et sont destinés à installer des logiciels, en particulier des publicités. Game Blo cage de games. Les games sont en général des blagues ou jeux que vous voudrez probablement interdire aux utilisateurs du réseau. HackerTool Hijacker Joke Blocage des outils des attaquants. Blocage des programmes des substitueurs de navigateur. Les substitueurs de navigateur entraînent des modifications des paramètres du navigateur Internet, notamment dans les favoris, signets, page d accueil et options des menus. Blocage des programmes joke. Ces programmes peuvent comprendre des curseurs clients qui apparaissent pour affecter le système. Keylog Blocage des programmes Enregistreurs de frappe. Ces programmes enregistrent la frappe des touches sur le clavier notamment les mots de passe, les messages instantanés et les discussions sur forum. Misc NMT Blocage de n importe quel programme compris dans la catégorie grayware «miscellaneous». Blocage des Network Management Tools. Ces outils de gestion des réseaux peuvent être installés et utilisés avec malveillance pour modifier les paramètres et perturber la sécurité du réseau. Guide d Administration FortiGate Version

350 P2P Blocage des programmes de communication peer to peer. P2P, bien qu étant un protocole légitime, est souvent synonyme de programme de partage de fichiers utilisés pour échanger de la musique, des films et autres fichiers, souvent en toute illégalité. Plugin Blocage des modules d extension. Ces modules d extension viennent se greffer à un logiciel principal afin de lui apporter de nouvelles fonctionnalités. Ils sont souvent sans risque. Cependant, certaines barres d outils ou de modules d extensions peuvent tenter de contrôler ou enregistrer et envoyer les préférences de navigation de l utilisateur. RAT Spy Toolbar Blocage de Remote Administration Tools. Ces outils de gestion à distance permettent à des utilisateurs extérieurs de modifier et contrôler à distance un ordinateur du réseau. Blocage des logiciels espions. Les logiciels espions tels que les adware, sont souvent compris dans les logiciels gratuits. Ils permettent de faire des rapports des activités de l utilisateur telles que les habitudes de navigation Internet et de les envoyer à un site web de publicité qui les analysera. Blocage des barres d outils clients. Bien que certaines barres d outils sont sans risque, les développeurs de logiciels espions utilisent des barres d outils pour contrôler les habitudes de navigation et envoient ces informations au développeur. Configuration de l Antivirus à partir de l interface de ligne de commande Cette section parcourt les commandes CLI offrant des fonctionnalités supplémentaires que celles de l interface d administration web. Pour des descriptions et exemples complets sur l ajout de fonctionnalités à partir de l interface de ligne de commande, reportez-vous au FortiGate CLI Reference. system global optimize Cette fonctionnalité configure les paramètres CPU pour assurer un fonctionnement efficace de l analyseur antivirus ou de passage direct du trafic à travers le boîtier FortiGate. Lorsque cette fonction est définie sur antivirus, le boîtier FortiGate utilise un procédé de traitement multiple symétrique pour étendre les tâches antivirus à divers CPU, rendant ainsi l analyse plus rapide. Cette fonction est disponible sur les modèles FortiGate-1000 et plus. Pour plus d informations, voir l article Antivirus failopen and optimization sur le site de la Base de Connaissance Fortinet. config antivirus heuristic L engin antivirus heuristique FortiGate exécute des tests sur les fichiers pour détecter des comportements susceptibles d être effectués par des virus ou des indicateurs de virus connus. Une analyse heuristique est lancée en dernier, après que le filtrage des fichiers et l analyse antivirus n aient donné aucun résultat. L analyseur heuristique peut donc trouver de nouveaux virus mais risquent également de produire des résultats erronés. L engin heuristique est activé par défaut pour laisser passer les fichiers suspects vers le destinataire et envoyer une copie en quarantaine. Une fois configurée dans l interface de ligne de commande, l analyse heuristique est activée dans un profil de protection lorsque le Virus Scan est activé. 350 Guide d Administration FortiGate Version 3.0

351 Utilisez la commande heuristique pour modifier le mode d analyse heuristique. config antivirus quarantine La commande quarantaine donne également lieu à une configuration des paramètres liés à l analyse heuristique. Cette fonction est disponible sur les modèles FortiGate-200 et plus. config antivirus se rvice <service_name> Utilisez cette commande po ur configurer le traitement de l analyse antivirus de gros fichiers dans le trafic HTTP, FTP, IM, POP3, IMAP ou SMTP, ainsi que les ports que le boîtier FortiGate analyse pour le service. Guide d Administration FortiGate Version

352 Protection contre les Intrusions Le système de Prévention d Intrusion FortiGuard (IPS - Intrusion Prevention System) combine la détection et la prévention des intrusions d anomalies et de signatures, et ce avec la garantie d une haute fiabilité. Le système IPS offre un accès de configuration des options IPS activées lors de la création des profils de protection pare-feu. Cette section couvre les sujets suivants : A propos de la protection contre les intrusions Signatures prédéfinies Signatures personnalisées Décodeurs de protocoles Anomalies Configuration de l IPS à partir de l interface de ligne de commande A propos de la protection contre les intrusions Le boîtier FortiGate peut enregistrer le trafic suspect dans des journaux, envoyer des mails d alerte aux administrateurs et journaliser, passer, abandonner, réinitialiser ou supprimer les paquets ou sessions suspects. Il est important d ajuster des seuils d anomalies IPS pour un fonctionnement optimal du trafic sur les réseaux protégés. La création de signatures personnalisées permet de personnaliser le système IPS FortiGate pour des environnements réseaux divers. L IPS FortiGate correspond au trafic réseau contre les modèles contenus dans les signatures IPS. La fiabilité de ces signatures protège votre réseau des attaques connues. L infrastructure du FortiGuard de Fortinet assure une identification rapide des nouvelles menaces et le développement de nouvelles signatures IPS. Les services FortiGuard forment des ressources précieuses et comprennent des mises à jour automatiques des engins et définitions antivirus et IPS (attaques) grâce au Réseau de Distribution FortiGuard (FDN FortiGuard Distribution Network). Le Centre FortiGuard offre également une encyclopédie de virus et attaques et publie le bulletin de FortiGuard. Visitez le site de la Base de Connaissance Fortinet pour plus de détails et un lien vers le Centre FortiGuard. La connexion entre le boîtier FortiGate et FortiGuard est configurée dans Système > Maintenance > FortiGuard Center. Voir «Configuration du boîtier FortiGate pour les services FDN et FortiGuard» à la page 186 pour plus d informations. Vous pouvez configurer le boîtier FortiGate pour télécharger automatiquement les fichiers de définitions des attaques mis à jour qui contiennent les signatures les plus récentes. Vous pouvez également les télécharger manuellement. Une alternative est de configurer le boîtier FortiGate de manière à ce qu il autorise les mises à jour forcées des fichiers de définitions des attaques dès que ceux-ci sont disponibles sur le FDN. 352 Guide d Administration FortiGate Version 3.0

353 Lorsque le boîtier FortiGate installe un fichier de définition des attaques mis à jour, il vérifie que la configuration par défaut de chaque signature a été modifiée. Si c est le cas, ces modifications seront maintenues. Vous pouvez créer des signatures IPS personnalisées que le boîtier FortiGate utilisera en plus de sa vaste liste de signatures IPS prédéfinies. A chaque détection ou empêchement d une attaque, un message d attaque est généré. Vous pouvez configurer le boîtier FortiGate pour qu il ajoute le message au Journal des Attaques et envoie un mail d alerte aux administrateurs. Définissez alors à quel intervalle le boîtier FortiGate doit envoyer un mail d alerte. Vous pouvez réduire le nombre de message s journalisés et d alertes en désactivant les signatures pour les attaques auxquelles le système n est pas vulnérable, par exemple, les attaques web en l absence de fonctionnement du serveur web. La journalisation de paquets fournit aux administrateurs la possibilité d analyser les paquets pour une détection de faux positifs. Pour plus d informations sur la journalisation et les mails d alertes FortiGate, voir «Journaux/Alertes» à la page 409. Configurez l IPS et activez ou désactivez ensuite toutes les signatures ou toutes les anomalies dans les profils de protection pare-feu individuels. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Le tableau 35 décrit les paramètres IPS et comment y accéder pour les configurer. Tableau 35 : IPS des profils de protection et configuration IPS Options IPS des profils de protection Paramètres IPS Signature IPS Activer ou désactiver les signatures IPS par niveau de sévérité. Anomalie IPS Activer ou désactiver les anomalies IPS par niveau de sévérité. Journaux des Intrusions Intrusion Protection > Signature Visualiser et configurer une liste de signatures prédéfinies. Créer des signatures personnalisées basées sur les nécessités du réseau. Configurer des décodeurs de protocoles. Intrusion Protection > Anomaly Visualiser et configurer une liste d anomalies prédéfinies. Intrusion Protection > Anomaly > [individual anomaly] Activer la journalisation de toutes les Activer la journalisation pour chaque signatures et intrusions d anomalies. signature ou groupe de signatures. Activer la journalisation de paquets pour chaque signature ou anomalie. Pour accéder aux options IPS des profils de protection, sélectionnez Pare-feu > Profil de protection, cliquez su r Editer ou Créer Nouveau et sélectionnez IPS. Guide d Administration FortiGate Version

354 Signatures prédéfinies Les signatures prédéfinies sont arrangées en groupes basés sur le type des attaques. Par défaut, toutes les signatures ne sont pas activées mais la journalisation de toutes les signa tures est activée. Veillez à ce que le paramétrage par défaut répondent aux exigences du trafic du réseau. La désactivation de signatures inutiles peut améliorer la performance du système et réduire le nombre de messages journalisés et les mails d alertes générés par l IPS. Par exemple, l IPS détecte un grand nombre d attaques du serveur web. Si l accès à un serveur web derrière le boîtier FortiGate n est pas prévu, désactivez toutes les signatures des attaques du serveur web. Les groupes de signatures comprennent des paramètres configurables dépendant du type de signature dans le groupe de signatures. Les paramètres configurés pour un groupe de signature s appliquent à toutes les signatures de ce groupe. Visualisation de la liste de signatures prédéfinies Vous pouvez activer ou désactiver et configurer les paramètres pour les signatures prédéfinies individuelles de la liste. Cette liste peut être visualisée par niveau de sévérité de la signature. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Pour visualiser la liste des signatures prédéfinies, sélectionnez Intrusion Protection > Signature > Predefined. Illustration 206 : Liste des signatures prédéfinies Voir les signatures prédéfinies avec la sévérité : Nom des signatures Activer Sélectionnez des filtres et cliquez ensuite sur Go pour visualiser les signatures répondant aux critères des filtres. Les critères de tri peuvent être <=, =, >=, Tout, Information, Low, Medium, High ou Critical. Le nom du groupe de signatures. L état des signatures du groupe. Un cercle vert indique que chaque signature dans le groupe est activée. Un cercle gris 354 Guide d Administration FortiGate Version 3.0

355 Journaliser Action Sévérité Révision Icône Configurer indique qu aucune signature dans le groupe n est activée. Un cercle mi-gris, mi-vert indique que certaines signatures sont activées et d autres pas. L état de la journalisation pour les signatures du groupe. Par défaut, la journalisation est activée pour toutes les signatures. Lorsque la journalisation est activée, l action apparaît dans le champ Etat (Status ou Statut) du message journalisé généré par la signature. L action définie pour les signatures individuelles. Cliquez sur le triangle bleu pour faire apparaître les membres du groupe de signatures. L action peut être Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session, ou Supprimer la session. En cas d activation de la journalisation, l action apparaît dans le champ Etat du message journalisé généré par la signature. Voir le Tableau 36 pour une description de ces actions. Le niveau de sévérité défini pour chacune de ces signatures. Ce niveau peut être Information, Low, Medium, High ou Critical. Le niveau de sévérité est défini pour les signatures individuelles. Le nombre de révision pour les signatures individuelles. Pour afficher les membres du groupe de signatures, cliquez sur le triangle bleu. Configurez les paramètres pour les signatures individuelles ou un groupe entier. Les modifications apportées aux paramètres d un groupe s appliquent à tous les membres de ce groupe. De cette manière, cela permet d activer ou de désactiver tous les membres d un groupe en une seule opération. Icône Réinitialiser (Reset) Cette icône apparaît uniquement lorsque le paramétrage par défaut d une signature ou d un groupe a été modifié. Cliquez sur la flèche bleue pour dérouler le groupe de signatures pour visualiser les signatures qui ont été modifiées. Sélectionner cette icône pour une signature rétablit son paramétrage par défaut. Sélectionner cette icône pour un groupe rétablit le paramétrage par défaut du groupe et de toutes les signatures membres du groupe. Guide d Administration FortiGate Version

356 Le tableau 36 décrit chaque action possible pour les signatures prédéfinies, personnalisées ou les anomalies. Tableau 36 : Actions à sélectionner pour chaque signature prédéfinie Action Description Laisser passer Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et autorise le paquet à travers le pare-feu sans action supplémentaire. Si la journalisation est désactivée et l action établie sur Laisser passer, la signature est effectivement désactivée. Rejeter Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. La session pare-feu est intouchée. Fortinet recommande l utilisation d une autre action que Rejeter pour les attaques basées sur des connexions TCP. Réinitialiser Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Le boîtier FortiGate envoie une réinitialisation au client Réinitialiser côté client Réinitialiser côté serveur Rejeter tous les paquets de la session Laisser passer la session Supprimer la session et au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne s applique qu aux connexions TCP. Les attaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l action Réinitialiser est enclenchée avant que la connexion TCP soit entièrement établie, la session est supprimée. Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Le boîtier FortiGate envoie une réinitialisation au client et rejette la session pare-feu de la table de session pare-feu. Ceci ne s applique qu aux connexions TCP. Les attaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l action Réinitialiser côté client est enclenchée avant que la connexion TCP soit entièrement établie, la session est supprimée. Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Le boîtier FortiGate envoie une réinitialisation au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne s applique qu aux connexions TCP. Les attaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l action Réinitialiser côté serveur est enclenchée avant que la connexion TCP soit entièrement établie, la session est supprimée. Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Les paquets suivants de cette session pare-feu sont également rejetés. Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et autorise le paquet à travers le pare-feu. Les paquets suivants de cette session contournent l IPS. Lorsqu un paquet active une signature, le boîtier FortiGate génère une alerte et la session à laquelle appartient ce paquet est immédiatement retirée de 356 Guide d Administration FortiGate Version 3.0

357 la table de session. Aucun réinitialisation n est envoyée. Pour TCP, tous les paquets suivants sont rejetés. Pour UDP, tous les paquets suivants peuvent enclencher une nouvelle session créée par le parefeu. Configuration de groupes de signatures prédéfinies Pour modifier rapidement et facilement les attributs de toutes les signatures d un groupe, cliquez sur l icône Configurer du groupe de signatures associé. Seuls les attributs modifiés dans une fenêtre de configuration d un groupe sont appliquées aux signatures de ce groupe. Illustration 207 : Configuration de groupes de signatures IPS prédéfinies Signature Activer Journaliser Action Packet Log Severity Le groupe de signatures auquel les changements seront appliqués. Active toutes les signatures du groupe. Active la journalisation pour toutes les signatures du groupe. Sélectionnez une action de la liste à appliquer à toutes les signatures du groupe. Les différentes action sont : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Sélectionnez un niveau de sévérité de la liste déroulante. Les différents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les signatures individuelles. Configuration des signatures prédéfinies Pour chaque signature, configurez l action que l IPS FortiGate doit prendre lors de la déte ction d une attaque. L IPS FortiGate peut laisser passer, rejeter, réinitialiser ou supprimer les paquets ou les sessions. Activez ou désactivez la journalisation de paquets. Sélectionnez un niveau de sévérité à appliquer à la signature. Pour configurer des groupes de signatures, sélectionnez Intrusion Protection > Signature > Predefined. Guide d Administration FortiGate Version

358 Illustration 208 : Configuration des signatures IPS prédéfinies. Action Sélectionnez une des actions de la liste : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Packet Log Active la journalisation des paquets. Sévérité Sélectionnez un niveau de sévérité de la liste déroulante. Les différents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les signatures individuelles. Signatures personnalisées Les signatures personnalisée offrent le pouvoir et la flexibilité de personnaliser l IPS FortiGate pour des environnements réseaux divers. Les signatures prédéfinies FortiGate couvrent les attaques les plus courantes. Si une application inhabituelle ou spécialisée ou encore une plateforme peu commune est utilisée, vous pouvez ajouter des signatures personnalisées en fonction des alertes de sécurité publiées par les vendeurs de l application ou de la plateforme. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Visualisation de la liste des signatures personnalisées Pour visualiser la liste des signatures personnalisées, sélectionnez Intrusion Protection > Signature > Custom. Illustration 209 : Liste des signatures personnalisées Voir les signatures Sélectionnez les filtres et cliquez ensuite sur Go pour personnalisées avec la sévérité visualiser les signatures personnalisées qui correspondent à ces critères. Les différents critères sont <+, =, >= pour Tout, Information, Low, Medium, High ou Critical. Activer les signatures personnalisées Créer nouveau Icône Supprimer toutes les Activez ou désactivez le groupe de signatures personnalisées Permet de créer un nouvelle signature personnalisée. Supprime toutes les signatures personnalisées du groupe. 358 Guide d Administration FortiGate Version 3.0

359 signatures personnalisées Icône Réinitialiser aux valeurs par défaut? Nom des signatures Activer Journaliser Action Sévérité Icône Supprimer Icône Editer Réinitialise les paramètres par défaut à toutes les signatures personnalisées. Le nom des signatures. L état de chaque signature personnalisée. Une case cochée signifie que la signature est activée. Le statut de la journalisation pour chaque signature personnalisée. Une case cochée signifie que la journalisation est activée pour cette signature. L action établie pour chacune des signatures personnalisées. Les différentes actions sont : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est activée, l action apparaît dans le champ Etat du message journalisé généré par la signature. Voir le tableau 36 pour une description des actions. Le niveau de sévérité pour chaque signature personnalisée. Les différents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les signatures individuelles. Permet de supprimer une signature personnalisée. Permet d éditer les informations suivantes : Nom, Signature, Action, Packet Log et Sévérité. Création de signatures personnalisées L utilisation de signatures personnalisées sert à bloquer ou permettre des trafics spécifiques. Par exemple, pour bloquer le trafic comprenant un contenu pornographique, ajoutez des signatures personnalisées similaires au modèle suivant : F-SBID (--protocol tcp ; --flow established ; --content «nude cheerleader» ; -- no_case) Lors de l ajout de la signature, définissez l action sur Rejeter tous les paquets de la session. Pour plus d informations sur la syntaxe des signatures personnalisées, voir le FortiGate Intrusion Protection System (IPS) Guide. Remarque : Les signatures personnalisées consistent en une fonction avancée. Ce document présume que l utilisateur a l expérience nécessaire pour créer des signatures de détection d intrusions. Pour créer une signature personnalisée, sélectionnez Intrusion Protection > Signature > Custom. Guide d Administration FortiGate Version

360 Illustration 210 : Configurer une signature personnalisée Nom des signatures Signature Action Packet Log Sévérité Décodeurs de protocoles Le nom de la signature personnalisée. Entrez la signature personnalisée. Pour plus d informations sur la syntaxe des signatures personnalisées, voir le FortiGate Intrusion Protection System (IPS) Guide. Sélectionnez une action de la liste : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Sélectionnez un niveau de sévérité de la liste déroulante. Les différents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les signatures individuelles. L IPS FortiGate utilise la détection d anomalies pour identifier le trafic réseau qui tente d exploiter des failles connues. Activez ou désactivez la journalisation pour chaque anomalie de protocole, et configurez l action IPS à prendre en cas de détection d anomalie. Utilisez les commandes CLI pour configurer le contrôle de la session en fonction des adresses réseaux source et de destination. La liste de détection des anomalies des protocoles peut uniquement être mise à jour lors de la mise à jour de l image logicielle boîtier FortiGate. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. 360 Guide d Administration FortiGate Version 3.0

361 Visualisation de la liste de décodeurs de protocoles Pour visualiser la liste de décodeurs, sélectionnez Intrusion Protection > Signature > Protocol Decoder. Illustration 211 : Un échantillon de la liste des décodeurs de protocoles Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas être désactivés. Les fonctions IM et P2P ont besoin de ces décodeurs pour fonctionner. Cependant, le décodeur individuel peut être désactivé. Voir les protocol decoders Sélectionnez les filtres et cliquez ensuite sur OK pour avec la sévérité visualiser les seuls décodeurs qui correspondent aux critères des filtres. Les différents filtres sont <=, =, >= pour Tous, Information, Low, Medium, High ou Critical. Nom Activer Journaliser Le statut de la journalisation pour chaque décodeur de protocole. Une case cochée signifie que la journalisation est activée pour le décodeur. Les groupes de décodeurs utilisent un indicateur graphique pour le statut de la signature dans le groupe. Un cercle vert signifie que toutes les signatures du groupe sont activées. Un cercle gris indique qu aucune signature du groupe n a été activée. Un cercle mi-vert, mi-gris signifie que certaines signatures sont activées et d autres pas. Action L action définie pour chaque décodeur de protocoles : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est activée, l action apparaît dans le champ statut du message journalisé généré par le décodeur. Voir le tableau 36 pour une description des actions. Sévérité Le niveau de sévérité pour chaque anomalie de protocole. Les différents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les décodeurs individuels. Icône Configurer Icône Réinitialiser Le nom du décodeur de protocole. L état du décodeur de protocole. Une case cochée signifie que la signature du décodeur est activée. Permet d éditer les attributs du groupe de décodeurs de protocoles. Cette icône s affiche uniquement lorsqu un décodeur a été modifié. Utilisez cette icône pour restaurer les valeurs initiales des paramètres recommandés. Guide d Administration FortiGate Version

362 Configuration des groupes de décodeurs de protocoles IPS De nombreux groupes d anomalies de protocole ont des propriétés séparées des s ignatures du groupe. Sélectionnez l icône Configurer du groupe de décodeurs de p rotocoles afin d éditer les propriétés de ce groupe. L édition de la configuration du groupe ne modifiera pas les paramètres des anomalies individuelles du groupe. Chaque groupe d anomalies de protocole possède ses propriétés spécifiques. Modifier l une de ces propriétés impacte le fonctionnement du groupe. La manière d ont les changements affectent le groupe peuvent varier pour chaque groupe. Illustration 212 : Editer un Groupe d Anomalies de Protocole : HTTP Configuration des décodeurs de protocoles IPS Chaque anomalie de trafic IPS est prédéfinie par une configuration recommandée. Vous pouvez utiliser ces configurations recommandées ou les modifier pour répondre aux besoins de votre réseau. P our configurer les anomalies de trafic IPS, sélectionnez Intrusion Protection > Signature > Protocol Decoder. Illustration 213 : Editer une anomalie de protocole IPS : tcp_reassembler, stealth activity Anomalies Action Sélectionnez une action de la liste déroulante : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Packet Log Activer la journalisation des paquets. Sévérité Sélectionnez un niveau de sévérité de la liste déroulante : Information, Low, Medium, High, Critical. L IPS FortiGate utilise la détection d anomalies pour identifier le trafic réseau ne correspondant pas aux modèles de trafic connu ou prédéfini. L IPS FortiGate identifie quatre types d anomalies statistiques pour les protocoles TCP, UDP et ICMP. Flooding Si le nombre de sessions ciblant une seule destination en une seconde dépasse un seuil spécifié, la destination est submergée (flooding). 362 Guide d Administration FortiGate Version 3.0

363 Scan Limite de la session de la source Limite de la session de la destination Si le nombre de sessions provenant d une seule source en une seconde dépasse un seuil spécifié, la source est analysée. Si le nombre de sessions en cours à partir d une seule source dépasse un seuil spécifié, la limite de la session de la source est atteinte. Si le nombre de sessions en cours vers une seule destination dépasse un seuil spécifié, la limite de la session de la destination est atteinte. Il vous faut activer ou désactiver la journalisation pour chaque anomalie de trafic, et configurer l action IPS à enclencher en réponse à la détection d une anomalie. Dans de nombreux cas, les seuils utilisés par l anomalie pour détecter des modèles de trafic qui pourraient représenter une attaque sont configurables. Remarque : Il est important de connaître le trafic réseau normal et attendu avant de modifier les seuils d anomalie par défaut. Etablir un seuil trop bas pourrait causer des faux positifs, et à l inverse, établir un seuil trop élevé pourrait laisser passer des attaques. Pour configurer un contrôle de la session basé sur les adresses réseau source de destination, utilisez les commandes CLI. La mise à jour de la liste de détection des anomalies de trafic a lieu lors de la mise à jour de l image logicielle sur le boîtier FortiGate. et Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Visualisation de la list e des anomalies de trafic Pour visualis er la liste des anomalies, sélectionnez Intrusion Protection > Anomaly. Illustration 214 : Un échantillon de la liste des anomalies de trafic Voir les anomalies de trafic avec la sévérité Nom Activer Journaliser Sélectionnez les filtres et cliquez ensuite sur Go pour afficher les anomalies qui correspondent aux critères des filtres : Les critères sont <=, =, >= pour Tous, Information, Low, Medium, High, Critical. Le nom de l anomalie de trafic. L état de l anomalie de trafic. Une case cochée signifie que la signature de l anomalie est activée. L état de la journalisation pour chaque anomalie de trafic. Une case cochée signifie que la journalisation de l anomalie est activée. Guide d Administration FortiGate Version

364 Action Sévérité Icône Editer Icône Réinitialiser L action définie pour chaque anomalie de trafic : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est activée, l action apparaît dans le champ statut du message journalisé généré par l Anomalie. Voir le tableau 36 pour une description des actions. Le niveau de sévérité défini pour chaque anomalie de trafic. Il existe différents niveaux de sévérité : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les anomalies individuelles. Permet d éditer les informations suivantes : Action, Sévérité et Seuil. Cette icône s affiche uniquement si l anomalie a été modifiée. Elle permet de restaurer les valeurs par défaut des paramètres modifiés. Configuration des anomalies de trafic IPS Chaque anomalie de trafic IPS est prédéfinie par une configuration recommandée. Vous pouvez utiliser les configurations recommandées ou les modifier pour répondre aux besoins de votre réseau. Pour configurer les anomalies de trafic IPS, sélectionnez Intrusion Protection > Anomaly. Illustration 215 : Editer l Anomalie de Trafic IPS : icmp_dst_session Action Sélectionnez une action de la liste déroulante : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Sévérité Sélectionnez un niveau de sévérité de la liste déroulante : Information, Low, Medium, High, Critical. Seuil Dans le cas des anomalies IPS comprenant le paramètre seuil, le trafic dépassant le seuil spécifié enclenche l anomalie. 364 Guide d Administration FortiGate Version 3.0

365 Configuration commande system autoupdate ips de l IPS à partir de l interface de ligne de Cette section reprend les commandes CLI qui élargissent l éventail des fonctionnalités disponibles à partir de l interface d administration web. Pour plus de descriptions et exemples complets sur l activation des fonctionnalités supplémentaires à partir de l interface de ligne de commande, voir le FortiGate CLI Reference. Lorsque l IPS est mis à jour, les paramètres modifiés par l utilisateur sont conservés. Dans le cas où les paramètres recommandés des signatures IPS n ont pas été modifiés, et que les paramètres de mise à jour sont différents, les paramètres de la signature seront définis en fonction de la commande acceptrecommended-settings. ips global fail-open Si, pour quelque raison que ce soit, l IPS devait arrêter de fonctionner, par défaut il laisse passer le trafic. Ce qui signifie que le trafic réseau crucial ne sera pas bloqué, et que les pa re-feu continueront d opérer jusqu à ce que le problème soit résolu. ips global ip_protocol Sauve les ressources du système en restreignant le traitement IPS aux seuls services autorisés par les règles pare-feu. ips global socket-size Définit la taille de la réserve IPS. (config ips anomaly) config limit Accédez à la sous-comma nde config limit à partir de la commande config ips anomaly <name_str>. Utilisez cette commande pour un contrôle de la session basé sur les adresses réseau source et de destination. Cette commande est disponible pour tcp_src_sessi on, tcp _dst_session, icmp_src_session, icmp_dst_session, ud p_src_session, udp_dst_session. Guide d Administration FortiGate Version

366 Filtrage Web Filtrage Web Cette section décrit comment configurer les options du Filtrage Web. Les fonctions du filtrage web doivent être activées dans le profil de protection actif pour les paramètres correspondants. Cette section couvre les sujets suivants : Filtrage Web Filtrage par mots-clés Filtre URL Filtrage Web FortiGuard Le filtrage web comprend des modules variés qui exécutent des tâches séparées. Le boîtier FortiGate effectue le filtrage web dans l ordre d apparition des filtres dans le menu de l interface d administration web : filtrage par mots-clés, filtre URL et filtrage par catégorie (FortiGuard-Web). Le filtrage des scripts est effectué en dernier. Le Filtrage Web FortiGuard est décrit en détails dans la section «Options du Filtrage Web Fo rtiguard» à la page 285. Les corrections d évaluation, ainsi que des suggestions d évaluation pour de nouvelles pages peuvent être soumises via la page web du Centre FortiGuard. Visitez le site de la Base de Connaissance Fortinet : Fortinet Knowledge Center, pour plus de détails et un lien vers le Centre FortiGuard. Les tableaux suivants com parent les options de filtrage web dans les profils de protection et le menu du filtrage web. Tableau 37 : Filtrage Web et configuration du filtrage par mots-clés à partir des profils de protection Options de filtrage web des profils de Paramètres du Filtrage protection Web Filtrage par mots-clés Filtrage Web > Filtrage par mots-clés Activer ou désactiver le blocage de page web en fonction de mots-clés ou caractéristiques interdits dans la liste de filtrage par mots-clés pour le trafic HTTP. Ajouter des mots et caractéristiques pour bloquer les pages web contenant ces mots ou caractéristiques. Tableau 38 : Filtrage Web et configuration du filtrage d URL dans les profils de protection Options de filtrage web des Paramètres du Filtrage profils de protection Web Filtrage d URL Filtrage Web > URL Filter Activer ou désactiver le filtrage Ajouter les URL et caractéristiques d URL pour de page web pour le trafic HTTP dispenser ou bloquer les pages web provenant de en fonction de la liste du filtre sources spécifiques. URL. 366 Guide d Administration FortiGate Version 3.0

367 Tableau 39 : Filtrage Web et filtrage de script Web dans les profils de protection et configuration de téléchargement Options de filtrage web des profils de Paramètres du Filtrage Web protection Filtrage des ActiveX, Filtrage des cookies, n/a Filtrage des Applets Java Activer ou désactiver le blocage scripts de page web pour le trafic HTTP. Blocage Web resume Download n/a Activez pour bloquer le téléchargement du reste d un fichier déjà partiellement téléchargé. Cette option empêche le téléchargement involontaire des virus, mais peut par contre entraîner des interruptions dans le téléchargement. Tableau 40 : Filtrage Web et configuration du filtrage de catégories web dans les profils de protection Options de filtrage web des profils de Paramètres du Filtrage Web protection Activer le Filtrage Web FortiGuard (HTTP FortiGuard Web Filter > Configuration uniquement). Activer l Override du Filtrage Web FortiGuard FortiGuard Web Filter > Override (HTTP uniquement). Fournit le détail des erreurs HTTP 4xx et 5xx bloquées (HTTP uniquement). Evalue les images par URL (les images bloquées sont remplacées par des blancs) (HTTP uniquement). Autorise les sites web lorsqu une erreur d évaluation a lieu (HTTP uniquement). Blocage strict (HTTP uniquement). Catégorie / Action Le service de Filtrage Web FortiGuard fournit de nombreuses catégories à partir desquelles le trafic web peut être filtré. Choisissez l action à prendre pour chaque catégorie : autorise, bloque, journalise ou autorise l override. Les catégories locales peuvent être FortiGuard Web Filter > Catégories locales/local configurées pour convenir aux besoins locaux. Ratings Classification / Action Si sélectionnés, les utilisateurs peuvent accéder aux sites web fournissant des contenus sauvegardés et des moteurs de recherche de fichiers image, son et vidéo. Choisissez entre autorise, bloque, journalise ou autorise l override. Pour accéder aux options de filtrage web des profils de protection, sélectionnez Pare-feu > Profil de protection, cliquez sur Editer ou Créer Nouveau et sélectionnez Filtrage Web ou Filtrage par Catégorie Web. Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités de filtrage web sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Guide d Administration FortiGate Version

368 Filtrage par mots-clés Vous pouvez contrôler le contenu du web en bloquant des mots ou caractéristiques spécifiés. Si cette option est activée dans le profil de protection, le boîtier FortiGate recherche ces mots et caractéristiques sur les pages web demandées. Dans le cas où des correspondances sont trouvées, les valeurs affectées à ces mots sont additionnées. La page web est bloquée lorsque la valeur seuil pour cet utilisateur est dépassée. Utilisez des expressions régulières en Perl ou des méta-caractères (wildcard) pour ajouter des modèles de mots interdits à la liste. Remarque : Les expressions régulières en Perl sont sensibles à la casse des caractères pour le filtrage par mots-clés. Pour modifier cela et rendre le mot ou la phrase insensible à la casse des caractères, utilisez l expression /i. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse. Les méta-caractères (wildcards) ne sont pas sensibles à la casse des caractères. Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus) Vous pouvez ajouter de multiples listes de blocage de contenu Web pour les modèles FortiGate-800 et plus, et sélectionnez ensuite la meilleure liste pour chaqu e profil de protection. Pour visualiser le catalogue des listes, sélectionnez Filtrage Web > Filtrage par mots-clefs. Pour visualiser n importe quelle liste de blocage de contenu web, cliquez sur l icône Editer de la liste correspondante. Illustration 216 : Echantillon d un catalogue de listes de blocage de contenu web Créer Nouveau Nom Pour ajouter une nouvelle liste au catalogue, entrez un nom et sélectionnez Ajouter. Les nouvelles listes sont vides par défaut. Les listes de filtrage par mots-clés disponibles. # d entrées Le nombre de mots-clés dans chaque liste. Profils Commentaire Icône Supprimer Icône Editer Le profil de protection auquel s applique chacune des listes. Description facultative de chaque liste de filtrage par mots- clés. Sélectionnez pour retirer la liste du catalogue. Cette icône est disponible si la liste n est pas reprise dans un profil de protection. Sélectionnez pour éditer une liste, un nom de liste ou un commentaire. Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour plus d informations, voir «Options du Filtrage Web» à la page Guide d Administration FortiGate Version 3.0

369 Création d une nouvelle liste de blocage de contenu Web (Modèle boîtier FortiGate-800 et plus) Pour ajouter une liste de blocage de contenu Web au catalogue, sélectionnez Filtrage Web > Filtrage par mots-clés et cliquez sur Créer Nouveau. Illustration 217 : Nouvelle liste de blocage de contenu web Nom Commentaire Entrez un nom à la liste. Entrez un commentaire pour décrire la liste, si nécessaire. Visualisation de la liste de blo cage de contenu Web Grâce à l activation de blocage de contenu Web, chaque page web demandée est comparée à la liste de blocage de contenu. La valeur du score de chaque modèle apparaissant sur la page est additionnée. Si le total dépasse la valeur seuil définie dans le profil de protection, la page est bloquée. Le score d un modèle est calculé une seule fois même s il apparaît à plusieurs reprises sur la page. Pour visualiser la liste de blocage du contenu Web sur les modèles 500 et moins, sélectionnez Filtrage Web > Filtrage par mots-clefs. Illustration 218 : Echantillon d une liste de blocage de contenu Web pour les FortiGate-500 et moins Pour visualiser la liste de blocage du contenu Web sur les modèles 800 et plus, sélectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur l icône Editer d une liste que vous voulez visualiser. Guide d Administration FortiGate Version

370 Illustration 219 : Echantillon d une liste de blocage de contenu Web pour les FortiGate-800 et plus Remarque : Activer Filtrage Web > Web Content Block dans un profil de protection pare-feu pour activer les paramètres de blocage de contenu. Nom Nom de la liste de blocage de contenu. Pour modifier le nom, éditer le texte dans le champ et cliquez sur OK. Le champ Nom s affiche sur les modèles FortiGate 800 et plus. Commentaire Commentaire facultatif. Pour ajouter ou éditer un commentaire, entrez un texte dans le champ Commentaire et cliquez sur OK. Le champ Commentaire s affiche sur les modèles FortiGate- 800 et plus. Créer Nouveau Total Icône Haut de page Icône Bas de page Icône Supprimer toutes les entrées Modèles Type de modèles Langage Score Icône Supprimer Icône Editer Permet d ajouter un modèle à la liste. Le nombre de modèles dans la liste. Permet d afficher la page précédente. Permet d afficher la page suivante. Permet de supprimer les entrées de la table. La liste en cours des modèles. Cochez la case pour activer tous les modèles de la liste. Le type de modèle utilisé dans l entrée de la liste de modèles. Choisissez entre Wildcard (méta-caractère) ou Expression régulière. Voir «Utilisation des expressions régulières en Perl» à la page 400. Le caractère du modèle. Choisissez entre Chinois Simplifié, Chinois Traditionnel, Français, Japonais, Coréen, Thaï ou Occidental. Une valeur numérique affectée au modèle. Les valeurs des scores de tous les modèles correspondants apparaissant sur la page sont additionnées. Si le total dépasse la valeur seuil définie dans le profil de protection, la page est bloquée. Permet de supprimer une entrée de la liste. Permet d éditer les informations suivantes : Modèles, Type de modèles, Langage, Activer. 370 Guide d Administration FortiGate Version 3.0

371 Configuration de la liste de blocage de contenu web Les modèles de contenu web peuvent être entrés sous forme de mot ou de texte jusqu à 80 caractères de long. Le nombre maximum de mots-clés dans la liste est de Pour ajouter ou éditer un modèle de blocage de contenu, sélectionnez Filtrage Web > Content Block. Illustration 220 : Nouveau modèle banni Modèle Type de format Langage Score Activer Entrez un modèle de blocage de contenu. Si vous entrez un mot, le boîtier FortiGate recherche ce mot sur toutes les pages web. Si vous entrez une phrase, il recherche tous les mots de la phrase sur toutes les pages web. Si vous entrez une phrase entre guillemets, il recherche la phrase entière sur toutes les pages web. Sélectionnez un type de format de la liste déroulante : Wildcard ou Expression Régulière. Sélectionnez une langue de la liste déroulante. Entrez un score pour le modèle. Cochez cette case pour activer le modèle. Visualisation du contenu de la liste d exemption des contenus Web (modèles FortiGate-800 et plus) Vous pouvez ajouter de multiples listes d exemption des contenus Web pour les modèles FortiGate-800 et plus, et sélectionner ensuite la meilleure liste pour chaque p rofil de protection. Pour visualiser le contenu de ces listes, sélectionnez Filtrage Web > Filtrage par mots-clés > Web Content Exempt. Pour visualiser chaque liste d exemption des contenus Web individuellement, cliquez sur l icône Editer de la liste correspondante. Illustration 221 : Echantillon d un catalogue de liste d exemption des contenus Web Créer Nouveau Nom Pour ajouter une nouvelle liste au catalogue, entrez un nom et sélectionnez Ajouter. Les nouvelles listes sont vides par défaut. Les listes d exemption des contenus Web disponibles. # d entrées Le nombre de modèles de contenu dans chaque liste de blocage de contenu web. Guide d Administration FortiGate Version

372 Profils Commentaire Icône Supprimer Icône Editer Le profil de protection appliqué à chaque liste. Description facultative de chaque liste. Permet de retirer une liste du catalogue. Cette icône est disponible si la liste n est pas reprise dans un profil de protection. Permet d éditer une liste, le nom de la liste ou le commentaire. Sélectionnez les listes d exemption des contenus Web dans les profils de protection. Pour plus d informations, voir «Options de filtrage web» à la page 283. Création d une nouvelle liste d exemption des contenus Web (modèles FortiGate- 800 et plus) Pour ajouter une liste d exemption des contenus Web au catalogue, sélectionnez Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur Créer Nouveau. Illustration 222 : Nou velle liste d exemption des contenus Web Nom Commentaire Entrez un nom à cette nouvelle liste. Entrez, si nécessaire, un commentaire qui décrive cette liste. Visualisation de la liste d exemption des contenus Web Les exemptions autorisent l overriding de la fonction de blocage de contenu web. Si l un des modèles d exemption défini dans la liste d exemption des contenus Web (web content exempt list) apparaît sur une page web, celle-ci ne sera pas bloquée même si elle aurait dû l être par la fonction de blocage de contenu web. Pour visualiser la liste d exemption des contenus Web sur les modèles FortiGate- 500 et moins, sélectionnez Filtrage Web > Blocage par mots-clefs > Web Content Exempt. Illustration 223 : Echantillon d une liste d exemption des contenus Web pour modèles FortiGate-500 et moins les Pour visualiser la liste d exemption des contenus Web sur les modèles FortiGate- 800 et plus, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt et cliquez sur l icône Editer de la liste à visualiser. 372 Guide d Administration FortiGate Version 3.0

373 Illustration 224 : Echantillon d une liste d exemption des contenus Web pour les modèles FortiGate-800 et plus Remarque : Pour activer les paramètres des contenus exemptés, activez Filtrage Web > Web Content Exempt dans un profil de protection pare-feu. La liste d exemption des contenus Web offre les icônes et fonctionnalités suivantes : Nom Commentaire Créer Nouveau Total Icône Haut de page Icône Bas de page Icône Supprimer toutes les entrées Modèle Type de modèle Langage Permet de supprimer la table. Le type de modèle utilisé par cette entrée. Choisissez entre Wildcard ou Expression Régulière. Voir «Utilisation des expressions régulières en Perl» à la page 400. Les caractères utilisés par le modèle : Chinois simplifié, Chinois traditionnel, Français, Japonais, Coréen, Thaï ou Occidental. Icône Supprimer Permet de supprimer l entrée de la l iste. Icône Editer Le nom de la liste. Pour le modifier, entrez un nouveau nom dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus. Un commentaire facultatif. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez ensuite sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus. Permet d ajouter un modèle à la liste. Le nombre de modèles dans la liste. Permet de visualiser la page précédente. Permet de visualiser la page suivante. La liste des modèles en cours. Cochez la case pour activer tous les modèles de la liste. Permet d éditer les informations suivantes : Modèle, Type de modèle, Langage et l activation. Configuration de la liste d exemption des contenus Web Les modèles de contenu web exempté se trouve sous la fo rme d un mot ou d une phrase longue de maximum 80 caractères. La liste peut contenir jusqu à 5000 mots. Guide d Administration FortiGate Version

374 Pour ajouter ou éditer un modèle d exemption, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt. Illustration 225 : Nouveau modèle d exemption Filtre URL Modèle Entrez le modèle d exemption. Dans le cas d un mot unique, le boîtier FortiGate recherche le mot dans toutes les pages web. Dans le cas d une phrase, le boîtier FortiGate recherche chaque mot de la phrase dans toutes les pages web. Dans le cas d une phrase entre guillemets, le boîtier FortiGate recherche la phrase entière dans toutes les pages web. Type de modèle Sélectionnez un type de modèle dans la liste déroulante : Wildcard ou Expression Régulière. Langage Activer Sélectionnez un type de caractères dans la liste déroulante. Cochez pour activer le modèle. Vous pouvez autoriser ou bloquer l accès à certaines URL en les ajoutant à la liste de filtre URL. Cela se fait par l ajout de modèles utilisant du texte et des expressions rég ulières (ou des méta-caractères). Le boîtier FortiGate autorise ou bloque les pages web corr espondantes aux URL ou modèles spécifiés et affiche un message de remplacement à la place de la page. Remarque : Pour activer les paramètres des filtres URL, activez Filtrage Web > Web URL Filter dans un profil de protection pare-feu. Remarque : Le blocage d URL n empêche pas l accès aux autres services que les utilisateurs ont sur leur navigateur web. Par exemple, le blocage d URL ne bloque pas l accès à ftp://ftp.exemp le.com. A la place, utilisez des règles pare-feu pour bloquer les connexions FTP. Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et plus) Vous pouvez ajouter plusieurs listes de filtres URL pour les modèles FortiGate-800 et plus, et sélectionner ensuite la liste de filtres URL la plus appropriée à chaque profil de protection. Pour visualiser le catalogue de ces listes, sélectionnez Filtrage Web > URL Filter. Pour visualiser une liste de filtres URL individuellement, cliquez sur l icône Editer de la liste à visualiser. 374 Guide d Administration FortiGate Version 3.0

375 Illustration 226 : Echantillon du catalogue des listes de filtres URL Créer Nouveau Nom Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont par défaut vide. Les listes de filtres URL disponibles. # d entrées Le nombre de modèles URL dans chaque liste de filtres URL. Profils Commentaire Les profils de protection auxquels s applique la liste. Description facultative pour chaque liste de filtres URL. Icône Supprimer Permet de supprimer une liste de filtres URL d un catalogue. Cette icône s affiche si la liste n est pas reprise dans un profil de protection. Icône Editer Permet d éditer une liste de filtres URL, le nom de la liste ou le commentaire. Sélectionnez Listes de filtres URL (URL filter lists) dans les profils de protection. Pour plu s d informations, voir «Options de filtrage web» à la page 283. Création d une nouvelle liste de filtres URL (Modèles FortiGate-800 et plus) Pour ajouter une liste de filtres URL au catalogue, sélectionnez Filtrage Web > URL Filter et cliquez sur Créer Nouveau. Illustration 227 : Nouvelle liste de filtres URL Nom Commentaire Entrez un nom à la nouvelle liste. Entrez, si nécessaire, une description de la liste. Visualisation de la liste des filtres URL Il est possible d ajouter des URL spécifiques à bloquer ou à exempter et d ajouter les éléments suivants à la liste de filtres URL : URL complètes Adresses IP URL partielles qui permettent de bloquer ou d autoriser tous les sousdomaines. Guide d Administration FortiGate Version

376 Pour visualiser la liste des filtres URL sur les FortiGate-500 et moins, sélectionnez Filtrage Web > URL Filter. Illustration 228 : Liste de filtres URL sur les FortiGate-500 et moins Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, sélectionnez Filtrage Web > URL Filter et cliquez sur l icône Editer de la liste à visualiser. Illustration 229 : Liste de filtres URL sur les FortiGate-800 et plus La liste de filtres URL possède les icônes et fonctionnalités suivantes : Nom Commentaire Créer Nouveau Icône Page précédente Icône Page suivante Icône Supprimer toutes les entrées URL Type Icône Editer Le nom de la liste de filtres URL. Pour le modifier, entrez un nouveau nom dans le champ Nom et cliquez sur OK. Ce champ s affiche sur les modèles FortiGate-800 et plus. Un commentaire facultatif. Pour l ajouter ou le modifier, entrez un commentaire dans ce champ et cliquez sur OK. Ce champ s affiche sur les modèles FortiGate-800 et plus. Sélectionnez pour ajouter une URL à la liste de blocage des URL. Permet de visualiser la page précédente. Permet de visualiser la page suivante. Permet de supprimer toutes les entrées de la table. La liste en cours des URL bloquées ou exemptées. Cochez la case pour sélectionner toutes les URL de la liste. Le type d URL : Simple ou Regex (expression régulière). Action L action à prendre lors d une correspondance avec l URL : Bloquer, Autoriser ou Exempter. Icône Supprimer Icône Déplacer Permet de retirer une entrée de la liste. Permet d éditer les informations suivantes : URL, Type, Action et l activation. Ouvre la boîte de dialogue de déplacement d un filtre URL. 376 Guide d Administration FortiGate Version 3.0

377 Configuration d une liste de filtres URL Une liste de filtres URL peut compter jusqu à 5000 entrées. Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, «com») pour bloquer l accès à toutes les URL comprenant ce suffixe. Pour ajouter une URL à la liste de filtres URL, sélectionnez Filtrage URL > URL Filter. Illustration 230 : Nouveau filtre URL URL Type Action Activer Entrez une URL sans inclure Sélectionnez un type dans la liste déroulante : Simple ou Regex (Expression Régulière). Sélectionnez une action dans la liste déroulante : Autoriser, Bloquer, Exempter. Cochez cette case pour activer l URL. Entrez une URL ou une adresse IP de haut niveau pour contrôler l accès à toutes les pages d un site web. Par exemple, ou contrôle l accès à toutes les pages de ce site web. Entrez une URL de haut niveau suivie d un chemin et d un nom de fichier pour contrôler l accès à une seule page d un site web. Par exemple, ou /news.html contrôle l accès à la page News de ce site. Pour contrôler l accès à toutes les pages dont l URL se termine par exemple.com, ajoutez exemple.com à la liste de filtres. Par exemple, l ajout de exemple.com contrôle l accès à mail.exemple.com, etc. Les filtres web FortiGate supportent les expressions régulières standard. Remarque : Les URL dont l action est définie sur Exempter ne sont pas soumises à l analyse de virus. Si les utilisateurs du réseau téléchargent des fichiers provenant de sites web de confiance, ajoutez l URL de ce site à la liste de filtres URL avec l action définie s ur Exempter pour que le boîtier FortiGate ne procède pas à l analys e de virus de ces fichiers. Remarque : Pour activer les paramètres des filtres URL, activez Filtrage Web > Web URL Filter dans u n profil de protection pare-feu. Guide d Administration FortiGate Version

378 Déplacement d URL au sein de la liste de filtres URL Pour simplifier l utilisation de la liste de filtres URL, les entrées peuvent être déplacées à différents endroits de la liste. Pour déplacer une URL dans la liste, sélectionnez l icône Déplacer à droite de l URL à déplacer. Illustration 231 : Déplacer un filtre URL Déplacer vers (URL) Filtrage Web FortiGuard Choisissez une localisation dans la liste. Entrez l URL avant ou après laquelle la nouvelle URL doit être placée. Le service FortiGuard-Web est une solution de filtrage Web gérée par Fortinet. FortiGuard-Web trie des centaines de millions de pages web en une grande gamme de catégories que les utilisateurs peuvent autoriser, bloquer ou surveiller. Le boîtier FortiGate se connecte au Point de Service FortiGuard-Web le plus proche pour déterminer la catégorie d une page web sollicitée et suit ensuite les directives de la règle pare-feu configurée pour cet utilisateur ou cette interface. FortiGuard-Web comprend plus de 60 millions d évaluation de sites web couvrant ainsi des centaines de millions de pages. Les pages sont triées et évaluées en fonction de 56 catégories que les utilisateurs peuvent bloquer, autoriser ou surveiller. Les catégories peuvent être ajoutées ou mises à jour en fonction de l évolution d Internet. Pour simplifier une configuration, l utilisateur peut également choisir de bloquer, autoriser ou surveiller des groupes entiers de catégories. Les pages bloquées sont alors remplacées par un message indiquant que la page n est pas accessible étant donné le règlement en vigueur sur l utilisation de l Internet. Les évaluations de FortiGuard-Web sont le résultat d une combinaison de méthodes propres d analyse de texte, d exploitation de la structure du Web et d évaluations entreprises par une équipe de personnes analyseurs du web. Les utilisateurs peuvent faire part aux Points de Service FortiGuard-Web d une page qui est, à leur avis, mal catégorisée. Les nouveaux sites web sont rapidement évalués si nécessaire. La procédure pour configurer le blocage de catégories FortiGuard dans un profil de protection est décrite dans «Options du filtrage FortiGuard-Web» à la page 285. Pour configurer le service FortiGuard-Web, voir «Configuration du boîtier FortiGate pour les services FDN et FortiGuard» à la page 186. Configuration du filtrage FortiGuard-Web Pour configurer un service FortiGuard-Web, sélectionnez Système > Maintenance > Centre FortiGuard. Pour plus d informations, voir «Configuration du boîtier FortiGate pour les services FDN et FortiGuard» à la page Guide d Administration FortiGate Version 3.0

379 Visualisation de la liste override Les utilisateurs voudront probablement accéder à des sites web bloqués par une règle. Dans ce cas, un administrateur peut donner à cet utilisateur la possibilité d ignorer le blocage pour un temps déterminé. Lorsqu un utilisateur tente d accéder à un site bloqué alors que l override est activé, un lien vers une page d authentification apparaît sur la page bloquée. L utilisateur doit fournir un nom d utilisateur et un mot de passe corrects sans quoi le site web reste bloqué. L authentification est basée sur des groupes utilisateurs et peut être effectuée pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus d informations sur l authentification et la configuration de groupes utilisateurs, voir «Groupe d utilisateurs» à la page 330. Pour visualiser la liste d override, aussi appelée liste des règles d ignorance, sélectionnez Filtrage Web > FortiGuard-Web Filter > Override. Illustration 232 : Liste Override Créer Nouveau Icône Page précédente Icône Supprimer tout URL/Catégorie Date d expiration Permet d ajouter une nouvelle règle d ignorance à la liste. # Le nombre de règles d ignorance dans la liste. Icône Page suivante Portée Off-site URLs Initiateur Icône Supprimer Icône Editer Permet de visualiser la page précédente. Permet de visualiser la page suivante. Supprime toutes les entrées de la table. L URL ou la catégorie à laquelle s applique la règle d ignorance. L utilisateur ou le groupe d utilisateurs qui bénéficient de la règle d ignorance. L utilisateur se voit autoriser ou interdit d accéder aux liens de la catégorie ou de l URL ignorée. Une marque verte signifie un accès off-site permis. Une croix grise signifie une interdiction d accès. Le créateur de la règle d ignorance. La date d expiration de la règle d ignorance. Permet de retirer une entrée de la liste. Permet d éditer les informations suivantes : Type, URL, Portée, Utilisateur, Off-site URLs et Durée de la règle d ignorance. Guide d Administration FortiGate Version

380 Configuration de règles d ignorance Les règles d ignorance peuvent être configurées pour permettre l accès aux sites web bloqués en fonction du répertoire, nom de domaine ou de la catégorie. Pour créer une règle d ignorance pour un répertoire ou un domaine, sélectionnez Filtrage Web > FortiGuard-Web Filter > Override. Illustration 233 : Nouvelle règle d ignorance Répertoire ou Domaine Type URL Portée Utilisateur Groupe d utilisateurs IP Profil Off-site URLs Durée d ignorance Sélectionnez Répertoire ou Domaine. Entrez l URL ou le nom de domaine du site web. Choisissez entre : Utilisateur, Groupe d utilisateurs, IP, Profil. En fonction de l option choisie, le champ qui suit varie. Entrez le nom de l utilisateur sélectionné dans Portée. Sélectionnez un groupe d utilisateurs dans la liste déroulante. Ces groupes doivent être configurés avant de commencer la configuration du FortiGuard-Web. Pour plus d informations, voir «Groupe d utilisateurs» à la page 330. Entrez l adresse IP de l ordinateur initiant la règle. Sélectionnez un profil de protection dans la liste déroulante. Choisissez entre Autorisées ou Bloquées. Cette fonction va permettre à l utilisateur d accéder ou non aux liens du site web ignoré. Entrez la durée en jours, heures et minutes. La date d expiration alors calculée s affiche dans la liste des règles d ignorance. 380 Guide d Administration FortiGate Version 3.0

381 Pour créer une règle d ignorance pour des catégories, sélectionnez Filtrage Web > FortiGuard-Web Filter > Override. Illustration 234 : Nouvelle règle d ignorance Catégories Type Catégories Classifications Portée Utilisateur Groupe d utilisateurs IP Profil Off-site URLs Sélectionnez Catégories. Choisissez les catégories auxquelles s applique la règle d ignorance. Un groupe ou un sous-groupe de catégories peut être sélectionné. Les catégories locales sont également affichées. Choisissez les classifications auxquelles s applique la règle d ignorance. Si prévu, les utilisateurs peuvent accéder aux sites web qui fournissent des contenus sauvegardés et des moteurs de recherche de fichiers image, audio et vidéo. Choisissez entre : Utilisateur, Groupe d utilisateurs, IP, Profil. En fonction de l option choisie, le champ qui suit varie. Entrez le nom de l utilisateur sélectionné dans Portée. Sélectionnez un groupe d utilisateurs de la liste déroulante. Entrez l adresse IP de l ordinateur initiant la règle. Sélectionnez un profil de protection de la liste déroulante. Choisissez entre Autorisées ou Bloquées. Cette fonction va permettre à l utilisateur d accéder ou non aux liens du site web ignoré. Guide d Administration FortiGate Version

382 Durée d ignorance Entrez la durée en jours, heures et minutes. La date d expiration alors calculée s affiche dans la liste des règles d ignorance. Création de catégories locales Des catégories définies par des utilisateurs peuvent être créées afin d autoriser aux utilisateurs de bloquer des groupes d URL sur base d un profil. Les catégories définies ici s affichent dans la liste des catégories URL globale lors de la configuration d un profil de protection. Les utilisateurs peuvent évaluer les URL en fonction des catégories locales. Illustration 235 : Liste des catégories locales Add/Ajouter Icône Supprimer Entrez le nom d une catégorie et cliquez ensuite sur le bouton Add. Permet de retirer une entrée de la liste. Visualisation de la liste des évaluations locales Pour visualiser la liste des évaluations locales, sélectionnez Filtrage Web > FortiGuard-Web Filter > Local Ratings. I llustration 236 : Liste des évaluations locales Créer Nouveau Permet d ajouter une évaluation à la liste. Rechercher Entrez un critère de recherche pour filtrer la liste. 1 3 of 3 Le nombre total d évaluations locales dans la liste. Icône Page précédente Permet de visualiser la page précédente. Icône Page suivante Permet de passer à la page suivante. Icône Supprimer tout Permet de supprimer toutes les entrées de la table. U RL L URL évaluée. Cliquez sur la flèche verte pour trier la liste en fonction des URL. Catégorie La catégorie ou classification dans laquelle l URL a été placée. Si l URL a été classée dans plusieurs catégories ou classifications, des points de suspension (...) suivent la première catégorie. En cliquant sur l entonnoir gris, la boîte de dialogue Filtre de catégorie s ouvre. Une fois la liste filtrée, l entonnoir apparaît en vert. Icône Supprimer Permet de supprimer une entrée de la liste. 382 Guide d Administration FortiGate Version 3.0

383 Icône Editer Permet d éditer les informations suivantes : URL, Evaluation de la catégorie et Evaluation de la Classification. Illustration 237 : Filtre de catégorie Clear Filter Supprime tous les filtres. Nom de la catégorie Cliquez sur la flèche bleue pour afficher le contenu de la catégorie. Activer le filtre Permet d activer le filtre pour la catégorie ou la sous-catégorie individuelle. Nom de la classification Les classifications qui peuvent être filtrées. (o u classe) Activer le filtre Permet d activer le filtre de classification. Configuration d évaluations locales Les utilisateurs peuvent créer des catégories et spécifier les URL qui entrent dans ces catégories. Cela permet aux utilisateurs de bloquer des groupes de sites web sur base d un profil. Les évaluations sont comprises dans la liste d URL globale avec les catégories associées et elles sont comparées de la même façon que la liste d URL bloquées. L utilisateur peut également spécifier si l évaluation locale est utilisée en conjonction avec l évaluation FortiGuard ou utilisée comme règle d ignorance. Pour créer une évaluation locale, sélectionnez Filtrage Web > FortiGuard-Web Filter > Local Ratings. Guide d Administration FortiGate Version

384 I llustration 238 : Nouvelle évaluation locale URL Nom de la catégorie Activer le filtre Nom de la classification Activer le filtre Entrez l URL à évaluer. Cliquez sur la flèche bleue pour afficher la catégorie. Cochez la case pour activer le filtre pour la catégorie ou souscatégorie individuelle. Les classifications pouvant être filtrées. Cochez la case pour activer le filtre de classification. Configuration d un blocage de catégorie à partir de l interface de ligne de commande Utilisez le mot-clé hostname pour la commande webfilter fortiguard pour modifier le nom d hôte par défaut (URL) du Point de Service FortiGuard-Web. Ce nom ne peut être modifié à partir de l interface d administration web. Configurez tous les paramètres FortiGuard-Web à partir des commandes CLI. Pour plus d informations, voir le FortiGate CLI Reference. Rapports du Filtrage FortiGuard-Web Remarque : Les rapports du filtrage FortiGuard-Web ne sont disponibles que sur les FortiGate munis d un disque dur. Cette fonction permet de géné rer un tableau textuel et sous forme de diagramme du rapport du Filtrage FortiGuard-Web pour tous les profils de protection. Le boîtier FortiGate enregistre les statistiques pour les pages web de toutes les catégories, bloquées, autorisées ou sous surveillance. Les rapports portent sur des tranches d heures ou de jours. Vous pouvez aussi visualiser un rapport complet de toutes les activités. 384 Guide d Administration FortiGate Version 3.0

385 Pour créer un rapport de filtrage web, sélectionnez Filtrage Web > FortiGuard- Web Filter > Rapports. Illustration 239 : Echantillon d un rapport de Filtrage FortiGuard-Web Profil Type de rapport Plage Obtenir le rapport Sélectionnez le profil de protection pour lequel un rapport doit être généré. Sélectionnez un type de temps pour le rapport. Choisissez entre heure, jour ou tout. Sélectionnez la plage horaire (24 heures) ou la plage de jour (des 6 derniers jours à aujourd hui) pour le rapport. Par exemple, un rapport de type heure avec une plage 13 à 16, rapport affiche les résultats de la tranche horaire 13 à 16 heures aujourd hui (1 pm à 4 pm). Pour un rapport de type avec une plage de 0 à 3, le rapport affiche les résultats des trois derniers jours à aujourd hui. Génère un rapport. le jour Un rapport généré comprend un diagramme et les informations suivantes : Catégorie Autorisées Bloquées Contrôlées La catégorie pour laquelle les statistiques sont générées. Le nombre d adresses web autorisées accédées dans la tranche de temps défini. La nombre d adresses web bloquées sollicitées dans la tranche de temps défini. Le nombre d adresses web contrôlées accédées dans la tranche de temps défini. Guide d Administration FortiGate Version

386 Antispam Antispam Cette section explique comment configurer les options du filtrage antispam associé à un profil de protection. Cette section parcourt les sujets suivants : Antispam Mots bannis Liste Noire et liste Blanche Configuration antispam avancée Utilisation des expressions régulières Perl L Antispam gère les mails commerciaux non sollicités en détectant les messages mails spam et identifiant les transmissions spam provenant de serveurs spam connus ou suspectés. Les filtres spams sont configurés pour une utilisation au niveau du système, mais sont activés sur base des profils. FortiGuard-Antispam est une des fonctionnalités de la gestion des spams. FortiGuard est un système antispam de Fortinet qui comprend une liste noire d adresses IP, une liste noire d URL et des outils de filtrage antispam. Le Centre FortiGuard reçoit les soumissions de messages mails spams ainsi que les faux positifs. Visitez le site de la Base de Connaissance Fortinet, Fortinet Knowledge Center, pour plus de détails et un lien vers le Centre FortiGuard. Ordre du filtrage antispam L ordre dans lequel les mails entrants passe à travers les filtres Antispam FortiGate est déterminé par le protocole utilisé pour le transfert des mails. Pour le trafic SMTP 1 Vérification des adresses en listes blanches ou noires (prochain saut IP) 2 Vérification RBL & ORDBL, vérification des adresses par FortiGuard, HELO DNS lookup 3 Vérification des adresses en listes blanches ou noires 4 Vérification des en-têtes MIME 5 Vérification des adresses IP en listes blanches ou noires (à partir des adresses extraites des champs d en-tête «Received») 6 Vérification DNS de l adresse de retour, vérification antispam par Fortiguard (à partir des adresses extraites des champs d en-tête «Received» et des URL extraites du contenu du message) 7 Vérification des mots bannis Pour le trafic POP3 et IMAP 1 Vérification des adresses en listes blanches ou noires 386 Guide d Administration FortiGate Version 3.0

387 2 3 4 Vérification des en-têtes MIME et vérification des IP en listes blanches ou noires Vérification DNS de l adresse de retour, vérification antispam par FortiGuard, vérification RBL & ORDBL Vérification des mots bannis Pour le trafic SMTP, POP3 et IMAP Les filtres nécessitant une demande à un serveur et une réponse (FortiGuard Antispam Service et DNSBL/ORDBL) fonctionnent simultanément. Pour éviter les retards, les requêtes sont envoyées pendant que d autres filtres fonctionnent. La première réponse enclenc hant une action spam prend effet dès la réception de cette réponse. Chaque filtre spam passe le mail au prochain filtre si aucune correspondance ou aucun problème n est trouvé. Si l action du filtre Mark as spam (Marquer comme spam) s enclenche, le boîtier FortiGate balisera (tag) ou rejettera le mail (SMTP seulement) suivant les paramètres configurés dans le profil de protection. Si l action enclenchée est Mark as clear (Marquer comme non spam), le mail est dispensé des autres filtres. Si l action est Mark as Reject (Rejeter), la session mail est abandonnée. Les messages mails SMTP rejetés sont substitués par un message de remplacement configurable. Tableau 41 : Antispam et configuration du filtrage antispam dans les profils de protection Options du filtrage antispam des profils Paramètres Antispam de protection Vérification FortiGuard-Antispam de Système > Maintenance > FortiGuard l adresse IP Center Activation ou désactivation du service Activation FortiGuard-Antispam, antispam Fortinet appelé FortiGuard- vérification de l état du serveur Antispam. FortiGuard-Antispam est le FortiGuard-Antispam, visualisation du serveur DNSBL propre à Fortinet qui fournit type de licence et de la date d expiration les listes noires des adresses IP et URL et configuration du cache. Pour plus de spams. Fortinet maintient ces listes à jour. détails, voir «Configuration du boîtier FortiGate pour les services FDN et FortiGuard» à la page 186. Vérification des adresses IP en listes Anti-spam > Black/White List > Adresse IP blanche ou noire Vérification des listes noire et blanche. Ajout et édition d adresses IP à la liste. Activation ou désactivation de la Vous pouvez configurer l action à prendre comparaison des adresses IP entrantes à la liste d adresses IP du filtre spam configuré (SMTP uniquement). Contrôle DNSBL & ORDBL Activation ou désactivation de la comparaison du trafic mail au serveur des listes Blackhole DNS configurée (DNSBL) et Open Relay Database (ORDBL). pour chaque adresse IP : spam, non- être placées à un endroit précis de la liste. spam ou rejeter. Les adresses IP peuvent Le filtre contrôle chaque adresse IP successivement (SMTP uniquement). A partir de l interface de ligne de commande uniquement Ajout ou suppression des serveurs DNSBL et ORDBL de la liste. Vous pouvez configurer l action à prendre pour les mails identifiés comme spam pour chaque serveur : spam ou rejeter (SMTP uniquement). La configuration DNSBL et ORDBL ne peut être modifiée qu à partir de l interface de ligne de commande. Pour plus d informations, voir le FortiGate CLI Reference. Guide d Administration FortiGate Version

388 Recherche HELO DNS Activation ou désactivation de la comparaison du nom de domaine source à l adresse IP enregistrée dans le Serveur des Noms de Domaine. Si le nom de domaine source ne corr espond pas à l adresse IP, le mail est marqué comme spam et l action sélectionnée dans le profil de protection est enclenchée. Contrôle des adresses mails en listes blanche ou noire Activation ou désactivation de la comparaison des mails entrants à la liste des adresses mails du filtre spam configuré. Vérification DNS de l adresse de retour Activation ou désactivation de la comparaison du nom de domaine de l adresse de retour des mails entrants à l adresse IP enregistrée dans le Serveur des Noms de Domaine. Si le nom de domaine de l adresse de retour ne correspond pas à l adresse IP, le mail est marqué comme spam et l action sélectionnée dans le profil de protection est enclenchée. Vérification des en-têtes MIME Activation ou désactivation de la comparaison de l en-tête MIME de la source à la liste d en-têtes MIME du filtre spam configuré. Filtrage par mots-clefs Activation ou désactivation de la comparaison du mail source avec la liste des mots bannis du filtre antispam. Action antispam L action à prendre pour un mail identifié comme spam. Les messages POP3 et IMAP sont balisés (tag). Choisissez entre Tag ou Rejeter pour les messages SMTP. Vous pouvez ajouter un mot ou phrase personnalisé au sujet des en-tête MIME des mails balisés. Vous pouvez choisir de journaliser chaque action antispam dans le journal des événements. Insertion : Choisissez d ajouter la balise au sujet ou à l en-tête MIME du mail identifié comme spam. n/a Anti-spam > Black/White List > Adresse Mail Ajout et édition d adresses mails à la liste, avec l option d utilisation de wildcards et d expressions régulières. Vous pouvez configurer pour chaque adresse mail l action à prendre : spam ou rejeter. Les adresses IP peuvent être placées à un endroit précis de la liste. Le filtre contrôle chaque adresse IP successivement. n/a A partir de l interface de ligne de commande uniquement Ajout et édition d en-têtes MIME, avec l option d utiliser des wildcards ou des expressions régulières. Vous pouvez configurer l action à prendre pour chaque en-tête MIME: spam ou rejeter. La configuration DNSBL et ORDBL ne peut être modifiée qu à partir de l interface de ligne de commande. Pour plus d informations, voir le FortiGate CLI Reference. Anti-spam > Mots Clefs Ajout et édition des mots bannis de la liste, avec l option d utiliser des wildcards ou expressions régulières. Vous pouvez configurer la langue et décider de lancer la recherche dans le sujet ou le corps du mail, ou les deux. Vous pouvez configurer l action à prendre pour chaque mot : spam ou rejeter. n/a 388 Guide d Administration FortiGate Version 3.0

389 Insertion de : Entrez un mot ou une phrase (tag) à ajouter au mail identifié comme spam. Longueur maximum du tag : 63 caractères. Ajouter l événement dans le journal du système. Activer ou désactiver la journalisation des actions antispam dans la journal des événements. Pour accéder aux options du profil de protection Antispam, sélectionnez Pare-feu > Profil de protection, éditer ou Créer Nouveau, Filtrage antispam. Mots bannis Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités de filtrage antispam sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Il vous est possible de contrôler les mails spam contenant des mots ou expressions spécifiques. Lorsque cette option est activée dans le profil de protection, le boîtier FortiGate recherche ces mots et expressions dans les mails. Si des correspondances sont trouvées, les valeurs affectées aux mots sont totalisées. Si une valeur de seuil définie pour un utilisateur est dépassée, le mail est marqué comme spam. Si aucune correspondance n est trouvée, le mail passe jusqu au prochain filtre. Pour ajouter des mots et expressions bannis dans la liste, utilisez des expressions régulières en Perl ou des méta-caractères. Remarque : Les expressions régulières en Perl sont sensibles à la casse des caractères pour le filtrage antispam par mots-clés. Pour modifier cela et rendre le mot ou la phrase insensible à la casse des caractères, utilisez l expression /i. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse. Les méta-caractères (wildcards) ne sont pas sensibles à la casse des caractères. Visualisation du catalogue de listes de mots bannis antispam (Modèles FortiGate- 800 et plus) Vous pouvez ajouter de multiples listes de mots bannis antispam sur les modèles FortiGate-800 et plus, et sélectionner ensuite la meilleure liste pour chaque profil de protection. Pour visualiser la catalogue des listes de mots bannis antispam, sélectionnez Anti-spam > Mots clefs. Pour visualiser chaque liste individuellement, sélectionnez l icône Editer de la liste désirée. Illustration 240 : Echantillon du catalogue de listes de filtrage par mots-clés Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont vides par défaut. Guide d Administration FortiGate Version

390 Nom # d entrées Profils Commentaire Icône Supprimer Icône Editer Les listes de mots bannis antispam disponibles. Le nombre d entrées dans chaque liste. Les profils de protection appliqués à chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icône est disponible si la liste n est pas reprise dans un profil de protection. Permet d éditer les informations suivantes : la liste, le nom de la liste ou le commentaire. Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour plus d informations, voir «Options du filtrage antispam» à la page 286. Création d une nouvelle liste de mots bannis antispam (modèles FortiGate-800 et plus) Pour ajouter une liste de mots bannis antispam au catalogue, sélectionnez Antispam > Mots clefs et cliquez sur Créer Nouveau. Illustration 241 : Boîte de dialogue d une nouvelle liste de mots bannis antispam Nom Commentaire Entrez un nom à la liste. Entrez une description de la liste, si nécessaire. Visualisation de la liste de mots bannis antispam Chaque mail est contrôlé par comparaison à la liste des mots bannis antispam. Vous pouvez ajouter un ou plusieurs mots bannis pour filtrer les mails contenant ces mots dans leur sujet, corps du message ou les deux. La valeur accordée à chaque mot apparaissant dans le message est ajoutée au total des valeurs. Si celui-ci dépasse la valeur seuil définie dans le profil de protection, le message est traité selon l Action antispam configurée dans le profil de protection. La valeur d un mot banni n est comptabilisée qu une seule fois même si ce mot apparaît à plusieurs reprises dans le message. Pour visualiser la liste des mots bannis sur les modèles FortiGate-500 et moins, sélectionnez Anti-spam > Mots Clefs. Illustration 242 : Echantillon d une liste de mots bannis pour les modèles FortiGate- 500 et moins 390 Guide d Administration FortiGate Version 3.0

391 Pour visualiser la liste de mots bannis sur les modèles FortiGate-800 et plus, sélectionnez Anti-spam > Mots clefs et cliquez sur l icône Editer de la liste à visualiser. Illustration 243 : Echantillon d une liste de mots bannis pour les modèles FortiGate- 800 et plus Nom Commentaire Créer Nouveau Total Icône Page précédente Icône Page suivante Icône Supprimer toutes les entrées Expression régulière Type d expression Langage Où Score Icône Supprimer Icône Editer Nom de la liste de mots bannis. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate- 800 et plus. Permet d ajouter un mot ou une phrase à la liste des mots bannis. Le nombre d éléments dans la liste. Permet de visualiser la page précédente. Permet de visualiser la page suivante. Permet de supprimer toutes les entrées de la table. La liste des mots bannis. Cochez la case pour activer tous les mots de la liste. Le type d expression utilisé par l entrée de la liste. Choisissez entre Wildcard et Expression. Pour plus d informations, voir «Utilisation d expressions régulières en Perl» à la page 400. Les caractères du mot banni : Chinois simplifié, Chinois traditionnel, Français, Japonais, Coréen, Thaï ou Occidental. La localisation du message dans laquelle le boîtier FortiGate va chercher le mot banni : sujet, corps ou tout. La valeur numérique affectée au mot banni. Les valeurs Score de tous les mots correspondants apparaissant dans un mail sont additionnées. Si le total dépasse la valeur définie dans spamwordthreshold du profil de protection, la page est traitée selon l action antispam définie pour ce type de trafic dans le profil de protection (ex. smtp3-spamaction) : pass ou tag. Le Score d un mot banni est comptabilisé une seule fois même dans les cas où le mot apparaît à plusieurs reprises sur la page web. Permet de supprimer un mot de la liste. Permet d éditer les informations suivantes : Expression Régulière, Type d Expression, Langage, Où, Action antispam et l activation. Guide d Administration FortiGate Version

392 Configuration de la liste des mots bannis antispam Les mots peuvent être marqués comme spam ou à rejeter. Les mots bannis peuvent être un mot ou une phrase d une longueur maximum de 127 caractères. Dans le cas d un mot simple, le boîtier FortiGate bloque tous les mails contenant ce mot. Dans le cas d une phrase, le boîtier FortiGate bloque tous les mails contenant la phrase exacte. Pour entraîner le blocage à chaque apparition d un mot de la phrase, utilisez les expressions régulières en Perl. Pour ajouter ou éditer un mot banni, sélectionnez Anti-spam > Mots Clefs. Illustration 244 : Ajouter un mot-clé Expression Type d expression Langage Où Activer Liste noire et liste blanche Entrez le mot ou la phrase à inclure dans la liste des mots bannis. Sélectionnez le type d expression du mot banni : Wilcard ou Expression régulière. Voir «Utilisation d expressions régulières en Perl» à la page 400. Les caractères du mot banni : Chinois simplifié, Chinois traditionnel, Français, Japonais, Coréen, Thaï ou Occidental. La localisation du message dans laquelle le boîtier FortiGate va chercher le mot banni : sujet, corps ou tout. Cochez cette case pour activer le filtrage de ce mot banni. Le boîtier FortiGate utilise aussi bien une liste d adresses IP qu une liste d adresses mails pour filtrer les mails entrants à condition que cette option ait été activée dans le profil de protection. Lors d une vérification à partir de la liste d adresses IP, le boîtier FortiGate compare successivement l adresse IP de l émetteur du message à sa liste d adresses IP. Lors qu une correspondance est trouvée, l action associée à l adresse IP est enclenchée. Dans le cas où aucun correspondance n a été trouvée, le mail est envoyé vers le prochain filtre antispam activé. Lors d une vérification à partir d une liste d adresses mails, le boîtier FortiGate compare successivement l adresse mail de l émetteur du message à sa liste d adresses mails. Lorsqu une correspondance est trouvée, l action associée avec l adresse mail est enclenchée. Dans le cas où aucun correspondance n a été trouvée, le mail est envoyé vers le prochain filtre antispam activé. 392 Guide d Administration FortiGate Version 3.0

393 Visualisation du catalogue de listes d adresses IP antispam (modèles FortiGate- 800 et plus). Vous pouvez ajouter plusieurs listes d adresses IP antispam pour les modèles FortiGate-800 et plus et sélectionner la meilleure liste pour chaque profil de protection. Pour visualiser le catalogue de listes d adresses IP antispam, sélectionnez Anti-spam > Black/White List > Adresse IP. Pour visualiser une liste individuellement, cliquez sur l icône Editer de la liste désirée. Illustration 245 : Echantillon d un catalogue de listes d adresses IP antispam Créer Nouveau Pou r ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides. Nom Les listes d adresses IP antispam disponibles. # d entrées Le nombre d entrées dans chaque liste. Profils Commentaire Icône Supprimer Icône Editer Les profils de protection appliqués à chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icône est disponible si la liste n est pas reprise dans un profil de protection. Permet d éditer les informations suivantes : la liste, le nom de la liste ou le commentaire. Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour plus d informations, voir «Options du filtrage antispam» à la page 286. Création d une nouvelle liste d adresses IP antispam (modèles FortiGate-800 et plus) Pour ajouter une liste d adresses IP antispam au catalogue, sélectionnez Antispam > Black/White List > Adresse IP et cliquez sur Créer Nouveau. Illustration 246 : Boîte de dialogue d une nouvelle liste d adresses IP antispam Nom Commentaire Donnez un nom à la liste. Entrez une description de la liste, si nécessaire. Guide d Administration FortiGate Version

394 Visualisation de la liste d adresses IP antispam Il est possible de configurer le boîtier FortiGate pour qu il filtre les mails provenant d adresses IP spécifiques. Le boîtier compare l adresse IP de l émetteur à sa liste d adresses IP antispam, et ce successivement. Vous pouvez marquer chaque adresse IP de l action : non spam, spam ou rejeter. Les adresses IP simples ou des plages d adresses au niveau du réseau peuvent être filtrées en configurant l adresse et le masque. Pour visualiser la liste d adresses IP sur les modèles FortiGate-500 et moins, sélectionnez Anti-spam > Black/White List > Adresse IP Illustration 247 : Echantillon d une liste d adresses IP pour les modèles FortiGate-500 et moins Pour visualiser la liste d adresses IP sur les modèles FortiGate-800 et plus, sélectionnez Anti-spam > Black/WhiteList > Adresses IP et cliquez sur l icône Editer de la liste à visualiser. Illustration 248 : Echantillon d une liste d adresses IP pour les modèles FortiGate-800 et plus Nom Commentaire Créer Nouveau Total Icône Page précédente Icône Page suivante Icône Supprimer toutes les entrées Nom de la liste d adresses IP antispam. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate- 800 et plus. Permet d ajouter une adresse IP à antispam. Le nombre d éléments dans la liste. Permet de visualiser la page précédente. Permet de visualiser la page suivante. la liste d adresses IP Permet de supprimer toutes les entrées de la table. 394 Guide d Administration FortiGate Version 3.0

395 Adresse IP/Masque Action Icône Supprimer Icône Editer La liste actuelle des adresses IP. L action à prendre pour un mail provenant d une adresse IP configurée. Les actions sont : Marquer comme spam pour appliquer l action antispam configurée, Marquer comme nonspam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer à Rejeter (SMTP uniquement) pour supprimer la session. Si une adresse IP est définie sur Rejeter, mais que le mail provient d une adresse IP à partir de POP3 ou IMAP, les messages mails seront marqués comme spam. Permet de supprimer une adresse de la liste. Permet d éditer les informations suivantes :L adresse IP/Masque, Insertion, Action antispam et l activation. Configuration de la liste des adresses IP antispam Pour ajouter une adresse IP à la liste d adresses IP, sélectionnez Anti-spam > Black/White List > Adresse IP et cliquez sur Créer Nouveau. Entrez une adresse IP et un masque dans un de ces deux formats : x. x. x.x/x.x.x.x, par exemple, / x.x.x.x/x, par exemple, /24 Illustration 249 : Ajouter une adresse IP Adresse IP/Masque Insérer Avant/Après Action Activer Entrez l adresse IP et le masque. Sélectionnez une position dans la liste pour cette adresse IP. Sélectionnez une action. Les actions sont : Marquer comme spam pour appliquer l action antispam configurée dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer à rejeter (SMTP uniquement) pour supprimer la session. Cochez cette case pour activer l adresse. Visualisation du catalogue de listes d adresses mail antispam (modèles FortiGate-800 et plus). Vous pouvez ajouter plusieurs listes d adresses mail antispam pour les modèles FortiGate-800 et plus et sélectionner la meilleure liste pour chaque profil de protection. Pour visualiser le catalogue de listes d adresses mail antispam, sélectionnez Anti-spam > Black/White List > Adresse Mail. Pour visualiser une liste individuellement, cliquez sur l icône Editer de la liste désirée. Guide d Administration FortiGate Version

396 Illustration 250 : Echantillon d un catalogue de listes d adresses mail antispam Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et c liquez sur Ajouter. Les nouvelles listes sont, par défaut, vides. Nom Les listes d adresses mail antispam disponibles. # d entrées Le nombre d entrées dans chaque liste. Profils Les profils de protection appliqués à chaque liste. Commentaire Description facultative de chaque liste. Icône Supprimer Icône Editer Permet de supprimer une liste du catalogue. Cette icône est disponible si la liste n est pas reprise dans un profil de protection. Permet d éditer les informations suivantes : la liste, le nom de la liste ou le commentaire. Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour plus d informations, voir «Option s du filtrage antispam» à la page 286. Création d une no uvelle liste d adresse s mail antispam (modèles FortiGate-800 et plus) Pour ajouter une liste d adresses mail antispam au catalogue, sélectionnez Antispam > Black/White List> Adresse Mail et cliquez sur Créer Nouveau. Illustration 251 : Boîte de dia logue d une nouvelle liste d adresses mail antispam Nom Entrez un nom à la liste. Commentaire Entrez une description de la liste, si nécessaire. Visualisation de la liste d adresses IP mail antispam Le boîtier FortiGate peut filtrer les mails provenant d émetteurs spécifiques, ainsi que tous les mails provenant d un domaine (tel que exemple.net). Vous pouvez marquer chaque adresse mail de l action non spam ou spam. Pour visualiser la liste d adresses mail sur les modèles FortiGate-500 et moins, sélectionnez Anti-spam > Black/White List > Adresse Mail 396 Guide d Administration FortiGate Version 3.0

397 Illustration 252 : Echantillon d une liste d adresses mail pour les modèles FortiGate- 500 et moins Pour visualiser la liste d adresses IP sur les modèles FortiGate-800 et plus, sélectionnez Anti-spam > Black/WhiteList > Adresse Mail et cliquez sur l icône Editer de la liste à visualiser. Illustration 253 : Echantillon d une liste d adresses mail pour les modèles FortiGate- 800 et plus Nom Commentaire Créer Nouveau Total Icône Page précédente Icône Page suivante Icône Supprimer toutes les entrées Adresse Mail Type d expression Action Icône Supprimer Nom de la liste d adresses mail antispam. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate- 800 et plus. Permet d ajouter une adresse mail à la liste d adresses mail antispam. Le nombre d éléments dans la liste. Permet de visualiser la page précédente. Permet de visualiser la page suivante. Permet de supprimer toutes les entrées de la table. La liste actuelle des adresses mail. Le type d expression utilisé dans l entrée de l adresse mail. Choisissez entre Wildcard et Expression Régulière. Pour plus d informations, voir «Utilisation d expressions régulières en Perl» à la page 400. L action à prendre pour un mail provenant d une adresse mail configurée. Les actions sont : Marquer comme spam pour appliquer l action antispam configurée dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, Permet de supprimer une adresse de la liste. Guide d Administration FortiGate Version

398 Icône Editer Permet d éditer les informations suivantes :adresse mail, Type d Expression, Action antispam et l activation. Configuration de la liste des adresses mail antispam Pour ajouter une adresse mail ou un domaine à la liste, sélectionnez Anti-spam > Black/White List > Adresse Mail. Illustration 254: Ajouter une adresse mail Adresse Mail Type d expression Insérer Avant/Après Entrez l adresse mail. Sélectionnez un type d expression : Wildcard ou Expression Régulière. Sélectionnez une position dans la liste pour cette adresse mail. Action Sélectionnez une action. Les actions sont : Activer Marquer comme spam pour appliquer l action antispam configurée dans le profil de protection Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants Cochez cette case pour activer l adresse. 1 Entrez une adresse mail ou une expression. 2 Sélectionnez un type d expression pour l entrée de la liste. 3 Si nécessaire, choisissez d insérer l adresse mail avant ou après une autre adresse dans la liste. 4 Sélectionnez l action à prendre pour les mails provenant d adresses mail ou de domaines configurés. 5 Cochez la case Activer. 6 Cliquez sur OK. Configuration antispam avancée config spamfilter mheader La configuration antispam avancée couvre uniquement des commandes CLI no n représentées dans l interface d administration web. Pour des descriptions et exemples complets sur l utilisation de commandes CLI, reportez-vous au FortiGate CLI Reference. Cette commande permet de configurer le filtrage mail en fonction de l en-tête MIME. Ce filtrage s active dans les profils de protection. 398 Guide d Administration FortiGate Version 3.0

399 Le boîtier FortiGate compare successivement la paire clé-valeur de l en-tête MIME des mails entrants avec sa liste de paires. Lorsqu une correspondance est trouvée, l action spécifiée est enclenchée. Lorsque aucune correspondance n est trouvée, le mail e st envoyé vers le prochain filtre antispam. Les en-têtes MIME (Multipurpose Internet Mail Extensions) sont ajoutés aux mails pour décrire le type et le codage de contenu, tels que le type de texte dans le corps du mail ou le programme qui a généré le mail. Quelques exemples d en-têtes MIME comprennent : X-mailer : outgluck X-Distribution : bulk Content_Type : text/html Content_Type : image/jpg config spamfilter rbl La première partie de l en-tête MIME s appelle la clé de l en-tête, ou juste en-tête. La deuxième partie est appelée valeur. Les spammeurs insèrent souvent des commentaires dans les valeurs de l en-tête ou les laissent vides. Ces en-têtes malformés peuvent duper certains filtres antispam et antivirus. L utilisation de la liste d en-têtes MIME permet de marquer les mails provenant de certains programmes mails les plus répandus ou comprenant certains types de contenu communs des messages mails. Il est conseillé de marquer le mail comme spam ou non-spam pour chaque en-tête configuré. Cette commande s utilise pour configurer le filtrage mail à partir des serveurs de la liste DNS-based Blackhole List (DNSBL), appelée également Realtime Blackhole List et de la liste Open Relay Database List (ORDBL). Ces deux filtres s activent pour chaque profil de protection. Le boîtier FortiGate compare l adresse IP et le nom de domaine de l émetteur à toutes les listes de base de données configurées, et ce, successivement. Lorsqu une correspondance est trouvée, l action spécifiée est enclenchée. Lorsque aucune correspondance n est trouvée, le mail est envoyé vers le prochain filtre antispam. Certains spammeurs utilisent des serveurs SMTP tiers insécurisés pour envoyer des mails non sollicités. L utilisation de DNSBL et ORDBL est un moyen efficace de baliser (tag) ou rejeter les spams lors de leur entrée sur le réseau. Ces listes agissent comme des serveurs de nom de domaine identique au domaine d un mail entrant d u ne liste d adresses IP connues pour envoyer des spams ou autoriser des spams à passer au travers. Il existe plusieurs serv eurs, dont la souscription est gratuite, qui fournissent un accès fiable pour des mises à jour continues des DNSBL et ORDBL. Vérifiez avec le service utilisé pour confirmer l e nom de domaine correct pour une connexion au serveur. Remarque : Etant donné que le boîtier FortiGate utilise le nom de domaine du serveur pour se connecter au serveur DNSBL ou ORDBL, il doit être capable de chercher ce nom sur le Guide d Administration FortiGate Version

400 serveur DNS. Pour plus d informations sur le configuration DNS, voir «Options» à la page 76. Utilisation des expressions régulières en Perl Les entrées des listes d adresses mail, d en-têtes MIME et de mots bannis peuvent comprendre des méta-caractères ou expressions régulières en Perl. Expression Régulière vs Modèle à méta-caractère Dans les expressions régulières en Perl, le caractère «.» remplace n importe quel caractère unique. C est similaire au caractère «?» des modèles à méta-caractère. Par exemple : fortinet.com correspond à fortinet.com mais aussi fortinetacom, fortinetbcom, fortinetccom, etc. Pour que les caractères «.» et «*» ne réfèrent à aucun autre caractère, utilisez le caractère «\». Par exemple : Pour référer à fortinet.com, l expression régulière à utiliser est : fortinet\.com Dans les expressions régulières, «*» est utilisé pour correspondre au caractère situé avant l astérisque, et ce 0 ou plusieurs fois. Il ne remplace par contre pas n importe quel caractère. Par exemple : forti*.com corresp ond à fortiiii.com mais ne correspond pas à fortinet.com Pour correspondre à n importe quel caractère, 0 ou plusieurs fois, utilisez «.*» où le «.» signifie n importe quel caractère et «*» signifie 0 ou plusieurs fois. Par exemple : forti*.com doit s écrire fort.*\.com. Limite des mots Dans les expressions Perl, l expression n a pas de limites implicites. Par exemple, l expression régulière «test» correspond aux mots «test» bien sûr mais aussi à tous les mots contenant «test» comme «attester», «mytest», «atestb». Pour spécifier une limite au mot, utilisez la notation «\b». Pour faire correspondre au mot exact «test», l expression doit être \btest\b. Sensibilité à la casse des caractères Certaines expressions régulières sont sensibles à la casse des caractères pour les filtrage par mots-clés et antispam. Pour modifier cela et rendre le mot ou la phrase insensible à la casse des caractères, utilisez l expression /i. Par exemple, /bad language/i bloque toutes les cas de bad language sans tenir compte de la casse. Formats des expressions régulières en Perl Le tableau 42 répertorie et décrit quelques exemples de formats d expressions régulières en Perl. 400 Guide d Administration FortiGate Version 3.0

401 Tableau 42 : Formats d expressions régulières en Perl Expression abc ^abc abc$ Correspondances «abc» (la séquence exacte de caractères à tout endroit de la succession) «abc» au début de la succession «abc» à la fin de la succession a b Soit «a», soit «b» ^abc abc$ La succession «abc» au début ou à la fin de la succession ab{2,4}c «a» suivi de deux, trois ou quatre «b» suivi par un «c» ab{2,}c «a» suivi d au moins deux «b» suivi d un «c» ab*c «a» suivi d un nombre indéfini (0 ou plus) de «b» suivi d un «c» ab+c «a» suivi d un ou plusieurs «b» suivi d un «c» ab?c a.c a\.c «a» suivi d un «b» optionnel suivi d un «c», donc soit «abc», soit «ac» «a» suivi de n importe quel caractère (sauf retour à la ligne) suivi d un «c» «a.c» exactement [abc] n importe lequel de «a», «b» ou «c» [Aa]bc soit «Abc», soit «abc» [abc]+ Toute succession (sans espace) de «a», «b» et «c» (telle que «a», «abba», «acbabcacaa») [^abc]+ \d\d Toute succession (sans espace) qui ne contient pas de «a», «b» et «c» (telle que «defg») Tout chiffre à deux décimales, tel que 42, pareil que \d{2} /i Rend la casse des caractères insensible. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse des caractères. \w+ Un «mot» : une séquence sans espace de caractères alphanumériques et de tirets bas ( _, underscore) telle que foo et 12bar8 et foo_1 100\s*mk abc\b perl\b La succession «100» et «mk» séparées optionnellement par un nombre indéfini d espace blanc (espaces, tabulations, retour à la ligne) «abc» suivi d une limite au mot ( par exemple, dans «abc!» mais pas dans «abcd») «perl» sans être suivi d une limite du mot (par exemple, dans «perlert» mais pas dans «perl stuff») \x Le parser d expression régulière ignore les espaces blancs qui ne sont ni précédés d un «\», ni dans une classe de caractères. Utilisez cette commande pour scinder une expression régulière en plusieurs parties lisibles. /x Utilisé pour ajouter des expressions régulières dans d autres textes. Si le premier caractère d une expression est «/», celui-ci est traité comme borne. L expression doit contenir un second «/». L expression entre les deux «/» sera traitée comme expression régulière, et tout ce qui suit le «/» sera traité comme liste d options d expressions régulières ( i, x,etc). Une erreur apparaît si le second «/» est absent. Dans les expressions régulières, l espace à l avant et l espace à l arrière sont traités comme s ils Guide d Administration FortiGate Version

402 faisaient partie de l expression régulière. Exemples Bloquer chaque mot de la phrase /block any word/ Bloquer expressément les mots mal orthographiés Les spammeurs insèrent souvent d autres caractères entre les lettres d un mot pour duper les logiciels de blocage de spams. /^.*v.*i.*a.*g.*r.*o.*$/i /cr[eéèêë][\+\- \$ \{\}()\[\]\ \\_01]dit/i Bloquer les phrases spam communes Les phrases suivantes sont des exemples de phrases communes trouvées dans les messages spam. /try it for free/i /student loans/i /you re already approved/i /special[\+\- \$ \{\}()\[\]\ \\_1]offer/i 402 Guide d Administration FortiGate Version 3.0

403 IM/P2P Statistiques IM/P2P fournit à l utilisateur IM les outils d administration et les statistiques pour le réseau IM et l usage P2P. Les protocoles IM et P2P doivent être activés dans le profil de protection actif pour que les paramètres de cette section prennent leurs effets. Cette section parcourt les sujets suivants : Statistiques Utilisateur Configuration IM/P2P à partir de l interface de ligne de commande Les administrateurs peuvent obtenir des statistiques sur les messageries instantanées et les communications «point to point» afin de connaître l utilisation de ces deux protocoles sur le réseau. Des statistiques d ensemble sont fournies pour tous les protocoles IM et P2P. Des statistiques détaillées et individuelles existent pour chaque protocole IM. Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale dans le menu principal. Visualisation des statistiques d ensemble L onglet Overview reprend un résumé des statistiques pour tous les protocoles IM et P2P. Pour visualiser ces statistiques, sélectionnez IM/P2P > Statistics > Overview. Illustration 255 : Statistiques Overview IM/P2P Intervalle de rafraîchissement automatique Rafraîchir Sélectionnez l intervalle désiré entre deux rafraîchissements automatiques. Choisissez entre un intervalle de 0 (none) à 30 secondes. Cliquez sur ce bouton pour rafraîchir la page et faire apparaître les statistiques mises à jour. Guide d Administration FortiGate Version

404 Réinitialiser les statistiques Utilisateurs Chat Transferts de fichiers Chats vocaux Utilisation P2P Cliquez sur ce bouton pour remettre les statistiques à zéro. Pour chaque protocole IM, les informations suivantes sur l utilisateur s affichent : utilisateurs connectés, (utilisateurs) depuis la dernière réinitialisation, (utilisateurs) bloqués. Pour chaque protocole IM, les informations suivantes sur le chat s affichent : sessions de chat totales et total des messages. Pour chaque protocole IM, les informations suivantes sur les transferts de fichiers s affichent : (fichiers transférés) depuis la dernière réinitialisation et (fichiers transférés) bloqués. Pour chaque protocole IM, les informations suivantes sur les chats vocaux s affichent : (chats vocaux) depuis la dernière réinitialisation et (chats vocaux) bloqués. Pour chaque protocole P2P, les informations suivantes sur l utilisation s affichent : octets au total et moyenne de la bande passante. Visualisation des statistiques par protocole L onglet Protocol fournit des statistiques détaillées individuellement pour chaque protocole IM. Pour visualiser ces statistiques, sélectionnez IM/P2P > Statistics > Protocol. Illustration 256 : Statistiques IM par protocole Intervalle de rafraîchissement automatique Protocole Utilisateurs Sélectionnez l intervalle désiré entre deux rafraîchissements automatiques. Choisissez entre un intervalle de 0 (none) à 30 secondes. Sélectionnez le protocole désiré : AIM, ICQ, MSN ou Yahoo. Pour le protocole sélectionné, les informations suivantes sur l utilisateur s affichent : utilisateurs connectés, 404 Guide d Administration FortiGate Version 3.0

405 Utilisateur Chat Messages Transferts de fichiers Chats vocaux (utilisateurs) depuis la dernière réinitialisation, (utilisateurs) bloqués. Pour le protocole sélectionné, les informations suivantes sur le chat s affichent : Sessions de chat totales, Chats basés sur un serveur, Groupe de chat et Chat direct/privé. Pour le protocole sélectionné, les informations suivantes sur les messages s affichent : Total des messages, (messages) envoyés et (messages) reçus. Pour le protocole sélectionné, les informations suivantes sur les transferts de fichiers s affichent : (fichiers transférés) depuis la dernière réinitialisation, (fichiers transférés) envoyés, (fichiers transférés) reçus et (fichiers transférés) bloqués. Pour le protocole sélectionné, les informations suivantes sur les chats vocaux s affichent : (chats vocaux) depuis la dernière réinitialisation et (chats vocaux) bloqués. Après que les utilisateurs IM se soient connectés à travers le pare-feu, le boîtier FortiGate affiche les utilisateurs connectés dans la liste Current Users. Les administrateurs réseaux peuvent alors analyser la liste et décider quels utilisateurs accepter et quels utilisateurs rejeter. Une règle peut être configurée pour traiter le cas des utilisateurs inconnus. Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale dans le menu principal. Visualisation de la liste des utilisateurs connectés La liste des utilisateurs connectés reprend des informations sur les utilisateurs des messageries instantanées connectés. La liste peut être filtrée par protocole. Pour visualiser les utilisateurs en cours, sélectionnez IM/P2P > Users > Current Users. Illustration 257 : Liste des utilisateurs connectés Protocole Filtrez la liste en sélectionnant le protocole pour lequel vous voulez avoir les utilisateurs : AIM, ICQ, MSN ou Yahoo. Tous les utilisateurs connectés peuvent également être affichés. Protocole Le protocole en cours. Nom d utilisateur Le nom sélectionné par l utilisateur lors de son enregistrement à un protocole IM. Le même nom d utilisateur peut être utilisé pour plusieurs protocoles IM. Chaque nom d utilisateur / paire de protocole apparaît séparément dans la liste. IP Source Dernier Login L adresse à partir de laquelle l utilisateur initie une session IM. La dernière fois que l utilisateur connecté avait utilisé ce protocole. Guide d Administration FortiGate Version

406 Bloque Sélectionnez pour déconnecter l utilisateur et ajouter son nom à la liste noire permanente. Chaque nom d utilisateur / paire de protocole doit faire l objet d un blocage explicite par l administrateur. Visualisation de la liste des utilisateurs La liste des utilisateurs reprend des informations à propos des utilisateurs autorisés (liste blanche) et ceux bloqués (liste noire) des services des messageries instantanées. Des utilisateurs peuvent être ajoutés en cliquant sur Créer Nouveau ou à partir de la liste temporaire d utilisateurs. Pour visualiser la liste des utilisateurs, sélectionnez IM/P2P > Users > User List. Illustration 258 : Liste des utilisateurs Créer Nouveau Protocole Politique Protocole Nom d utilisateur Politique Sélectionnez pour ajouter un nouvel utilisateur à la liste. Filtrez la liste en sélectionnant un protocole : AIM, ICQ, MSN, Yahoo ou All. Filtrez la liste en sélectionnant une règle : Autoriser, Bloquer ou Tout. Le protocole associé à l utilisateur. Le nom sélectionné par l utilisateur lors de son enregistrement à un protocole IM. Le même nom d utilisateur peut être utilisé pour plusieurs protocoles IM. Chaque nom d utilisateur / paire de protocole apparaît séparément dans la liste. La règle appliquée à l utilisateur lors d une tentative d utilisation du protocole : Bloquer ou Autoriser. Icône Editer Permet de modifier les informations suivantes sur l utilisateur : Protocole, nom d utilisateur et Politique. Icône Supprimer Supprime définitivement un utilisateur de la liste. Ajout d un nouvel utilisateur à la liste des utilisateurs Ajouter des utilisateurs à la liste des utilisateurs leur permet d accéder aux services de messageries instantanées ou de les bloquer de ces services. Sélectionnez IM/P2P > User > User List et cliquez sur Créer Nouveau. Illustration 259 : Editer l utilisateur 406 Guide d Administration FortiGate Version 3.0

407 Protocole Nom d utilisateur Politique Sélectionnez un protocole dans la liste déroulante : AIM, ICQ, MSN ou Yahoo. Entrez un nom pour cet utilisateur. Sélectionnez une politique dans la liste déroulante : Autoriser ou Bloquer. Configuration d une politique utilisateur globale La politique utilisateur globale détermine l action à prendre face à des utilisateurs inconnus. Les utilisateurs inconnus peuvent être soit autorisés à utiliser certains ou tous les protocoles IM et sont alors ajoutés à la liste blanche, soit ils sont bloqués de certains ou tous les protocoles et alors ajoutés à la liste noire. Les administrateurs peuvent a posteriori visualiser les listes blanche et noire et ajouter des utilisateurs à la liste des utilisateurs. Pour configurer une politique IM, sélectionnez IM/P2P > User > Config. Illustration 260 : Politique utilisateur IM Autoriser automatiquement Bloquer automatiquement Liste des utilisateurs temporaires Protocole Nom d utilisateur Sélectionnez les protocoles que les utilisateurs inconnus sont autorisés à utiliser. Les utilisateurs inconnus sont ajoutés à une liste blanche d utilisateurs temporaires. Sélectionnez les protocoles que les utilisateurs inconnus ne sont pas autorisés à utiliser. Les utilisateurs inconnus sont ajoutés à une liste noire d utilisateurs temporaires. Reprend les nouveaux utilisateurs ajoutés aux listes blanche et noire des utilisateurs temporaires. Les informations sur l utilisateur reprennent le protocole, le nom d utilisateur et la politique appliquée à cet utilisateur. Remarque : Le contenu de la liste est effacé à chaque réinitialisation du FortiGate. Filtrez la liste des utilisateurs temporaires en sélectionnant un protocole. Le nom sélectionné par l utilisateur lors de son enregistrement à un protocole IM. Le même nom d utilisateur peut être utilisé pour plusieurs protocoles IM. Chaque nom d utilisateur / paire de protocole apparaît séparément dans la liste. Guide d Administration FortiGate Version

408 Politique Autoriser définitivement Bloquer définitivement Appliquer La politique appliquée à l utilisateur lors d une tentative d utilisation du protocole : Bloquer ou Autoriser. Sélectionnez pour ajouter l utilisateur à la liste blanche permanente. L utilisateur reste en ligne et est répertorié dans IM/P2P > User > User List. Sélectionnez pour ajouter l utilisateur à la liste noire permanente. L utilisateur est déconnecté et est répertorié dans IM/P2P > User > User List. Cliquez pour faire appliquer la politique utilisateur globale. Configuration IM/P2P à partir de l interface de ligne de commande Cette section décrit les commandes CLI qui étendent des fonctions disponibles à partir de l interface d administration web. Pour des descriptions et exemples complets sur l activation des fonctionnalités supplémentaires à partir de l interface de ligne de commande, voir le FortiGate CLI Reference. config imp2p old-version Certaines versions plus anciennes des protocoles IM sont capable de passer à travers le filtre car les types de messages ne sont pas reconnus. Cette commande fournit l option de désactiver ces anciennes versions de protocole IM. Les protocoles IM supportés comprennent : MSN 6.0 et plus ICQ 4.0 et plus AIM 5.0 et plus Yahoo 6.0 et plus 408 Guide d Administration FortiGate Version 3.0

409 Journaux & Alertes Cette section informe sur l activation de la journalisation, la visualisation des fichiers journaux et l affichage des rapports disponibles à partir de l interface d administration web. Les boîtiers FortiGate fournissent des possibilités diverses de journalisation pour les fonctions de protection du trafic, du système et du réseau. Des rapports et journaux détaillés offrent une analyse historique et actualisée de l activité réseau, afin de permettre l identification de problèmes ou faiblesses de la sécurité et réduire les abus réseaux. Cette section couvre les sujets suivants : Journalisation FortiGate Niveaux de sévérité des journaux Stockage de Journaux Journalisation d un cluster Haute Disponibilité Types de Journaux Journal Rapports Alerte Mail Journalisation FortiGate Les boîtiers FortiGate peuvent journaliser de nombreuses activités réseaux et trafic y compris : tout trafic réseau des événements liés au système dont les redémarrages système, la Haute Disponibilité et l activité VPN. infection et blocage antivirus filtrage web, blocage de contenu URL et HTTP signatures et prévention contre les attaques et anomalies filtrage antispam trafic de Messageries Instantanées et Peer-to-Peer Vous pouvez fixer le niveau auquel le boîtier FortiGate journalise ces événements et leur lieu de stockage. Le boîtier FortiGate peut journaliser des événements du système et des intrusions sur la mémoire du boîtier. Cependant, étant donné la nature limitée de cette mémoire, les messages les plus anciens ne sont pas sauvegardés et le trafic réseau n est pas journalisé sur la mémoire en raison du gros volume des messages journalisés. Pour un meilleur stockage et une récupération efficace, le boîtier FortiGate peut envoyer les messages journalisés vers un boîtier FortiAnalyzer TM. Les boîtiers FortiAnalyzer sont des appliances réseau fournissant une collection de journaux intégrés, des outils d analyse et des stockages de données. Des rapports Guide d Administration FortiGate Version

410 journalisés détaillés offrent une analyse historique et actualisée des activités réseau et mail afin de permettre l identification de problèmes de sécurité et de réduire les mauvais usages du réseau. Le boîtier FortiGate peut envoyer tous les types de messages journalisés, ainsi que des fichiers en quarantaine vers le boîtier FortiAnalyzer pour stockage. Le FortiAnalyzer peut télécharger des journaux vers un serveur FTP dans le but de les archiver. Pour des informations détaillées sur la configuration du boîtier FortiGate pour l envoi de journaux vers un boîtier FortiAnalyzer, voir «Journalisation sur un boîtier FortiAnalyzer» à la page 411. Le boîtier FortiGate peut également envoyer des journaux vers un serveur Syslog ou WebTrends dans un but de stockage et d archivage. Le boîtier FortiAnalyzer peut également être configuré pour envoyer les messages journalisés vers son disque dur si disponible sur le boîtier. Afin de vous permettre de revenir sur les activités se produisant sur votre réseau et à travers le boîtier FortiGate, ce dernier vous permet de visualiser les messages journalisés disponibles en mémoire, sur un boîtier FortiAnalyzer muni du microcode version 3.0 ou plus ou sur un disque dur si disponible sur le boîtier. Des filtres pe rsonnalisables vous permettent de localiser facilement des informations spécifiques dans les fichiers de journalisation. Remarque : Pour plus de détails sur la sauvegarde de journaux sur le disque dur du FortiGate, si disponible, voir le FortiGate CLI Reference. Voir le FortiGate Log Message Reference pour plus de détails sur les messages et formats des journaux. Niveaux de sévérité des journaux Il est nécessaire de définir un niveau minimum de sécurité des messages jo urnalisés pour chaque destination utilisée par le boîtier FortiGate pour sauver des fichiers journaux. Le boîtier FortiGate journalise tous les messages dépassant le niveau de sécurité minimum défini. Par exemple, si vous sélectionnez Erreur, le boîtier journalise les messages des niveaux Erreur, Critique, Alerte et Urgent. Tableau 43 : Niveaux de sévérité de Journalisation Niveaux Description Généré par 0 Urgent Le système est devenu instable. Messages d urgence indisponibles. 1 Alerte Une action immédiate est requise. 2 Critique Le fonctionnement est affecté. 3 Erreur Une erreur est présente et le fonctionnement pourrait en être affecté. 4- Avertissement Le fonctionnement pourrait être affecté. Messages journalisés d attaques NIDS. DHCP Messages d erreur indisponibles. Messages journalisés des Antivirus, Filtrage Web, Filtrage Mail et événements du système. 5 Notification Informations à propos des Messages journalisés des événements normaux. Antivirus, Filtrage Web, Filtrage Mail. 6 - Information Information générale sur les opérations système. Messages journalisés des Antivirus, Filtrage Web, Filtrage Mail, des contenus et autres événements. 410 Guide d Administration FortiGate Version 3.0

411 Stockage des Journaux Il vous faut configurer les destinations de stockage des messages et fichiers journaux. Le type et la fréquence des messages journalisés que vous avec l intention de sauvegarder décideront du type de destination de stockage utilisé. Par exemple, stocker des messages journalisés dans la mémoire ne fournit qu une place très limitée. Seul un nombre limité de messages journalisés peut être sauvé sur la mémoire. Au fur et à mesure que la mémoire se remplit, les plus vieu x messages journalisés sont supprimés. Par ailleurs, en raison du grand volume potentiel du Journal du Trafic et de la taille du Journal de Contenu, le boîtier FortiGate ne stockera pas les messages journalisés des trafics sur sa mémoire. Vous pouvez configurer le boîtier FortiGate pour qu il stocke les messages journalisés sur une ou plusieurs destinations, telle qu un boîtier FortiAnalyzer. Pour configurer les endroits de stockage, sélectionnez Journaux/Alertes > Configuration > Configuration du Journal. Journalisation sur un boîtier FortiAnalyzer Les boîtiers FortiAnalyzer sont des appliances réseaux fournissant une collection intégrée de journaux, des outils d analyse et des lieux de stockage de données. Des rapports de journaux détaillés offrent une analyse historique et actualisée des activités du réseau et mail afin de permettre l identification de problèmes de sécurité et de réduire les mauvais usages et abus du réseau. Illustration 261 : Configuration d une connexion à un FortiAnalyzer Configurer un boîtier FortiGate pour qu il envoie les journaux vers un boîtier FortiAnalyzer 1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal. 2 Sélectionnez FortiAnalyzer. 3 Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer. 4 Définissez le niveau des messages journalisés à envoyer au boîtier FortiAnalyzer. Le boîtier FortiGate journalise tous les messages égaux ou supérieurs au niveau de sévérité défini. Pour plus de détails sur les niveaux de la journalisation, voir le Tableau 43 à la page Entrez l adresse IP du Serveur du boîtier FortiAnalyzer. 6 Cliquez sur Appliquer. Remarque : Le boîtier FortiGate peut se connecter jusqu à trois boîtiers FortiAnalyzer. Il leur envoie à tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une réelle protection de sauvegarde en temps réel dans le cas où l un des trois FortiAnalyzer Guide d Administration FortiGate Version

412 devrait tomber en panne. Cette fonctionnalité n est disponible qu à partir de l interface de ligne de commande. Pour plus d informations, voir le FortiGate CLI Reference. Remarque : Après avoir configuré les paramètres de la journalisation sur le boîtier FortiGate, le FortiAnalyzer nécessite d être configuré pour recevoir les journaux envoyés par le boîtier FortiGate. Il vous faut alors contacter l administrateur FortiAnalyzer pour finaliser la configuration. Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique La découverte automatique est une méthode pour établir une connexion à un FortiAnalyzer. Une fois la découverte automatique sélectionnée, le boîtier FortiGate utilise des paquets HELLO pour localiser tout boîtier FortiAnalyzer disponible sur le réseau au sein du même sous-réseau. Lorsqu un FortiAnalyzer est trouvé, le boîtie r FortiGate permet automatiquement la connexion au boîtier FortiAnalyzer et commence à lui envoyer des données journalisées, dans le cas où la journalisation pour le trafic est configurée. Activer la découverte automatique 1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal. 2 Cliquez sur la flèche bleue de FortiAnalyzer pour en faire apparaître les options. 3 Cochez Découverte Automatique. Le boîtier FortiGate cherche dans le même sous-réseau la réponse d un FortiAnalyzer disponible. 4 Une fois découvert, sélectionnez un boîtier FortiAnalyzer de la liste Connecté à. 5 Cliquez sur Appliquer. Test de la configuration d un boîtier FortiAnalyzer Après avoir configuré les paramètres FortiAnalyzer, vous pouvez tester la connexion entre le boîtier FortiGate et le boîtier FortiAnalyzer pour vous assurer que la connexion fonctionne correctement. Ceci vous permet de voir la connexion entre les deux équipements, y compris les paramètres spécifiés pour la transmission et la réception des journaux, rapports, archives de contenu et fichiers en quarantaine. Tester la connexion 1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal. 2 Sélectionnez FortiAnalyzer. 3 Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer. 4 Cliquez sur Tester la connexion. 412 Guide d Administration FortiGate Version 3.0

413 Illustration 262 : Test de connectivité avec le FortiAnalyzer FortiAnalyzer (Nom) FortiGate (Identifiant de l équipement) Etat d enregistrement Etat de la connexion Espace disque Privilèges Le nom du boîtier FortiAnalyzer. Le nom par défaut d un boîtier FortiAnalyzer est le nom du produit, par exemple, FortiAnalyzer-400. Le numéro de série du boîtier FortiGate. L état de l enregistrement du boîtier FortiGate. L état de la connexion entre les boîtiers FortiGate et FortiAnalyzer. Une marque en V indique qu il y a connexion, tandis qu une croix signifie l absence de connexion. Espace alloué les journaux. Espace utilisé Espace libre total La quantité d espace prévue pour La quantité d espace utilisé. La quantité d espace inutilisé. Affiche les permissions pour l envoi et la visualisation de journaux et rapports. Tx indique que le boîtier FortiGate est configuré pour transmettre des paquets journalisés au boîtier FortiAnalyzer. Rx indique que le boîtier FortiGate est autorisé à visualiser les rapports et journaux stockés sur le FortiAnalyzer. Une marque en V indique que le boîtier FortiGate possède les permissions d envoyer ou de visualiser les journaux et rapports. Une croix signifie que le boîtier FortiGate ne possède pas la permission d envoyer ou visualiser ces informations. Journalisation sur la mémoire La mémoire du système FortiGate possède une capacité limitée pour la journalisation des messages. Le boîtier FortiGate n affiche que les entrées journalisées les plus récentes. Il ne stocke pas les journaux Trafic et Contenu dans la mémoire étant donnée leur taille et fréquence. Lorsque la mémoire est pleine, le boîtier FortiGate remplace les messages les plus anciens. Toutes les entrées journalisées sont effacées lors d un redémarrage du FortiGate. Guide d Administration FortiGate Version

414 Configurer le boîtier FortiGate pour que les journaux soient sauvegardés en mémoire 1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal. 2 Cochez Mémoire. 3 Cliquez sur la flèche bleue pour faire apparaître les options de la Mémoire. 4 Choisissez un niveau de sévérité. Le boîtier FortiGate journalise tous les messages du niveaux de sévérité sélectionné et au-delà. Pour plus de détails sur les niveaux de la journalisation, voir le Tableau 43 à la page 410. Journalisation sur un serveur Syslog Le Syslog est un ordinateur distant muni d u n serveur Syslog. Syslog est un standard industriel utilisé pour capturer les données journalisées fournies par les équipements du réseau. Illustration 263 : Journalisation sur un serveur Syslog Configurer le boîtier FortiGate pour envoyer des journaux au serveur syslog 1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal. 2 Cochez Syslog. 3 Cliquez sur la flèche bleue pour faire apparaître les options Syslog. 4 Définissez les options syslog suivantes et cliquez sur Appliquer : Nom / Adresse IP Port Niveau (Log Level) Facilité Utiliser le format CSV Le nom de domaine ou l adresse IP du serveur syslog. Le numéro du port pour les communications avec le serveur syslog, en général le port 514. Le boîtier FortiGate journalise tous les messages du niveau de sévérité défini et des niveaux de sévérité supérieurs. Pour plus de détails sur les niveaux de la journalisation, voir le Tableau 43 à la page 410. La facilité indique au serveur syslog la source d un message journalisé. Par défaut, il s agit du local7. Vous pouvez changer la valeur par défaut pour distinguer les messages journalisés des différents boîtiers FortiGate. Si vous cochez cette option, le boîtier FortiGate produit le journal dans le format CSV (Comma Separated Value). Dans le cas où vous n activez pas cette option, le boîtier FortiGate produit des fichiers de texte simples. 414 Guide d Administration FortiGate Version 3.0

415 Journalisation sur WebTrends Un ordinateur distant sur lequel le serveur NetIQ Web Trends fonctionne. Les formats des journaux FortiGate sont conformes à WebTrends Enhanced Log Format (WELF) et compatibles avec NetIQ WebTrends Security Reporting Center and Firewall Suite 4.1. Pour configurer le boîtier FortiGate pour l envoi de messages journalisés vers WebTrends, entrez la commande suivante à partir de l interface de ligne de commande : config log webtrends setting set server <address_ipv4> set status {disable enable} end Mots-clés et variables server <address_ipv4> status {disable enable} Exemple Description Entrez l adresse IP du serveur WebTrends qui stocke les journaux. Entrez enable pour activer la journalisation vers un serveur WebTrends. Par défaut n/a disable Cet exemple montre comment activer la journalisation vers un serveur WebTrends et comment en définir l adresse IP. config log webtrends setting set status enable set server end Pour plus de détails sur le paramétrage des options pour les types de journaux à envoyer vers WebTrends, voir le chapitre sur les Journaux dans le FortiGate CLI Reference. Journalisation d un cluster Haute Disponibilité Lors de la configuration de la journalisation dans le cadre d un cluster Haute Disponibilité, il faut configurer le membre primaire pour que celui-ci envoie des journaux vers le FortiAnalyzer ou un serveur Syslog. Les paramètres s appliqueront aux membres subordonnés. Ceux-ci envoient les messages journalisés au membre primaire qui lui envoie tous les journaux au FortiAnalyzer ou serveur Syslog. Une connexion sécurisée via un tunnel VPN IPSec entre un boîtier FortiAnalyzer et un cluster HA est en réalité une connexion entre ce boîtier et le membre primaire du cluster HA. Pour plus d informations, voir le High Availability User Guide. Guide d Administration FortiGate Version

416 Types de Journaux Le boîtier FortiGate offre une large gamme d options de journalisation pour surveiller votre réseau. Cette section décrit chaque type de journal et son activation. Remarque : Vous devez avant tout commencer par configurer les destinations de sauvegarde des fichiers journaux. Pour plus de détails, voir «Stockage de Journaux» à la page 411. Journal Trafic Le journal Trafic enregistre tout le trafic vers et passant à travers les interfaces du FortiGate. Vous pouvez configurer la journalisation du trafic contrôlé par des règles pare-feu, ainsi que la journalisation du trafic entre toute adresse source et de destination. Vous pouvez appliquer les filtres suivants : Trafic autorisé Trafic bloqué Le boîtier FortiGate journalise tout le trafic autorisé par les paramètres de la règle pare-feu. Le boîtier FortiGate journalise tout le trafic violant les paramètres de la règle pare-feu. Remarque : Afin d enregistrer les messages journalisés du trafic, vous devez paramétrer le niveau de sévérité sur Notification lors de la configuration de la destination de journalisation. Activation de la journalisation du trafic La journalisation du trafic enregistre tout le trafic vers et en provenance de l interface ou de la sous-interface VLAN. Pour enregistrer des journaux, vous devez paramétrer le niveau de sévérité sur Notification ou un niveau moindre. Activer la journalisation du trafic pour une interface ou sous-interface VLAN 1 Sélectionnez Sy stème > Réseau > Interface. 2 Cliquez sur l icône Editer d une interface. 3 Cochez la case Journaliser. 4 Cliquez sur OK. Activation de la journalisation du trafic d une règle pare-feu La journalisation du trafic d une règle pare-feu enregistre le trafic permis et bloqué par la règle pare-feu, en fonction du profil de protection. Activer la journalisation du trafic d une règle pare-feu 1 Sélectionnez Pare-feu > Règle. 2 Cliquez sur la flèche bleue de la direction du trafic souhaité pour afficher la liste de règles. 3 Cliquez sur l icône Editer d une règle ou créez une nouvelle règle pare-feu. 416 Guide d Administration FortiGate Version 3.0

417 4 Cochez Log Allowed Traffic et cliquez ensuite sur OK. Journal Evénement Le journal Evénement enregistre les événements d administration et d activités, tels que lors d un changement de configuration ou de l apparition d un événement VPN ou Haute Disponibilité. Activer les journaux Evénement 1 Sélectionnez Journaux/Alertes > Configuration > Event Log. 2 Sélectionnez parmi les journaux suivants : Evénement système Négociation IPSec DHCP L2TP/PPTP/PPPoE Administration HA Authentification pare-feu Mise à jour des signatures SSL VPN user authentication SSL VPN administration SSL VPN session Le boîtier FortiGate journalise tous les événements liés au système tels que l échec d un serveur ping et le statut de la passerelle. Le boîtier FortiGate journalise tous les événements liés à la négociation tels que les rapports sur les progrès et les erreurs. Le boîtier FortiGate journalise tous les événements liés au DHCP tels que les journaux de requêtes et de réponses. Le boîtier FortiGate journalise tous les événements liés aux protocoles tels que les processus d administration. Le boîtier FortiGate journalise tous les événements administratifs tels que les connexions utilisateurs, les réinitialisations et mises à jours de la configuration. Le boîtier FortiGate journalise tous les événements liés à la Haute Disponibilité tels que les informations relatives aux liens, aux membres et à l état du cluster. Le boîtier FortiGate journalise tous les événements liés au pare-feu tels que l authentification des utilisateurs. Le boîtier FortiGate journalise tous les événements de mises à jour des signatures tels que les mises à jour des signatures antivirus et IPS et les échecs de mises à jour. Le boîtier FortiGate journalise tous les événements d authentification des utilisateurs pour les connexions VPN SSL tels que connexions, déconnexions et timeout d inactivité. Le boîtier FortiGate journalise tous les événements d administration des VPN SSL tels que les configurations SSL et le téléchargement de certificats CA. Le boîtier FortiGate journalise toutes les activités de la session telles que les lancements et blocage d applications, les timeouts, les vérifications etc. Guide d Administration FortiGate Version

418 Journal Antivirus Le Journal Antivirus enregistre les incidents liés aux virus pour les trafics Web, FTP et mail. Par exemple, lorsque le boîtier FortiGate détecte un fichier infecté, bloque un type de fichier ou bloque un fichier ou mail surdimensionné. Vous pouvez appliquer les filtres suivants : Virus Le boîtier FortiGate journalise toutes les infections virales. Fichiers Bloqués Le boîtier FortiGate journalise tous les cas de fichiers bloqués. Fichiers/Mails surdimensionnés AV Monitor Le boîtier FortiGate journalise tous les cas de fichiers ou mails dépassant un seuil défini. Le boîtier FortiGate journalise tous les cas des virus, fichiers bloqués et fichiers et mails surdimensionnés. Cela s applique aux trafics HTTP, FTP, IMAP, POP3, SMTP et IM. 1 Sélectionnez Pare-feu > Profil de protection. 2 Cliquez sur l icône Editer d un profil de protection. 3 4 Activer les journaux antivirus Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation. Cochez les événements antivirus à journaliser et cliquez ensuite sur OK. Journal Filtrage Web Le Journal Filtrage Web enregistre les erreurs d évaluation de journalisation FortiGuard HTTP ainsi que les actions de blocage de contenu web effectuées par le boîtier FortiGate. Activer les journaux Filtrage Web 1 Sélectionnez Pare-feu > Profil de protection. 2 Cliquez sur l icône Editer d un profil de protection. 3 Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation. 4 Sous Filtrage Web, cochez les événements de filtrage web à journaliser. 5 Cochez FortiGuard Web Filtering Erreurs d évaluation (HTTP uniquement) pour journaliser le filtragefortiguard. 6 Cliquez ensuite sur OK. Journal des Attaques Le Journal Attaques enregistre les intrusions détectées et bloquées par le boîtier FortiGate. Le boîtier FortiGate journalise les événements suivants : Signature des attaques Le boîtier FortiGate journalise toutes les intrusions détectées et bloquées basées sur la signature de l attaque, ainsi que les actions prises par le boîtier FortiGate. 418 Guide d Administration FortiGate Version 3.0

419 Anomalies Activer les journaux Attaques 1 Sélectionnez Pare-feu > Profil de protection. 2 Cliquez sur l icône Editer d un profil de protection. Le boîtier FortiGate journalise toutes les intrusions détectées et bloquées basées sur des signatures inconnues ou suspectes, ainsi que les actions prises par le boîtier FortiGate. 3 Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation. 4 Cochez IPS Journaliser les intrusions et cliquez ensuite sur OK. Remarque : Vous devez vous assurer de l activation des paramètres de journalisation des signatures des attaques et anomalies. Les options de journalisation pour les signatures présentes sur le boîtier FortiGate sont définies par défaut. Veillez à ce que toutes les signatures personnalisées aient l option de journalisation activée. Pour plus de détails, voir «Protection contre les intrusions» à la page 352. Journal Antispam Le Journal Antispam enregistre les blocages d adresses mails et de contenu des trafics SMTP, IMAP et POP3. Activer les journaux antispam 1 Sélectionnez Pare-feu > Profil de protection. 2 Cliquez sur l icône Editer d un profil de protection. 3 Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation. 4 Cochez Filtrage antispam Log Spam et cliquez ensuite sur OK. Journal IM / P2P Le Journal des Messageries Instantanées et Peer-to-Peer enregistre les textes des messages instantanés, les communications audio, les tentatives de transferts de fichiers par les utilisateurs, le temps d essai de la transmission, le type d application IM utilisé et le contenu de la transmission. Activer les journaux IM / P2P 1 Sélectionnez Pare-feu > Profil de protection. 2 Cliquez sur l icône Editer d un profil de protection. 3 Cliquez sur la flèche bleue Journalisation. à côté de Logging pour afficher les options de 4 Cochez les deux journalisations des activités IM et P2P et cliquez ensuite sur OK. Guide d Administration FortiGate Version

420 Accès aux Journaux Le boîtier FortiGate vous permet de visualiser les journaux stockés en mémoire, sur le disque dur ou sur un FortiAnalyzer muni du microcode version 3.0. Au sein de l afficheur de journa ux, vous pouvez lancer une recherche et filtrer des messages journalisés. Pour les journaux stockés sur un FortiAnalyzer, vous pouvez également supprimer des fichiers journaux, retirer des messages journalisés des fichiers et télécharger le fichier journal soit en format texte, soit en format CSV. Remarque : Pour accéder aux journaux d un FortiAnalyzer, celui-ci doit être muni du microcode version 3.0 ou plus. Accès aux messages journalisés stockés en mémoire 1 Visualiser les messages journalisés stockés dans le FortiAnalyzer Sélectionnez Journaux/Alertes > Journal. 2 Sélectionnez Memory. 3 Sélectionnez le type de journal désiré. Les journaux trafic ne sont pas stockés en mémoire, étant donné leur volume. Les messages journalisés s affichent dans la fenêtre. Accès aux journaux stockés sur un boîtier FortiAnalyzer Dans la cas où vous avez configuré votre boîtier FortiGate pour qu il envoie des paquets messages journalisés vers un FortiAnalyzer, vous pourrez visualiser, naviguer et télécharger des journaux sauvegardés sur ce FortiAnalyzer. Pour plus de détails sur la configuration du FortiGate pour l envoi de journaux vers un FortiAnalyzer, voir «Journalisation sur un FortiAnalyzer» à la page 411. Remarque : Pour accéder aux journaux d un FortiAnalyzer, celui-ci doit être muni du microcode version 3.0 ou plus. Accéder aux fichiers journaux d un FortiAnalyzer 1 Sélectionnez Journaux/Alertes > Journal. 2 Sélectionnez FortiAnalyzer. 3 Sélectionnez le type de journal désiré. 420 Guide d Administration FortiGate Version 3.0

421 Illustration 264 : Fichiers journaux sur un FortiAnalyzer Type de journal Nom de fichier Taille Date du dernier accès Icône Vider Icône Supprimer Icône Télécharger Icône Visualiser Sélectionnez le type de journal que vous voulez visualiser. Certains fichiers journaux, tels que le journal Trafic, ne peut pas être sauvegardé sur la mémoire en raison du volume des informations journalisées. Les noms des fichiers du type sélectionné stocké sur le disque dur du FortiAnalyzer. Lorsqu un fichier journal atteint sa taille maximum, le FortiAnalyzer sauve ce fichier avec un numéro et commence un nouveau fichier avec le même nom. Par exemple, le journal Attaques en cours est alog.log. Tout journal supplémentaire sauvé aura comme nom alog.n, où n est le nombre de journaux répertoriés. La taille du fichier journal en octets. Le jour, le mois, l année et l heure auxquels le dernier paquet journalisé a été envoyé par le boîtier FortiGate. Permet de vider le fichier en cours. Vider un fichier en cours efface tous les messages journalisés du fichier actif. Il est seulement possible de vider le journal actif. Permet de supprimer le fichier journal entier. Vous ne pouvez pas supprimer le fichier actif. Permet de télécharger le journal sous format texte ou fichier CSV. Permet d afficher le fichier journal à partir de l interface d administration web. Visualisation des informations journalisées L afficheur de journaux reprend les informations des messages journalisés. Les colonnes reprennent le contenu des fichiers journaux. La partie supérieure de la page comprend des fonctionnalités de navigation qui vous aideront à vous déplacer parmi les messages et à localiser des informations spécifiques. Guide d Administration FortiGate Version

422 Illustration 265 : Visualisation des messages journalisés Type de journal Icône Page précédente Icône Page suivante Visualiser lignes par page Ligne Formatage des colonnes Colonnes/Formatage Clear All Filters Sélectionnez le type de journal à visualiser. Affiche la page précédente du fichier journal. Affiche la page suivante du fichier journal. Choisissez le nombre de messages journalisés affichés sur chaque page. Entrez le numéro de la ligne de la première ligne à afficher. Le nombre suivant le slash («/») est le nombre total de ligne dans le journal. Sélectionnez pour ajouter ou supprimer des colonnes. Sélectionnez Colonnes pour passer en affichage non formaté des messages journalisés. Sélectionnez Formatage pour passer en affichage organisé en colonnes. Supprimer tous les filtres. Permet de supprimer les options de filtrage en cours pour le fichier journal. Paramètres des colonnes Le formatage des colonnes permet de personnaliser l affichage des messages journalisés lors de l affichage Formatage des messages. Illustration 266 : Paramètres des colonnes pour l affichage des messages journalisés Personnaliser les colonnes 1 Sélectionnez Journaux/Alertes > Journal. 2 Choisissez le Type de Journal que vous désirez accéder. 422 Guide d Administration FortiGate Version 3.0

423 3 Choisissez entre Memory ou FortiAnalyzer. 4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le fichier. 5 Cliquez sur Formatage des colonnes. 6 Sélectionnez un nom de colonne. Pour modifier l affichage des informations des journaux, sélection nez soit : -> la flèche droite pour déplacer les champs sélectionnés de la liste Champs Disponibles vers la liste Visualiser les champs dans cet ordre. <- la flèche gauche pour déplacer les champs sélectionnés de la liste Visualiser les champs dans cet ordre vers la liste Champs Disponibles. Monter Descendre 7 Cliquez sur OK. Déplace le champ sélectionné d une place vers le haut dans la liste Visualiser les champs dans cet ordre. Déplace le champ sélectionné d une place vers le bas dans la liste Visualiser les champs dans cet ordre. Filtrage des messages journalisés Il est possible de filtrer les contenus des journaux pour trouver des informations spécifiques dans un large fichier ou dans plusieurs fichiers. Le filtrage offre une forme de recherche avancée pour chaque colonne d information du journal. Illustration 267 : Filtrages des journaux Les paramètres de filtrage appliqués se maintiennent pendant la durée de votre connexion au boîtier FortiGate. Les filtres des journaux sont réinitialisés à chaque déconnexion du boîtier FortiGate. Remarque : Vous devez être en affichage Formatage pour accéder aux filtres. Filtrer des messages journalisés 1 Sélectionnez Journaux/Alertes > Journal. 2 Sélectionnez le type de journal auquel vous voulez accéder. 3 Choisissez entre Memory ou FortiAnalyzer. 4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le fichier. 5 Sélectionnez l icône Filtre de la colonne à trier. 6 Entrez un critère de filtrage dans le champ Texte. 7 Sélectionnez si le critère entré est égal à ce que vous filtrez ou s il est présent dans les données. 8 Si vous désirez exclure les contenus, cochez NOT. Guide d Administration FortiGate Version

424 Rapports Les icônes Filtres apparaissent en gris dans l en-tête de la colonne. Un filtre utilisé apparaît en vert. Pour annuler un filtre, sélectionnez l icône Filtre et cliquez ensuite sur Réinitialiser Filtre. Le boîtier FortiGate offre deux formes de rapports, vous permettant de visualiser les informations sur le trafic circulant sur votre réseau : Rapports de base sur le trafic Rapports de base sur le trafic Le boîtier FortiGate utilise les informations des journaux stockés en mémoire pour soumettre, sous format graphique, des informations de base sur le trafic. Les rapports comprennent la bande passante par service et les protocoles par volume. Rapports FortiAnalyzer lorsqu il est connecté à un FortiAnalyzer, le boîtier FortiGate peut accéder à tous les rapports générés par le FortiAnalyzer à partir de ses journaux. Vous pouvez également personnaliser un rapport par défaut pour le boîtier FortiGate. Le boîtier FortiGate utilise des informations sur les journaux rassemblées et les présente sous format graphique pour établir l usage réseau pour un nombre de services. Les graphiques montrent le volume d octets utilisé par le trafic. Remarque : Les données utilisées pour les graphiques sont stockées en mémoire. Lors d un redémarrage ou d une réinitialisation du boîtier FortiGate, les données sont effacées. Pour visualiser les rapports des journaux, sélectionnez Journaux/Alertes > Report Access et choisissez Memory. Illustration 268 : Visualisation de la Bande Passante par service 424 Guide d Administration FortiGate Version 3.0

425 Source des données Time Period FortiAnalyzer Link La localisation à partir de laquelle le boîtier FortiGate obtient les données sur la journalisation pour ses rapports. Choisissez Memory pour visualiser les journaux de base sur le trafic. Pour obtenir des rapports plus détaillés, sélectionnez FortiAnalyzer. Pour plus d informations sur les rapports du FortiAnalyzer, voir «Rapports FortiAnalyzer» à la page 426. Sélectionnez un intervalle de temps pour les analyses de graphiques. Le lien en haut du rapport varie selon que vous ayez configuré le boîtier FortiGate pour l envoi de journaux vers un FortiAnalyzer. Le lien peut être : To access a complete set of reports, please configure a FortiAnalyzer appliance cliquez sur ce lien pour configurer un FortiAnalyzer. Pour plus de détails, voir «Journalisation sur un FortiAnalyzer» à la page 411. Access full set of reports on FortiAnalyzer cliquez sur ce lien pour lancer une nouvelle fenêtre de navigation accédant à l interface d administration web du FortiAnalyzer. Le rapport n est pas mis à jour en temps réel. Pour rafraîchir le rapport, sélectionnez Journaux/Alertes > Report Access. Configuration de l affichage des graphiques Les rapports FortiGate comprennent une large gamme de services que vous pouvez contrôler avec le rapport de base graphique. Pour vous aider à visualiser des informations spécifiques, vous pouvez personnaliser ce que vous voyez sur le graphe Bande Passante par Service ( Bandwidth Per Service). Modifier les informations des graphiques 1 Sélectionnez Journaux/Alertes > Report Access. 2 Choisissez Memory comme Source de données. 3 Sélectionnez le service que vous désirez voir apparaître sur le graphe et cliquez ensuite sur Appliquer. Le graphe se met à jour avec le contenu sélectionné. Le «Top Protocols Ordered by Total Volume» ne change pas. Remarque : Il s agit de rappo rts simplifiés. Un boîtier FortiAnalyzer peut fournir des rapports plus détai llés ou spécifiques. La fonction d un FortiAnalyzer est de rassembler des messages journalisés et de générer des rapports. Il peut générer plus de 140 rapports différents, vous offrant ainsi des informations historiques et mises à jour, des tendances sur votre réseau pour les activités mail, IM et générales. Ceci vous aide dans l identification de problèmes de sécurité et dans la réduction des mauvais usages et abus du réseau. Guide d Administration FortiGate Version

426 Rapports FortiAnalyzer Dans le cas où le boîtier FortiGate est connecté à un FortiAnalyzer muni du microcode version 3.0 ou plus, il vous est possible d accéder à tous les rapports générés pour le boîtier FortiGate. Vous pouvez également configurer un profil de rapport par défaut configurable pour générer des rapports spécifiques pour le boîtier FortiGate. Lorsque le boîtier FortiGate se connecte pour la première fois à un FortiAnalyzer, ce dernier cré e un profil de rapport par défaut personnalisable. Seul ce profil peut être personnalisé à partir du boîtier FortiGate. Le FortiAnalyzer peut créer plusieurs profils de rapport pour un boîtier FortiGate afin de répondre à une gamme d exigences et à des options personnalisables additionnelles. Pour plus de détails sur l ajout et la configuration de profils de rapport, voir le FortiAnalyzer Administration Guide. Remarque : Les rapports FortiAnalyzer n apparaissent pas tant que vous ne configurez pas le boîtier FortiGate pour qu il se connecte à un FortiAnalyzer, ou si le FortiAnalyzer n est pas muni du microcode version 3.0 ou plus. 1 2 Visualisation des rapports FortiAnalyzer Le FortiAnalyzer peut générer un nombre de rapports spécifiques pour un boîtier FortiGate et faire fonctionner ces rapports selon des horaires précis, ou sur demande. Si vous utilisez un FortiAnalyzer, vous pouvez accéder à tout rapport généré pour le boîtier FortiGate à partir de l interface d administration web FortiGate. Visualiser les rapports FortiAnalyzer Sélectionnez Journaux/Alertes > Report. Choisissez FortiAnalyzer comme Source de données. 3 Cliquez sur la flèche bleue pour afficher la sélection des rapports à visualiser. 4 Sélectionnez un nom de rapport pour visualiser une version HTML du rapport. Si le rapport a été configuré pour inclure des formats alternés, vous pouvez sélectionner l icône dans la colonne Autres Formats. 426 Guide d Administration FortiGate Version 3.0

427 Illustration 269 : Visualisation des rapports FortiAnalyzer pour le boîtier FortiGate Configuration Fichiers de rapport Date Taille (octets) Autres Formats Sélectionnez pour configurer le rapport par défaut pour le boîtier FortiGate. Ce rapport apparaissant en haut de la liste des rapports FortiAnalyzer, est le seul rapport personnalisable à partir du boîtier FortiGate. Pour plus de détails, voir le FortiAnalyzer Administration Guide. Les noms des fichiers HTML pour chaque rapport généré dans le profil de rapport. La date et l heure auxquelles le FortiAnalyzer a généré les rapports. La taille des fichiers rapports. Dans le cas où cela a été configuré par l administrateur FortiAnalyzer, des formats de fichiers supplémentaires de rapports apparaîtront. Ces formats comprennent Adobe PDF, Microsoft Word RTF ou ASCII Text. Configuration du rapport par défaut du FortiAnalyzer Il est possible de mettre à jour ou de modifier un profil de configuration de rapport pour y inclure les informations à paraître sur le rapport. Choisissez le type de rapport et un intervalle de temps pour fournir des rapports spécialisés. Configurer le profil de rapport par défaut du FortiAnalyzer 1 Sélectionnez Journaux/Alertes > Report Config. 2 Choisissez FortiAnalyzer comme Source de données. 3 Sélectionnez Configuration. 4 Entrez un titre pour le rapport et une description de ce qu il contient. Ces deux champs sont facultatifs. 5 Cliquez sur la flèche bleue à côté des options à configurer : Période de temps Portée du rapport Report Types Filtre Choisissez un intervalle de temps pour le rapport. Choisissez le type de résultat à inclure dans le rapport. Sélectionnez les rapports à inclure. Filtrez les données des journaux pour créer des rapports sur des contenus ou informations spécifiques. Guide d Administration FortiGate Version

428 Planifié Format/Sortie 6 Cliquez sur OK. Configurez le moment auquel le FortiAnalyzer génère ses rapports, par exemple, chaque semaine ou chaque mois. Choisissez un format pour les rapports. Configuration des options temporelles Les rapports reprennent les informations pour un laps de temps donné. Vous devez spécifier cet intervalle de temps souhaité. Lorsque le FortiAnalyzer génère un rapport, il utilise les données journalisées pour cette période de temps spécifié uniquement. Illustration 270 : Configuration des options temporelles des rapports Période de temps Date de début : Date de fin : Sélectionnez un intervalle de temps pour le rapport. Choisissez la date et l heure de départ. Choisissez la date et l heure de fin. Configuration du contenu des rapports Sélectionnez le type de résultats que vous voulez inclure dans les rapports. Illustration 271 : Configuration du contenu des rapports Résoudre les noms d hôtes Permet l affichage des noms d hôtes par un nom reconnaissable à la place des adresses IP. Pour toute information sur la configuration d adresse IP de noms d hôtes, voir le FortiAnalyzer Administration Guide. Résoudre les noms Permet l affichage des noms des services réseaux à la place de services des numéros de port. Par exemple, HTTP au lieu de port 80. Dans les «rapports classés» montrer le top Pour certains types de rapports, vous pouvez définir les éléments supérieurs. Ces rapports ont le mot «Top» dans leur nom et afficheront uniquement les n entrées supérieures. Par exemple, le rapport des clients mail les plus actifs dans l organisation (au lieu de tous les clients mail). Les rapports qui ne comprennent pas le mot «Top» dans leur nom afficheront quant à eux toutes les informations. Les rapports ne seront pas affectés par un changement des valeurs du champ «Top». 428 Guide d Administration FortiGate Version 3.0

429 Configuration de la sélection des rapports Sélectionnez le type d informations que vous voulez inclure dans les rapports : Basic offre les types de rapports les plus communs. All offre tous les types de rapports. Si les données pour un type de rapport sont inexistantes, ce rapport affichera un message précisant que les données journalisées pour ce rapport n ont pas été trouvées. Custom permet de sélectionner les rapports que vous voulez inclure. Cliquez sur la flèche bleue pour afficher les catégories de rapports et sélectionnez des rapports individuels. Configuration de filtres pour les journaux Le filtrage vous permet de visualiser ou retirer des informations d un rapport pour obtenir un rapport plus concis. Cela sert dans le cas, par exemple, où vous ne désirez que des rapports sur des messages d erreurs spécifiques ou encore si vous ne voulez pas inclure certaines adresses IP de destination. Illustration 272 : Configuration de filtres pour les journaux Filtres Include logs that match Priorité Choisissez None pour ne pas appliquer de filtres aux journaux d un rapport. Choisissez Custom pour appliquer des filtres aux journaux d un rapport. Sélectionnez le critère voulu pour le filtre. Sélectionnez All pour inclure dans le rapport les journaux qui correspondent à tous les paramètres des filtres. Si le contenu d un journal ne correspond pas à tous les critères, le FortiAnalyzer ne reprendra pas ce journal dans son rapport. Sélectionnez Any pour inclure dans le rapport les journaux qui correspondent à au moins un critère des filtres. Si un contenu de filtre, même s il est le seul, correspond au contenu d un journal, celui-ci sera repris dans le rapport généré par le FortiAnalyzer. Cochez cette case pour activer les options de filtrage en fonction du niveau de priorité. Sélectionnez ensuite le niveau de priorité à rechercher dans les journaux et précisez si vous désirez que le contenu soit égal, plus grand ou plus petit que ce niveau de priorité. Guide d Administration FortiGate Version

430 Source(s) Destination(s) Entrez l adresse IP source comme critère de correspondance. Utilisez une virgule pour séparer plusieurs adresses. Cochez Not pour exclure l adresse IP source du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d une adresse IP source précise dans le rapport. Entrez l adresse IP de destination comme critère de correspondance. Utilisez une virgule pour séparer plusieurs adresses. Cochez Not pour exclure l adresse IP de destination du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d une adresse IP de destination précise dans le rapport. Vous pouvez également organiser le filtre en fonction de plages d adresses IP, y compris des sous-réseaux pour créer des rapports sur des groupes de l organisation. Par exemple : filtre toutes les adresses IP du sous -réseau / ou / filtre toutes les adresses IP de à filtre toutes les adresses IP de à Interface (s) Entrez l interface que vous voulez inclure dans le rapport. Séparez plusieurs interfaces par une virgule. Cochez Not pour exclure les informations de cette interface du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d une interface précise dans le rapport. Domaine(s) Virtuel(s) Entrez les domaines virtuels à inclure dans le rapport. Séparez plusieurs domaines virtuels par une virgule. Cochez Not pour exclure le VDOM du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d un VDOM précis dans le rapport. Service(s) Entrez les services spécifiques à inclure dans le rapport. Séparez plusieurs services par une virgule. Cochez Not pour exclure le service du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d un service précis dans le rapport. URL(s) Entrez les URL spécifiques à inclure dans le rapport. Séparez plusieurs URL par une virgule. Cochez Not pour exclure l URL du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d un URL précis dans le rapport. Période Sélectionnez un intervalle de temps à inclure dans le rapport. Jours de la semaine Choisissez les jours de la semaine pour lesquels les informations tirées des fichiers journaux sont insérées dans les rapports. 430 Guide d Administration FortiGate Version 3.0

431 Configuration d un planning pour les rapports Le FortiAnalyzer génère des rapports selon un planning que vous définissez. Choisissez un horaire récurrent pour que, par exemple, chaque semaine des rapports sur le trafic mail soient générés. Illustration 273 : Configuration d un planning pour les rapports Non planifié Permet de ne pas générer de rapport quotidien. Utilisez ce paramètre lorsque vous voulez obtenir des rapports seulement lorsque nécessaire. Si vous sélectionnez cette option, vous devez solliciter l initiation du rapport à partir de l interface d administration web du FortiAnalyzer. Quotidiennement Permet de générer un rapport tous les jours à la même heure. Ces jours Permet de générer un rapport certains jours de la semaine. Des dates Permet de générer un rapport certains jours du mois. Par exemple, pour générer un rapport tous les premiers et quinzièmes jours du mois, entrez 1, 15. Heure Permet de définir l heure à laquelle le rapport sera généré. Configuration de la sortie des rapports Vous pouvez choisir la destination et le format des rapports. Configurez pour cela le boîtier FortiAnalyzer pour soit sauvegarder les rapports sur son disque dur, soit les envoyer par mail à tous les destinataires prévus, soit encore les deux options. Lors de la configuration du FortiAnalyzer pour l envoi par mail des rapports, vous devez configurer le serveur mail sur le FortiAnalyzer. Pour toute information à ce sujet, voir le FortiAnalyzer Administration Guide. Remarque : Si vous envoyez par mail des rapports HTML à un utilisateur et que son client ne supporte pas HTML, il verra le code HTML de chaque rapport dans le corps du message. Guide d Administration FortiGate Version

432 Illustration 274 : Configuration de la sortie des rapports Fichier de sortie Sélectionnez le format de fichier pour les rapports générés sauvés sur le disque dur du FortiAnalyzer. de sortie Sélectionnez le format de fichier pour les rapports générés envoyés par le FortiAnalyzer en pièce jointe de courriers électroniques. Liste d adresses Entrez les adresses mail des destinataires des rapports. Tapez la touch e Enter pour ajouter une adresse mail supplémentaire. Charger le rapport Sélectionnez pour télécharger des fichiers de rapports sur un serveur FTP terminés sur un serveur FTP. Adresse IP Entrez l adresse IP du serveur FTP. Nom d utilisateur Entrez le nom d utilisateur pour vous connecter sur le serveur FTP. Mot de passe Entrez le mot de passe pour vous connecter sur le serveur FTP. Charger le(s) rapport(s) Permet de compresser les fichiers des rapports en au format gzip fichiers gzip avant de les télécharger sur un serveur FTP. Mail d alerte Supprimer le(s) fichier(s) Permet de supprimer les fichiers des rapports du après chargement disque dur du FortiAnalyzer une fois que celui-ci a terminé le téléchargement sur le serveur FTP. La fonctionnalité de mail d ale rte permet au boîtier FortiGate de surveiller les journaux de messages journalisés ayant un certain niveau de sévérité. Si le message apparaît dans les journaux, le boîtier FortiGate envoie un mail aux destinataires prédéfinis du message journalisé en question. L envoi de mails d alerte fournit une notification immédiate de problèmes apparaissant sur le boîtier For tigate, tels que des erreurs système ou des attaques réseaux. 432 Guide d Administration FortiGate Version 3.0

433 Illustration 275 : Options des mails d alerte Configuration des mails d alerte Lors de la configuration de mails d alerte, vous devez configurer au moins un serveur DNS. Le boîtier FortiGate utilise le nom du serveur SMTP pour se connecter au serveur mail et doit chercher ce nom sur votre serveur DNS. C onfigurer les mails d alerte 1 Sélectionnez Journaux/Alertes > Configuration > Alerte Mail. 2 Définissez les options suivantes et cliquez ensuite sur Appliquer : Serveur SMTP from Destinataire Le nom/adresse du serveur mail SMTP. Le nom d utilisateur SMTP. Entrez jusqu à trois destinataires des mails d alerte. Authentification Activer Coche z cette case pour activer l authentification SMTP. Compte de messagerie Entrez un nom d utilisateur pour vous connecter au SMTP serveur SMTP pour l envoi de mails d alerte. Cette manoeuvre n es t nécessaire que si vous avez activé l authentification SMTP. Mot de passe Entrez un mot de passe pour vous connecter au serveur SMTP pour l e nvoi de mails d alerte. Cette manoeuvre n est nécess aire que si vous avez activé l authentification SMTP. Log Level Le boîtier FortiGate envoie des mails d alerte pour tous les messages du niveau de sévérité sélectionné ainsi que des niveau x supérieurs. Urgent Alerte Critique Erreur Avertissement Notification Information Entrez un intervalle de temps d attente avant l envoi du mail d alerte du niveau additionnel des messages journalisés. Guide d Administration FortiGate Version

434 Remarque : Dans le cas où le boîtier FortiGate réunit plus d un message journalisé avant que l intervalle de temps soit atteint, le boîtier FortiGate combine ces messages et n envoie qu un mail d alerte. 434 Guide d Administration FortiGate Version 3.0

435 Index A accès au mode console, 33 administrateur authentification RADIUS, 169 configuration d un compte, 170 contrôle, 180 liste, 169 modifier le mot de passe, 170 administration comptes administrateurs, 168 FortiManager, groupe d utilisateurs, 169 profils d administration, 174 adresse pare-feu, 245 configuration, 247 configuration des groupes d adresses, 248 introduction, 245 liste des adresses pare-feu, 246 liste des groupes d adresses, 247 ajout d'un serveur ping à une interface, antispam, 386 configuration cli, 398 expressions régulières en Perl, 400 liste noire et liste blanche, 392 modèle à méta-caractère, 400 mots bannis, 389 trafic POP3 et IMAP, 386 trafic SMTP, 386 antivirus, 337 configuration CLI, 350 liste de soumission automatique, 344 liste des graywares, 348 liste des virus, 347 mise en quarantaine, 342 modèles de fichier, 338 options de mise en quarantaine, 345 archives de contenu, 58 authentification RADIUS, 169 authentification d un utilisateur, 324 authentification paramétrage du timeout, 324 auto key, 295 B bande passante garantie, 239 bande passante maximum, 239 BGP, 219 paramètres, 220 C Centre FortiGuard, 184 configuration du boîtier, 186 problèmes de connexion, 188 service Antispam, 185 service de filtrage web, 185 certificats VPN, 316 certificats CA, 320 certificats locaux, 316 générer une requête de certificat, 317 importation d un certificat serveur signé, 319 liste de révocation de certificat, 322 châssis FortiGate série 5000, 15 cluster administration, 133 administration individuelle des membres, 135 configuration, 124 connexion au réseau, 147 déconnexion d un membre, 136 liste des membres, réadjoindre un membre déconnecté, 137 réplication, 135 cluster virtuel administration, 141 clustering virtuel activation, 131 configuration, 127 exemple de configuration, 139 configuration des paramètres du modem, 79 configuration de l'interface modem, 79 configuration du système sauvegarde et restauration, 181 Configuration Globale paramètres, 42 configuration par défaut des profils de protection, 280 console de message d'alerte, 50 conventions du document, 26 D date et heure, paramétrage, 51 détection de l'échec d'une passerelle, 76 DHCP baux d adresses, 103 configuration d un serveur, 101 configuration d une interface, 69 configuration d une interface comme relais DHCP, 101 configuration des services DHCP, 100 serveurs et relais, 99 DNS configuration dynamique d'une interface, 72 domaines virtuels Guide d Administration FortiGate Version

436 affectation d un administrateur, 46 ajout d interfaces à un vdom, 45 création et édition, 44 introduction, 40 mode Multiple VDOM, 43 paramètres de configuration, 41 paramètres de la Configuration Globale, 42 domaines virtuels et cluster configuration, 130 E échec d'une passerelle détection, 76 enregistrement d'un FortiGate, 37 expressions régulières en Perl, 400 F filtrage web, 366 filtre url, 374 liste d exemption des contenus web, 371 liste de blocage de contenu, 368 par mots clés, 368 filtrage web FortiGuard, 378 liste override, 379 filtre MAC, 96 FortiAnalyzer, 411 accès aux journaux, 420 découverte automatique, 412 rapports, FortiGate documentation, FortiGate IPv6, 91 commande CLI, 91 FortiGate série 5000 châssis, 15 modules, 16 FortiGuard configuration des options override, 334 mise à jour manuelle des définitions AV et IPS, 55 Fortinet Base de Connaissance, 28 Service clientèle et support technique, 28 Fortinet, gamme de produits FortiAnalyser, 22 FortiBridge, 23 FortiClient, 22 FortiGuard, 22 FortiMail, 23 FortiManager, 23 FortiReporter, 23 G gamme de produits FortiGate, 15 gamme de produits Fortinet, groupe d adresses pare-feu, 247 groupe d utilisateurs, configuration, 333 groupe d utilisateurs Active Directory, 331 groupe d utilisateurs pare-feu, 331 groupe d utilisateurs VPN SSL, 332 liste de groupe, 332 options override FortiGuard, 334 types de groupe, 331 groupe d utilisateurs VPN SSL, 335 groupes d adresses configuration, 248 H HA, high availability voir haute disponibilité, 104 haute disponibilité exemple de configuration en maillage intégral, 143 haute disponibilité, 104 clustering virtuel, 108 interface de Heartbeat, 117 maillage intégral HA, 109 modes HA (actif-actif et actif-passif, 107 options HA, 114 priorité de l équipement, 115 protocole de clustering FortiGate (FGCP), 106 statistiques, 122 haute disponibilité interfaces agrégées 802.3ad, 150 haute disponibilité journalisation d un cluster, 415 heartbeat adresses IP des interfaces, 119 interface, 117 interfaces par défaut, 118 historique opérationnel, 55 hôtes de confiance, I icônes, description, 36 IM, 403 configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques d ensemble, 403 statistiques par protocole, 404 information sur la licence, 48 interface ajout d'un serveur ping, configuration additionelle, 74 configuration DHCP, 69 configuration DNS dynamique, 72 configuration PPPoE, 70 contrôler un accès administratif, 74 introduction, 61 paramètres, 63 paramètres DHCP, Guide d installation FortiGate-3000 et FortiGate-3600 Version

437 paramètres PPPoE, 71 interface agrégée 802.3ad, 66 interface d'administration web, 29 aide en ligne, 30 barre de boutons, 30 barre de statuts, 37 déconnexion, 34 écran, 29 icônes, 36 menu, 35 moteur de recherche, 32 pages, 34 interface IPSec virtuelle configuration, 72 interface modem configuration, 79 interface redondante, 67 interface sans fil, 68 interfaces statuts, 50 IP virtuelles, 260 ajout d IP virtuelles dynamiques, 276 ajout d un relayage de port, 269 ajout d une IP virtuelle d équilibrage de charge, 272 ajouter une adresse IP virtuelle de translation, configuration des adresses, 264 liste, 264 ips, 352 anomalies, 362 configuration cli, décodeurs de protocoles, 360 signatures personnalisées, 358 signatures prédéfinies, IPSec virtuelle configuration d'une interface, 72 paramètres, 73 J journal des Attaques, 59 journalisation, 409 accès aux journaux, boîtier FortiAnalyzer, 411 d un cluster haute disponibilité, 415 filtres et colonnes, 422 journal antispam, 419 journal antivirus, journal des attaques, 418 journal événement, 417 journal filtrage web, 418 journal im/p2p, 419 journal Trafic, 416 niveaux de sévérité, 410 stockage des journaux, 411 sur la mémoire, 413 sur un serveur Syslog, 414 sur Web Trends, 415 types de journaux, L licence, liste des sessions, 57 logiciel FortiGate, 53 mise à jour logicielle, 53 retour à une version antérieure, 54 M MAC adresses MAC virtuelles, 138 mail d alerte, 432 maillage intégral exemple de configuration, 143 message de connexion VPN SSL modification, messages de remplacement, méta-caractère, 400 MIB champs MIB Fortinet, 158 MIB FortiGate, 156 mise à jour des signatures antivirus et IPS, 189 mise à jour forcée, 191 via un serveur proxy, 190 mise à jour logicielle, 53 à partir de l interface d administration web, 53 mise en quarantaine, 342 configuration des options, 345 mode Transparent table de routage, 78 modèles de fichier, 338 modem configuration des paramètres, 79 connexion et déconnexion, 83 statut, 84 modules FortiGate série 5000, 16 Multicast, 221 paramètres, 222 N nom d hôte d un membre, 123 nom d'hôte du FortiGate, modification, 52 numéro de séquence, 195 O options du réseau configuration, 77 OSPF, 211 définitions d aires, 216 options avancées, 214 Guide d installation FortiGate-3000 et FortiGate-3600 Version

438 paramètres de base, 212 spécification de réseaux, 217 système autonome, 211 P P2P, 403 configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques d ensemble, 403 statistiques par protocole, 404 page d ignorance du filtrage web FortiGuard modification, 164 page d information d authentification modification, 165 page de connexion et authentification modification, 163 paires et groupes de paires, 336 par défaut route et passerelle, 198 paramétrage, date et heure du système, 51 paramètres d'une route en mode Transparent, 78 paramètres du modem mode redondant, 79, 81 mode stand alone, 79, 82 pare-feu groupe de service, 255 service personnalisé ICMP, 254 service personnalisé IP, 254 service personnalisé TCP ou UDP, 253 pare-feu, 249 configuration des services personnalisés, 253 liste des services personnalisés, 253 liste des services prédéfinis, 249 règle, 228 pare-feu plage horaire voir plage horaire, 257 passerelle détection de l'échec d'une passerelle, 76 plage horaire d un pare-feu, 257 configuration des plages ponctuelles, 258 configuration des plages récurrentes, 259 liste des plages ponctuelles, 257 liste des plages récurrentes, 258 Plages IP, 277 configuration, 278 Plages IP et NAT dynamique, 277 PPPoE configuration d une interface, 70 préférence des routes, 195 priorité d un membre, 123 priorité de l équipement, 115 priorité du trafic, 240 produits de la gamme Fortinet, profil de protection, 279 ajout d un profil à une règle, 292 configuration, 281 configuration CLI, 293 introduction, 279 liste, 280 options antivirus, options de filtrage antispam, 286 options de filtrage web, 283 options de la journalisation, 291 options des archives de contenu, 289 options du filtrage FortiGuard-Web, options IM et P2P, 290 options IPS, par défaut, 280 profils d administration, 174 configuration, 176 liste, 176 protection contre les intrusions, 352 anomalies, 362 configuration cli, décodeurs de protocoles, 360 signatures personnalisées, 358 signatures prédéfinies, R RADIUS authentification des administrateurs, 169 rapports, 424 configuration d un planning, configuration de la sortie des rapports, 431 configuration des filtres, 429 configuration des graphiques, 425 configuration du contenu, 428 FortiAnalyzer, options temporelles, 428 sur le trafic, 424 règle de routage, 201 ajout, 202 déplacement, 203 règle pare-feu, 228 ajout d une authentification, 238 ajout d une priorité de trafic, 239 ajout d une règle, 231 configuration, 232 corresondance de règles, 229 déplacement, 231 liste, 230 options, 234 règle pare-feu IPSec, 242 règle pare-feu VPN SSL, 243 réseau options du réseau, 76 options, configuration, 77 retour à une version logicielle antérieure, 54 RIP, 205 ignorer les paramètres, 209 options avancées, Guide d installation FortiGate-3000 et FortiGate-3600 Version

439 paramètres de base, 206 routage ajout d une route statique, 200 concepts, 194 construction d une table de routage, 195 numéro de séquence, 195 préférence des routes, 195 prendre les décisions, 195 règle, 201 route paramètres, en mode Transparent, 78 route et passerelle par défaut, 198 routes statiques création et édition, 197 routeur dynamique, 205 BGP, 219 Multicast, 221 OSPF, 211 RIP, 205 S serveur override ajout, 190 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 service clientèle et support technique, 28 snmp configuration, 153 SNMP, 152 configuration d une communauté, 154 statistiques visualisation, 57 statuts du système, 47 informations, 48 page des statuts, 47 ressources, 49 statistiques, 50 Syslog journalisation, 414 système sans fil domaines régulatoires, 92 filtrage des MAC, 96 interface LAN sans fil FortiWiFi, 92 numéros des canaux IEEE x, 92 paramètres du système, 94 surveillance du module, 97 T table de routage, 225 affichage des informations, 225 en mode Transparent, 78 recherche, 227 traps FortiGate, 156 U utilisateur, 324 authentification d un utilisateur, 324 comptes utilisateurs locaux, 325 configuration d un groupe d utilisateurs, 333 groupe d utilisateurs, groupe d utilisateurs Active Directory, 331 groupe d utilisateurs pare-feu, 331 groupe d utilisateurs VPN SSL, 332 liste de groupe d utilisateurs, 332 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 types de groupe d utilisateurs, 331 V VLAN en mode NAT/Route, 85 en mode Transparent, 88 introduction, 84 VPN IPSec, 294 auto key, 295 clé manuelle, 305 concentrateur, 308 création d une phase 1, 296 création d une phase 2 \r, 302 tunnels actifs, VPN PPTP, 312 plage PPTP, 312 VPN SSL, 313 configuration, 313 monitor, W Web Trends journalisation, 415 wireless voir Système sans fil, 92 Z zone, 75 liste des zones, 75 paramètres d'une zone, 76 Guide d installation FortiGate-3000 et FortiGate-3600 Version