Guide Dad Ministration FortiGate v30MR1 FR

GUIDE DADMINISTRATION
FortiGate Version 3.0
www.fortinet.com
Guide dadministration FortiGate Version 3.0 24 avril 2006 01-30001-0203-20060424 Droit dauteur 2006 Fortinet, Inc. Tous droits rservs. En aucun cas, tout ou partie de cette publication, y compris les textes, exemples, diagrammes ou illustrations, ne peuvent tre reproduits, transmis ou traduits, sous aucune forme et daucune faon, que ce soit lectronique, mcanique, manuelle, optique ou autre, quelquen soit lobjectif, sans autorisation pralable de Fortinet, Inc. Marques dposes Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et FortiWiFi sont des marques dposes de Fortinet, Inc. aux tats-Unis et/ou dans dautres pays. Les noms des socits et produits mentionns ici peuvent tre des marques dposes par leurs propritaires respectifs.
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Table des Matires

Introduction .......................................................................................................15
Prsentation des quipements FortiGate ............................................................................. 15 Chssis FortiGate srie 5000 ............................................................................................... 15 A propos des modules FortiGate srie 5000 ........................................................................ 16 FortiGate-3600...................................................................................................................... 17 FortiGate-3000...................................................................................................................... 17 FortiGate-1000A ................................................................................................................... 18 FortiGate-1000AFA2............................................................................................................. 18 FortiGate-1000...................................................................................................................... 18 FortiGate-800........................................................................................................................ 18 FortiGate-800F...................................................................................................................... 19 FortiGate-500A ..................................................................................................................... 19 FortiGate-500........................................................................................................................ 19 FortiGate-400A ..................................................................................................................... 19 FortiGate-400........................................................................................................................ 19 FortiGate-300A ..................................................................................................................... 20 FortiGate-300........................................................................................................................ 20 FortiGate-200A ..................................................................................................................... 20 FortiGate-200........................................................................................................................ 20 FortiGate-100A ..................................................................................................................... 20 FortiGate-100........................................................................................................................ 21 FortiGate-60/60M/ADSL ....................................................................................................... 21 FortiWiFi-60 .......................................................................................................................... 21 FortiGate-50A ....................................................................................................................... 21 Gamme de Produits Fortinet.................................................................................................. 22 Services de souscription FortiGuard..................................................................................... 22 FortiAnalyser......................................................................................................................... 22 FortiClient.............................................................................................................................. 22 FortiManager......................................................................................................................... 23 FortiBridge ............................................................................................................................ 23 FortiMail ................................................................................................................................ 23 FortiReporter......................................................................................................................... 23 A propos de ce document ...................................................................................................... 24 Conventions utilises dans ce document ............................................................................. 26 Documentation FortiGate ....................................................................................................... 27 CD doutils et de documentation Fortinet.............................................................................. 28 Base de Connaissance Fortinet (Fortinet Knowledge Center) ............................................. 28 Remarques sur la documentation technique Fortinet........................................................... 28 Service clientle et support technique ................................................................................. 28
Interface dadministration web ........................................................................29

Fonctionnalits de la barre de boutons ................................................................................ 30 Contacter le Support Technique ........................................................................................... 30 Aide en Ligne ........................................................................................................................ 30 Accs au mode console........................................................................................................ 33 Dconnexion ......................................................................................................................... 34
Pages de linterface dadministration web ........................................................................... 34 Menu de linterface dadministration web.............................................................................. 35 Listes..................................................................................................................................... 36 Icnes.................................................................................................................................... 36 Barre de statuts..................................................................................................................... 37 Enregistrement dun quipement FortiGate......................................................................... 37
Utilisation de domaines virtuels ......................................................................40

Domaines virtuels ................................................................................................................... 40 Paramtres de configuration des domaines virtuels............................................................. 41 Paramtres de la Configuration Globale............................................................................... 42 Activation du mode Multiple VDOM ...................................................................................... 43 Configuration des VDOM et paramtres globaux ................................................................ 43 Visualisation, cration et dition de domaines virtuels et dition de paramtres globaux ... 44 Ajout dinterfaces un domaine virtuel................................................................................. 45 Affectation dun administrateur un domaine virtuel............................................................ 46
Statuts du Systme...........................................................................................47
Page des statuts...................................................................................................................... 47 Visualisation des statuts du systme.................................................................................... 47 Modification des informations du systme .......................................................................... 51 Paramtrage des date et heure ............................................................................................ 51 Modification du nom dhte du botier FortiGate................................................................... 52 Modification du logiciel FortiGate ......................................................................................... 53 Mise jour logicielle.............................................................................................................. 53 Retour une version logicielle antrieure ............................................................................ 54 Visualisation de lhistorique oprationnel............................................................................ 55 Mise jour manuelle des dfinitions FortiGuard................................................................. 55 Mise jour manuelle des dfinitions AV FortiGuard ............................................................ 56 Mise jour manuelle des dfinitions IPS FortiGuard ........................................................... 56 Visualisation des Statistiques ............................................................................................... 57 Visualisation de la liste des sessions.................................................................................... 57 Visualisation des Archives de Contenu ................................................................................ 58 Visualisation du Journal des Attaques.................................................................................. 59
Systme > Rseau ............................................................................................61

Interface ................................................................................................................................... 61 Paramtres de linterface ...................................................................................................... 63 Cration dune interface agrge 802.3ad ........................................................................... 66 Cration dune interface redondante .................................................................................... 67 Cration dune interface sans fil ........................................................................................... 68 Configuration DHCP dune interface..................................................................................... 69 Configuration PPPoE dune interface ................................................................................... 70 Configuration dun service DNS dynamique dune interface ................................................ 72 Configuration dune interface IPSec virtuelle........................................................................ 72
4 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Configuration additionnelle des interfaces............................................................................ 74 Zone .......................................................................................................................................... 75 Paramtres dune zone......................................................................................................... 76 Options..................................................................................................................................... 76 Dtection de lchec dune passerelle .................................................................................. 76 Configuration des Options du Rseau.................................................................................. 77 Table de Routage (en mode Transparent) ............................................................................ 78 Paramtres dune route en mode Transparent..................................................................... 78 Configuration de linterface modem...................................................................................... 79 Configuration des paramtres du modem ............................................................................ 79 Configuration du mode Redondant....................................................................................... 81 Configuration du mode stand alone...................................................................................... 82 Ajout de rgles pare-feu pour les connexions modem ......................................................... 83 Connexion et dconnexion du modem ................................................................................. 83 Vrification du statut du modem ........................................................................................... 84 Aperu sur les VLAN............................................................................................................... 84 Equipements FortiGate et VLAN .......................................................................................... 85 VLAN en mode NAT/Route ..................................................................................................... 85 Consignes sur les identificateurs VLAN................................................................................ 86 Consignes sur les adresses IP VLAN................................................................................... 86 Ajout de sous-interfaces VLAN............................................................................................. 87 VLAN en mode Transparent................................................................................................... 88 Consignes sur les identificateurs VLAN................................................................................ 90 Domaines virtuels et VLAN en mode Transparent ............................................................... 90 Support FortiGate IPv6 ........................................................................................................... 91
Systme Sans Fil ..............................................................................................92

Interface LAN sans fil FortiWiFi............................................................................................. 92 Domaines rgulatoires............................................................................................................ 92 Paramtres sans fil du systme (FortiWiFi-60) .................................................................... 94 Paramtres sans fil du systme (FortiWiFi-60A et 60AM)................................................... 95 Filtrage des MAC ..................................................................................................................... 96 Surveillance du module sans fil ............................................................................................ 97
Systme DHCP ..................................................................................................99

Serveurs et relais DHCP FortiGate ........................................................................................ 99 Configuration des services DHCP....................................................................................... 100 Configuration dune interface comme relais DHCP ............................................................ 101 Configuration dun serveur DHCP ...................................................................................... 101 Visualisation des baux dadresses...................................................................................... 103 Rservation dadresses IP pour clients spcifiques ........................................................... 103
Configuration du Systme .............................................................................104

Haute Disponibilit................................................................................................................ 104 Aperu sur la Haute Disponibilit........................................................................................ 105 Protocole de Clustering FortiGate (FGCP) ......................................................................... 106 Modes HA (actif-actif et actif-passif) ................................................................................... 107 Compatibilit de la HA FortiGate avec DHCP et PPPoE.................................................... 108 Aperu sur le clustering virtuel............................................................................................ 108 Aperu sur le maillage intgral HA ..................................................................................... 109 Configuration doptions HA (clustering virtuel inactiv) ...................................................... 112 Configuration doptions HA pour clustering virtuel.............................................................. 112 Options HA.......................................................................................................................... 114 Liste des membres dun cluster .......................................................................................... 120 Visualisation des statistiques HA........................................................................................ 122 Modification du nom dhte et de la priorit dun membre subordonn.............................. 123 Configuration dun cluster HA ............................................................................................. 124 Configuration dun clustering virtuel.................................................................................... 127 Administration dun cluster.................................................................................................. 133 Dconnexion dun membre du cluster ................................................................................ 136 Adresses MAC virtuelles dun cluster ................................................................................. 138 Exemple de configuration dun clustering virtuel ................................................................ 139 Administration de clusters virtuels ...................................................................................... 141 Exemple de configuration en maillage intgral HA............................................................. 143 Maillage intgral HA pour clustering virtuel ........................................................................ 148 HA et interfaces redondantes ............................................................................................. 149 HA et interfaces agrges 802.3ad .................................................................................... 150 SNMP ...................................................................................................................................... 152 Configuration SNMP ........................................................................................................... 153 Configuration dune communaut SNMP ........................................................................... 154 MIB FortiGate...................................................................................................................... 156 Traps FortiGate................................................................................................................... 156 Champs MIB Fortinet .......................................................................................................... 158 Messages de remplacement ................................................................................................ 161 Liste des messages de remplacement ............................................................................... 161 Modification des messages de remplacement.................................................................... 162 Modification de la page de connexion et dauthentification ................................................ 163 Modification de la page dignorance du filtrage web FortiGuard ........................................ 164 Modification du message de connexion VPN SSL ............................................................. 165 Modification de la page dinformation dauthentification ..................................................... 165 Mode de fonctionnement des VDOM et accs administratif ............................................ 166 Modification du mode de fonctionnement ........................................................................... 166
Administration du Systme ...........................................................................168

Administrateurs..................................................................................................................... 168 Configuration de lauthentification RADIUS des administrateurs ....................................... 169 Visualisation de la liste des administrateurs ....................................................................... 169 Configuration dun compte administrateur .......................................................................... 170 Profils dadministration ........................................................................................................ 174 Visualisation de la liste des profils dadministration ........................................................ 176 Configuration dun profil dadministration ......................................................................... 176
FortiManager.......................................................................................................................... 178 Paramtres............................................................................................................................. 178 Contrle des administrateurs .............................................................................................. 180
Maintenance du Systme ...............................................................................181

Sauvegarde et Restauration................................................................................................. 181 Centre FortiGuard ................................................................................................................. 184 Rseau de Distribution FortiGuard ..................................................................................... 184 Services FortiGuard ............................................................................................................ 184 Configuration du botier FortiGate pour les services FDN et FortiGuard ........................... 186 Rsolution de problmes de connexion FDN ..................................................................... 188 Mise jour des signatures antivirus et IPS......................................................................... 189 Activation des mises jour forces .................................................................................... 191 Licence ................................................................................................................................... 193
Routeur Statique .............................................................................................194

Route Statique ....................................................................................................................... 194 Concepts de routage........................................................................................................... 194 Visualisation, cration et dition de routes statiques.......................................................... 197 Route par dfaut et passerelle par dfaut .......................................................................... 198 Ajout dune route statique la table de routage ................................................................. 200 Rgle de Routage .................................................................................................................. 201 Ajout dune rgle de routage............................................................................................... 202 Dplacement dune rgle de routage.................................................................................. 203
Routeur dynamique ........................................................................................205

RIP........................................................................................................................................... 205 Fonctionnement RIP ........................................................................................................... 206 Visualisation et dition des paramtres de base RIP ......................................................... 206 Slection doptions RIP avances ...................................................................................... 208 Ignorer les paramtres de fonctionnement RIP dune interface ......................................... 209 OSPF....................................................................................................................................... 211 Systmes autonomes OSPF .............................................................................................. 211 Dfinition dun systme autonome (AS) OSPF .................................................................. 212 Visualisation et dition de paramtres de base OSPF ....................................................... 212 Slection doptions avances OSPF .................................................................................. 214 Dfinitions daires OSPF..................................................................................................... 216 Spcification de rseaux OSPF.......................................................................................... 217 Slection de paramtres de fonctionnement dune interface OSPF .................................. 218 BGP......................................................................................................................................... 219 Fonctionnement de BGP..................................................................................................... 220 Visualisation et dition des paramtres BGP ..................................................................... 220 Multicast................................................................................................................................. 221 Visualisation et dition de paramtres multicast ................................................................ 222 Ignorer les paramtres multicast dune interface................................................................ 223
Table de Routage ............................................................................................225

Affichage des informations sur le routage ......................................................................... 225 Recherche dans la table de routage FortiGate .................................................................. 227
Rgle Pare-feu.................................................................................................228
A propos des rgles pare-feu .............................................................................................. 228 Comment fonctionne la correspondance de rgles ? ......................................................... 229 Visualisation de la liste des rgles pare-feu ...................................................................... 230 Ajout dune rgle pare-feu................................................................................................... 231 Dplacement dune rgle dans la liste................................................................................ 231 Configuration des rgles pare-feu....................................................................................... 232 Options des rgles pare-feu ............................................................................................... 234 Ajout dune authentification aux rgles pare-feu ................................................................ 238 Ajout dune priorit de trafic aux rgles pare-feu ................................................................ 239 Options des rgles pare-feu IPSec..................................................................................... 242 Options des rgles pare-feu VPN SSL ............................................................................... 243
Adresse Pare-Feu ...........................................................................................245

A propos des adresses pare-feu ......................................................................................... 245 Visualisation de la liste des adresses pare-feu ................................................................. 246 Configuration des adresses................................................................................................. 247 Visualisation de la liste des groupes dadresses .............................................................. 247 Configuration des groupes dadresses .............................................................................. 248
Service Pare-feu..............................................................................................249
Visualisation de la liste des services prdfinis................................................................ 249 Visualisation de la liste des services personnaliss......................................................... 253 Configuration des services personnaliss......................................................................... 253 Visualisation de la liste des groupes de services ............................................................. 255 Configuration des groupes de services.............................................................................. 255
Plage horaire dun Pare-feu ...........................................................................257

Visualisation de la liste des plages horaires ponctuelles................................................. 257 Configuration des plages horaires ponctuelles................................................................. 258 Visualisation de la liste des plages horaires rcurrentes................................................. 258 Configuration des plages horaires rcurrentes................................................................. 259
IP virtuelles......................................................................................................260
IP virtuelles ............................................................................................................................ 260 Comment les adresses IP virtuelles grent-elles leurs connexions travers le botier FortiGate ? .......................................................................................................................... 260
Visualisation de la liste dIP virtuelles ................................................................................ 264 Configuration des adresses IP virtuelles ........................................................................... 264 Ajout dune adresse IP virtuelle de translation une seule adresse IP ............................. 265 Ajout dune adresse IP virtuelle de translation une plage dadresses IP......................... 267 Ajout dun relayage de port de translation une seule adresse IP et un seul port ............ 269 Ajout dun relayage de port de translation une plage dadresses IP et une plage de ports ............................................................................................................................................ 270 Ajout dune IP virtuelle dquilibrage de charge une plage dadresses IP....................... 272 Ajout dune IP virtuelle relayage de port quilibrage de charge une plage dadresses IP et une plage de ports .............................................................................................................. 274 Ajout dIP virtuelles dynamiques......................................................................................... 276 Plages IP ................................................................................................................................ 277 Plages IP et NAT dynamique.............................................................................................. 277 Plages IP pour les rgles pare-feu utilisant des ports fixes................................................ 277 Visualisation des plages IP .................................................................................................. 278 Configuration des plages IP................................................................................................. 278
Profil de Protection.........................................................................................279
Quest-ce quun profil de protection? ................................................................................. 279 Profils de protection par dfaut........................................................................................... 280 Visualisation de la liste des profils de protection ............................................................. 280 Configuration dun profil de protection .............................................................................. 281 Options Antivirus................................................................................................................. 282 Options du filtrage Web ...................................................................................................... 283 Options du filtrage FortiGuard-Web.................................................................................... 285 Options du filtrage antispam ............................................................................................... 286 Options IPS......................................................................................................................... 289 Options des archives de contenu ....................................................................................... 289 Options IM et P2P............................................................................................................... 290 Options de la journalisation ................................................................................................ 291 Ajout dun profil de protection une rgle ........................................................................ 292 Configuration CLI dun profil de protection ....................................................................... 293 Config firewall profile........................................................................................................... 293
VPN IPSEC.......................................................................................................294
Aperu du mode interface IPSec ......................................................................................... 294 Auto Key................................................................................................................................. 295 Cration dune nouvelle configuration phase 1 .................................................................. 296 Dfinition des paramtres avancs de la phase 1.............................................................. 299 Cration dune nouvelle configuration phase 2 .................................................................. 302 Dfinition des paramtres avancs de la phase 2.............................................................. 303 Cl Manuelle .......................................................................................................................... 305 Cration dune nouvelle configuration cl manuelle ........................................................ 306 Concentrateur........................................................................................................................ 308 Dfinition des options dun concentrateur........................................................................... 309
Tunnels actifs ........................................................................................................................ 310
VPN PPTP ........................................................................................................312

Plage PPTP ............................................................................................................................ 312
VPN SSL ..........................................................................................................313

Configuration......................................................................................................................... 313 Monitor ................................................................................................................................... 315
Certificats VPN ................................................................................................316

Certificat locaux .................................................................................................................... 316 Gnrer une requte de certificat ....................................................................................... 317 Tlchargement et soumission dune requte de certificat ................................................ 318 Importation dun certificat serveur sign ............................................................................. 319 Importation dun certificat serveur export et de sa cl prive ........................................... 319 Importation de fichiers spars de certificat serveur et leur cl prive .............................. 320 Certificats CA......................................................................................................................... 320 Importation de certificats de lautorit de certification......................................................... 321 CRL ......................................................................................................................................... 322 Importation dune liste de rvocation de certificat .............................................................. 322
Utilisateur ........................................................................................................324
Configuration de lauthentification dun utilisateur........................................................... 324 Paramtrage du timeout dauthentification ......................................................................... 324 Comptes utilisateurs locaux ................................................................................................ 325 Edition dun compte utilisateur............................................................................................ 325 Serveurs RADIUS .................................................................................................................. 326 Configuration dun serveur RADIUS ................................................................................... 326 Serveurs LDAP ...................................................................................................................... 327 Configuration dun serveur LDAP ....................................................................................... 328 Serveurs Windows AD .......................................................................................................... 328 Configuration dun serveur Windows AD ............................................................................ 329 Groupe dutilisateurs ............................................................................................................ 330 Types de groupe dutilisateurs............................................................................................ 331 Liste de groupes dutilisateurs ............................................................................................ 332 Configuration dun groupe dutilisateurs ............................................................................. 333 Configuration des options override FortiGuard pour un groupe dutilisateurs .................... 334 Configuration des options des groupes dutilisateurs VPN SSL......................................... 335 Configuration de paires et de groupes de paires .............................................................. 336
Antivirus ..........................................................................................................337
Antivirus................................................................................................................................. 337
Modles de Fichier ................................................................................................................ 338 Visualisation du catalogue de la liste des modles de fichier (FortiGate-800 et plus uniquement) ........................................................................................................................ 339 Cration dune nouvelle liste de modles de fichier ( FortiGate-800 et plus uniquement). 340 Visualisation de la liste de modles de fichier .................................................................... 340 Configuration de la liste de modles de fichier ................................................................... 342 Mise en Quarantaine ............................................................................................................. 342 Visualisation de la liste des Fichiers mis en Quarantaine .................................................. 343 Visualisation de la liste de soumission automatique .......................................................... 344 Configuration de la liste de soumission automatique ......................................................... 345 Configuration des options de mise en quarantaine ............................................................ 345 Configuration......................................................................................................................... 347 Visualisation de la liste des virus ........................................................................................ 347 Visualisation de la liste des Graywares .............................................................................. 348 Configuration de lAntivirus partir de linterface de ligne de commande .................... 350 system global optimize........................................................................................................ 350 config antivirus heuristic...................................................................................................... 350 config antivirus quarantine .................................................................................................. 351 config antivirus service <service_name>............................................................................ 351
Protection contre les Intrusions ....................................................................352

A propos de la protection contre les intrusions ................................................................ 352 Signatures prdfinies.......................................................................................................... 354 Visualisation de la liste de signatures prdfinies .............................................................. 354 Configuration de groupes de signatures prdfinies .......................................................... 357 Configuration des signatures prdfinies ........................................................................... 357 Signatures personnalises .................................................................................................. 358 Visualisation de la liste des signatures personnalises...................................................... 358 Cration de signatures personnalises .............................................................................. 359 Dcodeurs de protocoles ..................................................................................................... 360 Visualisation de la liste de dcodeurs de protocoles.......................................................... 361 Configuration des groupes de dcodeurs de protocoles IPS ............................................. 362 Configuration des dcodeurs de protocoles IPS ................................................................ 362 Anomalies .............................................................................................................................. 362 Visualisation de la liste des anomalies de trafic ................................................................. 363 Configuration des anomalies de trafic IPS.......................................................................... 364 Configuration de lIPS partir de linterface de ligne de commande .............................. 365 system autoupdate ips ........................................................................................................ 365 ips global fail-open .............................................................................................................. 365 ips global ip_protocol .......................................................................................................... 365 ips global socket-size.......................................................................................................... 365 (config ips anomaly) config limit.......................................................................................... 365
Filtrage Web ....................................................................................................366

Filtrage Web........................................................................................................................... 366 Filtrage par mots-cls ........................................................................................................... 368
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 11
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus) ............................................................................................................................................ 368 Cration dune nouvelle liste de blocage de contenu Web (Modle botier FortiGate-800 et plus) .................................................................................................................................... 369 Visualisation de la liste de blocage de contenu Web ......................................................... 369 Configuration de la liste de blocage de contenu web ......................................................... 371 Visualisation du contenu de la liste dexemption des contenus Web (modles FortiGate-800 et plus) ................................................................................................................................ 371 Cration dune nouvelle liste dexemption des contenus Web (modles FortiGate-800 et plus) .................................................................................................................................... 372 Visualisation de la liste dexemption des contenus Web .................................................... 372 Configuration de la liste dexemption des contenus Web................................................... 373 Filtre URL ............................................................................................................................... 374 Visualisation du catalogue des listes de filtres URL (Modles FortiGate-800 et plus) ....... 374 Cration dune nouvelle liste de filtres URL (Modles FortiGate-800 et plus).................... 375 Visualisation de la liste des filtres URL............................................................................... 375 Configuration dune liste de filtres URL .............................................................................. 377 Dplacement dURL au sein de la liste de filtres URL........................................................ 378 Filtrage Web FortiGuard ....................................................................................................... 378 Configuration du filtrage FortiGuard-Web........................................................................... 378 Visualisation de la liste override ......................................................................................... 379 Configuration de rgles dignorance ................................................................................... 380 Cration de catgories locales ........................................................................................... 382 Visualisation de la liste des valuations locales ................................................................. 382 Configuration dvaluations locales .................................................................................... 383 Configuration dun blocage de catgorie partir de linterface de ligne de commande..... 384 Rapports du Filtrage FortiGuard-Web ................................................................................ 384
Antispam .........................................................................................................386
Antispam ................................................................................................................................ 386 Ordre du filtrage antispam .................................................................................................. 386 Mots bannis ........................................................................................................................... 389 Visualisation du catalogue de listes de mots bannis antispam (Modles FortiGate-800 et plus) .................................................................................................................................... 389 Cration dune nouvelle liste de mots bannis antispam (modles FortiGate-800 et plus) . 390 Visualisation de la liste de mots bannis antispam .............................................................. 390 Configuration de la liste des mots bannis antispam ........................................................... 392 Liste noire et liste blanche ................................................................................................... 392 Visualisation du catalogue de listes dadresses IP antispam (modles FortiGate-800 et plus). ................................................................................................................................... 393 Cration dune nouvelle liste dadresses IP antispam (modles FortiGate-800 et plus) .... 393 Visualisation de la liste dadresses IP antispam ................................................................. 394 Configuration de la liste des adresses IP antispam............................................................ 395 Visualisation du catalogue de listes dadresses mail antispam (modles FortiGate-800 et plus). ................................................................................................................................... 395 Cration dune nouvelle liste dadresses mail antispam (modles FortiGate-800 et plus). 396 Visualisation de la liste dadresses IP mail antispam ......................................................... 396 Configuration de la liste des adresses mail antispam ........................................................ 398 Configuration antispam avance......................................................................................... 398 config spamfilter mheader................................................................................................... 398 config spamfilter rbl............................................................................................................. 399
Utilisation des expressions rgulires en Perl .................................................................. 400 Expression Rgulire vs Modle mta-caractre ........................................................... 400 Limite des mots................................................................................................................... 400 Sensibilit la casse des caractres.................................................................................. 400 Formats des expressions rgulires en Perl ...................................................................... 400 Exemples ............................................................................................................................ 402
IM/P2P ..............................................................................................................403
Statistiques ............................................................................................................................ 403 Visualisation des statistiques densemble .......................................................................... 403 Visualisation des statistiques par protocole........................................................................ 404 Utilisateur............................................................................................................................... 405 Visualisation de la liste des utilisateurs connects............................................................. 405 Visualisation de la liste des utilisateurs .............................................................................. 406 Ajout dun nouvel utilisateur la liste des utilisateurs ........................................................ 406 Configuration dune politique utilisateur globale ................................................................. 407 Configuration IM/P2P partir de linterface de ligne de commande ............................... 408
Journaux & Alertes .........................................................................................409

Journalisation FortiGate....................................................................................................... 409 Niveaux de svrit des journaux ....................................................................................... 410 Stockage des Journaux........................................................................................................ 411 Journalisation sur un botier FortiAnalyzer ......................................................................... 411 Se connecter un botier FortiAnalyzer au moyen de la dcouverte automatique............ 412 Test de la configuration dun botier FortiAnalyzer ............................................................. 412 Journalisation sur la mmoire ............................................................................................. 413 Journalisation sur un serveur Syslog.................................................................................. 414 Journalisation sur WebTrends ............................................................................................ 415 Journalisation dun cluster Haute Disponibilit ................................................................ 415 Types de Journaux................................................................................................................ 416 Journal Trafic ...................................................................................................................... 416 Journal Evnement ............................................................................................................. 417 Journal Antivirus ................................................................................................................. 418 Journal Filtrage Web........................................................................................................... 418 Journal des Attaques .......................................................................................................... 418 Journal Antispam ................................................................................................................ 419 Journal IM / P2P ................................................................................................................. 419 Accs aux Journaux ............................................................................................................. 420 Accs aux messages journaliss stocks en mmoire ...................................................... 420 Accs aux journaux stocks sur un botier FortiAnalyzer................................................... 420 Visualisation des informations journalises ........................................................................ 421 Paramtres des colonnes ................................................................................................... 422 Filtrage des messages journaliss ..................................................................................... 423 Rapports................................................................................................................................. 424 Rapports de base sur le trafic ............................................................................................. 424 Rapports FortiAnalyzer ....................................................................................................... 426
13
Mail dalerte............................................................................................................................ 432 Configuration des mails dalerte ......................................................................................... 433
Index ................................................................................................................435
14
Introduction
Bienvenue et merci davoir choisi les produits Fortinet pour la protection en temps rel de votre rseau. Les botiers FortiGateTM Unified Threat Management System (Systme de Gestion Unifie des Attaques) scurisent les rseaux, rduisent les mauvais usages et abus rseaux et contribuent une utilisation plus efficace des ressources de communication, sans compromettre la performance de votre rseau. La gamme a reu les certifications ICSA pare-feu, VPN IPSec et antivirus. Lappliance FortiGate est un botier entirement ddi la scurit. Il est convivial et fournit une gamme complte de services, que ce soit: au niveau des applications (comme le filtrage antivirus, la protection contre les intrusions, les filtrages antispam, de contenu web et IM/P2P). au niveau du rseau (comme le pare-feu, la dtection et prvention dintrusion, les VPN IPSec et VPN SSL et la qualit de service). Au niveau de ladministration (comme lauthentification dun utilisateur, la journalisation, les rapports du FortiAnalyzer, les profils dadministration, laccs scuris au web et laccs administratif CLI et SNMP). Le systme FortiGate utilise la technologie de Dynamic Threat Prevention System (Systme Dynamique de Prvention des Attaques) (DTPSTM). Celle-ci sappuie sur les dernires avances technologiques en matire de conception de microcircuits, de gestion de rseaux, de scurit et danalyse de contenu. Cette architecture unique base sur un Asic permet d'analyser en temps rel les contenus applicatifs et les comportements du rseau. Ce chapitre parcourt les sections suivantes : Introduction aux quipements FortiGate Gamme de produits Fortinet A propos de ce document Documentation FortiGate Service clientle et support technique
Prsentation des quipements FortiGate

Toutes les appliances FortiGate Unified Threat Management offrent les fonctionnalits antivirus, filtrage de contenu, pare-feu, VPN et dtection/prvention dintrusion destines aux rseaux des petites comme des grandes entreprises.
Chssis FortiGate srie 5000

Les plates-formes de scurit rseau FortiGate srie 5000 sont des systmes chssis destins aux grandes entreprises et fournisseurs de services haut dbit Internet. Ils garantissent des services de scurit intgrant pare-feu, VPN, protection antivirus, antispam, filtrage de contenu web et systme de prvention contre les intrusions (IPS). Le grand choix de configurations systme quoffrent les FortiGate srie 5000 assure la flexibilit ncessaire la croissance des rseaux de haute performance. Les chssis FortiGate srie 5000 supportent de multiples
15
modules FortiGate srie 5000 ainsi que des sources dalimentation changeables chaud. Cette approche modulaire offre aux entreprises et utilisateurs des FAI (Fournisseurs daccs Internet) une solution adaptable, hautement performante et tolrante aux pannes.
Chssis FortiGate-5140
Le chssis FortiGate-5140 comprend quatorze slots (logements) permettant dinstaller jusqu quatorze modules pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 12U comprenant deux modules redondants et changeables chaud dalimentation de courant continu qui se connectent une alimentation -48 VDC des salles dhbergement. Ce chssis possde galement trois plateaux de ventilateurs changeables chaud.
Le chssis FortiGate-5050 comprend cinq slots permettant dinstaller jusqu cinq modules pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 5U comprenant deux connexions redondantes dalimentation de courant continu qui se connectent une alimentation -48 VDC des salles dhbergement. Ce chssis possde galement un plateau de ventilateurs changeable chaud.
Le chssis FortiGate-5020 comprend deux slots permettant linstallation dun ou de deux module(s) pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 4U comprenant deux entres dalimentation de courant AC vers DC redondantes qui se connectent une alimentation AC. Ce chssis possde galement un plateau interne de ventilateurs.
A propos des modules FortiGate srie 5000

Chaque module FortiGate srie 5000 est un systme de scurit autonome pouvant faire partie dun cluster HA FortiGate. Tous les modules sont changeables chaud. Ces quipements sont des systmes de scurit de haute
16
performance possdant de multiples interfaces gigabits, des capacits de domaines virtuels et dautres fonctionnalits FortiGate de grande qualit.
Module FortiGate-5001SX
Le module FortiGate-5001SX est un systme de scurit hautement performant et autonome possdant huit interfaces Ethernet gigabits. Il supporte les fonctionnalits de haut niveau notamment les VLAN 802.1Q ainsi que de multiples domaines virtuels.
Module FortiGate-5001FA2
Le module FortiGate-5001FA2 est un systme de scurit hautement performant et autonome possdant six interfaces Ethernet gigabits. Il est similaire au module FortiGate-5001SX lexception de deux interfaces qui, intgrant la technologie Fortinet, offrent une acclration de la performance du traitement des petits paquets.
Module FortiGate-5002FB2
Le module FortiGate-5002FB2 est un systme de scurit hautement performant et autonome possdant un total de six interfaces Ethernet gigabits. Deux de ces interfaces intgrant la technologie Fortinet offrent une acclration de la performance du traitement des petits paquets.
FortiGate-3600
La fiabilit et les performances du FortiGate-3600 sont levs un niveau de type oprateur et rpondent aux exigences des grandes entreprises et fournisseurs de services. Son architecture multiprocesseur et Asic fournit un dbit de 4Gbit/s, rpondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend des blocs dalimentation redondants et un partage de charge, avec un secours assur sans interruption de service. La grande capacit du FortiGate-3600, sa fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de services de scurit manags.
FortiGate-3000
La fiabilit et les performances du FortiGate-3000 sont levs un niveau de type oprateur et rpondent aux exigences des grandes entreprises et fournisseurs de services. Son architecture multiprocesseur et Asic fournit un dbit de 3Gbit/s, rpondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend des blocs dalimentation redondants et un partage de charge, avec un secours assur sans interruption de service. La grande capacit du FortiGate-3000, sa fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de services de scurit manags.
17
FortiGate-1000A
Le botier FortiGate-1000A est une solution hautement performante rpondant aux exigences des grandes entreprises et fournisseurs de services. Grce son rseau de distribution (FortiGuard Distribution Network), les services FortiGuard permettent au FortiGate-1000A de disposer des informations les plus rcentes, assurant une protection continue contre les virus, vers, troyens et autres menaces, mme les plus rcentes. Son architecture flexible lui permet de sadapter aux technologies mergeantes telles que IM, P2P ou VOIP mais aussi de contrer les mthodes frauduleuses de collectes dinformations prives utilises par les spyware, phishing et pharming.
FortiGate-1000AFA2
Le botier FortiGate-1000AFA2 est une solution hautement performante rpondant aux exigences des grandes entreprises et fournisseurs de services. Ses deux ports de fibres optiques supplmentaires, bnficiant de la technologie FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses fonctions de scurit critique sur une plateforme hautement scurise garantissent fiabilit, rentabilit, rapidit de dploiement, cots oprationnels bas et un taux suprieur de dtection des anomalies connues et inconnues.
FortiGate-1000
Le botier FortiGate-1000 est conu pour les grandes entreprises. Son architecture multiprocesseur et Asic fournit un dbit de 2Gbit/s, rpondant ainsi aux besoins des applications les plus exigeantes. Le botier FortiGate-1000 comprend des blocs dalimentation redondants minimisant les points uniques de panne, ainsi que des supports pour un partage de charge et un secours assur sans interruption de service.
FortiGate-800
Le botier FortiGate-800 fournit en plus dun haut dbit, un total de huit connexions rseau (quatre tant personnalisables), un support des VLAN et des domaines virtuels. Lors dune configuration de cluster FortiGate, il fournit une redondance matrielle stateful en haute disponibilit. Ses fonctionnalits hautement performantes en font un choix naturel pour les grandes entreprises qui exigent une scurit optimum de leurs rseaux.
18
FortiGate-800F
Le botier FortiGate-800F offre les mmes fonctionnalits que le botier FortiGate-800, mais avec quatre interfaces de fibre optique : Internal, External, DMZ et HA. Ce botier fournit galement une redondance matrielle stateful en haute disponibilit et un support aux protocoles de routage RIP et OSPF. Il garantit la flexibilit, fiabilit et gestion aise que les grandes entreprises recherchent.
FortiGate-500A
Le botier FortiGate-500A offre un niveau de performance et de fiabilit de classe oprateur, rpondant aux exigences des fournisseurs de services et des grandes entreprises. Ses 10 connexions rseaux (dont un commutateur 4 ports LAN) et ses fonctions haute disponibilit avec rplication automatique sans coupure de rseau font du FortiGate-500A une solution performante aux applications les plus critiques. Sa flexibilit, fiabilit et sa gestion aise en font un choix naturel pour les oprateurs de services de scurit manags.
FortiGate-500
Le botier FortiGate-500 est conu pour les grandes entreprises. Sa flexibilit, sa fiabilit et sa gestion aise en font un choix naturel pour les oprateurs de services de scurit manags. Le botier FortiGate-500 supporte la haute disponibilit.
FortiGate-400A
Le botier FortiGate-400A rpond aux exigences des grandes entreprises en terme de performance, disponibilit et fiabilit. Il supporte la haute disponibilit et prsente une rplication automatique sans coupure de rseau. Ses caractristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-400
Le botier FortiGate-400 est conu pour les grandes entreprises. Il fournit un dbit jusqu 500Mbit/s et supporte la haute disponibilit, qui comprend une rplication automatique sans coupure de rseau.
19
FortiGate-300A
Le botier FortiGate-300 rpond aux exigences des grandes entreprises en terme de performance, disponibilit et fiabilit. Il supporte la haute disponibilit et comprend une rplication automatique sans coupure de rseau. Ses caractristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-300
Le botier FortiGate-300 est conu pour les grandes entreprises. Il supporte la haute disponibilit, qui comprend une rplication automatique sans coupure de rseau. Ses caractristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-200A
Le botier FortiGate-200A est une solution conviviale et facile grer garantissant un haut niveau de performance, idal pour rpondre aux applications dentreprises domicile ou de petites entreprises ou succursales. Lassistant dinstallation FortiGate guide les utilisateurs travers des procdures simples dinstallation qui permettent au botier dtre oprationnel en quelques minutes.
FortiGate-200
Le botier FortiGate-200 est conu pour rpondre aux applications dentreprises domicile ou de petites entreprises ou succursales. Il offre une solution conviviale, facile grer. Le botier FortiGate-200 supporte la haute disponibilit.
FortiGate-100A
Le botier FortiGate-100A est une solution pratique et facile grer qui rpond parfaitement aux applications des petites entreprises, bureaux domicile et succursales. Ce botier supporte des fonctions avances telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.
20
FortiGate-100
Le botier FortiGate-100 est conu pour rpondre aux applications dentreprises domicile ou de petites entreprises ou succursales. Il supporte les fonctions avances telles que VLAN 802.1Q, domaines virtuels, haute disponibilit et protocoles de routage RIP et OSPF.
FortiGate-60/60M/ADSL
Le botier FortiGate-60 est conu pour les bureaux de personnel itinrant et les magasins. Il comprend un port modem extrieur qui peut servir de connexion Internet redondante ou stand alone. Le botier FortiGate-60M comprend quant lui un modem interne qui peut galement servir de connexion Internet redondante ou stand alone. Le botier FortiGate-60ADSL est pour sa part muni dun modem ADSL interne.
FortiWiFi-60
Le modle FortiWiFi est une solution intgre qui assure des connexions sans fil scurises. Il combine mobilit et flexibilit grce ses fonctions FortiWiFi Antivirus Firewall. De plus, il sadapte aux avances technologiques radiophoniques. Il peut faire office de point de connexion entre rseaux sans fil et rseaux cbls ou tenir lieu de point central dun rseau sans fil stand alone.
FortiGate-50A
Le botier FortiGate-50A est conu pour les tltravailleurs, les utilisateurs mobiles, les petites entreprises et les succursales comptant 10 employs ou moins. Il comprend un port modem extrieur qui peut servir de connexion autonome Internet ou de service de sauvegarde.
21
Gamme de Produits Fortinet

En complment de sa gamme FortiGate, Fortinet propose une solution complte de logiciels et dappliances de scurit, adressant notamment la scurit de la messagerie, la journalisation et ldition de rapports statistiques, la gestion du rseau et des configurations. Pour plus dinformations sur les gammes de produits Fortinet, vous pouvez consulter le site www.fortinet.com/products.
Services de souscription FortiGuard

Les services FortiGuard sont des services de scurit dvelopps, mis jour et grs par une quipe de professionnels en scurit Fortinet. Ces services assurent la dtection et le filtrage des attaques, mme les plus rcentes, pour prserver les ordinateurs et les ressources du rseau. Ces services ont t mis au point partir des plus rcentes technologies de scurit et sont conus pour oprer des cots oprationnels les plus bas possible. Les services FortiGuard comprennent: Le service FortiGuard antivirus Le service FortiGuard IPS (Intrusion Prevention System) Le service FortiGuard de filtrage web Le service FortiGuard antispam Le service FortiGuard premier Sur notre site web, vous trouverez galement un scanner de virus et une encyclopdie des virus et attaques.
FortiAnalyser
FortiAnalyserTM fournit aux administrateurs rseaux les informations ncessaires qui leur permettent dassurer une meilleure protection du rseau, une plus grande scurit contre attaques et vulnrabilits. FortiAnalyser permet entre autres: de centraliser les journaux des botiers FortiGate, des serveurs syslog et du FortiClient de gnrer des centaines de rapports partir des donnes collectes de scanner le rseau et gnrer des rapports de vulnrabilits de stocker les fichiers mis en quarantaine par FortiGate FortiAnalyser peut galement tre configur en sniffer rseau et capturer en temps rel le trafic intercept. Vous pouvez en outre utiliser FortiAnalyser comme lieu de stockage o les utilisateurs peuvent accder et partager des donnes, telles que des rapports et journaux conservs sur son disque dur.
FortiClient
Le logiciel FortiClientTM offre un environnement informatique scuris et fiable aux utilisateurs dordinateurs de bureau et dordinateurs portables munis des systmes
22
dexploitation les plus rpandus de Microsoft Windows. FortiClient offre de nombreuses fonctionnalits, y compris: un accs VPN pour se connecter aux rseaux distants un antivirus temps rel une protection contre des modifications du registre Windows une recherche des virus sur tout ou partie du disque dur FortiClient peut sinstaller de faon silencieuse et se dployer aisment sur un parc dordinateurs selon un paramtrage pr-tabli.
FortiManager
FortiManagerTM est conu pour rpondre aux besoins des grandes entreprises (y compris les fournisseurs de services de gestion de scurit) responsables du dploiement et du maintien de dispositifs de scurit travers un parc dquipements FortiGate. FortiManager vous permet de configurer et de contrler les statuts de plusieurs botiers FortiGate. Vous pouvez galement consulter leurs journaux en temps rel et leurs historiques. FortiManager est facile utiliser et sintgre aisment des systmes tiers.
FortiBridge
FortiBridgeTM permet dassurer une continuit de connexion rseau mme en cas de panne lectrique dun systme FortiGate. Le FortiBridge connect en parallle au FortiGate dvie le flux rseau lorsqu'il dtecte une panne sur le botier et reoit alors le trafic pour viter toute coupure rseau. FortiBridge est facile utiliser et dployer. Vous pouvez programmer lavance les actions que FortiBridge mettra en place en cas de panne de courant ou de panne dans le systme FortiGate.
FortiMail
FortiMailTM fournit une analyse heuristique puissante et flexible, de mme que des rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement performantes pour dtecter et bloquer les mails non dsirs, tels que les signatures SHASH (Spam Hash) ou les filtres bayesians. Construit sur base des technologies primes FortiOS et FortiASIC, FortiMail utilise ses pleines capacits dinspection de contenu afin de dtecter les menaces les plus avances dans les courriers lectroniques.
FortiReporter
Le logiciel FortiReporterTM Security Analyzer gnre des rapports explicites. Il peut centraliser des journaux de nimporte quel botier FortiGate, ainsi que de plus de 30 botiers de rseau et de scurit provenant de constructeurs tiers. FortiReporter offre une visibilit sur les abus rseau, lutilisation de la bande passante et lusage du web afin de sassurer que le rseau est utilis de faon approprie. FortiReporter permet aux administrateurs didentifier les attaques et dy rpondre. Il permet galement de dfinir des actions proactives de protection des rseaux avant que ceux-ci ne soient confronts une augmentation des menaces.
23
A propos de ce document
Ce Guide dAdministration FortiGate FortiOS v3.0 fournit des informations dtailles sur les fonctionnalits de linterface dadministration web FortiGate et celles ne pouvant tre configures qu partir de linterface de ligne de commande (CLI). Ce Guide dAdministration parcourt les fonctions de linterface graphique dans le mme ordre que le menu de cette interface. Le document commence avec une description gnrale de linterface dadministration web FortiGate et une description des domaines virtuels FortiGate. Les chapitres suivants couvrent toutes les options des menus Systme, Routeur, Pare-Feu et VPN. Enfin, les menus Utilisateur, Antivirus, Protection Anti-Intrusion, Filtrage Web, Antispam, IM/P2P et Journaux/Alertes sont dcrits sparment. Un index se trouve la fin du document. La dernire version de ce document se trouve sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation). Les informations contenues dans ce document sont galement disponibles, sous une forme quelque peu diffrente, dans laide en ligne de linterface dadministration web FortiGate. De la documentation technique complmentaire sur FortiOS v3.0 est disponible sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation) et dans la Base de Connaissance Fortinet (Fortinet Knowledge Center), ladresse http://kc.forticare.com. Ce Guide dAdministration contient les chapitres suivants : Interface dadministration web : fournit une introduction aux fonctionnalits de linterface graphique, explique comment enregistrer un quipement FortiGate et comment utiliser laide en ligne de linterface. Utilisation de domaines virtuels : dcrit comment dfinir et administrer les domaines virtuels dun quipement FortiGate. Statut du Systme : dtaille les informations statuts visibles, y compris le statut du systme, les informations sur lquipement, les ressources du systme, la console de message dalerte, ainsi que les statistiques des sessions, de larchive de contenu et du journal des attaques. Les changements de statuts sont galement parcourus dans ce chapitre, tels que les modifications apportes au microcode, au nom dhte et lheure du systme. Rseau du Systme : retrace la configuration des interfaces physiques et virtuelles, ainsi que les paramtres DNS sur le botier FortiGate. Systme Sans Fil : dcrit la configuration dune interface LAN Wireless sur un quipement FortiWiFi-60. Systme DHCP : explique comment configurer une interface FortiGate comme serveur DHCP ou Relais DHCP. Configuration du Systme : dveloppe les procdures de configuration dun clustering HA et virtuel, de configuration SNMP, de remplacement de messages et de modification du mode de fonctionnement. Administration du Systme : vous guide dans lajout et ldition de comptes administrateurs, dans la dfinition de profils daccs administrateurs, dans la configuration daccs au FortiManager et dans la dfinition des paramtres
24
gnraux des administrateurs tels que les langues, les timeouts et les ports dadministration web. Maintenance du Systme : dtaille comment sauvegarder et restaurer la configuration du systme, activer les mises jour FortiProtectTM Distribution Network (FDN), enregistrer lquipement FortiGate, crer des rapports sur les bogues et entrer une cl de licence pour augmenter le nombre maximum de domaines virtuels. Routeur Statique : explicite comment dfinir des routes statiques et crer des rgles pour celles-ci. Une route statique permet aux paquets dtre transfrs vers une destination autre que celle de la passerelle par dfaut. Routeur Dynamique : dfinit la configuration de protocoles dynamiques pour guider le trafic travers de larges rseaux complexes. Table de Routage: permet dinterprter la liste et les entres de la Table de routage. Rgle Pare-Feu : dcrit comment ajouter des rgles pare-feu qui contrlent les connexions et le trafic entre les interfaces FortiGate, les zones et les sousinterfaces VLAN. Adresse Pare-Feu : retrace la configuration dadresses et de groupes dadresses pour les rgles pare-feu. Service Pare-Feu : rpertorie les services disponibles et explique comment configurer des groupes de services pour les rgles pare-feu. Plage horaire dun Pare-Feu : permet de configurer des plages horaire parefeu ponctuelles et rcurrentes. IP Virtuelles : dcrit comment configurer et utiliser les adresses IP virtuelles et les plages dadresses IP. Profil de Protection : explique comment configurer des profils de protection pour les rgles pare-feu. VPN IPSEC : offre des informations pour le mode tunnel et le mode route (mode interface) sur les options VPN IPSec (Internet Protocol Security) disponibles partir de linterface dadministration web. VPN PPTP : explique comment utiliser linterface dadministration web pour spcifier une plage dadresses IP pour des clients PPTP. VPN SSL : informe sur les paramtres de base VPN SSL. Certificats VPN : dcrit comment grer les certificats de scurit X.509. Utilisateur : dtaille comment contrler laccs aux ressources du rseau via une authentification de lutilisateur. Antivirus : explique comment activer les options antivirus lors de la cration de profils de protection pare-feu. Protection contre les Intrusions : parcourt la configuration doptions IPS lors de la cration de profils de protection pare-feu. Filtrage Web : parcourt la configuration doptions de filtrage du contenu web lors de la cration de profils de protection pare-feu. Antispam : parcourt la configuration doptions de filtrage de spams lors de la cration de profils de protection pare-feu.
25
IM / P2P : parcourt la configuration doptions IM et P2P lors de la cration de profils de protection pare-feu. Les statistiques IM et P2P permettent davoir un aperu de lutilisation des protocoles dans le rseau. Journaux et Alertes : dcrit comment activer la journalisation, visualiser les journaux et rapports de base disponibles partir de linterface dadministration web.
Conventions utilises dans ce document

Les conventions suivantes sont utilises dans ce guide : Dans les exemples, les adresses IP prives sont utilises aussi bien pour les adresses IP prives que publiques. Les remarques et attentions fournissent des informations importantes :
Les remarques vous apportent de linformation additionnelle utile.
Les attentions vous mettent en garde contre des commandes et procdures qui pourraient avoir des rsultats inattendus ou indsirables tels que perte de donnes ou dtrioration de lquipement.
Conventions typographiques
La documentation du FortiGate utilise les conventions typographiques suivantes :
Convention Commandes de Menus Entre clavier Exemple de code Exemple Allez dans VPN > IPSEC et slectionnez Crer Phase 1. Dans le champ Nom de Passerelle, tapez un nom pour le client VPN distant (par exemple, Central_Office_1). config sys global set ips-open enable end config firewall policy edit id_integer set http_retry_count <retry_integer> set natip <address_ipv4mask> end Guide dAdministration FortiGate <HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this service.</H4> Welcome! <address_ipv4>
Syntaxe CLI (Interface de ligne de commande)
Noms des documents Contenu de fichier
Affichage du rsultat dun programme Variables
26
Documentation FortiGate
Les versions les plus rcentes de la documentation Fortinet, de mme que les prcdentes parutions, sont disponibles sur le site de documentation technique Fortinet ladresse http://docs.forticare.com. Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront aussi disponibles en franais : FortiGate QuickStartGuide - Guide de dmarrage rapide FortiGate Fournit les informations de base sur la connexion et linstallation dun FortiGate FortiGate Install Guide - Guide dInstallation FortiGate Dcrit comment installer un FortiGate. Il comprend des informations sur le matriel, des informations sur la configuration par dfaut, ainsi que des procdures dinstallation, de connexion et de configuration de base. Slectionnez le guide en fonction du numro du modle du produit. FortiGate Administration Guide - Guide dAdministration FortiGate Fournit les informations de base sur la manire de configurer un FortiGate, y compris la dfinition des profils de protection FortiGate et des rgles pare-feu. Explique comment appliquer les services de prvention dintrusion, protection antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt galement la manire de configurer un VPN. FortiGate online help - Aide en ligne FortiGate Fournit le Guide dAdministration au format HTML avec des outils de recherche. Vous pouvez accder laide en ligne partir de linterface dadministration web. FortiGate CLI Reference - Guide de Rfrence CLI Dcrit comment utiliser linterface de ligne de commande FortiGate et rpertorie toutes ses commandes. FortiGate Log Message Reference - Guide de rfrence des messages journaliss dun FortiGate Disponible uniquement partir de la base de connaissance (Fortinet Knowledge Center), ce mode demploi dcrit la structure et le contenu des messages prsents dans les journaux FortiGate. FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate Fournit une description dtaille des fonctions de haute disponibilit et du protocole de clustering FortiGate. FortiGate IPS User Guide - Guide utilisateur de lIPS FortiGate (Systme de Prvention dIntrusion) Dcrit la configuration des paramtres IPS FortiGate et le traitement des attaques les plus courantes. FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate Fournit des instructions pas pas sur la configuration VPN IPSec via linterface dadministration web. FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate Compare les technologies FortiGate VPN IPSec et VPN SSL et dcrit comment configurer partir de l'interface graphique les modes VPN SSL web et VPN SSL tunnel pour les connexions distance des utilisateurs.
FortiGate PPTP VPN User Guide - Guide utilisateur du VPN PPTP FortiGate Explique comment configurer un VPN PPTP via linterface dadministration web. FortiGate Certificate Management User Guide - Guide utilisateur de gestion des certificats FortiGate Indique comment grer les certificats digitaux, et notamment comment gnrer des requtes de certificat, installer des certificats, importer le certificat de l'autorit de certification et des listes de rvocation, sauvegarder et restaurer des certificats et leurs cls prives associes. FortiGate VLANs and VDOMs User Guide - Guide utilisateur des VLANs et VDOMs FortiGate Dcrit comment configurer des VLAN et VDOM en mode NAT/Route et Transparent. Des exemples dtaills y sont repris.
CD doutils et de documentation Fortinet

Toute la documentation Fortinet est disponible sur le CD doutils et de documentation fourni avec votre matriel livr. Les documents du CD correspondent lquipement fourni. Pour obtenir les versions les plus jour de la documentation Fortinet, visitez le site de Documentation Technique Fortinet sur http://docs.forticare.com.
Base de Connaissance Fortinet (Fortinet Knowledge Center)

De la documentation technique complmentaire est disponible dans la base de connaissance Fortinet (Fortinet Knowledge Center), notamment des articles sur les dpannages et questions les plus frquemment rencontrs, des notes techniques, et davantage. Vous pouvez consulter le site de la Base de Connaissance Fortinet ladresse http://kc.forticare.com.
Remarques sur la documentation technique Fortinet

Merci dindiquer toute ventuelle erreur ou omission trouve dans cette documentation techdoc@fortinet.com.
Service clientle et support technique

Le Support Technique Fortinet (Fortinet Technical Support) propose son assistance pour une installation rapide, une configuration facile et une fiabilit des systmes Fortinet. Pour connatre ces services, consultez le site de Support Technique Fortinet ladresse http://support.fortinet.com.
28
Interface dadministration web

Cette section dcrit les fonctionnalits conviviales de linterface dadministration web de votre FortiGate. Vous pouvez configurer et administrer le botier FortiGate avec une connexion HTTP ou HTTPS, partir de tout ordinateur muni dun navigateur web. Linterface dadministration web fonctionne en plusieurs langues, dont le franais. Vous pouvez configurer le botier FortiGate pour une administration HTTP et HTTPS partir de nimporte quelle interface FortiGate.
Illustration 1 : Ecran de linterface dadministration web
Linterface dadministration web permet de configurer la plupart des paramtres FortiGate et de contrler son statut. Les changements de configuration apports partir de linterface dadministration web sont instantanment pris en compte, sans quil soit ncessaire de rinitialiser le pare-feu et sans interruption de service. Une fois votre configuration souhaite accomplie, il est conseill de la sauvegarder. Elle pourra alors tre restaure ds que ncessaire. Pour plus dinformations sur la connexion linterface dadministration web, voir Accs linterface dadministration web dans le Guide dInstallation de votre FortiGate. Les sujets suivants sont parcourus dans cette section : Fonctionnalits de la barre de boutons Pages de linterface dadministration web Enregistrement dun quipement FortiGate
29
Fonctionnalits de la barre de boutons

Les boutons de la barre en haut droite de linterface dadministration web fournissent un accs plusieurs fonctionnalits importantes du FortiGate.
Illustration 2 : Barre de boutons de linterface dadministration web
Contacter le Support Technique

En cliquant sur le bouton Contacter le Support Technique (Contact Customer Support), la page du site de support Fortinet souvre dans une nouvelle fentre. De cette page, vous pouvez : enregistrer votre quipement FortiGate (Product Registration). Pour plus de dtails sur les instructions, voir Enregistrement dun quipement FortiGate la page 37. Fortinet vous enverra un courrier lectronique reprenant votre compte utilisateur et le mot de passe qui vous permettront de vous inscrire au Centre de Support Client (Customer Support Center). entrer sur le site du Centre de Support Client. visiter le Centre FortiGuard. accder la Base de Connaissance. tlcharger les mises jour des bases de connaissance antivirus et IPS. obtenir tous les renseignements sur les programmes de formation et de certification. en apprendre davantage sur Fortinet et ses produits.
Aide en Ligne
Les boutons de laide en ligne (Online Help) activent laffichage de laide en ligne pour la page ouverte de linterface dadministration web. La page daide en ligne affiche contient les informations et procdures relatives aux commandes de la page ouverte. La plupart des pages daide contiennent galement des hyperliens sur certains sujets dont il est question. Le systme daide en ligne comprend galement plusieurs commandes offrant de linformation additionnelle.
30
Illustration 3 : Page daide en ligne des statuts du systme
Show Navigation
Ouvre le panneau de navigation de laide en ligne. A partir de l, vous pouvez utiliser la table des matires de laide en ligne, lindex et le moteur de recherche. Laide en ligne est organise de la mme manire que linterface dadministration web et que le Guide dAdministration FortiGate. Retourne la page prcdente de laide en ligne. Passe la page suivante de laide en ligne. Envoie un courrier lectronique au centre de Documentation Technique Fortinet techdoc@fortinet.com. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut tre envoy cette adresse. Imprime la page ouverte de laide en ligne. Ajoute une entre cette page daide en ligne dans les marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages daide en ligne.
Previous Next Email
Print Bookmark
Slectionnez Show Navigation pour afficher le panneau de navigation de laide en ligne.

Illustration 4 : page de laide en ligne avec panneau de navigation
Contents
Affiche la table des matires de laide en ligne. Vous pouvez naviguer travers la table des matires pour trouver des informations dans laide en ligne. Laide en ligne est organise de la mme manire que linterface dadministration web et que le Guide dAdministration FortiGate. Affiche lindex de laide en ligne. Vous pouvez utiliser lindex pour trouver de linformation dans laide en ligne.
Index
31
Search
Affiche le moteur de recherche de laide en ligne. Voir A propos de la recherche de laide en ligne la page 32 pour tout renseignement sur le moteur de recherche de laide en ligne. Si vous avez utilis lindex, le moteur de recherche ou les hyperliens pour trouver linformation recherche dans laide en ligne, la table des matires a probablement disparu de votre cran. Slectionnez Show in Contents pour afficher la table des matires vous indiquant la localisation de la page daide ouverte.
Show in Contents
A propos de la recherche dans laide en ligne

Grce sa fonction de recherche, laide en ligne vous permet de lancer une recherche partir dun mot ou dun groupe de mots prsents dans le texte de laide en ligne FortiGate. Quelques remarques pour vous aider dans votre recherche : Si vous entrez un groupe de mots, les rsultats de la recherche afficheront les pages qui contiennent tous les mots du groupe et non pas lun ou lautre de ces mots. Les pages affiches lors du rsultat de la recherche sont classes par ordre logique. Les premiers rsultats affichs ont plus de chance de contenir les informations utiles propos du mot ou des mots recherch(s). Les pages daide qui reprennent un ou plusieurs des mots recherchs se trouvent en haut de la liste des rsultats. Lastrisque (*) remplace nimporte quel nombre ou caractre dans un mot. De cette manire, lentre auth* vous permettra de trouver les pages contenant auth, authentique, authentification, authentifier, etc. Dans certains cas la recherche donne lieu des correspondances identiques. Par exemple, si vous entrez fentres , la recherche ne portera pas sur fentre au singulier. Afin dviter cet inconvnient, vous pouvez utiliser lastrisque (dans cet exemple, fentre*).
Chercher dans laide en ligne 1 2 3 4 A partir de nimporte quelle page de linterface dadministration web, slectionnez le bouton daide en ligne. Slectionnez Show Navigation pour afficher le panneau de navigation de laide en ligne. Slectionnez Search. Tapez un ou plusieurs mots rechercher dans le champ Search et tapez ensuite sur Enter ou cliquez sur Go. Le panneau de recherche rpertorie le nom de toutes les pages daide en ligne qui contiennent le(s) mot(s) entr(s). Slectionnez un des noms de la liste pour afficher la page daide.
32
Navigation dans laide en ligne partir des entres du clavier

Le tableau 1 rpertorie les raccourcis clavier qui permettent dafficher et trouver les informations souhaites dans laide en ligne.
Tableau 1 : Touches de navigation dans laide en ligne Touche Fonction Alt+1 Alt+2 Alt+3 Alt+4 Alt+5 Alt+7 Affiche la table des matires. Affiche lindex. Affiche le moteur de recherche. Retourne la page prcdente. Passe la page suivante. Envoie un courrier lectronique au centre de Documentation Technique de Fortinet techdoc@fortinet.com. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut tre envoy cette adresse. Imprime la page ouverte. Ajoute une entre cette page daide en ligne dans les marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages daide en ligne.
Alt+8 Alt+9
Accs au mode console

Linterface de ligne de commande (CLI), interface base sur du texte, peut servir dalternative linterface dadministration web. Certaines options ne sont configurables qu partir des commandes CLI. Le bouton daccs au mode console (Console Access) ouvre une application Terminal base sur Java. Lordinateur dadministration doit tre muni de la version Java 1.3 ou suprieure. Pour plus dinformations sur lutilisation des commandes CLI, rfrez-vous au FortiGate CLI Reference.
33
Illustration 5 : Accs au mode console
Connect Disconnect Clear screen
Se connecte au botier FortiGate partir de linterface de ligne de commande. Se dconnecte au botier FortiGate. Efface lcran.
Dconnexion
Le bouton Dconnecter (Logout) vous dconnecte immdiatement de linterface dadministration web. Noubliez pas de vous dconnecter avant de fermer la fentre du navigateur. Si vous fermez la fentre ou quittez linterface dadministration web sans vous dconnecter, vous restez connect jusqu lexpiration du timeout dinactivit (par dfaut 5 minutes).
Pages de linterface dadministration web

Linterface dadministration web se compose dun menu et de pages, qui pour la plupart, possdent diffrents onglets (Tabs). Lorsque vous cliquez sur un des lments du menu (par exemple Systme), celui-ci souvre sur un sous-menu. Lorsque vous slectionnez un des lments dun sous-menu, la page associe souvre et affiche le contenu de son premier onglet. Pour visualiser le contenu dune page diffrente, cliquez sur son onglet. Les procdures dcrites dans ce manuel vous dirigent vers la page dsire en spcifiant llment du menu, llment du sous-menu et longlet. Par exemple : Slectionnez Systme > Rseau > Interface.
34
Illustration 6 : Les diffrentes parties de linterface dadministration web
Menu de linterface dadministration web

Le menu procure laccs des options de configuration pour toutes les fonctionnalits majeures du botier FortiGate.
Systme Configure les fonctionnalits du systme telles que les interfaces rseau, les domaines virtuels, les services DHCP, lheure du systme et les options dinstallation du systme.
Routeur Pare-Feu
Configure le routeur. Configure les rgles pare-feu et les profils de protection qui sappliquent aux fonctionnalits de protection du rseau. Configure galement les adresses IP virtuelles et les plages IP. Configure les rseaux privs virtuels. Configure les comptes utilisateurs utiliss dans les rgles pare-feu requrant une authentification des utilisateurs. Configure galement les serveurs externes dauthentification. Configure une protection antivirus. Configure le systme de prvention anti-intrusion. Configure le filtrage de contenu web. Configure le filtrage des spams dans les emails Configure le contrle des services de messageries Internet et peer-to-peer. Configure les modalits de la journalisation. Affiche des messages journaliss.
VPN Utilisateur
Antivirus Intrusion Protection Filtrage Web Anti-Spam IM / P2P Journaux / Alertes
35
Listes
De nombreuses pages de linterface dadministration web se prsentent sous forme de liste. On trouve par exemple des listes des interfaces rseaux, des rgles pare-feu, des administrateurs, des utilisateurs, etc.
Illustration 7 : Exemple dune liste de linterface dadministration web
La liste offre des informations sur chaque lment. Les icnes de la dernire colonne permettent de modifier le statut de ces lments. Dans cet exemple, il est possible de slectionner Delete (Supprimer) pour supprimer llment ou Edit (Editer) pour lditer. Pour ajouter un nouvel lment une liste, cliquez sur Crer Nouveau. Une bote de dialogue souvre pour crer et dfinir le nouvel lment. Cette bote de dialogue est similaire celle dEdition dun lment existant.
Icnes
Les icnes, galement prsentes dans linterface dadministration web, permettent dinteragir avec le systme. Des conseils sur les outils sont disponibles pour vous aider comprendre la fonction de chacune de ces icnes. Placez le curseur de la souris sur licne pour visualiser le commentaire de loutil. Le tableau suivant reprend la description des icnes de linterface dadministration web.
Icne Nom Changer le Mot de Passe Description Modifie le mot de passe administrateur. Cette icne apparat dans la liste des Administrateurs seulement si votre profil daccs vous donne la permission dattribuer des droits en criture aux administrateurs. Supprime une ou plusieurs entres.
Supprimer
Drouler
Cette icne est utilise dans certaines botes de dialogues et listes pour cacher certains champs. Cliquer sur cette icne fait apparatre les champs cachs. Slectionne les colonnes afficher.
Formatage des colonnes Suppression
Supprime un lment. Cette icne apparat dans des listes o llment peut tre supprim et seulement lorsque vous en avez les droits en criture. Affiche la description de lentre du tableau slectionne.
Description
Tlcharger ou Sauvegarder Tlcharger
Tlcharge un fichier journalis ou sauvegarde un fichier de configuration. Tlcharge une requte de signature dun certificat.
36
Editer ou Configurer Drouler
Edite une configuration. Cette icne apparat dans les listes pour lesquelles vous avez les droits en criture requis. Droule une section qui rvle des champs supplmentaires. Cette icne est utilise dans certaines botes de dialogues et listes. Insre un filtre sur une ou plusieurs colonnes dun tableau. Une bote de dialogue souvre dans laquelle vous pouvez spcifier les filtres dsirs. Licne est verte dans les colonnes o un filtre est activ. Dans le cas contraire, elle est grise. Lance une recherche.
Filtre
Go
Insrer une rgle avant Dplacer
Cre une nouvelle rgle qui prcde la rgle courante. Dplace un lment de la liste.
Page Suivante
Affiche la page suivante de la liste.
Page Prcdente Rafrachir
Affiche la page prcdente de la liste.
Met linformation de la page jour.
Restaurer
Restaure la configuration partir dun fichier.
Visualiser
Visualise une configuration. Cette icne apparat dans les listes la place de licne dEdition dans le cas o vous navez pas les droits en criture requis.
Barre de statuts
La barre de statuts se trouve en bas de lcran de linterface dadministration web.
Illustration 8 : Barre de statuts
Cette barre affiche : le nombre dadministrateurs connects au botier FortiGate. Voir Contrle des administrateurs la page 180. depuis combien de temps le botier FortiGate est actif depuis son dernier redmarrage.
Enregistrement dun quipement FortiGate

Aprs avoir achet et install un nouvel quipement FortiGate, vous pouvez enregistrer celui-ci partir de linterface dadministration web. Slectionnez Enregistrer ( Register ) dans la section Information Licence sur la page Statut du Systme. Vous pouvez aussi procder lenregistrement via le site : http://support.fortinet.com en cliquant sur Product Registration .
37
Lenregistrement consiste entrer vos coordonnes et le(s) numro(s) de srie de(s) nouveau(x) quipement(s) acquis. Plusieurs enregistrements peuvent tre introduits lors dune seule session. Une fois lenregistrement accompli, Fortinet vous envoie un compte utilisateur et un mot de passe Support Login votre compte de messagerie. Ces donnes sont ncessaires pour se connecter au site de support Fortinet afin de : visualiser la liste des quipements que vous avez enregistrs enregistrer des quipements additionnels ajouter ou modifier les numros du Contrat de Support FortiCare (FortiCare Support Contract) pour chaque quipement visualiser et modifier les informations entres lors de lenregistrement tlcharger les mises jour des bases de connaissances antivirus et IPS tlcharger les mises jour logicielles modifier les informations entres lors de lenregistrement aprs un RMA.
Toutes les informations sur les enregistrements sont sauves dans la base de donnes du Support aux Clients Fortinet (Fortinet Customer Support). Ces informations sont utiles pour assurer une mise jour rgulire de vos quipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais ces informations avec des organisations tiers. Les propritaires de nouveaux quipements FortiGate bnficient dun support technique pendant 90 jours. Pour continuer bnficier de ce service de support, des Contrats de Support FortiCare sont en vente chez vos revendeurs et distributeurs autoriss Fortinet. Afin de correspondre vos besoins, diffrents niveaux de support sont disponibles. Pour garantir une protection rseau maximum, Fortinet recommande tous ses clients dacheter un contrat de service qui comprenne les mises jour des bases de connaissances antivirus et IPS. Pour plus dinformations sur les formules et prix, veuillez vous adresser votre revendeur ou distributeur Fortinet. Pour activer un Contrat de Support FortiCare, il est indispensable denregistrer lquipement FortiGate et dajouter le numro de Contrat de Support FortiCare aux informations sur lenregistrement. Il est galement possible denregistrer un FortiGate sans acheter un Contrat de Support FortiCare. Dans ce cas, lors dun lachat ultrieur dun Contrat de Support FortiCare, les informations sur lenregistrement doivent tre mises jour et le numro du contrat de support ajout. Un seul Contrat de Support FortiCare peut couvrir plusieurs quipements FortiGate. Vous devez alors entrer le mme numro de contrat de service pour tous les modles couverts par ce contrat. Enregistrer un quipement FortiGate Les informations suivantes sont indispensables lenregistrement dun FortiGate : Vos coordonnes, y compris :
38
Nom et prnom Nom de la socit

Adresse email (votre compte utilisateur et le mot de passe Support Login vous seront envoys cette adresse.) Adresse Numro de tlphone de contact
Une question de scurit et sa rponse. Cette information servira en cas de perte du mot de passe. La question de scurit doit tre simple et vous seul devez en connatre la rponse. La rponse cette question ne doit pas tre facile deviner. Le modle du produit et son numro de srie, et ce pour chaque quipement FortiGate que vous dsirez enregistrer. Le numro de srie est situ sur une tiquette au bas du FortiGate. Vous pouvez galement visualiser le numro de srie dans linterface dadministration web, dans Systme > Statut ou via la commande CLI get system status. Les numros de Contrats de Support FortiCare achets pour les quipements que vous voulez enregistrer.
1 2 3 4 5 6 7 8
Slectionnez Systme > Statut. Dans la section Information Licence, slectionnez Enregistrer cte de Contrat de Support. Entrez vos informations de contact sur le formulaire denregistrement du produit. Introduisez une question de scurit et sa rponse. Slectionnez le modle du produit enregistrer. Entrez le numro de srie de votre FortiGate. Entrez le numro de Contrat de Support FortiCare de lquipement si vous en avez achet un. Cliquez sur Suivant . Si vous avez entr un numro de contrat de support, une validation en temps rel a lieu pour vrifier que les informations SCN correspondent lquipement FortiGate. Si ce nest pas le cas, tentez nouveau dentrer le numro de contrat. Saffiche alors une page web qui contient les informations dtailles sur le service de support technique de Fortinet disponible pour lquipement enregistr. Vos compte utilisateur et mot de passe vous sont envoys par email ladresse entre avec vos coordonnes.
39
Utilisation de domaines virtuels

Cette section dcrit comment utiliser des domaines virtuels pour que votre quipement opre comme sil sagissait de multiples units virtuelles, fournissant des pare-feu et services de routage sparment de multiples rseaux. Cette section couvre les sujets suivants: Domaines virtuels Activation du mode multiple VDOM Configuration des VDOM et des paramtres gnraux
Domaines virtuels
Les domaines virtuels permettent un botier FortiGate de fonctionner comme de multiples units indpendantes. Il peut fournir des rgles pare-feu, des routages et des configurations VPN spars pour chaque niveau dorganisation. Lutilisation de VDOM peut galement simplifier ladministration de configurations complexes. Il est ncessaire dactiver la configuration de domaines virtuels pour configurer et utiliser les VDOM. Voir ce propos Activation du mode multiple VDOM la page 43. Lors de la cration et de la configuration dun domaine virtuel, vous devez lui attribuer des interfaces ou des sous-interfaces VLAN. Eventuellement, vous pouvez aussi lui assigner un compte administrateur qui pourra uniquement se connecter ce VDOM. Si un VDOM est cr pour servir une organisation, cela permet lorganisation de grer sa configuration de manire autonome. Chaque VDOM contient ses propres zones, rgles pare-feu, routage, authentification dutilisateurs et configuration VPN. Chaque domaine virtuel fonctionne de manire similaire un quipement FortiGate en matire de configuration du paramtrage. Cette sparation simplifie la configuration parce quelle vite de grer de nombreuses rgles pare-feu et routes la fois. Lorsquun paquet entre dans un domaine virtuel sur lquipement FortiGate, il reste limit ce domaine virtuel. Dans un domaine donn, vous pouvez seulement crer des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou des zones de ce domaine virtuel. Les paquets ne passent jamais la frontire dun domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut galement tre slectionn sparment sur chaque VDOM. Les autres fonctions du FortiGate sont gnrales. Elles sappliquent tous les domaines virtuels. Cela signifie quil existe une seule configuration de prvention anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage de contenu web, une seule configuration de profils de protection etc. Dans le mme ordre dide, les domaines virtuels partagent les mmes versions logicielles et bases de connaissances antivirus et IPS. Pour une liste complte des paramtres de configurations partags, voir Paramtres de la configuration gnrale la page 42. Votre quipement FortiGate supporte par dfaut un maximum de 10 VDOM pour toutes combinaisons des modes NAT/Route et Transparent.
40
Des cls de licence sont vendues pour tous les modles FortiGate 3000 et plus (3600, srie 5000...) afin daugmenter le nombre maximum de VDOM jusqu 25, 50, 100 ou 250. Pour connatre le nombre maximum de domaines virtuels support par votre botier FortiGate, veillez ce que la configuration des domaines virtuels vous le permettent et connectez-vous en tant quadministrateur admin. Allez ensuite dans Systme > Statut et regarder sous Domaine Virtuel dans les Informations sur la Licence. Chaque FortiGate fonctionne par dfaut avec un domaine virtuel appel root. Ce domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN, zones, rgles pare-feu, paramtres de routage et paramtres VPN du FortiGate. Les outils dadministration tels que les SNMP, journalisation, emails dalerte, mises jour via le FDN ou encore paramtrage du temps via un serveur NTP utilisent des adresses et routage dans le domaine virtuel root pour communiquer avec le rseau. Ils ne peuvent se connecter quaux ressources du rseau qui communiquent avec le domaine virtuel dadministration, qui est configur sur root par dfaut. Une fois un nouveau domaine virtuel cr, vous pouvez le configurer en ajoutant des sous-interfaces VLAN, des zones, des rgles pare-feu, des paramtres de routage et des paramtres VPN. Vous pouvez galement dplacer des interfaces physiques du domaine virtuel root vers dautres domaines virtuels et dplacer les sous-interfaces VLAN dun domaine virtuel vers un autre.
Paramtres de configuration des domaines virtuels

Les paramtres de configuration suivants sont propres un domaine virtuel et ne sont pas partags entre les domaines virtuels. Un administrateur rgulier dun VDOM ne peut que visualiser ces paramtres, tandis que ladministrateur admin par dfaut peut accder ces paramtres. Il doit avant tout slectionner le VDOM quil veut configurer. Paramtres du Systme Zones Services DHCP Mode de fonctionnement (NAT/Route ou Transparent) IP dadministration (en mode Transparent)
Configuration du routeur Paramtres des pare-feu Rgles Adresses Services prdfinis, personnaliss et groups Plage horaire IP Virtuelle Plages IP
Configuration VPN
41
IPSec PPTP SSL
Paramtres de lutilisateur Utilisateurs Groupes dutilisateurs Serveurs RADIUS et LDAP Serveurs Microsoft Windows Active Directory
Statistiques P2P (visualiser/rinitialiser) Configuration de la journalisation, accs aux journaux et rapports.
Paramtres de la Configuration Globale

Les paramtres de configuration suivants impactent tous les domaines virtuels. Seul ladministrateur admin par dfaut peut accder aux paramtres globaux lorsque la configuration des domaines virtuels est active. Paramtres du systme Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou sous-interface VLAN appartient un seul VDOM. Chaque VDOM ne peut utiliser ou configurer que ses propres interfaces.) Paramtres DNS Nom dhte, heure du systme, version du Microcode (sur la page Statut du Systme.) Timeout dinactivit et dauthentification Langue de linterface dadministration web PIN du panneau LCD, si applicable. Dtection de lchec dune passerelle Configuration HA Configuration SNMP Messages de remplacement Administrateurs (chaque administrateur appartient un seul VDOM. Chaque VDOM ne peut configurer que ses propres administrateurs.) Profils daccs Configuration FortiManager Sauvegarde et restauration dune configuration Configuration dune mise jour FDN Rapport sur les bogues Pare-Feu Services prdfinis
42
Profils de protection Certificats VPN Configuration antivirus Configuration de la Prvention Anti-Intrusion Configuration du filtrage Web Configuration Antispam Configuration IM Statistiques Listes et rgles utilisateurs
Activation du mode Multiple VDOM

A partir du compte administrateur admin par dfaut, vous pouvez activer le mode multiple VDOM sur lquipement FortiGate. Activer la configuration dun domaine virtuel 1 2 3 4 Connectez-vous en tant quadmin linterface dadministration web. Slectionnez Systme > Admin > Paramtres (Settings). Cochez la case Virtual Domain Configuration pour activer la Configuration de Domaine Virtuel. Cliquez sur Appliquer. Le botier FortiGate vous dconnecte. Vous pouvez maintenant vous reconnecter en tant quadmin. Lorsque la Configuration de Domaine Virtuel est active, linterface dadministration web et linterface de ligne de commande incorporent les changements suivants : Les configurations gnrales et personnalises par VDOM sont spares. Seul le compte admin peut visualiser et configurer les options globales. Le compte admin peut configurer toutes les configurations VDOM. Le compte admin peut se connecter via nimporte quelle interface dans le VDOM root ou via une interface qui appartient un VDOM pour lequel un compte administrateur rgulier a t assign. Un compte administrateur rgulier peut uniquement configurer le VDOM qui lui a t assign et peut accder au botier FortiGate partir de la seule interface qui appartient ce VDOM.
Configuration des VDOM et paramtres globaux

Lorsque la Configuration du Domaine Virtuel est active, seul le compte administrateur admin par dfaut peut : configurer les paramtres gnraux crer ou supprimer des VDOM configurer de multiples VDOM
43
attribuer des interfaces un VDOM affecter un administrateur un VDOM
Un VDOM nest pas utile sil ne possde pas au moins deux interfaces physiques ou sous-interfaces VLAN. Seul ladministrateur admin peut attribuer des interfaces physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur rgulier peut crer une sous-interface VLAN dans son propre VDOM sur une interface physique de son propre VDOM. Seul ladministrateur admin peut configurer un VDOM moins quun administrateur rgulier soit cr et assign ce VDOM. Seul ladministrateur admin peut assigner un administrateur un VDOM. Un compte administrateur rgulier dont le profil daccs contient les droits en lecture et en criture des utilisateurs Admin est autoris crer des administrateurs supplmentaires pour son propre VDOM.
Visualisation, cration et dition de domaines virtuels et dition de paramtres globaux

Lorsque vous vous connectez en tant quadmin et que la Configuration de Domaine Virtuel est active, linterface dadministration web affiche la liste des domaines virtuels. Utilisez cette liste pour administrer vos VDOM.
Illustration 9 : Liste des domaines virtuels
Configuration Gnrale
Configure les paramtres gnraux. Linterface dadministration web affiche un cran similaire celui dcrit dans la section sur linterface dadministration web (voir Interface dadministration web la page 29.) la diffrence que seuls les paramtres gnraux sont repris. Cliquez sur << Main Menu pour retourner la liste des domaines virtuels. Cre un nouveau domaine virtuel. Tapez un nom et slectionnez OK. Le VDOM ne doit pas porter le mme nom quun VLAN ou quune zone. Le nom du VDOM ne doit pas dpasser 11 caractres. Le Management des Domaines Virtuels est associ au VDOM slectionn. Le Management est indiqu ct du VDOM choisi. Par dfaut il sagit du root. Si plusieurs VDOM sont slectionns comme Management, cest le premier de la liste qui associera le Management des Domaines Virtuels. Le trafic de ce VDOM comprend SNMP, la journalisation, lenvoi demails dalerte, les mises jour partir du FDN et le paramtrage de lheure partir dun serveur NTP. Supprime le VDOM slectionn. Le VDOM root ne peut pas tre supprim.
Crer un nouveau
Associer le Management
Supprimer
44
Les cases de slection
Permettent de slectionner un VDOM soit pour le supprimer soit pour le configurer comme Management des Domaines Virtuels. Le nom du domaine virtuel. Slectionnez le nom pour configurer le domaine virtuel. Cliquez sur << Main Menu pour retourner la liste des domaines virtuels. Linterface dadministration web affiche un cran similaire celui dcrit dans la section sur linterface dadministration web (voir Interface dadministration web la page 29.) la diffrence que seuls les paramtres spcifiques un VDOM sont repris. La barre de statuts au bas de lcran affiche le VDOM activ. Le mode de fonctionnement dun VDOM : NAT (NAT/Route) ou Transparent
Name (Nom)
Operation Mode (Mode de Fonctionnement)
Ajout dinterfaces un domaine virtuel

Un domaine virtuel doit contenir au moins deux interfaces. Il peut sagir dinterfaces physiques ou de sous-interfaces VLAN. Toutes les interfaces physiques font par dfaut partie du domaine virtuel root. Les sous-interfaces VLAN doivent se trouver dans des VDOM diffrents que leurs interfaces physiques. Pour ce faire, l administrateur admin doit crer la sousinterface VLAN et laffecter au VDOM requis. Les interfaces font partie des paramtres gnraux de configuration. Pour plus dinformations sur la cration de sous-interfaces VLAN, voir Ajout de sous-interfaces VLAN la page 87. Pour raffecter une interface existante dun domaine virtuel un autre, appliquez la procdure ci-dessous. Vous ne pouvez pas retirer une interface dun domaine virtuel si cette interface est comprise dans lune des configurations suivantes : routage proxy arp serveur DHCP zone rgle pare-feu plage IP
Il est ncessaire de supprimer ou modifier ces lments avant de pouvoir changer linterface de domaine virtuel. Affecter une interface un domaine virtuel 1 2 3 4 5 6 Connectez-vous en tant quadmin. Slectionnez Configuration Globale. Slectionnez Systme > Rseau > Interface. Cliquez sur le bouton Editer de linterface raffecter. Slectionnez le Domaine Virtuel auquel linterface doit tre raffecte. Configurez les autres paramtres comme requis et cliquez sur OK. Voir Paramtres de linterface la page 63.
45
Linterface est affecte au domaine virtuel. Les pare-feu, plages IP et adresses virtuelles IP ajouts cette interface sont supprims. Il est conseill de supprimer manuellement toutes les routes comprenant cette interface.
Affectation dun administrateur un domaine virtuel

Si vous crez un VDOM pour servir une organisation qui dsire administrer ses propres ressources, vous devez crer un compte administrateur pour ce VDOM. Affecter un administrateur un VDOM 1 2 3 4 Connectez-vous en tant quadmin. La Configuration de Domaine Virtuel doit tre active. Slectionnez Configuration Globale. Slectionnez Systme > Admin > Administrateurs. Configurez le compte administrateur tel que requis. Pour plus de dtails sur la configuration dun compte administrateur, voir Configuration dun compte administrateur la page 170. Slectionnez dans la liste des Domaines Virtuels le VDOM que cet administrateur devra grer. Cliquez sur Appliquer. Un administrateur rgulier assign un VDOM peut seulement se connecter aux interfaces qui appartiennent ce VDOM partir de linterface dadministration web ou de linterface de ligne de commande. Ladministrateur admin peut se connecter linterface dadministration web ou linterface de ligne de commande partir de nimporte quelle interface qui permettent les accs administratifs. Seul ladministrateur admin ou un administrateur rgulier du domaine virtuel root peut se connecter partir de linterface de la console.
5 6
46
Statuts du Systme
Cette section dcrit la page Statut du Systme, le tableau de bord de votre FortiGate. On y retrouve les statuts en cours du botier FortiGate, y compris le numro de srie, lusage des ressources du systme, les informations sur la licence FortiGuard, les messages dalerte et les informations sur la session. Cette section couvre les sujets suivants: Page des statuts Modification des informations du systme Visualisation de lhistorique oprationnel Mise jour manuelle des dfinitions FortiGuard Visualisation des Statistiques
Page des statuts

La page Statut du Systme, galement appele tableau de bord reprend les statuts oprationnels en cours du systme. Tous les administrateurs FortiGate dont les profils daccs prvoient les droits en lecture de la configuration du systme peuvent visualiser les informations sur les statuts du systme. Dans le cas dun cluster HA, la page des statuts affiche les statuts du membre primaire. Pour visualiser les statuts de tous les membres du cluster, slectionnez Systme > Configuration > HA. Pour plus dinformations sur ce sujet, voir Haute Disponibilit la page 104. La fonction HA nest pas disponible sur les modles FortiGate 50A et 50AM. Les administrateurs FortiGate dont les profils daccs prvoient les droits en criture de la configuration du systme peuvent modifier ou mettre jour les informations du botier FortiGate. Pour plus dinformations sur les profils daccs, voir Profils dadministration la page 174.
Visualisation des statuts du systme

La page Statut du Systme saffiche par dfaut lors du dmarrage dune session de linterface dadministration web. Il existe cependant une exception : dans le cas o la Configuration de Domaine Virtuel est active, ladministrateur admin visualisera la page Statut du Systme seulement aprs avoir slectionn Configuration Globale ou un VDOM administrer. A tout moment, vous pouvez slectionner Systme > Statut pour visualiser la page Statut du Systme. Pour visualiser cette page, votre profil daccs doit prvoir les droits en lecture de la configuration du systme. Si vous avez galement les droits en criture de la configuration du systme, vous pouvez modifier les informations du systme et mettre jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus dinformations sur les profils daccs, voir Profils dadministration la page 174.
47
Illustration 10 : Statuts du Systme
Informations du systme
Numro de Srie Le numro de srie de lquipement FortiGate. Ce numro est unique pour chaque quipement et ne change pas avec les mises jour logicielles. Le temps en jours, heures et minutes depuis le dernier redmarrage de lquipement FortiGate. La date et lheure en cours selon lhorloge prprogramme. Cliquez sur Changer pour modifier lheure ou configurez le botier FortiGate pour quil se synchronise avec un serveur NTP. Voir Paramtrage des date et heure la page 51. Le nom dhte actuel de lquipement FortiGate. Cliquez sur Changer pour le modifier. Voir Modification du nom dhte du botier FortiGate la page 52. La version du microcode install sur votre FortiGate. Cliquez sur Update (Mettre jour) pour changer le logiciel. Voir Mise jour logicielle la page 53. Le mode de fonctionnement du domaine virtuel est soit NAT, soit Transparent. Cliquez sur Changer pour passer du mode NAT au mode Transparent et vice-versa. Voir Modification du mode de fonctionnement la page 166.
Actif depuis Heure Systme
Nom dhte
Version de Code
Mode de fonctionnement
Information sur la licence

Les indicateurs du statut de la licence sont verts quand tout est en ordre, gris sil ny a pas de licence ou jaune/rouge clignotant si le botier FortiGate ne peut pas se connecter au service.
Contrat de Support Le numro du contrat de support et sa date dexpiration. Sil ny a pas de date affiche, slectionnez Enregistrer (Register) pour enregistrer votre quipement. Si la mention Renouveler (Renew) saffiche, vous devez renouveler votre contrat de support. Contactez alors votre revendeur local. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
48
Souscriptions FortiGuard AntiVirus Dfinitions AV La version du contrat, la date dmission et les statuts du service. La version installe des Dfinitions AntiVirus FortiGate. Pour mettre jour ces dfinitions manuellement, cliquez sur Update (Mettre jour). Pour plus dinformations, voir Mise jour manuelle des Dfinitions AV FortiGuard la page 56. La version du contrat, la date dmission et les statuts du service. La version installe des Dfinitions des attaques IPS. Pour mettre jour ces dfinitions manuellement, cliquez sur Update (Mettre jour). Pour plus dinformations, voir Mise jour manuelle des Dfinitions IPS FortiGuard la page 56. Type de la licence, date dexpiration et statuts du service. Type de la licence, date dexpiration et statuts du service. Le nombre de domaines virtuels supports par le botier FortiGate. Il est possible dacheter une cl de licence chez Fortinet pour augmenter le nombre maximum de VDOM pour les FortiGate 3000 et plus. Voir Licence la page 193. Seul ladministrateur admin peut accder cette information si la Configuration de Domaine Virtuel est active.
Protection anti-intrusion Dfinitions IPS
Filtrage Web AntiSpam Domaine Virtuel
Ressources
Les ressources du systme napparaissant pas sur la page Statut sont accessibles sous forme de graphiques partir de licne Historique.
Icne Historique Affiche des reprsentations graphiques du taux CPU, du taux mmoire, des sessions et du taux dutilisation rseau les plus rcents. Cette page reprend galement les dtections des virus et attaques de ces 20 dernires heures. Pour plus dinformations, voir Visualisation de lhistorique oprationnel la page 55. Le statut du taux CPU en cours saffiche sous la forme dun compteur de vitesse et en pourcentage. Linterface dadministration web reprend les taux CPU pour les processus majeurs uniquement. Les taux CPU pour les processus administratifs (par exemple pour les connexions HTTPS vers linterface graphique) sont exclus. Le statut du taux de la mmoire en cours saffiche sous la forme dun compteur de vitesse et en pourcentage. Linterface dadministration web reprend les taux mmoire pour les processus majeurs uniquement. Les taux mmoire pour les processus administratifs (par exemple pour les connexions HTTPS vers linterface graphique) sont exclus. Le statut en cours du quota du disque du FortiAnalyzer saffiche sous la forme dun diagramme circulaire et en pourcentage. Ceci est uniquement disponible si vous avez configur la journalisation sur un botier FortiAnalyzer.
Taux CPU
Taux Mmoire
Quota du disque FortiAnalyzer
49
Ractualiser laffichage toutes les

Cette fonction dtermine lintervalle de temps entre les mises jour automatiques de la page Statut. Slectionnez Ractualiser pour mettre la page jour instantanment.
Statuts des Interfaces

Une reprsentation du panneau avant du botier reprend les statuts des interfaces du botier. Un port rseau dune interface apparaissant en vert signifie que linterface est connecte. Placez le curseur de la souris sur le port pour visualiser ladresse IP, le masque de rseau et le statut actuel de linterface. A droite de la reprsentation du panneau avant du botier, reli par une ligne de connexion, est illustr un autre panneau, celui reprsentant le FortiAnalyzer. Si le botier FortiGate a t configur pour envoyer des journaux au FortiAnalyzer, celuici apparat fonc. Dans le cas contraire, il apparat en gris. Une marque en V verte sur la ligne de connexion indique que la connexion entre le botier et le FortiAnalyzer est active. Dans le cas contraire, une croix rouge apparat sur la ligne de connexion.
Console de message dalerte

Les messages de types suivants peuvent apparatre dans la rubrique Console de message dalerte.
Redmarrage systme Firmware updated by <nom_admin > Firmware downgraded by <nom_admin > Le systme a redmarr. Ceci peut tre d une action de loprateur ou un cycle de courant off/on. Ladministrateur nomm a procd une mise jour logicielle sur la partition active ou non active. Ladministrateur nomm a procd un retour logiciel sur la partition active ou non active.
FortiGate has reached connection Le moteur Antivirus disposait de peu de mmoire limit for <n> seconds pendant la dure du temps indiqu. Dans ces conditions et selon les modles et configurations, le contenu peut avoir t bloqu ou tre pass sans avoir t analys.
Pour chaque message, la date et lheure de sa parution sont indiques. Sil ny a pas assez despace pour visualiser tous les messages, cliquez sur Tout Voir afin que souvre une nouvelle fentre avec la liste complte des messages. Pour effacer les messages dalerte, cliquez sur Tout Voir, ensuite sur licne Supprimer les messages dalerte, en haut de la nouvelle fentre.
Statistiques
Depuis La date et lheure de la relance des compteurs. Les compteurs sont relancs lors dune rinitialisation du systme FortiGate. Remet zro les compteurs du Journal des Archives et des Attaques. Le nombre de sessions de communication FortiGate en cours. Slectionnez Dtails pour visualiser des
Icne Remise zro Sessions
50
informations plus compltes. Voir Visualisation de la liste de session la page 57. Archive de contenu Un rsume du trafic archiv par le botier FortiGate. Les pages Dtails rpertorient les 64 derniers lments et fournissent un lien vers le FortiAnalyzer o le trafic archiv est mmoris. Si vous navez pas configur de connexion au FortiAnalyzer, les pages Dtails prvoient un lien vers Journaux / Alertes > Configuration > Configuration du Journal. Un rsum des virus, attaques, messages emails spams et URL que le botier FortiGate a intercept. Les pages Dtails rpertorient les 10 derniers lments, fournissant lheure, la source, la destination et autres informations.
Journal des attaques
Opration Systme
Les oprations suivantes peuvent tre accomplies par les administrateurs dont le profil daccs comprend les droits en criture de configuration du systme.
Reboot Shutdown Redmarre le botier FortiGate. Eteint le botier FortiGate, stoppant le flux du trafic. Pour redmarrer le botier FortiGate, couper et rebrancher ensuite le courant. Redmarre le botier FortiGate avec sa configuration initiale. Cette procdure supprime tous les changements apports la configuration. Seules la version logicielle et les dfinitions dantivirus et dattaques sont maintenues.
Rinitialiser aux paramtres par dfaut
Slectionnez dans la liste Opration Systme lopration dsire et cliquez ensuite sur Go.
Modification des informations du systme

Les administrateurs dont le profil daccs comprend les droits en criture de configuration du systme peuvent procder aux modifications suivantes : date et heure du systme, nom dhte et mode de fonctionnement dun VDOM.
Paramtrage des date et heure

1 2 3 Slectionnez Systme > Statut. Dans la section Information, cliquez sur Changer ct du champ Heure Systme. Slectionnez votre fuseau horaire. Vous avez ensuite le choix entre paramtrer manuellement la date et lheure ou configurer votre FortiGate pour quil se synchronise avec un serveur NTP.
51
Illustration 11 : Paramtrage des date et heure
Date et heure du systme Actualiser Fuseau horaire Ajuster automatiquement lors du passage lheure dt/lheure dhiver Rglage
La date et lheure actuelle du systme FortiGate Mise jour instantane de la date et lheure du systme. Slectionnez le fuseau horaire applicable. Ajuste automatiquement lhorloge du FortiGate lors du passage lheure dt.
Remplissez les champs heure, minute, seconde, jour, mois, anne. Slectionnez cette option si vous dsirez utiliser un serveur NTP pour paramtrer les date et heure automatiquement. Spcifiez le serveur et lintervalle de synchronisation dsirs. Entrez ladresse IP ou un nom de domaine dun serveur NTP. Pour trouver le bon serveur NTP, voir http://www.ntp.org Spcifiez le nombre de fois que le botier FortiGate synchronise ses paramtres date et heure avec le serveur NTP. Par exemple, dfinir un intervalle de 1440 minutes entrane un synchronisation quotidienne.
Synchronisation avec le serveur NTP
Serveur
Intervalle de Sync
Modification du nom dhte du botier FortiGate

Le nom dhte du botier FortiGate apparat sur la page Statut et sur lcran lors dune connexion en CLI. Le nom dhte est galement utilis comme nom de systme SNMP. Pour plus dinformations sur le SNMP, voir SNMP la page 152. Le nom dhte par dfaut est le nom du modle, par exemple botier FortiGate-300. Les administrateurs dont le profil daccs prvoit les droits en criture peuvent modifier le nom dhte du FortiGate.
Remarque : Si votre FortiGate fait partie dun cluster HA, il est conseill de lui attribuer un nom unique pour le distinguer des autres quipements du cluster.
52
1 2 3 4 5
Slectionnez Systme > Statut > Statut. Dans le champ Nom dHte de la section Informations sur le Systme, slectionnez Changer. Dans le champ Nouveau Nom, entrez un nouveau nom dhte. Cliquez sur OK. Le nouveau nom dhte saffiche dans le champ Nom dHte et sur lcran lors dune connexion en CLI. Il est galement ajout au Nom de Systme SNMP.
Modification du logiciel FortiGate

Les administrateurs FortiGate dont le profil daccs prvoit les droits en criture et lecture peuvent modifier le logiciel FortiGate. Les modifications du logiciel portent soit sur une mise jour logicielle vers une version plus rcente ou soit sur une rvision vers une version prcdente. Les procdures de modifications sont dcrites ci-dessous. Mise jour logicielle Retour une version logicielle antrieure
Mise jour logicielle

La procdure suivante vous guide dans une mise jour vers une nouvelle version logicielle.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces bases de connaissance sont jour.
Mettre le logiciel jour partir de linterface dadministration web 1 2 Copiez le fichier de limage logicielle sur votre poste dadministration. Connectez-vous linterface dadministration web en tant quadministrateur admin ou sous un compte administrateur qui possde les droits en lecture et en criture de configuration systme. Slectionnez Systme > Statut. Dans la section Informations sur le Systme (ou Statut), slectionnez Update (Mettre jour) dans la ligne Version du Code. Tapez le chemin et le nom de fichier de limage logicielle ou slectionnez Browse (Parcourir) pour localiser ce fichier. Cliquez sur OK. Le botier FortiGate tlcharge le fichier de limage logicielle, installe la nouvelle version logicielle, ferme toutes les sessions, redmarre et affiche la page douverture dune session FortiGate. Cette procdure prend quelques minutes. 7 Connectez-vous linterface dadministration web.
3 4 5 6
53
8 9
Slectionnez Systme > Statut et vrifiez la version du code pour vous assurer du succs de linstallation de la mise jour. Mettez les bases de connaissance antivirus et IPS jour. Pour plus dinformations sur ce sujet, voir Centre FortiGuard la page 183.
Retour une version logicielle antrieure

Les procdures suivantes permettent dquiper le botier FortiGate dune version antrieure du logiciel. Notez que cela entrane la restauration de la configuration par dfaut du botier FortiGate et la suppression des signatures personnalises IPS, de la base de donnes de filtrage web et antispam et des changements apports aux messages de remplacement. Pour prserver ces informations, sauvegardez la configuration de votre FortiGate. Pour plus dinformations ce sujet, voir Sauvegarde et Restauration la page 181. Si vous retournez une version antrieure FortiOS (par exemple, passer de FortiOS v3.0 FortiOS v2.80), il y a un risque que la configuration antrieure ne puisse tre restaure partir de la sauvegarde du fichier de configuration.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces bases de connaissance sont jour.
Retourner une version logicielle antrieure partir de linterface dadministration web 1 2 Copiez le fichier de limage logicielle sur votre poste dadministration. Connectez-vous linterface dadministration web du FortiGate.
Remarque : La procdure suivante ncessite que vous vous connectiez partir du compte administrateur admin ou dun compte administrateur qui possde tous les droits daccs en lecture et criture de la configuration du systme.
1 2 3 4
Slectionnez Systme > Statut. Dans la section Informations sur le Systme (ou Statut), slectionnez Update (Mettre jour) dans la ligne Version du Code. Tapez le chemin et le nom du fichier de limage logicielle, ou slectionnez Browse (Parcourir) pour localiser ce fichier. Cliquez sur OK. Le botier FortiGate tlcharge le fichier de limage logicielle, retourne la version antrieure du logiciel, redmarre et affiche la page douverture dune session FortiGate. Cette procdure prend quelques minutes.
5 6 7
Connectez-vous linterface dadministration web. Slectionnez Systme > Statut et vrifiez la version du code pour vous assurer du succs de linstallation du logiciel. Restaurez votre configuration.
54
Pour plus dinformations sur la restauration de votre configuration, voir Sauvegarde et Restauration la page 181. 8 Mettez jour les bases de connaissance antivirus et IPS. Pour plus dinformations sur les dfinitions des antivirus et attaques, voir Mettre
jour les bases de connaissances antivirus et IPS la page 189.
Visualisation de lhistorique oprationnel

La page de lHistorique des Ressources du Systme affiche six graphiques reprsentant les ressources du systme et son activit protection du rseau. 1 2 Slectionnez Systme > Statut. Cliquez sur licne Historique dans le coin en haut droite de la section Ressources.
Illustration 12 : Exemple de lhistorique des ressources du systme
Time Interval Historique du taux CPU Historique du taux mmoire Historique des sessions Historique du taux dutilisation rseau Historique des virus Historique des attaques
Slectionnez lintervalle de temps que vous voulez voir illustrer dans les graphiques. Usage CPU pendant lintervalle prcdent. Usage Mmoire pendant lintervalle prcdent. Nombre de sessions pendant lintervalle prcdent. Utilisation du rseau pendant lintervalle prcdent. Nombre de virus dtect(s) pendant lintervalle prcdent. Nombre de tentatives dintrusions dtecte(s) pendant lintervalle prcdent.
Mise jour manuelle des dfinitions FortiGuard

Vous pouvez mettre jour les bases de connaissance FortiGuard Antivirus et FortiGuard IPS tout moment partir de la section dInformations sur la Licence de la page Statut du Systme. Pour configurer une mise jour automatique des fichiers de dfinitions par le botier FortiGate, voir Centre FortiGuard la page 183.
55
Mise jour manuelle des dfinitions AV FortiGuard
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises jour des dfinitions antivirus, voir Centre FortiGuard la page 183.
Tlchargez le fichier de mise jour des dfinitions des derniers antivirus sur le site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration web. Dmarrez linterface dadministration web et slectionnez Systme > Statut > Statut. Dans la section Information sur la Licence, dans le champ Dfinitions AV des souscriptions FortiGuard, slectionnez Update (Mettre jour). La bote de dialogue Mettre jour les dfinitions antivirus souvre.
2 3
Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise jour des dfinitions antivirus. Vous pouvez galement slectionnez Browse (Parcourir) et localisez le fichier. Cliquez sur OK pour copier le fichier de mise jour des dfinitions antivirus sur le botier FortiGate. Le botier FortiGate met jour les dfinitions AV. Cela prend environ 1 minute.
Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour de la version du FortiGuard Antivirus.
Mise jour manuelle des dfinitions IPS FortiGuard
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises jour des dfinitions IPS (attaque), voir Centre FortiGuard la page 183.
Tlchargez le fichier de mise jour des dfinitions des dernires attaques sur le site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration web. Dmarrez linterface dadministration web et slectionnez Systme > Statut > Statut. Dans la section Information sur la Licence, dans le champ Dfinitions IPS des souscriptions FortiGuard, slectionnez Update (Mettre jour). La bote de dialogue Mettre jour les dfinitions dattaque souvre.
2 3
Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise jour des dfinitions des attaques. Vous pouvez galement slectionnez Browse (Parcourir) et localisez le fichier. Cliquez sur OK pour copier le fichier de mise jour des dfinitions des attaques sur le botier FortiGate. Le botier FortiGate met jour les dfinitions IPS. Cela prend environ 1 minute.
Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour de la version du FortiGuard IPS.
56
Visualisation des Statistiques

Les Statistiques de la page Statut du Systme fournissent des informations sur les sessions, les archives de contenu et lactivit protection rseau.
Visualisation de la liste des sessions

La liste des sessions affiche des informations sur les sessions de communication en cours sur le botier FortiGate.
Visualiser la liste des sessions

1 2 Slectionnez Systme > Statut > Statut. Dans la section Statistiques, cliquez sur Dtails dans la ligne Sessions.
Illustration 13 : Liste des Sessions
Virtual Domain
Slectionnez un domaine virtuel pour en rpertorier les sessions en cours. Slectionnez Tous pour visualiser les sessions utilises par tous les domaines virtuels. Ceci nest possible que si de multiples domaines virtuels sont activs. Met jour la liste des sessions. Affiche la page prcdente de la liste des sessions. Affiche la page suivante de la liste des sessions. Entrez le numro de la ligne de la session marquant le dbut de la liste des sessions affiches. Par exemple, dans le cas o il y a 5 sessions et vous entrez le numro 3, seules les sessions 3, 4 et 5 seront affiches. Le nombre suivant le / est le nombre de sessions actives sur le botier FortiGate. Annule tous les filtres daffichage installs. Toutes les icnes en haut des colonnes lexception de # et Expiration. Slectionnez une de ces icnes pour ouvrir la bote de dialogue dEdition de Filtres vous permettant dinstaller des filtres daffichage par colonne. Le protocole de service sur la connexion, par exemple, udp, tcp ou icmp. Ladresse IP source de la connexion. Le port source de la connexion. Ladresse IP de destination de la connexion. Le port de destination de la connexion. Le nombre de rgles pare-feu permettant cette session. Le champ reste vide si la session implique une seule interface FortiGate (session admin par exemple). Le temps, en secondes, avant que la connexion expire.
Icne Rafrachir Page prcdente Page suivante Ligne
Supprimer tous les filtres Icne Filtre
Protocole Adresse Source Port Source Adresse Destination Port Destination Identifiant de rgle
Expire (sec)
57
Icne de suppression
Met fin une session de communication active. Votre profil daccs doit comprendre les droits en lecture et en criture de la configuration du systme.
Visualisation des Archives de Contenu

Les statistiques portant sur les trafics HTTP, email, FTP et IM travers le botier FortiGate sont visibles dans la section Statistiques de la page Statut du Systme. Pour en savoir plus sur chaque type de trafic, cliquez sur Dtails ct du trafic concern. Licne Remise zro en haut de la section Statistiques permet deffacer les archives de contenu et les informations sur les journaux des attaques et de remettre les compteurs zro.
Visualisation des archives de contenu HTTP

1 2 Slectionnez Systme > Statut > Statut. Dans la section Archive de Contenu, cliquez sur Dtails ct de HTTP.
Date Source URL
La date et lheure de laccs lURL. Ladresse IP partir de laquelle lURL a t accde. LURL accde.
Visualisation des archives de contenu email

1 2 Slectionnez Systme > Statut > Statut. Dans la section Archive de Contenu, cliquez sur Dtails ct dEmail.
Date Source Destination Sujet
La date et lheure du passage de lemail travers le botier FortiGate. Ladresse email de lmetteur. Ladresse email du destinataire. Le sujet de lemail.
58
Visualisation des archives de contenu FTP

1 2 Slectionnez Systme > Statut > Statut. Dans la section Archive de Contenu, cliquez sur Dtails ct de FTP.
Date Destination Utilisateur Tlchargement
La date et lheure de laccs. Ladresse IP du serveur FTP accd. LID de lutilisateur stant connect au serveur FTP. Les noms des fichiers tlchargs.
Envoie vers un serveur Les noms des fichiers envoys vers un serveur.
Visualisation des archives de contenu IM

1 2 Slectionnez Systme > Statut > Statut. Dans la section Archive de Contenu, cliquez sur Dtails ct dIM.
Date / Time Protocol Kind Local Remote Direction
La date et lheure de laccs. Le protocole utilis lors de la session IM. Le type de trafic IM constituant la transaction. Ladresse locale de la transaction. Ladresse distante de la transaction. Indique si le fichier a t envoy ou reu.
Visualisation du Journal des Attaques

Les statistiques portant sur les attaques rseaux bloques par le botier FortiGate sont visibles dans la section Statistiques de la page Statut du Systme. Pour en savoir plus sur chaque type dattaques, cliquez sur le lien Dtails de lattaque concerne. Licne Remise zro en haut de la section Statistiques permet deffacer les archives sur le contenu et les journaux des attaques, et de remettre les compteurs zro.
59
Visualisation des virus attraps

1 2 Slectionnez Systme > Statut > Statut. Dans la section Journal des attaques, cliquez sur Dtails ct dAV.
Date & heure De A Service Virus
La date et lheure de la dtection du virus. Ladresse email ou ladresse IP de lmetteur. Ladresse email ou ladresse IP du destinataire vis. Le type de service, tel que POP ou HTTP. Le nom du virus dtect.
Visualisation des attaques bloques

1 2 Slectionnez Systme > Statut > Statut. Dans la section Journal des attaques, cliquez sur Dtails ct dIPS.
Date & heure De A Service Attaque
La date et lheure de la dtection de lattaque. La source de lattaque. Lhte cible de lattaque. Le type de service. Le type dattaque dtecte et bloque.
Visualisation des spams bloqus

1 2 Slectionnez Systme > Statut > Statut. Dans la section Journal des attaques, cliquez sur Dtails ct de Spam.
Date & heure De -> IP De -> A comptes email Service Type de SPAM
La date et lheure de la dtection du spam. Les adresses IP de lmetteur et du destinataire vis. Les adresses email de lmetteur et du destinataire vis. Le type de service, tel que SMTP, POP ou IMAP. Le type de spam dtect.
Visualisation des URL bloques

1 2 Slectionnez Systme > Statut > Statut. Dans la section Journal des attaques, cliquez sur Dtails ct de Web.
Date et heure De URL Bloques
La date et lheure de la dtection de la tentative daccs de lURL. Lhte qui a tent daccder lURL. LURL bloque.
60
Systme > Rseau

Cette section vous guide dans la configuration de votre FortiGate pour oprer sur votre rseau. Les paramtres rseaux de base comprennent la configuration des interfaces FortiGate et des paramtres DNS. La configuration plus avance comprend lajout de sous-interfaces VLAN et de zones la configuration rseau du FortiGate. Cette section couvre les sujets suivants : Interface Zone Options Table de routage (en mode Transparent) Configuration de linterface modem Aperu sur les VLAN VLAN en mode NAT/Route VLAN en mode Transparent Support FortiGate IPv6
Remarque : Certains champs permettent dentrer ladresse IP et le masque de rseau en une fois. Dans ce cas, vous pouvez utiliser la forme courte du masque de rseau. Par exemple, 192.168.1.100/255.255.255.0 peut galement tre entr sous 192.168.1.100/24.
Interface
En mode NAT/Route, slectionnez Systme > Rseau > Interface pour configurer les interfaces FortiGate. Il vous est possible de : agrger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour les modles 800 et plus). combiner des interfaces physiques en une interface redondante ajouter et configurer des sous-interfaces VLAN modifier la configuration dune interface physique ajouter des interfaces sans fil (pour les modles WiFi-60 et WiFi-60 AM uniquement).
Remarque : A moins dune directive contraire, dans cette section, le mot interface rfre aussi bien une interface FortiGate physique qu une sous-interface FortiGate VLAN.
Pour toute information sur les VLAN en mode NAT/Route, voir VLAN en mode NAT/Route la page 85. Pour toute information sur les VLAN en mode Transparent, voir VLAN en mode Transparent la page 88.
61
Illustration 14 : Liste des interfaces pour un administrateur rgulier
Illustration 15 : Liste des interfaces pour un administrateur admin avec la Configuration de Domaine Virtuel active
Crer Nouveau
Cre une sous-interface VLAN. Possibilit de crer une interface agrge IEEE 802.3ad pour les modles 800 et plus.
Icne Description Nom
Laide en ligne de cette icne affiche le champ de Description pour cette interface. Les noms des interfaces physiques de votre botier FortiGate. Les nombre et noms de ces interfaces dpendent du modle. Certains noms indiquent la fonction par dfaut de linterface : Internal, External, DMZ par exemple. Dautres noms sont gnriques : port1 par exemple. Les modles FortiGate 50 et 60 fournissent une interface modem. Voir Configuration de linterface modem la page 79. Linterface oob/ha est linterface de gestion hors bande du modle FortiGate 4000. Vous pouvez vous connecter cette interface pour grer votre quipement FortiGate. Cette interface est galement disponible comme interface de heartbeat HA. Sur les modles 800 et plus, si plusieurs interfaces sont combines en une interface agrge, seule celle-ci sera rpertorie (et non pas les interfaces composantes). La mme chose sapplique pour les interfaces redondantes. Voir Cration dune interface agrge 802.3ad la page 66 ou Cration dune interface redondante la page 67. Si vous avez ajout des sous-interfaces VLAN, celles-ci apparaissent aussi dans la liste des noms, juste en dessous de linterface physique ou agrge laquelle elles ont t ajoutes. Voir Aperu sur les VLAN la page 84. A moins dtre ladministrateur admin, et si la Configuration de Domaine Virtuel est active, les informations disponibles concernent uniquement les interfaces de votre domaine virtuel.
IP / masque Accs
Ladresse IP et le masque de rseau actuels de cette interface. La configuration de laccs administratif de linterface.
62
Pour toute information sur les options de laccs administratif, voir Contrler laccs administratif dune interface la page 74. Domaine Virtuel Le domaine virtuel auquel linterface appartient. Cette colonne nest visible que par ladministrateur admin et ce, uniquement lorsque la Configuration de Domaine Virtuel est active. Ltat administratif de linterface. Une flche verte indique que linterface est active et peut accepter le trafic rseau. Une flche rouge indique que linterface est inactive et ne peut pas accepter le trafic rseau. Pour modifier ltat administratif, slectionnez Activer ou Dsactiver. Supprime, dite ou visualise une entre.
Etat
Icnes Supprimer, Editer et Visualiser
Paramtres de linterface
Pour configurer une interface, slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau pour crer une nouvelle interface. Pour diter une interface existante, slectionnez licne Editer de cette interface. Il est impossible de crer une interface virtuelle IPSec ici. Mais vous pouvez en spcifier les adresses de terminaison, activer laccs administratif et fournir une description. Voir Configuration dune interface IPSec virtuelle la page 72.
Illustration 16 : Paramtres dune interface
Nom de linterface Type
Entrez un nom pour linterface. Il nest pas possible de modifier le nom dune interface existante. Sur les modles 800 et plus, vous pouvez crer des interfaces VLAN, agrges 802.3ad et redondantes. Sur les modles WiFi-60A et WiFi-60AM, vous pouvez crer des interfaces sans fil. Certains modles ne supportent que la cration dinterface VLAN et naffichent alors pas le champ Type.
63
Si vous dsirez crer une interface agrge, voir Cration dune interface agrge 802.3ad la page 66. Si vous dsirez crer une interface redondante, voir Cration dune interface redondante la page 67. Si vous dsirez crer une interface sans fil, voir Cration dune interface sans fil la page 68. Il est impossible de modifier le type dune interface existante. Interface Slectionnez le nom de linterface physique laquelle vous voulez adjoindre une sous-interface VLAN. Une fois cr, le VLAN est repris dans la liste des interfaces, en dessous de son interface physique. Il est impossible de modifier linterface dune sous-interface VLAN existante. Entrez lID du VLAN qui correspond lID du VLAN des paquets destins cette sous-interface VLAN. Il est impossible de modifier lID dune sous-interface VLAN existante. LID VLAN, se situant entre 1 et 4096, doit correspondre lID VLAN ajoute par le routeur IEEE 802.1Qcompliant ou connect la sous-interface VLAN. Pour plus dinformations sur les VLAN, voir Aperu sur les VLAN la page 84. Domaine Virtuel Slectionnez le domaine virtuel auquel la sous-interface VLAN appartient. Seul ladministrateur admin peut effectuer cette commande lorsque la Configuration de Domaine Virtuel est active. Pour plus dinformations sur les domaines virtuels, voir Utilisation des domaines virtuels la page 40. Pour configurer une adresse IP statique dune interface, slectionnez Manuel et entrez adresse IP/masque de rseau dans le champ prvu cet effet. Ladresse IP doit tre sous le mme sous-rseau que le rseau auquel linterface se connecte. Deux interfaces ne peuvent pas avoir leurs adresses IP sur le mme sousrseau. Pour plus dinformations sur la configuration dun adressage dynamique, voir Configuration DHCP dune interface la page 69 ou Configuration PPPoE dune interface la page 70. DDNS Cochez la case Activer ct de DDNS pour configurer un service DNS Dynamique pour cette interface. Des champs additionnels sont affichs. Pour plus dinformations sur la configuration DDNS, voir Configuration dun service DNS Dynamique dune interface la page 72. Pour activer la dtection de lchec dune passerelle, entrez ladresse IP du routeur du prochain saut sur le rseau connect linterface et cochez la case Activer. Pour plus dinformations sur la dtection de lchec
ID VLAN
Mode dadressage
Ping Serveur
64
dune passerelle, voir Dtection de lchec dune passerelle la page 76. Administration HTTPS PING Slectionnez les types daccs administratifs permis sur cette interface. Permet des connexions HTTPS scurises vers linterface dadministration web travers cette interface. Linterface rpond aux requtes Ping. Cette fonctionnalit vous permet de vrifier votre installation et de la tester. Permet des connexions HTTP vers linterface dadministration web travers cette interface. Les connexions HTTP ne sont pas scurises et peuvent tre interceptes par des tiers. Permet des connexions SSH vers linterface de commande en ligne travers cette interface. Permet un superviseur SNMP distant de solliciter des informations SNMP en se connectant cette interface. Voir Configuration SNMP la page 153. Permet des connexions Telnet vers le CLI travers cette interface. Les connexions Telnet ne sont pas scurises et peuvent tre interceptes par des tiers. Ce champ nest disponible que sur les interfaces physiques. Pour amliorer la performance rseau, vous pouvez modifier lunit maximum de transmission (MTU) des paquets que le botier FortiGate transmet. Idalement le MTU devrait tre identique au plus petit MTU de tous les rseaux entre le botier FortiGate et les destinations des paquets. Les plus grands paquets envoys seront fragments, ce qui ralentit la transmission. Procdez des tests en diminuant le MTU jusqu trouver la taille du MTU qui fournit la meilleure performance rseau. Pour modifier le MTU, slectionnez Remplacer la valeur MTU par dfaut (1500) et entrez une nouvelle taille du MTU. La taille du MTU varie entre 68 et 1500 octets en mode manuel, entre 576 et 1500 octets en mode DHCP et entre 576 et 1492 octets en mode PPPoE. En mode Transparent, si vous modifiez le MTU dune interface, vous devez modifier le MTU de toutes les interfaces pour correspondre la nouvelle. Journaliser Slectionnez Journaliser pour enregistrer les journaux pour tout trafic partir ou vers linterface. Pour enregistrer des journaux, vous devez activer la journalisation du trafic vers une destination et fixer le niveau de svrit de la journalisation Notification ou plus bas. Slectionnez Journaux/Alertes > Journal pour configurer les types et destinations de journalisation. Pour plus dinformations sur les journalisations, voir Journaux et Alertes la page 409. Facultativement, entrez une description de 63 caractres maximum.
65
HTTP
SSH SNMP
TELNET
MTU
Description
Cration dune interface agrge 802.3ad

Vous pouvez agrger (combiner) deux ou plusieurs interfaces pour augmenter la bande passante et fournir quelques redondances de lien. Cela offre lavantage dune plus grande bande passante mais augmente le risque de points de panne potentiels par rapport aux interfaces redondantes. Les interfaces doivent se connecter la mme destination du prochain saut. Le logiciel FortiGate des modles 800 et plus implmentent le standard 802.3ad pour une agrgation de liens. Une interface est disponible pour agrgation uniquement si : il sagit dune interface physique et non pas dune interface VLAN elle ne fait pas dj partie dune interface agrge ou redondante elle est dans le mme VDOM que linterface agrge elle na pas dadresse IP dfinie et nest pas configure partir de DHCP ou PPPoE elle na pas de serveur DHCP ou de relais configur elle na pas de sous-interfaces VLAN elle nest pas reprise dans une rgle pare-feu, VIP, IP Pool ou multicast il ne sagit pas dune interface de heartbeat HA
Lorsquune interface fait partie dune agrgation, elle nest plus reprise dans la liste de la page Systme > Rseau > Interface. Elle nest plus configurable individuellement et ne peut plus tre incluse dans les rgles pare-feu, VIP, IP pools ou de routage.
Illustration 17 : Paramtres pour une interface agrge 802.3ad
Crer une interface agrge 802.3ad 1 2 3 4 5 Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau. Dans le champ Nom, entrez un nom pour linterface agrge. Le nom de linterface doit diffrer des noms des autres interfaces, zones ou VDOM. Slectionnez dans la liste Type droulante 802.3ad Aggregate. Slectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface que vous voulez inclure dans linterface agrge et cliquez sur la flche droite pour la dplacer vers la liste des Interfaces Slectionnes.
66
Si cette interface opre en mode NAT/Route, il est ncessaire de lui configurer un adressage. Pour plus dinformations sur ladressage dynamique, voir : Configuration DHCP dune interface la page 69. Configuration PPPoE dune interface la page 70.
7 8
Configurez les autres options tel que requis. Cliquez sur OK.
Cration dune interface redondante

Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance de liens. Cette fonctionnalit vous permet de vous connecter deux ou plusieurs commutateurs afin dassurer une connectivit continue mme dans le cas o une interface ou un des quipements devait tomber en panne. La diffrence entre un lien redondant et un lien dagrgation rside dans le fait que dans le premier cas, le trafic ne passe que par une seule interface la fois (peu importe le nombre de liens redondants). Cependant les interfaces redondantes permettent des configurations plus robustes avec un risque de points de pannes plus faible. Ceci est important dans une configuration en maillage intgral HA. Le logiciel FortiGate des modles 800 et plus implmente des interfaces redondantes. Une interface peut tre une interface redondante seulement si : il sagit dune interface physique et non pas dune interface VLAN elle ne fait pas dj partie dune interface agrge ou redondante elle est dans le mme VDOM que linterface redondante elle na pas dadresse IP dfinie et nest pas configure partir de DHCP ou PPPoE elle na pas de serveur DHCP ou relais configur elle na pas de sous-interface VLAN elle nest pas prsente dans une rgle pare-feu, VIP, IP Pool ou multicast elle nest pas contrle par un HA.
Lorsquune interface fait partir dune interface redondante, elle nest plus reprise dans la liste de la page Systme > Rseau > Interface. Elle nest plus configurable individuellement et ne peut plus tre incluse dans les rgles pare-feu, VIP, IP pools ou de routage.
67
Illustration 18 : Paramtres dune interface redondante
Crer une interface redondante 1 2 3 4 5 Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau. Dans le champ Nom, entrez un nom pour linterface redondante. Le nom de linterface doit diffrer des noms des autres interfaces, zones ou VDOM. Slectionnez dans la liste Type droulante Interface Redondante. Slectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface physique que vous voulez inclure dans linterface redondante et cliquez sur la flche droite pour la dplacer vers la liste des Interfaces Slectionnes. Si cette interface opre en mode NAT/Route, il est ncessaire de lui configurer un adressage. Pour plus dinformations sur ladressage dynamique, voir : 7 8 Configuration DHCP dune interface la page 69. Configuration PPPoE dune interface la page70.
Configurez les autres options tel que requis. Cliquez sur OK.
Cration dune interface sans fil

Vous pouvez crer des interfaces sans fil WLAN sur les modles FortiWiFi-60A et FortiWiFi-60AM, voir ce propos Paramtres sans fil du systme (FortiWiFi-60) la page 94. 1 2 3 4 5 Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau. Dans le champ Nom, entrez un nom pour linterface sans fil. Ce nom doit diffrer des noms des autres interfaces, zones ou VDOM. Slectionnez dans la liste Type droulante Wireless. Dans la section Paramtres Sans Fil (Wireless Settings), entrez les informations suivantes :
68
Illustration 19 : Paramtres de linterface sans fil
SSID
Entrez le nom du rseau sans fil que le FortiWiFi-60 doit mettre. Les utilisateurs dsireux dutiliser le rseau sans fil doivent configurer leurs ordinateurs pour se connecter au rseau qui met ce nom de rseau. A slectionner si vous voulez que le botier mette son SSID. (En mode Point dAccs uniquement). Pour une utilisation du WEP, slectionnez WEP64 ou WEP128. Pour une utilisation WPA (disponible en mode Point dAccs uniquement), slectionnez WPA Pre-shared Key ou WPA_Radius. Les utilisateurs du rseau sans fil FortiWiFi-60 doivent configurer leurs ordinateurs avec les mmes paramtres. Pour une cl WEP de 64 bits, entrez 10 symboles hexadcimaux (0-9 a-f). Pour une cl WEP de 128 bits, entrez 26 symboles hexadcimaux (0-9 a-f). Les utilisateurs du rseau sans fil doivent configurer leurs ordinateurs avec les mmes cls. Pour le mode scuris WPA Pre-Shared Key, entrez la cl partage. Les utilisateurs dun rseau sans fil doivent configurer leurs ordinateurs avec la mme cl. Pour le mode scuris WPA Radius, slectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit tre configur dans Utilisateur > Radius. Pour plus dinformations, voir Serveurs RADIUS la page 326. En mode WPA uniquement. Choisissez entre les protocoles de cryptage TKIP ou AES (WPA2). Le seuil RTS (Request to Send) dtermine le temps dattente du botier pour la reconnaissance CTS (Clear to Send) dun autre quipement sans fil.
SSID Broadcast Security Mode
Cl
Pre-shared Key
RADIUS Server Name
Data Encryption RTS Threshold
Fragmentation Threshold Le seuil de fragmentation dtermine la taille maximum dun paquet de donnes avant que celui-ci ne soit fragment en deux ou plusieurs paquets. La rduction de ce seuil peut amliorer la performance dans des environnements soumis de hautes interfrences.
6 7
Configurez les options des autres interfaces tel que requis. Cliquez sur OK.
Configuration DHCP dune interface

Lorsque vous configurez une interface pour une utilisation DHCP, le botier FortiGate met automatiquement une requte DHCP. Linterface est configure avec ladresse IP et ventuellement les adresses du serveur DNS, ainsi que les adresses des passerelles par dfaut fournies par le serveur DHCP.
69
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou slectionnez licne Editer dune interface existante. Dans la section de Mode dAdressage, slectionnez DHCP.
Illustration 20 : Paramtres DHCP de linterface
Distance
Entrez la distance administrative de la passerelle par dfaut retrouve par le serveur DHCP. La distance administrative, entre 1 et 255, indique la priorit relative dune route lorsquil en existe plusieurs vers une mme destination. Au plus la distance administrative est basse, au plus est elle considre comme prioritaire. La distance par dfaut de la passerelle par dfaut est de 1. Activez cette option pour retrouver ladresse IP dune passerelle par dfaut partir dun serveur DHCP. La passerelle par dfaut est ajoute la table de routage statique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par des adresses DNS retrouves par le serveur DHCP. Sur les modles 100 et moins, lactivation de Obtenir dynamiquement les adresses des serveurs DNS dans Systme > Rseau > Options est conseille. Voir Configuration des Options du Rseau la page 77.
Obtenir dynamiquement la route par dfaut
Remplacer le serveur DNS pr-configur
Connecter
Permet linterface de tenter automatiquement de se connecter un serveur DHCP. Dsactiver cette option si vous configurez linterface hors ligne. Affiche les messages sur les statuts DHCP lorsque le botier FortiGate se connecte au serveur DHCP et reoit des informations sur ladressage. Slectionnez cette option pour rafrachir le message de statut du mode dadressage.
Statut
initialisation se connecte connect chec
Aucune activit. Linterface tente de se connecter au serveur DHCP. Linterface retrouve une adresse IP, un masque de rseau et dautres paramtres du serveur DHCP. Linterface a chou dans sa tentative de retrouver une adresse IP et dautres informations partir du serveur DHCP.
Configuration PPPoE dune interface

Lorsque vous configurez une interface pour une utilisation PPPoE, le botier FortiGate met automatiquement une requte PPPoE. Vous pouvez dsactiver Connecter si vous configurez le botier FortiGate hors ligne et ne dsirez pas lenvoi de la requte PPPoE.
70
Le botier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y compris les IP non numrotes, les timeouts de dcouverte initiale et les PPPoE Active Discovery Terminate (PADT). Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou sur licne Editer dune interface existante. Slectionnez PPPoE dans la section Mode dAdressage.
Illustration 21 : Paramtres PPPoE de linterface
Compte utilisateur Mot de Passe Unnumbered IP
Le nom dutilisateur du compte PPPoE. Le mot de passe du compte PPPoE. Spcifiez ladresse IP de linterface. Dans le cas o votre FAI (Fournisseur dAccs Internet) vous en a affectes plusieurs, choisissez-en une parmi celles-ci. Par ailleurs, cette adresse IP peut tre identique celle dune autre interface ou peut galement tre nimporte quelle adresse IP. Initial Discovery Timeout. Il sagit du temps dattente avant quune nouvelle tentative de dcouverte PPPoE soit lance. Pour dsactiver cette option, affectez-lui 0. Initial PPPoE Active Discovery Terminate (PADT) timeout. Se dfinit en secondes. Sert fermer la session PPPoE aprs un laps de secondes dinactivit dfini dans cette option. PADT doit tre support par votre FAI. Pour dsactiver cette option, affectez-lui 0. Entrez la distance administrative de la passerelle par dfaut retrouve par le serveur PPPoE. La distance administrative, entre 1 et 255, indique la priorit relative dune route lorsquil en existe plusieurs vers une mme destination. Au plus la distance administrative est basse, au plus elle est considre comme prioritaire. La distance par dfaut de la passerelle par dfaut est de 1. Permet de retrouver une adresse IP dune passerelle par dfaut partir dun serveur PPPoE. La passerelle par dfaut est ajoute la table de routage statique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par les adresses DNS retrouves par le serveur PPPoE ou PPPoA. Permet linterface de tenter automatiquement de se connecter un serveur PPPoE ou PPPoA. Dsactiver cette option si vous configurez linterface hors ligne. Affiche les messages sur les statuts PPPoE lorsque le botier FortiGate se connecte au serveur PPPoE et reoit 71
Initial Disc Timeout
Initial PADT Timeout
Distance
Obtenir dynamiquement la route par dfaut
Remplacer le serveur DNS pr-configur Connecter
Etat
des informations sur ladressage. Slectionnez cette option pour rafrachir le message de statut du mode dadressage. initialisation se connecte connect chec Aucune activit. Linterface tente de se connecter au serveur PPPoE. Linterface retrouve une adresse IP, un masque de rseau et dautres paramtres du serveur PPPoE. Linterface a chou dans sa tentative de retrouver une adresse IP et dautres informations partir du serveur PPPoE.
Configuration dun service DNS dynamique dune interface

Lorsque le botier FortiGate possde un nom de domaine statique et une adresse IP publique dynamique, vous pouvez utiliser un service DDNS pour mettre jour les serveurs DNS Internet quand ladresse IP du domaine change. Le service DDNS est uniquement disponible en mode NAT/Route. Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou sur licne Editer dune interface existante. Activez DDNS, juste en dessous de la section Mode dAdressage et configurez le service DDNS en fonction des informations fournies.
Illustration 22 : Configuration dun service DDNS
Serveur
Slectionnez un serveur DDNS. Les logiciels clients pour ces services sont inclus dans le microcode FortiGate. Le botier FortiGate ne peut se connecter qu un de ces services. Le nom de domaine pour le service DDNS. Le nom dutilisateur ncessaire une connexion un serveur DDNS. Le mot de passe ncessaire une connexion un serveur DDNS.
Domaine Compte utilisateur Mot de passe
Configuration dune interface IPSec virtuelle

La cration dune interface IPSec virtuelle se fait en slectionnant le Mode Interface IPSec dans VPN > IPSec > Auto Key (IKE) ou VPN > IPSec > Clef Manuelle lors de la cration dun VPN. Il faut galement slectionner une interface physique ou VLAN de la liste Interface Local. Linterface IPSec virtuelle est reprise dans la liste comme sous-interface de linterface dans Systme > Rseau > Interface. Pour plus dinformations, voir Aperu du mode interface IPSec la page 294. Auto Key la page 295 ou Cl Manuelle la page 305.
72
Slectionnez Systme > Rseau > Interface et cliquez sur licne Editer dune interface IPSec pour : configurer des adresses IP de terminaison locales et distantes de linterface IPSec de manire activer un routage dynamique sur linterface ou lancer une requte ping pour tester le tunnel. permettre laccs administratif travers linterface IPSec permettre la journalisation sur linterface entrer une description de linterface
Illustration 23 : Paramtres de linterface IPSec virtuelle
Nom Domaine Virtuel IP Remote IP
Le nom de linterface IPSec Slectionnez le VDOM de linterface IPSec Si vous voulez utiliser un routage dynamique avec le tunnel ou pouvoir pinger linterface du tunnel, entrez les adresses IP des points finaux locaux et distants du tunnel. Ces deux adresses ne peuvent pas apparatre ailleurs sur le rseau. Slectionnez les types daccs administratifs permis sur cette interface. Permet des connexions HTTPS scurises vers linterface dadministration web travers cette interface. Linterface rpond aux requtes Ping. Cette fonctionnalit vous permet de tester votre installation. Permet des connexions HTTP vers linterface dadministration web travers cette interface. Les connexions HTTP ne sont pas scurises et sont susceptibles dtre interceptes par des tiers. Permet des connexions SSH vers linterface de ligne de commande travers cette interface. Permet un superviseur SNMP distant de solliciter des informations SNMP en se connectant cette interface. Voir Configuration SNMP la page 153. Permet des connexions Telnet vers le CLI travers cette interface. Les connexions Telnet ne sont pas scurises et sont susceptibles dtre interceptes par des tiers.
Administration HTTPS PING HTTP
SSH SNMP
TELNET
73
Journaliser
Slectionnez Journaliser pour enregistrer les journaux de tout trafic partir ou vers linterface. Pour enregistrer des journaux, vous devez activer la journalisation du trafic vers une destination et fixer le niveau de svrit de la journalisation Notification ou plus bas. Slectionnez Journaux/Alertes > Journal pour configurer des types et destinations de journalisation. Pour plus dinformations sur la journalisation, voir Journaux et Alertes la page 409. Facultativement, entrez une description de 63 caractres maximum.
Description
Configuration additionnelle des interfaces

Ajouter une adresse IP secondaire La commande CLI config system interface permet dajouter une adresse IP secondaire toute interface FortiGate. Cette adresse secondaire ne peut pas se trouver sur le mme sous-rseau que linterface primaire ou que toute autre interface ou adresse IP secondaire. Pour plus dinformations, voir config secondaryip sous system interface dans le FortiGate CLI Reference.
Contrler un accs administratif vers une interface

Un contrle daccs administratif vers les interfaces dun VDOM est possible si ce VDOM fonctionne en mode NAT/Route. Vous pouvez permettre une administration distance du botier FortiGate. Cependant, une administration distance via Internet pourrait compromettre la scurit de votre FortiGate. Cette manoeuvre est donc viter moins que cela soit ncessaire pour votre configuration. Les consignes suivantes amliorent la scurit du botier FortiGate lors dune administration distance via Internet : Utilisation de mots de passe dutilisateurs administratifs scuriss. Modification rgulire de ces mots de passe. Permettre un accs administratif scuris vers cette interface via une utilisation HTTPS ou SSH. Maintenir la valeur du Timeout dinactivit par dfaut 5 minutes (voir Paramtres la page 178.)
Pour configurer un accs administratif en mode Transparent, voir Mode de fonctionnement des VDOM et accs administratif la page 166. 1 2 3 4 Slectionnez Systme > Rseau > Interface. Cliquez sur licne Editer de linterface choisie. Slectionnez les protocoles dAdministration pour cette interface. Cliquez sur OK pour enregistrer les changements. Modifier la taille MTU des paquets qui quittent une interface 1 Slectionnez Systme > Rseau > Interface.
74
2 3 4
Cliquez sur licne Editer de linterface choisie. Slectionnez la valeur de Remplacer la valeur MTU par dfaut (1500). Dfinissez une nouvelle valeur MTU.
Remarque : Un redmarrage du FortiGate est ncessaire pour mettre jour la nouvelle valeur du MTU des sous-interfaces VLAN sur cette interface.
Configurer la journalisation du trafic pour les connexions vers une interface 1 2 3 4 Slectionnez Systme > Rseau > Interface. Cliquez sur licne Editer de linterface choisie. Activez la case Journaliser pour enregistrer les messages journaliss lorsquune rgle pare-feu accepte une connexion cette interface. Cliquez sur OK pour enregistrer les changements.
Zone
Les zones permettent de grouper des interfaces et des sous-interfaces VLAN. Ces zones simplifient la cration de rgles. Dans le cas de regroupement dinterfaces et de sous-interfaces VLAN en zones, vous pouvez configurer des rgles pour des connexions de et partir dune zone. Cependant il nest pas possible de configurer des rgles de et partir de chaque interface de cette zone. A partir de la liste Zone, il est possible dajouter des zones, de les renommer, les diter ou encore les supprimer. Pour ajouter une zone, vous devez slectionner les noms des interfaces et sous-interfaces VLAN ajouter cette zone. Les zones sont ajoutes aux domaines virtuels. Si de multiples domaines virtuels ont t ajouts la configuration FortiGate, veillez configurer le domaine virtuel correct avant dajouter ou dditer des zones.
Illustration 24 : Liste des zones
Crer Nouveau Nom Bloquer le trafic intra-zone
Permet de crer une zone. Les noms des zones ajoutes. Le mot Yes saffiche si le trafic entre les interfaces dune mme zone est bloqu. Le mot No saffiche si le trafic entre les interfaces dune mme zone nest pas bloqu. Les noms des interfaces ajoutes cette zone. Les noms des interfaces varient dun modle FortiGate un autre. Permet dditer ou de visualiser une zone. Permet de supprimer une zone.
Interfaces membres Icnes Editer/Visualiser Icne Supprimer
75
Paramtres dune zone

Slectionnez Systme > Rseau > Zone pour configurer des zones. Cliquez sur Crer Nouveau ou sur licne Editer dune zone pour la modifier.
Illustration 25 : Options dune zone
Nom Bloquer le trafic intra-zone Interfaces membres
Entrez un nom pour identifier la zone. Slectionnez cette option pour bloquer le trafic entre les interfaces ou sous-interfaces VLAN au sein de cette zone. Slectionnez les interfaces faisant partie de cette zone. Cette liste comprend les VLAN configurs.
Options
Les options du rseau comprennent les paramtres du serveur DNS et de la dtection dchec dune passerelle. Plusieurs fonctions du FortiGate, notamment les emails dalertes et le blocage dURL, utilisent le DNS. Pour cela, spcifiez les adresses IP des serveurs DNS auxquels le botier FortiGate doit se connecter. Ces adresses IP sont gnralement fournies par votre FAI (Fournisseur dAccs Internet). Les modles FortiGate 100 et moins peuvent tre configurs pour obtenir des adresses de serveur DNS automatiquement. Pour ce faire, au moins une des interfaces doit utiliser le mode dadressage DHCP ou PPPoE. Voir Configuration DHCP dune interface la page 69. Voir Configuration PPPoE dune interface la page 70. Les modles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs interfaces. Les htes du rseau attach utilisent ladresse IP de linterface comme leur serveur DNS. Les requtes DNS envoyes linterface sont transmises aux adresses du serveur DNS configures ou fournies automatiquement au botier FortiGate.
Dtection de lchec dune passerelle

Lactivation de loption de dtection de lchec dune passerelle entrane un lancement rgulier dune commande ping pour confirmer la connectivit. En gnral, le serveur ping est le routeur du prochain saut avant le rseau externe ou lInternet. La priode de ping (Detection Interval) et le nombre de tentatives de ping chous, indicateur de la perte dune connexion, sont dfinis dans Systme > Rseau > Options. Pour appliquer la dtection de lchec dune passerelle une interface, vous devez lui configurer un serveur ping.
76
Ajouter un serveur ping une interface 1 2 3 4 5 Slectionnez Systme > Rseau > Interface. Choisissez une interface et cliquez sur Editer. Affectez au Serveur Ping ladresse IP du routeur du prochain saut sur le rseau connect linterface. Cochez la case Activer. Cliquez sur OK pour enregistrer les changements.
Configuration des Options du Rseau

Dans Systme > Rseau > Options, vous pouvez configurer les paramtres des serveurs DNS et de la dtection de lchec dune passerelle.
Illustration 26 : Options de la mise en rseau pour les modles 200 et plus.
Illustration 27 : Options de la mise en rseau pour les modles 100 et moins
Obtenir dynamiquement les adresses des serveurs DNS
Cette option est uniquement disponible sur les modles 100 et moins. Lorsque le service DHCP est utilis par une interface, il permet galement dobtenir ladresse IP dun serveur DNS. Ceci est uniquement valable en mode NAT/Route. Il est conseill dactiver Remplacer le serveur DNS prconfigur dans les paramtres DHCP de linterface. Voir Configuration DHCP dune interface la page 69.
77
Utiliser les adresses du serveur DNS suivantes
Cette option est uniquement disponible sur les modles 100 et moins. Utilisez les adresses des serveurs DNS primaire et secondaire spcifies.
Serveur DNS primaire Serveur DNS secondaire Local Domain Name Activer le DNS forwarding sur les interfaces :
Entrez ladresse IP du serveur DNS primaire. Entrez ladresse IP du serveur DNS secondaire. Entrez le nom de domaine ajouter aux adresses sans portion de domaine lors des recherches DNS. Cette option est uniquement disponible sur les modles 100 et moins en mode NAT/Route. Slectionnez les interfaces qui transfrent les requtes DNS reues vers les serveurs DNS configurs.
Dtection de lchec dune passerelle
Cette option permet la confirmation de la connectivit grce lutilisation dun serveur ping ajout la configuration dune interface. Pour toute information propos de lajout dun serveur ping une interface, voir Ajouter un serveur ping une interface la page 77. Entrez lintervalle de temps souhait (en secondes) entre chaque lancement dun ping vers sa cible. Entrez le nombre dchec de tentatives de ping partir duquel le botier FortiGate considra que la passerelle nest plus en fonction.
Detection Interval Fail Over Detection
Table de Routage (en mode Transparent)

En mode Transparent, slectionnez Systme > Rseau >Table de Routage pour ajouter des routes statiques du botier FortiGate aux routeurs locaux.
Illustration 28 : Table de Routage
Crer Nouveau # IP Masque Passerelle Distance Icne Supprimer Icnes Visualiser/Editer Icne Dplacer
Permet de crer une nouvelle route. Le numro de la route. Ladresse IP de destination de cette route. Le masque de rseau de cette route. Ladresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. La prfrence relative de cette route. La route prfre porte le n1. Supprime une route. Edite ou visualise une route. Modifie la position de la route dans la liste.
Paramtres dune route en mode Transparent

Dans Systme > Rseau > Table de Routage, slectionnez Crer Nouveau pour ajouter une route. Licne Editer dune route permet de lui apporter des modifications.
Illustration 29 : Options de la route en mode Transparent
Adresse IP destination /Masque Passerelle
Entrez ladresse IP de destination et le masque de rseau de cette route. Pour crer une route par dfaut, configurez lIP de destination et le Masque sur 0.0.0.0. Entrez ladresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. Pour une connexion Internet, la passerelle de routage du prochain saut dirige le trafic vers Internet. La prfrence relative de cette route. La route prfre
Distance
porte le n1.
Configuration de linterface modem

Sur les modles FortiGate fournis avec un support modem, celui-ci peut servir soit dinterface redondante (back up), soit dinterface autonome (stand alone) en mode NAT/Route. En mode redondant (back up), linterface modem prend automatiquement le relais dune interface Ethernet lorsque celle-ci est indisponible. En mode autonome (stand alone), linterface modem sert de connexion entre le botier FortiGate et Internet.
Dans les deux modes, lorsque le modem se connecte un FAI, il peut automatiquement composer trois comptes tlphoniques jusqu ce que la connexion soit tablie. Les modles FortiGate 50AM et 60M sont conus avec un modem intgr. Il est ds lors possible de configurer des oprations modem partir de linterface dadministration web. Voir Configuration des paramtres du modem . Les modles FortiGate 50A et 60 peuvent se connecter un modem extrieur via un convertisseur USB vers srie. Ces modles demandent une configuration des oprations modem partir de linterface de ligne de commande. Voir la commande system modem dans le FortiGate CLI Reference.
Remarque : Ne pas confondre linterface modem avec le port AUX, utilis pour des connexions distance vers la console il na pas dinterface associe. Le port AUX est uniquement disponible sur les modles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus dinformations, voir la commande config system aux dans le FortiGate CLI Reference.
Configuration des paramtres du modem

La configuration des paramtres du modem permet au botier FortiGate dutiliser le modem pour se connecter aux comptes tlphoniques du FAI. Vous pouvez configurer jusqu trois comptes tlphoniques, slectionner le mode stand alone ou redondant et dterminer les modalits de connexion et dconnexion du modem.
Vous ne pouvez configurer et utiliser le modem quen mode NAT/Route.

Illustration 30 : Paramtres du modem ( mode Stand alone)
Illustration 31 : Paramtres du modem (mode Redondant)
Activer le modem USB Etat du modem
Cochez cette case pour activer le modem FortiGate. Les diffrents statuts du modem sont : inactif , en cours de connexion , connect , en cours de dconnexion ou dconnect (pour le mode Stand alone uniquement). (Pour le mode Stand alone uniquement.) Slectionnez Appeler pour vous connecter manuellement un compte tlphonique. Lorsque le modem est connect, slectionnez Raccrocher pour dconnecter le modem manuellement. Slectionnez le mode dsir : Standalone ou Redondant. En mode stand alone, le modem est une interface autonome. En mode Redondant, le modem est un outil de sauvegarde, un actif en secours dune interface Ethernet slectionne.
Appeler/Raccrocher
Mode
80
Connexion automatique
(Pour le mode Stand alone uniquement). Appelle le modem automatiquement si la connexion est perdue ou si le botier FortiGate redmarre. Cette option nest pas compatible avec loption Connexion la demande . (Pour le mode Redondant uniquement). Slectionnez linterface Ethernet pour laquelle le modem assure le service de secours. (Pour le mode Stand alone uniquement). Appelle le modem lorsque les paquets sont dirigs vers linterface modem. Le modem se dconnecte aprs une priode dinactivit dfinie dans Timeout dinactivit. Cette option nest pas compatible avec loption Connexion automatique. (Pour le mode Stand alone uniquement). Dfinissez le laps de temps pass (1-60 minutes) avant quune connexion modem inactive soit dconnecte. (Pour le mode Redondant uniquement). Etablissez le laps de temps pass (1-60 secondes) avant que le botier FortiGate repasse de linterface modem linterface initiale, une fois la connexion de celle-ci restaure. Par dfaut ce laps de temps est de 1 seconde. Dterminez un temps plus long dans le cas o le botier FortiGate passe trop frquemment dune interface lautre. Slectionnez le nombre de fois (1 10) que le modem du botier FortiGate doit tenter de se reconnecter au FAI en cas dchec de connexion. Par dfaut, le nombre dessais est de 1. Slectionnez None pour ne pas limiter le nombre de tentatives dappel. Configurez jusqu trois comptes tlphoniques. Le botier FortiGate tente de se connecter chaque compte alternativement jusqu ce que la connexion soit tablie. Entrez le numro de tlphone requis pour la connexion au compte tlphonique. Ne pas inclure despace dans les numros de tlphone. Assurez-vous cependant dinclure les caractres standard pour les pauses, prfixes de pays et autres fonctions requises par votre modem pour vous connecter au compte tlphonique. Le compte utilisateur (maximum 63 caractres) envoy au FAI. Le mot de passe envoy au FAI.
Actif en secours de
Connexion la demande
Timeout dinactivit
Temps dattente
Nombre dessais
Compte tlphonique
Numro de Tlphone
Compte utilisateur Mot de passe
Pour configurer le modem en mode Redondant, voir Configuration du mode Redondant la page 81. Pour configurer le modem en mode Standalone, voir Configuration du mode Stand alone la page 82.
Configuration du mode Redondant

Linterface modem en mode redondant sert dactif en secours dune interface Ethernet slectionne. Si cette dernire se dconnecte de son rseau, le modem se connecte automatiquement au(x) compte(s) tlphonique(s) pr-configur(s). Le botier FortiGate chemine alors les paquets IP normalement destins linterface Ethernet vers linterface modem. Lorsque le botier FortiGate dtecte que linterface Ethernet sest reconnecte au rseau, il dconnecte linterface modem et repasse sur linterface Ethernet.
81
Afin de permettre au botier FortiGate de passer de linterface Ethernet au modem, il est ncessaire, lors de la configuration du modem, de slectionner cette interface et de lui configurer un serveur ping. De plus, il est important de configurer des rgles pare-feu pour les connexions entre linterface modem et les autres interfaces du botier FortiGate.
Remarque : Ne pas ajouter de rgles pour les connexions entre linterface modem et linterface secourue par le modem.
Configurer un mode redondant 1 2 3 Slectionnez Systme > Rseau > Modem. Slectionnez Mode Redondant. Entrez les informations suivantes :
Mode Actif en secours de Temps dattente Redondant Slectionnez dans la liste linterface secourir. Entrez le laps de temps pass (1-60 secondes) avant que le botier FortiGate repasse de linterface modem linterface initiale, une fois la connexion de celle-ci restaure. Entrez le nombre maximum de tentatives de connexion dans le cas o le FAI ne rpond pas. Entrez le numro de tlphone de votre FAI ainsi que vos comptes utilisateurs et mots de passe pour les comptes tlphoniques dsirs (entre 1 et 3).
Nombre dessais Compte tlphonique 1 Compte tlphonique 2 Compte tlphonique 3
4 5 6
Cliquez sur Appliquer. Configurez un serveur ping pour linterface Ethernet que le modem doit secourir. Voir Ajouter un serveur ping une interface la page 77. Configurez des rgles pare-feu pour les connexions de linterface modem. Voir Ajout de rgles pare-feu pour les connexions modem la page 83.
Configuration du mode stand alone

En mode stand alone, le modem se connecte au compte tlphonique pour fournir une connexion Internet. Vous pouvez configurer le modem pour quil se connecte chaque dmarrage du FortiGate ou lors de la prsence de paquets non chemins. Il est galement possible dappeler ou de raccrocher le modem manuellement. Si la connexion aux comptes tlphoniques choue, le botier FortiGate rappelle le modem. Le modem recompose alors automatiquement le numro du FAI, et ce, autant de fois que spcifi dans la configuration ou jusqu ce que la connexion soit tablie. Il est primordial de configurer des rgles pare-feu pour les connexions entre linterface modem et les autres interfaces du botier FortiGate. Oprer en mode stand alone 1 2 Slectionnez Systme > Rseau > Modem. Entrez les informations suivantes :
Mode Standalone
82
Connexion automatique Connexion la demande
Slectionnez cette option pour que le modem se connecte au FAI chaque dmarrage du FortiGate. Slectionnez cette option pour que le modem se connecte au FAI lors de la prsence de paquets non chemins. Entrez la dure dinactivit en minutes aprs laquelle le modem se dconnecte. Entrez le nombre maximum de tentatives de connexion dans le cas o le FAI ne rpond pas. Entrez le numro de tlphone de votre FAI ainsi que vos comptes utilisateurs et mots de passe pour les comptes tlphoniques dsirs (entre 1 et 3).
Timeout dinactivit Nombre dessais Compte tlphonique 1 Compte tlphonique 2 Compte tlphonique 3
3 4
Cliquez sur Appliquer. Configurez des rgles pare-feu pour les connexions de linterface modem. Voir Ajout de rgles pare-feu pour les connexions modem la page 83.
Ajout de rgles pare-feu pour les connexions modem

Linterface modem ncessite des adresses et des rgles pare-feu. Vous pouvez ajouter une ou plusieurs adresses pare-feu linterface modem. Pour plus dinformations sur lajout dadresses, voir Ajouter une adresse IP, une plage IP ou un FQDN la page 247. Lorsque de nouvelles adresses sont ajoutes, linterface modem apparat sur la matrice des rgles. Vous pouvez configurer des rgles pare-feu pour contrler le flot de paquets circulant entre linterface modem et les autres interfaces FortiGate. Pour plus dinformations propos de lajout de rgles pare-feu, voir Ajout dune rgle parefeu la page 231.
Connexion et dconnexion du modem

Le modem doit tre en mode stand alone. Se connecter un compte tlphonique 1 2 3 4 5 Slectionnez Systme > Rseau > Modem. Slectionnez Activer le modem USB. Assurez-vous de lexactitude des comptes tlphoniques. Slectionnez Appliquer si vous avez apport des modifications la configuration. Slectionnez Appeler. Le botier FortiGate compose alors le numro de chaque compte tlphonique alternativement jusqu ce que le modem se connecte un FAI. Dconnecter le modem La procdure suivante permet de dconnecter le modem dun compte tlphonique. 1 2 Slectionnez Systme > Rseau > Modem. Slectionnez Raccrocher pour vous dconnecter du compte tlphonique.
83
Vrification du statut du modem

Le statut de la connexion du modem ainsi que le compte tlphonique activ sont visible dans Systme > Rseau > Modem. Lors de la connexion entre le modem et le FAI, ladresse IP et le masque de rseau sont visibles galement. Le modem peut avoir un des statuts suivants : Inactif En cours de connexion Connect En cours de dconnexion Dconnect Le modem nest pas connect au FAI. Le modem tente de se connecter au FAI. Le modem est connect au FAI. Le modem se dconnecte du FAI. Le modem sest dconnect du FAI. (En mode stand alone uniquement). Le modem ne se reconnectera que lorsque vous cliquerez sur Appeler.
Un indicateur vert dsigne le compte tlphonique activ. Ladresse IP et le masque de rseau affects linterface modem apparaissent sur la page Systme > Rseau > Interface de linterface dadministration web.
Aperu sur les VLAN

Un VLAN est un groupe de PC, serveurs et autres quipements dun rseau qui communiquent comme sils faisaient partie dun mme segment LAN, alors que ce nest pas forcment le cas. Par exemple, les stations de travail et serveurs dun dpartement de comptabilit peuvent tre disperss dans un btiment, connects plusieurs segments du rseau et quand bien mme faire partie dun mme VLAN. Dans un VLAN les quipements sont segments logiquement et non pas physiquement. Chaque VLAN est trait comme un domaine de diffusion. Les quipements du VLAN 1 peuvent se connecter avec dautres quipements du VLAN 1, mais ne peuvent pas se connecter avec des quipements dautres VLAN. La communication entre les quipements dun VLAN ne dpend pas du rseau physique. Un VLAN distingue les quipements en ajoutant des balises VLAN 802.1Q tous les paquets reus et envoys par ces quipements. Ces balises sont des extensions de 4 octets comprenant un identificateur VLAN ainsi que dautres informations. Les VLAN offrent une grande flexibilit, une segmentation efficace du rseau, permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de la localisation physique.
84
Illustration 32 : Topologie VLAN de base
Equipements FortiGate et VLAN

Dans une configuration VLAN classique, des balises VLAN sont ajoutes aux paquets par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore des pare-feu. Les commutateurs niveau 2 grent les paquets cheminant entre des machines dun mme VLAN, tandis que les paquets cheminant entre des machines de VLAN diffrents sont pris en charge par des quipements niveau 3 tels que routeur, pare-feu ou commutateur niveau 3. Grce lutilisation dun VLAN, un seul botier FortiGate fournit des services de scurit et des connexions sous contrle entre de multiples domaines scuriss. Le trafic provenant de chaque domaine scuris reoit un identificateur VLAN diffrent. Le botier FortiGate reconnat les identificateurs VLAN et applique les rgles de scurit pour protger les rseaux et le trafic VPN IPSec entre les domaines scuriss. Le botier FortiGate appliquent galement les fonctionnalits dauthentification, de profils de protection et autres rgles pare-feu sur le trafic du rseau et le trafic VPN autoris circuler entre les domaines scuriss.
VLAN en mode NAT/Route

En mode rout, le botier FortiGate opre comme un quipement niveau 3 pour contrler le flot de paquets entre les VLAN. Le botier FortiGate peut galement retirer les balises VLAN des paquets VLAN entrants et transfrer les paquets non baliss vers dautres rseaux, comme Internet. En mode rout, le botier FortiGate supporte les VLAN pour la construction de tronons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le botier FortiGate. Normalement linterface interne du botier FortiGate se connecte
85
un tronon VLAN sur un commutateur interne, tandis que linterface externe se connecte en amont vers un routeur Internet non balis. Le botier FortiGate peut alors appliquer diffrentes rgles pour les trafics sur chaque VLAN connect linterface interne. A partir de cette configuration, vous pouvez ajouter linterface interne du botier FortiGate des sous-interfaces VLAN qui possdent les identificateurs VLAN correspondants aux identificateurs des paquets du tronon VLAN. Le botier FortiGate dirige alors les paquets avec les identificateurs VLAN vers les sousinterfaces avec les identificateurs correspondants. Vous pouvez galement dfinir des sous-interfaces VLAN sur toutes les interfaces du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant une sous-interface VLAN ou peut retirer des balises des paquets entrants et ajouter une balise diffrente aux paquets sortants.
Consignes sur les identificateurs VLAN

En mode NAT/Route, deux sous-interfaces VLAN ajoutes la mme interface physique ne peuvent pas avoir le mme identificateur VLAN. Cependant, deux ou plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent tre ajoutes diffrentes interfaces physiques. Il ny a pas de connexion interne ou de lien entre deux sous-interfaces VLAN avec le mme identificateur. Leur relation est la mme que la relation entre nimporte quelles deux autres interfaces rseaux FortiGate.
Consignes sur les adresses IP VLAN

Les adresses IP de toutes les interfaces doivent se trouver sur diffrents sousrseaux, elles ne peuvent pas se chevaucher. Cette rgle sapplique aussi bien aux interfaces physiques quaux sous-interfaces VLAN.
Remarque : Sil vous est impossible de modifier vos configurations existantes et dempcher un chevauchement dadresses IP, entrez les commandes CLI config system global et set allow-interface-subnet-overlap enable pour permettre un chevauchement dadresses IP. En entrant cette commande, vous permettez plusieurs interfaces VLAN davoir une adresse IP qui fait dj partie dun sous-rseau utilis par une autre interface. Cette commande nest recommande quaux utilisateurs avancs.
Lillustration 33 reprsente une configuration VLAN simplifie en mode NAT/Route. Dans cet exemple, linterface interne du FortiGate se connecte un commutateur VLAN via un tronon 802.1Q et est configure avec deux sous-interfaces VLAN (VLAN 100 et VLAN 200). Linterface externe se connecte Internet et nest pas configure avec des sous-interfaces VLAN. Lorsque le commutateur VLAN reoit des paquets de VLAN 100 et VLAN 200, il leurs applique des balises VLAN et les transfre vers les ports locaux et travers le tronon vers le botier FortiGate. Des rgles sont configures dans le botier FortiGate pour permettre aux trafics de circuler entre les VLAN et partir des VLAN vers le rseau externe.
86
Illustration 33 : FortiGate en mode NAT/Route
Ajout de sous-interfaces VLAN

Lidentificateur VLAN de chaque sous-interface VLAN doit correspondre lidentificateur VLAN ajout par le routeur IEEE 802.1Q-compliant. Lidentificateur VLAN peut tre nimporte quel nombre entre 1 et 4096. Chaque sous-interface VLAN doit galement tre configure avec ses propres adresse IP et masque de rseau.
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.
Il est ncessaire dajouter des sous-interfaces VLAN linterface physique qui reoit les paquets baliss VLAN. Ajouter une sous-interface VLAN en mode NAT/Route 1 2 3 4 5 6 Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau pour ajouter une sous-interface VLAN. Entrez un nom pour identifier cette nouvelle sous-interface. Slectionnez linterface physique qui doit recevoir les paquets VLAN lattention de cette sous-interface VLAN. Entrez lidentificateur (ID) qui correspond lidentificateur des paquets recevoir par cette sous-interface VLAN. Ladministrateur admin devra slectionner le domaine virtuel auquel cette sousinterface VLAN devra tre ajoute. Les autres administrateurs ne peuvent crer des sous-interfaces VLAN que dans leur VDOM. Voir Utilisation de domaines virtuels la page 40 pour plus dinformations sur les domaines virtuels.
87
7 8
Configurez les paramtres de la sous-interface VLAN tel que pour les autres interfaces FortiGate. Voir Paramtres de linterface la page 63. Cliquez sur OK pour enregistrer les changements. Le botier FortiGate ajoute la nouvelle sous-interface VLAN cre linterface choisie au point 4. Ajouter des rgles pare-feu aux sous-interfaces VLAN Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de leur appliquer des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou dune sous-interface vers une interface physique.
1 2
Slectionnez Pare-Feu > Adresse. Cliquez sur Crer Nouveau pour crer des adresses pare-feu qui correspondent aux adresses IP source et de destination des paquets VLAN. Voir A propos des adresses pare-feu la page 245. Slectionnez Pare-Feu > Rgle. Crer ou ajouter des rgles pare-feu tel que requis.
3 4
VLAN en mode Transparent

En mode Transparent, le botier FortiGate peut appliquer des rgles pare-feu et des services tels que lauthentification, les profils de protection et autres fonctions pare-feu au trafic dun tronon VLAN IEEE 802.1. Le botier FortiGate peut tre insr en mode Transparent dans le tronon sans quil soit ncessaire dapporter des modifications au rseau. Dans une configuration classique, linterface interne du FortiGate accepte les paquets VLAN sur un tronon VLAN provenant dun commutateur VLAN ou dun routeur connect des VLAN internes. Linterface externe du FortiGate transfre les paquets baliss par le tronon jusqu un commutateur VLAN externe ou un routeur connect ventuellement Internet. Le botier FortiGate peut tre configur pour appliquer diffrentes rgles au trafic pour chaque VLAN du tronon. Il faut ajouter une sous-interface VLAN linterface interne et une autre linterface externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du FortiGate. Dans le cas o ces sous-interfaces VLAN ont les mmes identificateurs, le botier FortiGate applique des rgles pare-feu au trafic de ce VLAN. Dans le cas o par contre les sous-interfaces VLAN ont des identificateurs diffrents, ou si plus de deux sous-interfaces sont ajoutes, vous pouvez galement crer des rgles pare-feu qui contrlent les connexions entre les VLAN. Un botier FortiGate oprant en mode Transparent peut scuriser le trafic du rseau passant entre les diffrents VLAN si ce rseau utilise des balises VLAN IEEE 802.1 pour segmenter son trafic. Il est ncessaire dajouter des domaines virtuels la configuration du FortiGate pour lui permettre de supporter le trafic VLAN en mode Transparent. Un domaine virtuel se compose dau moins deux sous-interfaces ou zones. Au sein dun domaine virtuel, une zone peut contenir une ou plusieurs sous-interfaces VLAN. Lorsquun botier FortiGate reoit un paquet balis VLAN sur lune de ses interfaces, ce paquet est dirig vers la sous-interface VLAN possdant lidentificateur VLAN correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination au paquet en fonction de son adresse MAC de destination. Les rgles pare-feu des sous-interfaces VLAN source et de destination
sappliquent au paquet. Si celui-ci est accept par le pare-feu, le botier FortiGate le transfre vers la sous-interface VLAN de destination. Lidentificateur du VLAN de destination est ajout au paquet par le botier FortiGate et il est envoy au tronon VLAN.
Illustration 34 : Equipement FortiGate avec deux domaines virtuels en mode Transparent
Lillustration 35 reprsente un quipement FortiGate oprant en mode Transparent et configur avec trois sous-interfaces VLAN. Dans cette configuration un quipement FortiGate peut tre ajout ce rseau pour fournir chaque VLAN une analyse antivirus, un filtrage de contenu web ainsi que des services supplmentaires.
Illustration 35 : Equipement FortiGate en mode Transparent
89
Consignes sur les identificateurs VLAN

En mode Transparent, deux sous-interfaces VLAN ajoutes la mme interface physique ne peuvent pas avoir le mme identificateur VLAN. Cependant, deux ou plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent tre ajoutes diffrentes interfaces physiques. Il ny a pas de connexion interne ou de lien entre deux sous-interfaces VLAN avec le mme identificateur. Leur relation est identique une relation entre deux autres interfaces rseaux FortiGate.
Domaines virtuels et VLAN en mode Transparent

Les sous-interfaces VLAN sont ajoutes et associes des domaines virtuels. La configuration par dfaut du botier FortiGate prvoit un domaine virtuel, appel root, auquel peuvent tre ajoutes autant de sous-interfaces VLAN ncessaires. Des domaines virtuels supplmentaires peuvent tre crs si vous dsirez sparer des groupes de sous-interfaces VLAN en domaines virtuels. Pour plus dinformations sur lajout et la configuration de domaines virtuels, voir Utilisation de domaines virtuels la page 40. Ajouter une sous-interface VLAN en mode Transparent Lidentificateur VLAN de chaque sous-interface VLAN doit correspondre lidentificateur ajout par le commutateur ou routeur IEEE 802.1Q-compliant. Lidentificateur VLAN peut tre nimporte quel nombre entre 1 et 4096. Il est ncessaire dajouter des sous-interfaces VLAN linterface physique recevant les paquets baliss VLAN.
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.
1 2 3 4 5 6
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau pour ajouter une sous-interface VLAN. Entrez un nom pour identifier cette nouvelle sous-interface. Slectionnez linterface physique qui doit recevoir les paquets VLAN lattention de cette sous-interface VLAN. Entrez lidentificateur correspondant lidentificateur des paquets recevoir par cette sous-interface VLAN. Slectionnez les domaines virtuels ajouter cette sous-interface VLAN. Voir Utilisation de domaines virtuels la page 40 pour plus dinformations sur les domaines virtuels. Configurez laccs administratif et les paramtres log tels que pour les autres interfaces FortiGate. Voir Paramtres de linterface la page 63 pour une description de ces paramtres. Cliquez sur OK pour enregistrer les changements. Le botier FortiGate ajoute la nouvelle sous-interface VLAN cre linterface slectionne.
Slectionnez Activer pour dmarrer la sous-interface VLAN.
90
Ajouter des rgles pare-feu aux sous-interfaces VLAN Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de leurs appliquer des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou dune sous-interface vers une interface physique. 1 2 Slectionnez Pare-Feu > Adresse. Cliquez sur Crer Nouveau pour crer des adresses pare-feu correspondantes aux adresses IP source et de destination des paquets VLAN. Voir A propos des adresses pare-feu la page 245. Slectionnez Pare-Feu > Rgle. Crer ou ajouter des rgles pare-feu tel que requis.
3 4
Support FortiGate IPv6

Vous pouvez affecter la fois une adresse IPv4 et une adresse IPv6 chaque interface FortiGate. Linterface fonctionne comme deux interfaces, une pour les paquets adresss IPv4, lautre pour les paquets adresss IPv6. Les quipements FortiGate supportent le routage statique, les annonces de routage priodiques et lencapsulation du trafic IPv6 sur un rseau IPv4. Toutes ces fonctionnalits doivent tre configures partir de linterface de ligne de commande. Voir le FortiGate CLI Reference pour plus dinformations sur les commandes suivantes :
Tableau 2 : Commande CLI IPv6 Fonction Configuration des interfaces, y compris les annonces de routage priodiques Routage statique Encapsulation du trafic IPv6
Commande CLI config system interface Voir les mots-cls commenant par ip6. config ip6-prefix-list config router static6 config system ipv6_tunnel
91
Systme Sans Fil

Cette section parcourt la configuration des interfaces LAN sans fil des botiers FortiWiFi. Cette section couvre les sujets suivants : Interface LAN sans fil FortiWiFi Domaines rgulatoires Paramtres sans fil du systme (FortiWiFi-60) Paramtres sans fil du systme (FortiWiFi-60A et 60AM) Filtre MAC Surveillance du module sans fil
Interface LAN sans fil FortiWiFi

Vous pouvez configurer linterface sans fil FortiWiFi dans le but de : ou connecter le botier FortiWiFi un autre rseau sans fil (Mode Client). fournir un point daccs auquel les utilisateurs munis de cartes rseau sans fil peuvent se connecter (Mode Point dAccs).
Le mode Point dAccs est activ par dfaut. Les botiers FortiWiFi-60A et 60AM peuvent fournir de multiples WLAN. Les botiers FortiWiFi supportent les standard rseau sans fil suivants : IEEE 802.11a (Bande des 5-GHz) IEEE 802.11b (Bande des 2.4-GHz) IEEE 802.11g (Bande des 2.4-GHz) WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) utilisant des cls partages ou un serveur RADIUS (en mode Point dAccs uniquement).
Domaines rgulatoires
Les tableaux suivants reprennent les canaux et domaines rgulatoires pour les LAN sans fil.
Tableau 3 : Numros des canaux IEEE 802.11a (Bande des 5-GHz) Numro Frquence Domaines rgulatoires de (MHz) Amrique Europe Taiwan Singapour canal
Japon
34 36 38 40
92
5170 5180 5190 5200
X X
X X X X
X X
X X -
5210 X X 42 5220 X X X 44 5230 X X 46 5240 X X X 48 5260 X X X 52 5280 X X X 56 5300 X X X 60 5320 X X X 64 5745 149 5765 153 5785 157 5805 161 Tous les canaux sont limits un usage intrieur except pour les continents amricains, qui permettent un usage interne et externe des canaux 52 64 aux Etats-Unis.
Tableau 4 : Numros des canaux IEEE 802.11b (Bande des 2.4-GHz) Numro Frquence Domaines rgulatoires de canal (MHz) Amrique EMEA Isral
Japon
2412 X X X 1 2417 X X X 2 2422 X X X 3 2427 X X X X 4 2432 X X X X 5 2437 X X X X 6 2442 X X X X 7 2447 X X X X 8 2452 X X X X 9 2457 X X X X 10 2462 X X X 11 2467 X X 12 2472 X X 13 2484 X 14 Le Mexique est compris dans le domaine rgulatoire amricain. Les canaux 1 8 sont usage intrieur uniquement. Les canaux 9 11 sont usage intrieur et extrieur. Il est de la responsabilit de lutilisateur de sassurer que la configuration du canal sans fil est compatible avec la rglementation en vigueur au Mexique.
Tableau 5 : Numros des canaux IEEE 802.11g (Bande des 2.4-GHz) Numro Frquence Domaines rgulatoires de (MHz) Amrique EMEA Isral canal CC OFDM CCK OFDM CCK OFDM
K
Japon
CCK OFDM
1 2 3 4 5 6 7 8 9 10 11 12 13 14
2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 2467 2472 2484
X X X X X X X X X X X -
X X X X X X X X X X X -
X X X X X X X X X X X X X -
X X X X -
X X X X -
X X X X X X X X X X X X X X
93
Paramtres sans fil du systme (FortiWiFi-60)

Slectionnez Systme > Wireless > Paramtres pour configurer les paramtres dun LAN sans fil.
Illustration 36 : Configuration des paramtres Sans Fil
Adresse MAC Mode dOpration
Ladresse MAC de linterface Wireless. Le mode dopration en cours. Cliquez sur Changer pour le modifier. En mode Point dAccs, le FortiWiFi-60 agit comme un point daccs sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le botier est configur pour se connecter un autre rseau sans fil en tant que client. Slectionnez votre rgion pour dterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents amricains), EMEA (Europe, Moyen Orient, Afrique), Isral ou Japon. Pour toute autre rgion du monde, choisissez World. Slectionnez un canal pour votre rseau sans fil FortiWiFi-60. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour utiliser le mme canal. Le choix des canaux dpend de la rgion slectionne dans Gographie. Voir Domaines rgulatoires la page 92 pour toute information sur laffectation des canaux. Entrez le nom du rseau sans fil mis par le FortiWiFi-60. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour se connecter au rseau qui met ce nom de rseau. Slectionnez Activer pour que le FortiWiFi-60 mette son SSID. (En mode Point dAccs uniquement). Slectionnez WEP64 ou WEP128 pour une utilisation WEP. Slectionnez WPA Pre-shared Key ou WPA Radius pour une utilisation WPA (en mode Point dAccs uniquement). Les utilisateurs du rseau sans fil du FortiWiFi-60 doivent configurer leurs ordinateurs avec les mmes paramtres.
Gographie
Canal
SSID
94
Cl
Pour une cl WEP de 64 bits, entrez 10 symboles hexadcimaux (0-9 a-f). Pour une cl WEP de 128 bits, entrez 26 symboles hexadcimaux (0-9 a-f). Les utilisateurs du rseau sans fil doivent configurer leurs ordinateurs avec la mme cl. Pour le mode scuris WPA Pre-Shared Key, entrez la cl partage. Les utilisateurs de ce rseau sans fil doivent configurer leurs ordinateurs avec la mme cl. Pour le mode scuris WPA Radius, slectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit tre configur dans Utilisateur > RADIUS. Pour plus dinformations, voir Serveurs RADIUS la page 326. Cliquez sur Avancs pour ouvrir et fermer la section des paramtres avancs du Wireless. Les valeurs par dfaut fonctionnent trs bien dans la plupart des situations. Si ncessaire, modifiez les paramtres pour rsoudre des problmes de performance. Les paramtres avancs sont dcrits ci-dessous. (En mode Point dAccs uniquement). Dfinit le niveau de puissance de lmetteur. La valeur par dfaut est positionne sur la puissance maximum, 31 dBm. Dfinit lintervalle entre les paquets beacon. Les Points dAccs mettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les rseaux sans fil. Si de grandes interfrences sont prsentes, il est utile de diminuer le Beacon Interval pour amliorer la performance du rseau. Dans le cas contraire, vous pouvez augmenter cette valeur. Le seuil RTS (Request to Send) dtermine le temps dattente du botier pour la reconnaissance CTS (Clear to Send) dun autre quipement sans fil.
Pre-Shared Key
Radius Server Name
Avancs
Puissance Tx Beacon Interval
RTS Threshold
Fragmentation Threshold Dtermine la taille maximum dun paquet de donnes avant que celui-ci ne soit fragment en deux ou plusieurs paquets. La rduction de ce seuil amliore la performance dans des environnements soumis de hautes interfrences.
Paramtres sans fil du systme (FortiWiFi-60A et 60AM)

Slectionnez Systme > Wireless > Paramtres pour configurer les paramtres dun LAN sans fil.
Illustration 37 : Paramtres Sans Fil FortiWiFi-60A et FortiWiFi-60AM
Mode dOpration
Le mode dopration en cours. Cliquez sur Changer pour le modifier. En mode Point dAccs, le FortiWiFi agit comme un 95
point daccs sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le botier est configur pour se connecter un autre rseau sans fil en tant que client. Gographie Slectionnez votre rgion pour dterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents amricains), EMEA (Europe, Moyen Orient, Afrique), Isral ou Japon. Pour toute autre rgion du monde, choisissez World. Slectionnez un canal pour votre rseau sans fil FortiWiFi. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour utiliser le mme canal. Le choix des canaux dpend de la rgion slectionne dans Gographie. Voir Domaines rgulatoires la page 92 pour toute information sur laffectation des canaux. Dfinit le niveau de puissance de lmetteur. La valeur par dfaut est positionne sur la puissance maximum, 31 dBm. Dfinit lintervalle entre les paquets beacon. Les Points dAccs mettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les rseaux sans fil. Si de grandes interfrences sont prsentes, il est utile de diminuer le Beacon Interval pour amliorer la performance du rseau. Dans le cas contraire, vous pouvez augmenter cette valeur.
Canal
Puissance Tx Beacon Interval
Liste des Interfaces Wireless Interface Adresse MAC SSID Le nom de linterface WLAN. Slectionnez le nom pour diter linterface. Ladresse MAC de linterface Wireless. Entrez le nom du rseau sans fil mis par le FortiWiFi. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour se connecter au rseau qui met ce nom de rseau. Un signal vert indique que le FortiWiFi met son SSID. (En mode Point dAccs uniquement). WEP64, WEP128, WPA Pre-shared Key, WPA Radius ou none. Lutilisation WPA est disponible en mode Point dAccs uniquement. Les utilisateurs du rseau sans fil doivent configurer leurs ordinateurs avec les mmes paramtres.
Filtrage des MAC

Slectionnez Systme > Wireless > Filtre MAC pour autoriser ou rejeter laccs sans fil aux utilisateurs en fonction de leur adresse MAC.
96
Illustration 38 : Filtre MAC
Filtrage des MAC Accs des PCs non lists ci-dessous Adresses MAC Autoriser ou Rejeter Ajouter Liste dAutorisation Liste de Rejet Les boutons Flches Supprimer (sous la Liste dAutorisation) Supprimer (sous la Liste de Rejet)
Pour activer le filtrage, cochez la case Activer. Permet dautoriser ou de rejeter laccs aux adresses MAC non rpertories. Entrez ladresse MAC filtrer. Permet dautoriser ou de rejeter laccs cette adresse MAC. Ajoute ladresse MAC dans la Liste dAutorisation ou dans la Liste de Rejet en fonction du choix mis. Liste des adresses MAC autorises accder au rseau sans fil. Liste des adresses MAC rejetes de laccs au rseau sans fil. Dplace une adresse MAC dune liste lautre. Supprime les adresses MAC slectionnes de la Liste dAutorisation. Supprime les adresses MAC slectionnes de la Liste de Rejet.
Surveillance du module sans fil

Slectionnez Systme > Wireless > Monitor pour voir qui est connect votre LAN sans fil. Cette fonctionnalit est seulement disponible en mode de scurit WPA.
Illustration 39 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60)
97
Illustration 40 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60A et 60AM)
Statistiques
Informations statistiques sur les performances sans fil pour chaque WLAN. Uniquement disponible sur les FortiWiFi-60A et FortiWiFi-60AM. Le SSID de linterface WLAN. Lintensit du signal du client. Le niveau de bruit reu. Le ratio signal/bruit, exprim en dcibels, est calcul partir de lintensit du signal et du niveau de bruit. Le montant de donnes en KiloOctets reus pendant la session. Le montant de donnes en KiloOctets envoys pendant la session. Le nombre de clients connects au WLAN et des informations leur propos. Ladresse MAC du client sans fil connect. Ladresse IP affecte au client sans fil connect. Le nom du WLAN auquel le client est connect. Disponible uniquement sur les FortiWiFi-60A et FortiWiFi-60AM. LID du client connect utilisant le mode scuris WPA RADIUS. Ce champ reste blanc si le client utilise les modes scuriss WPA Pre-Shared Key ou WEP. Disponible uniquement sur le FortiWiFi-60.
AP Name Signal Strength (dBm) Noise (dBm) S/N (dB) Rx (KBytes) Tx (KBytes) Clients Adresse MAC Adresse IP AP Name
ID
98
Systme DHCP
Cette section dcrit lutilisation du protocole DHCP fournissant une configuration rseau automatique pratique pour vos clients. Cette section couvre les sujets suivants: Serveurs et relais FortiGate DHCP Configuration des services DHCP Visualisation des baux dadresses
Serveurs et relais DHCP FortiGate

Le protocole DHCP permet aux htes dobtenir automatiquement leur adresse IP. Eventuellement, ils peuvent aussi obtenir les paramtres de la passerelle par dfaut et du serveur DNS. Une interface FortiGate ou une sous-interface VLAN peut pourvoir les services DHCP suivants : Serveurs DHCP rguliers pour des connexions Ethernet rgulires Serveurs DHCP IPSec pour des connexions IPSec (VPN) Relais DHCP pour des connexions Ethernet rgulires ou IPSec (VPN)
Une interface ne peut pas fournir en mme temps un serveur et un relais pour des connexions du mme type (rgulier ou IPSec).
Remarque : Vous pouvez configurer un serveur DHCP rgulier sur une interface seulement si celle-ci possde une adresse IP statique. Vous pouvez configurer un serveur DHCP IPSec sur une interface qui possde une adresse IP statique ou dynamique.
Vous pouvez configurer un ou plusieurs serveurs DHCP sur nimporte quelle interface FortiGate. Un serveur DHCP affecte dynamiquement des adresses IP aux htes du rseau connects cette interface. Les ordinateurs htes doivent tre configurs de manire obtenir leurs adresses IP via DHCP. Dans le cas o une interface est connecte de multiples rseaux via des routeurs, vous pouvez ajouter un serveur DHCP pour chaque rseau. La plage dadresses IP pour chaque serveur DHCP doit correspondre la plage dadresses du rseau. Les routeurs doivent tre configurs pour les relais DHCP. Pour configurer un serveur DHCP, voir Configuration dun serveur DHCP la page 101. Vous pouvez configurer une interface FortiGate comme relais DHCP. Linterface transfre alors les requtes DHCP des clients DHCP vers un serveur externe DHCP, et renvoient ensuite les rponses aux clients. Le serveur DHCP doit avoir un routage appropri de manire ce que ses paquets-rponses aux clients DHCP arrivent au botier FortiGate. Pour en savoir plus sur la configuration dun relais DHCP, voir Configuration dune interface comme relais DHCP la page 101.
99
Configuration des services DHCP

Slectionnez Systme > DHCP > Service pour configurer les services DHCP. Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou dajouter autant de serveurs DHCP que ncessaire. Sur les modles FortiGate 50 et 60, un serveur DHCP est configur par dfaut sur linterface Interne, avec les paramtres suivants : Plage dadresses IP Masque de rseau Passerelle par dfaut Dure du bail Serveur DNS 1 192.168.1.110 192.168.1.210 255.255.255.0 192.168.1.99 7 jours 192.168.1.99
Vous pouvez dsactiver ou modifier cette configuration du serveur DHCP par dfaut. Ces paramtres sont appropris pour ladresse IP par dfaut 192.168.1.99 de linterface Interne. Si vous changez cette adresse vers un rseau diffrent, il faut galement modifier les paramtres du serveur DHCP pour que ceux-ci correspondent la nouvelle adresse.
Illustration 41 : Liste des services DHCP Exemple dun FortiGate-200A
Interface
Liste des interfaces FortiGate. Cliquez sur la flche bleue ct de chacune des interfaces pour visualiser les relais et serveurs. Nom dun serveur FortiGate DHCP ou adresse IP dun serveur DHCP accd via un relais. Type de relais ou serveur DHCP : Rgulier ou IPSec. Une icne V verte indique que le serveur ou relais est activ. Permet de configurer et dajouter un serveur DHCP sur cette interface. Permet dditer la configuration dun relais ou serveur DHCP. Permet de supprimer un serveur DHCP. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Nom du serveur/IP du relais Type Activer Icne dajout dun serveur DHCP Icne Editer Icne de Suppression 100
Configuration dune interface comme relais DHCP

Slectionnez Systme > DHCP > Service et cliquez sur licne Editer pour voir ou modifier la configuration du relais DHCP dune interface.
Illustration 42 : Editer les paramtres du relais DHCP
Nom de linterface Activer Type Regular IPSEC
Le nom de linterface slectionne. Active lagent relais DHCP sur cette interface. Slectionnez le type de service DHCP requis. Configurez linterface comme relais DHCP pour les ordinateurs du rseau connects cette interface. Configurez linterface comme relais DHCP seulement pour les clients distants VPN avec une connexion VPN IPSec cette interface. Entrez ladresse IP du serveur DHCP qui rpondra aux requtes DHCP des ordinateurs du rseau connects linterface.
Adresse IP du Serveur DHCP
Configuration dun serveur DHCP

Slectionnez Systme > DHCP > Service pour configurer un serveur DHCP sur une interface. Slectionnez licne en croix Ajouter un Serveur DHCP ct de linterface ou cliquez sur Editer ct dun serveur DHCP existant pour en modifier les paramtres.
101
Illustration 43 : Options du Serveur
Nom Activer Type
Entrez un nom pour le serveur DHCP. Active le serveur DHCP. Slectionnez Rgulier ou IPSEC. Il nest pas possible de configurer un serveur DHCP Rgulier sur une interface qui possde une adresse IP dynamique.
Plage IP Masque de rseau Routeur par dfaut Domaine Dure du Bail
Entrez le dbut et la fin de la plage dadresses IP que ce serveur DHCP affecte aux clients DHCP. Entrez le masque de rseau que le serveur DHCP affecte aux clients DHCP. Entrez ladresse IP de la passerelle par dfaut que le serveur DHCP affecte aux clients DHCP. Entrez le domaine que le serveur DHCP affecte aux clients DHCP. Slectionnez Illimite pour une dure de bail illimite ou entrez le temps, en jours, heures, minutes, aprs lequel un client DHCP devra demander au serveur DHCP de nouveaux paramtres. La dure du bail peut varier entre 5 minutes et 100 jours. Cliquez sur Avancs pour configurer les options avances. Entrez les adresses IP de 1 3 serveurs DNS que le serveur DHCP affecte aux clients DHCP.
Avancs Serveur DNS 1 Serveur DNS 2 Serveur DNS 3 Serveur WINS 1 102
Ajoutez les adresses IP dun ou deux serveurs WINS que le Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Serveur WINS 2 Option 1 Option 2 Option 3
serveur DHCP affecte aux clients DHCP. Entrez jusqu trois options personnalises DHCP qui peuvent tre envoyes par le serveur DHCP. Code est le code option DHCP compris entre 1 et 255. Loption est un chiffre pair hexadcimal et nest pas requis pour certains codes option. Pour plus dinformations dtailles propos des options DHCP, voir la RFC 2132, Options DHCP et BOOTP Vendor Extensions.
Exclure les plages IP Ajouter Permet dajouter une plage dadresses IP exclure. Vous pouvez ajouter jusqu 16 plages dadresses IP exclure, que le serveur DHCP naffectera donc pas aux clients DHCP. Les plages ne peuvent pas dpasser 65536 adresses IP. Entrez la premire adresse IP de la plage exclure. Entrez la dernire adresse IP de la plage exclure. Supprime la plage exclure.
Dbut de ladresse IP Fin de ladresse IP Icne de Suppression
Visualisation des baux dadresses

Slectionnez Systme > DHCP > Baux dadresses (Address Leases) pour visualiser les adresses IP que les serveurs DHCP ont affectes et les adresses MAC client correspondantes.
Illustration 44 : Liste des baux dadresses
Interface Ractualiser Adresse IP Adresse MAC Expiration du bail
Slectionnez linterface pour laquelle vous voulez voir la liste des baux. Slectionnez Rafrachir pour mettre jour la liste des baux dadresses. Ladresse IP affecte. Ladresse MAC de lquipement auquel ladresse IP est affecte. Date et heure dexpiration du bail DHCP.
Rservation dadresses IP pour clients spcifiques

Vous pouvez rserver une adresse IP pour un client spcifique identifi par ladresse MAC de lquipement du client et le type de connexion, Ethernet rgulier ou IPSec. Le serveur DHCP affecte toujours ladresse rserve ce client. Vous pouvez dfinir jusqu 50 adresses rserves. Utilisez la commande CLI system dhcp reserved-address. Pour plus dinformations, rfrez-vous au FortiGate CLI Reference.
103
Configuration du Systme
Cette section dcrit la configuration de plusieurs fonctionnalits non lies au rseau, telles que cluster HA, messages de remplacement personnaliss, timeouts et langue de linterface dadministration web. Cette section couvre les sujets suivants : Haute Disponibilit SNMP Messages de remplacement Mode de fonctionnement des VDOM et accs administratif
Les HA, SNMP et messages de remplacement font partie de la configuration globale du FortiGate. La modification du mode de fonctionnement sapplique indpendamment chaque VDOM.
Haute Disponibilit
Cette section fournit une description gnrale de la Haute Disponibilit FortiGate et du clustering virtuel HA FortiGate. Les options de configuration et quelques procdures de configuration et de maintenance de base de la Haute Disponibilit sont galement dtailles dans cette section.
Remarque : Pour vous informer sur la manire de configurer et doprer un cluster HA FortiGate, reportez-vous au Guide utilisateur des fonctions de haute disponibilit FortiGate et la Base de Connaissance de Fortinet.
Cette section couvre les sujets suivants : Aperu sur la Haute Disponibilit Protocole de Clustering FortiGate (FGCP) Modes HA (actif-actif et actif-passif) Compatibilit de la HA FortiGate avec DHCP et PPPoE Aperu sur le clustering virtuel Aperu sur le maillage intgral HA Configuration doptions HA (clustering virtuel inactiv) Configuration doptions HA pour clustering virtuel Options HA Liste des membres dun cluster Visualisation des statistiques HA Modification du nom dhte et de la priorit du membre subordonn Configuration dun cluster HA Configuration dun clustering virtuel
104
Administration dun cluster Dconnexion dun membre du cluster de son cluster Adresses MAC dun cluster virtuel Exemple de configuration dun clustering virtuel Administration de clusters virtuels Exemple de configuration en maillage intgral HA Maillage intgral HA pour un clustering virtuel HA et interfaces redondantes HA et interfaces agrges 802.3ad
Aperu sur la Haute Disponibilit

La Haute Disponibilit (HA) FortiGate offre une solution aux deux exigences les plus critiques des rseaux dentreprises : une fiabilit perfectionne et une performance croissante. La Haute Disponibilit FortiGate simplmente en configurant deux ou plusieurs quipements FortiGate afin quils oprent en un cluster HA. Pour le rseau, ce cluster HA saffiche comme un seul quipement FortiGate, traitant le trafic du rseau et fournissant les services de scurit tels que pare-feu, VPN, prvention contre les intrusions, analyse des virus, filtrage web et antispam.
Illustration 45 : Cluster HA compos de deux botiers FortiGate-3600
Au sein dun cluster, les quipements individuels FortiGate sont appels membres. Ces membres partagent les informations sur leur tat et configuration. Dans le cas dune dfaillance de lun des membres, les autres membres du cluster prennent en charge lactivit du membre en panne. Aprs la panne, le cluster continue de traiter le trafic rseau et de fournir les services FortiGate sans interruption du service.
105
Chaque cluster FortiGate est form dun membre primaire (aussi appel matre) et dun ou plusieurs membres subordonns (aussi appels esclave ou redondants). Le membre primaire contrle le fonctionnement du cluster. Les rles jous par les membres primaire et subordonn(s) dans le cluster dpendent du mode dans lequel le cluster opre. Voir Modes HA (actif-actif et actif-passif) la page 107. Lavantage quoffre le cluster de fournir continuellement un service pare-feu, mme dans le cas dune dfaillance, est appel la redondance. La redondance HA FortiGate signifie que votre rseau ne doit pas sappuyer sur un FortiGate pour continuer de fonctionner. Vous pouvez installer des membres additionnels et former un cluster HA. Les autres membres du cluster prendront le relais en cas de dfaillance dun des membres. Une deuxime fonctionnalit HA, appele lquilibrage de charge, sert augmenter les performances pare-feu. Un cluster de membres FortiGate peut augmenter la performance du rseau grce un partage de la charge que reprsentent le traitement du trafic et la fourniture des services de scurit. Le cluster saffiche sur le rseau comme un seul quipement, ce qui augmente ses performances sans apporter de modifications votre configuration rseau. Un clustering virtuel tend les fonctionnalits HA pour fournir une redondance et un quilibrage de charge pour chaque domaine virtuel activ dans le cadre dun cluster de FortiGate. Un cluster virtuel se compose dun cluster de deux membres FortiGate oprant avec des domaines virtuels. Le trafic sur diffrents domaines virtuels est rparti entre les membres du cluster.
Protocole de Clustering FortiGate (FGCP)

Fortinet ralise de la haute disponibilit grce ses ressources hardware redondantes et son Protocole de Clustering FortiGate (FGCP). Chaque membre FortiGate dun cluster HA applique les mmes rgles globales de scurit et partage les mmes paramtres de configuration. Vous pouvez totaliser jusqu 32 membres FortiGate dans un cluster HA. Tous les membres FortiGate dun cluster HA doivent tre du mme modle et fonctionner avec la mme version logicielle FortiOS. Les membres FortiGate dun cluster utilisent les interfaces Ethernet pour communiquer des informations sur la session du cluster, synchroniser la configuration et la table de routage du cluster et crer des rapports sur les statuts des membres individuels du cluster. On appelle ces interfaces Ethernet du cluster les interfaces de heartbeat, et les communications entre les membres du cluster le heartbeat HA. Grce ce dernier, les membres du cluster sont constamment en train de communiquer sur les statuts du HA pour assurer un bon fonctionnement du cluster. La Haute Disponibilit FortiGate et le FGCP supportent la rplication de lien, la rplication matrielle et la rplication du heartbeat HA.
Rplication de lien Si un des liens vers un membre FortiGate dun cluster HA choue, toutes les fonctions, connexions pare-feu 1 tablies et sessions VPN IPSec sont maintenues par les autres membres FortiGate du cluster HA. Pour plus dinformations sur lchec de lien, voir Surveillance des ports la page 116.
La Haute Disponibilit ne fournit pas de rplication de sessions pour les services PPPoE, DHCP, PPTP et P2TP.
Rplication matrielle
Si un des membres FortiGate dun cluster HA est dfaillant, toutes les fonctions, connexions pare-feu tablies et sessions VPN IPSec sont maintenues par les autres membres FortiGate du cluster HA. Vous pouvez configurer de multiples interfaces comme interfaces heartbeat HA. Si une interface heartbeat HA choue, le heartbeat HA est transfr vers une autre interface.
Rplication du heartbeat HA
Modes HA (actif-actif et actif-passif)

Les membres FortiGate peuvent tre configurs pour oprer en mode HA actif-actif (A-A) ou actif-passif (A-P). Les clusters actif-actif et actif-passif fonctionnent aussi bien en mode NAT/Route que Transparent. Un cluster HA actif-passif (A-P), aussi appel rplication HA, se compose dun membre primaire qui analyse le trafic et dun ou plusieurs membre(s) subordonn(s). Ces derniers sont connects au rseau et au membre primaire mais ne traitent pas le trafic. Lorsquun cluster opre en mode actif-passif , la mention (a-p) apparat sur les crans LCD de tous les membres (pour les modles qui en possdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary saffiche sur lcran LCD du membre primaire. Les membres subordonns affichent sur leur cran LCD la mention slave <priority_id> o <priority_id> est la place prioritaire du membre subordonn dans le cluster. Dans lexemple dun cluster compos de trois membres, les crans afficheront : primary (a-p) slave 1 (a-p) slave 2 (a-p)
Le mode HA actif-actif (A-A) quilibre la charge du traitement du trafic vers tous les membres du cluster. Un cluster HA actif-actif se compose dun membre primaire et dun ou plusieurs membre(s) subordonn(s) qui traitent ensemble tout le trafic. Le membre primaire utilise un algorithme dquilibrage de charge pour distribuer le traitement tous les membres du cluster. Par dfaut un cluster actif-actif HA FortiGate quilibre la charge des sessions danalyse des virus entre tous les membres du cluster. Tous les autres trafics sont traits par le membre primaire. Vous pouvez configurer un cluster pour quil quilibre la charge du trafic TCP et lanalyse de virus parmi tous les membres et ce, laide de linterface de ligne de commande. Lorsquun cluster opre en mode actif-actif, la mention (a-a) apparat sur les crans LCD de tous les membres (pour les modles qui en possdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary saffiche sur lcran LCD du membre primaire. Les membres subordonns affichent sur leur cran LCD la mention slave <priority_id> o <priority_id> est la place prioritaire du membre subordonn dans le cluster. Dans lexemple dun cluster compos de trois membres, les crans afficheront : primary (a-a) slave 1 (a-a)
107
slave 2 (a-a)
Pour plus dinformations sur le FGCP reportez-vous au Guide utilisateur des fonctions de haute disponibilit FortiGate et la Base de Connaissance de Fortinet.
Compatibilit de la HA FortiGate avec DHCP et PPPoE

La Haute Disponibilit FortiGate nest pas compatible avec les protocoles PPP tels que DHCP ou PPPoE. Si une ou plusieurs interfaces de lquipement FortiGate sont configures dynamiquement avec DHCP ou PPPoE, vous ne pouvez pas passer en mode HA. Par ailleurs, si vous oprez votre cluster HA FortiGate, vous ne pouvez pas modifier une interface du cluster pour la configurer dynamiquement avec DHCP ou PPPoE. La configuration dune interface comme serveur DHCP ou relais DHCP nest pas affecte par une opration HA. Pour toute information sur les serveurs et relais DHCP, voir Systme DHCP la page 99. PPTP et L2TP sont supports en mode HA. Vous pouvez configurer les paramtres PPTP et L2TP et ajouter des rgles pare-feu pour permettre le passage de PPTP et L2TP. Cependant, lors dune rplication HA, toutes les sessions actives PPTP et L2TP sont perdues et doivent tre redmarres aprs la rplication.
Aperu sur le clustering virtuel

Si des domaines virtuels sont activs dans le cadre dun cluster, la HA FortiGate opre via un clustering virtuel. Le clustering virtuel est une extension du FGCP pour les membres FortiGate oprant avec des domaines virtuels. Un clustering virtuel fonctionne en mode actif-passif pour fournir une protection sous la forme dune redondance entre deux instances dun domaine virtuel oprant sur deux membres diffrents du cluster. Distribuer le traitement de domaines virtuels entre deux membres du cluster permet galement de configurer le clustering virtuel pour fournir un quilibrage de charge entre les membres du cluster.
Clustering virtuel et relais

Le clustering virtuel opre sur deux (et seulement deux) FortiGate avec des domaines virtuels activs. Chaque domaine virtuel cre son propre cluster. Tout le trafic envoy et reu par le domaine virtuel reste dans le domaine virtuel et est trait par lui. Un membre du cluster est le membre primaire de chaque domaine virtuel et lautre membre du cluster est le membre subordonn de chaque domaine virtuel. Le membre primaire traite tout le trafic du domaine virtuel. Le membre subordonn ne traite pas le trafic sauf dans le cas o le membre primaire tombe en panne. Le membre subordonn prend alors le relais, traitant le trafic passant prcdemment par le membre primaire. Le heartbeat HA fournit les mmes services HA dans une configuration de clustering virtuel que dans une configuration HA standard. Un groupement dinterfaces heartbeat de HA fournit ses services heartbeat HA pour tous les domaines virtuels du cluster.
108
Clustering virtuel et quilibrage de charge

Bien que le clustering virtuel opre en mode actif-passif, vous pouvez configurer une forme dquilibrage de charge en configurant le clustering virtuel pour quil distribue le trafic entre les deux membres du cluster. Pour configurer cet quilibrage de charge un membre du cluster doit tre dfini comme membre primaire pour quelques domaines virtuels et lautre membre du cluster doit tre dfini comme membre primaire des domaines virtuels restants. Une distribution gale des domaines virtuels entre les deux membres du cluster permet la charge que reprsente le traitement du rseau dtre partag, de manire quilibre, entre les deux membres du cluster Dans cette configuration, la rplication reste la mme. Si lun des membres du cluster tombe en panne, tout le traitement est pris en charge par le membre restant. Il ny a pas dinterruption du trafic pour les domaines virtuels pour lesquels le membre restant tait le membre primaire. Le trafic risque dtre interrompu temporairement pour les domaines virtuels pour lesquels le membre en panne tait le membre primaire lorsque le traitement passe vers le membre restant.
Aperu sur le maillage intgral HA

Les modles FortiGate 800 et plus peuvent utiliser des interfaces redondantes pour crer une configuration de cluster appele maillage intgral HA. Le maillage intgral HA est une mthode de rduction du nombre de points uniques de panne sur un rseau comprenant un cluster HA. Lorsque deux ou plusieurs botiers FortiGate sont connects un rseau dans un cluster HA, la fiabilit de ce rseau est amliore grce au fait que le cluster HA substitue un quipement FortiGate un point unique de panne. Dans un cluster, un botier FortiGate est remplac par un cluster de deux ou plusieurs quipements FortiGate. Cependant, mme dans le cas dun cluster, des points uniques de panne potentiels restent. Les interfaces de chaque membre du cluster se connectent un seul commutateur offrant une seule connexion au rseau. Si le commutateur tombe en panne ou si la connexion entre le commutateur et le rseau choue, le service vers le rseau est interrompu.
109
Illustration 46 : Points uniques de panne dans une configuration stand alone et une configuration de rseau HA
Le cluster HA amliore la fiabilit du rseau car un commutateur ntant pas un composant aussi complexe quun botier FortiGate, il est moins enclin tomber en panne. Cependant, une meilleure fiabilit est possible, si la configuration inclut des connexions redondantes entre le cluster et les rseaux auxquels il est connect. Cette configuration redondante est ralisable grce des interfaces redondantes et une configuration en maillage intgral HA. Dans ce type de configuration un cluster HA compos de deux ou plusieurs membres FortiGate est connect au rseau laide dinterfaces et de commutateurs redondants. Chaque interface redondante est connecte deux commutateurs, tout deux connects au rseau. La configuration en maillage intgral qui en rsulte assure des connexions redondantes entre tous les composants du rseau. Un exemple est donn dans lillustration 47. Si un seul composant ou une seule connexion tombe en panne, le trafic est aiguill vers le composant et la connexion redondants.
110
Illustration 47 : Configuration en Maillage intgral HA
Maillage intgral HA et quipements hearbeat redondants

Une configuration en maillage intgral HA comprend galement des interfaces de heartbeat HA redondantes. Au moins deux interfaces heartbeat devraient tre slectionnes dans la configuration HA et deux groupes dinterfaces de heartbeat HA devraient tre connectes. Les quipements de heartbeat HA nont pas tre configurs comme interfaces redondantes parce que le FGCP traite la rplication entre interfaces de heartbeat.
Maillage intgral HA, interfaces redondantes et interfaces agrges 802.3ad

Le maillage intgral HA est support aussi bien par les interfaces redondantes que par les interfaces agrges 802.3ad. Dans la plupart des cas, on utilise des interfaces redondantes. Cependant, si votre commutateur supporte les interfaces agrges 802.3ad et sparent les tronons multiples, vous pouvez utiliser des interfaces agrges la place dinterfaces redondantes pour un maillage intgral HA. Un des avantages des interfaces agrges consiste dans le fait que toutes les interfaces physiques de linterface agrge peuvent recevoir et envoyer des paquets. Il en rsulte une plus grande capacit de la bande passante du cluster. En gnral les interfaces redondantes et agrges se composent de deux interfaces physiques. Toutefois, vous pouvez ajouter plus de deux interfaces physiques une interface redondante ou agrge. Lajout de plusieurs interfaces
111
peut augmenter la protection et la capacit de la bande passante dans le cas dune utilisation dinterfaces agrges 802.3ad.
Configuration doptions HA (clustering virtuel inactiv)

Pour configurer les options HA, et joindre un botier FortiGate un cluster HA, slectionnez Systme > Configuration > HA. Pour modifier les paramtres de configuration du membre primaire dun cluster en fonction, slectionnez Systme > Configuration > HA pour afficher la liste des membres du cluster. Cliquez sur licne Editer pour le membre matre (primaire) dans la liste des membres du cluster. Voir Liste des membres dun cluster la page 120 pour plus dinformations sur cette liste.
Illustration 48 : Configuration HA dun FortiGate-5002FB2
Pour modifier le nom dhte et la priorit des membres subordonns dans un cluster en fonction, slectionnez Systme > Configuration > HA pour afficher la liste des membres du cluster. Cliquez sur licne Editer dun membre subordonn pour le configurer. Voir Modification du nom dhte et de la priorit dun membre subordonn la page 123 pour plus dinformations sur la configuration de membres subordonns.
Configuration doptions HA pour clustering virtuel
Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mmes que les options classiques HA. Toutefois, les clusters virtuels comprennent les options de partitionnement de domaines virtuels. Les diffrences entre les options de configuration pour un HA rgulier et pour un clustering virtuel HA sont parcourues ci-dessous.
112
Pour configurer les options HA dun quipement FortiGate avec des domaines virtuels activs, connectez-vous en tant quadministrateur admin, slectionnez Configuration Globale et allez dans Systme > Configuration > HA. Pour modifier les paramtres de configuration du membre primaire dans un cluster en fonction avec des domaines virtuels activs, connectez-vous en tant quadministrateur admin, slectionnez Configuration Globale et allez dans Systme > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur licne Editer du membre matre (ou primaire). Voir Liste des membres dun cluster la page 120.
Illustration 49 : Configuration dun cluster virtuel HA dun FortiGate 5001
Pour modifier le nom dhte et la priorit des membres subordonns dun cluster en fonction avec des domaines virtuels activs, connectez-vous en tant quadministrateur admin, slectionnez Configuration Globale et allez dans Systme > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur licne Editer dun membre subordonn (ou redondant) pour le configurer. Voir Modification du nom dhte et de la priorit dun membre subordonn la page 123.
113
Illustration 50 : Modification du nom dhte et de la priorit dun membre subordonn
Options HA
La configuration doptions HA permet dadjoindre un botier FortiGate un cluster ou de modifier la configuration dun cluster oprationnel et dun de ses membres. Les options HA suivantes peuvent tre configures : Mode Priorit du membre Nom du Groupe Mot de Passe Activer le maintien de la session Surveillance des ports Interface de Heartbeat Partitionnement de domaines virtuels
Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate reprend des procdures de configuration globales HA et donne des exemples dtaills de configuration.
Mode
Slectionnez un mode HA pour le cluster ou repasser les quipements FortiGate du cluster au mode stand alone. Lors de la configuration dun cluster, il est ncessaire de dfinir le mme mode HA pour tous les membres du cluster HA.
Mode Stand alone Le mode de fonctionnement par dfaut. Dans ce mode, le botier FortiGate nopre pas en mode HA. Slectionnez le mode Standalone si vous dsirez que ce membre du cluster ne fonctionne plus en mode HA. Slectionnez ce mode pour configurer lquilibrage de charge ou la rplication HA sur un cluster. En mode actif-actif chaque cluster traite le trafic activement et contrle le statut des autres membres du cluster. Le membre primaire contrle lquilibrage de charge parmi tous les membres du cluster. Vous ne pouvez pas slectionner actif-actif si vous configurez un cluster virtuel. Slectionnez ce mode pour configurer une rplication HA sur un cluster. En mode actif-passif le membre primaire traite toutes les connexions. Les autres membres du cluster contrlent passivement le statut du cluster et reste synchroniss avec le membre primaire. Les clusters virtuels doivent oprer en mode actif-passif.
Actif-actif
Actif-passif
114
La modification du mode HA dun cluster en fonction entrane la rengociation de lopration dans un nouveau mode et la probabilit de devoir slectionner un nouveau membre primaire.
Priorit de lquipement
Facultativement, il est possible de donner chaque membre du cluster un ordre de priorit. De cette manire chaque membre peut tre dot dune priorit diffrente. Pendant la ngociation HA, le membre avec la plus haute priorit devient le membre primaire. La priorit nest pas synchronise parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorit de lquipement pour modifier la priorit de chaque membre du cluster. A chaque modification de la priorit dun membre du cluster, le cluster rengocie et le membre avec la priorit la plus leve devient le membre primaire. La plage de priorit stend de 0 255. La priorit par dfaut est de 128. Lors de la configuration dun cluster virtuel et dans le cas o vous avez ajout des domaines virtuels aux deux clusters virtuels, vous pouvez dfinir la priorit dun membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet un membre dtre par exemple le membre primaire du cluster virtuel 1 et le membre subordonn du cluster virtuel 2. Pour plus dinformations, voir Exemple de configuration dun clustering virtuel la page 139 et Administration de clusters virtuels la page 141.
Nom du groupe
Donnez un nom au cluster. Tous les membres du cluster doivent avoir le mme nom de groupe.
Mot de passe
Entrez un mot de passe pour le cluster. Le mot de passe doit tre le mme pour tous les membres du cluster. La longueur maximum du mot de passe est de 15 caractres. Dans le cas dun rseau avec plusieurs clusters HA FortiGate, chaque cluster doit avoir un mot de passe diffrent.
Activer le maintien de session

Lactivation du maintien de session permet, en cas de dfaillance du membre primaire, que toutes les sessions soient reprises par le nouveau membre primaire. Dans le cas o cette option est active, les membres subordonns maintiennent des tables de session identiques celle du membre primaire. Cela permet au nouveau membre primaire de maintenir toutes les sessions de communication actives en cas de panne du membre primaire original. En cas dinactivation du maintien de session, les membres subordonns ne maintiennent pas les tableaux de session. Ds lors, en cas de panne du membre primaire, toutes les sessions sont interrompues et doivent tre redmarres par le nouveau membre primaire.
Pour assurer une rplication, et donc une protection, performante, il est conseill dactiver le maintien de session. Si une telle protection nest pas ncessaire, linactivation de cette option peut rduire dune part lusage CPU HA et dautre part rduire lusage de la bande passante du rseau heartbeat HA.
Surveillance des ports

Lactivation de la surveillance des interfaces FortiGate permet de vrifier que les interfaces sous contrle fonctionnent correctement et sont bien connectes leurs rseaux. Si lune de ces interfaces tombe en panne ou se dconnecte de son rseau, linterface quitte le cluster et une rplication de lien senclenche. Cette rplication entrane une re-direction du trafic trait par linterface en panne vers la mme interface dun autre membre du cluster qui possde toujours une connexion au rseau. Ce membre devient le nouveau membre primaire. Si vous arrivez rtablir le flot du trafic travers linterface (par exemple si vous reconnectez un cble dconnect du rseau) linterface rejoint alors le cluster. Il est conseill de mettre sous surveillance les seules interfaces connectes aux rseaux. Une rplication pourrait avoir lieu si une interface non connecte est sous surveillance. Les interfaces qui sont susceptibles dtre mises sous surveillance apparaissent dans la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent tre mises sous surveillance, y compris les interfaces redondantes et les interfaces agrges 802.3ad. Pour toute information sur les interfaces redondantes, voir Cration dune interface redondante la page 67 et HA et interfaces redondantes la page 149. Pour toute information sur les interfaces agrges 802.3ad, voir Cration dune interface agrge 802.3ad la page 66 et HA et interfaces redondantes la page 149. Les interfaces suivantes ne peuvent pas tre mises sous surveillance (elles napparaissent dailleurs pas dans la liste Port Monitor) : Les interfaces FortiGate qui comprennent un commutateur interne. Cela concerne les interfaces internes de tous les modles FortiGate-60 et FortiWiFi60, ainsi que les interfaces internes des FortiGate-100A et 200A. Cela concerne galement linterface LAN du FortiGate-500A. Les sous-interfaces VLAN (voir Aperu sur les VLAN la page 84). Les interfaces VPN IPSec (voir Aperu du mode interface IPSec la page 294). Les interfaces physiques individuelles qui ont t ajoutes une interface redondante ou agrge.
Si vous configurez un cluster virtuel, il est ncessaire de crer une configuration diffrente de la surveillance des interfaces pour chaque cluster virtuel. Gnralement pour chaque cluster virtuel, seules sont places sous surveillance les interfaces ajoutes aux domaines virtuels de chaque cluster virtuel.
116
Interface de Heartbeat
Il est possible dactiver ou de dsactiver la communication heartbeat HA pour chaque interface du cluster. Vous devez slectionner au moins une interface de heartbeat. Si la communication heartbeat est interrompue, le cluster arrte le traitement du trafic. La communication heartbeat est dfinie par dfaut sur deux interfaces (voir tableau 6). Vous pouvez dsactiver le heartbeat HA pour chacune de ces interfaces ou activer le heartbeat HA pour dautres interfaces. Dans la plupart des cas, vous pouvez maintenir la configuration de linterface de heartbeat par dfaut tant que vous pouvez connecter les interfaces de heartbeat ensemble. Linterface dadministration web FortiGate rpertorie les interfaces de heartbeat par ordre alphabtique. La premire interface heartbeat slectionne dans la liste traite tout le trafic heartbeat HA. Si cette interface tombe en panne ou se dconnecte, linterface suivante dans la liste prend le relais. Le heartbeat HA communique des informations sur les sessions du cluster, synchronise la configuration et la table de routage du cluster et engendre des rapports individuels sur les statuts des membres du cluster. Le heartbeat HA communique constamment des informations sur le statut HA pour assurer un bon fonctionnement du cluster. Vous pouvez activer des communications heartbeat pour des interfaces physiques, mais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des interfaces redondantes ou des interfaces agrges 802.3ad. Ces types dinterfaces napparaissent pas dans la liste des interfaces de heartbeat. Activer le heartbeat HA pour plusieurs interfaces augmente la fiabilit. Si une interface tombe en panne, le heartbeat HA est repris par une autre interface. Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans la mesure du possible, il est conseill dactiver le trafic heartbeat HA sur les interfaces utilises uniquement pour le trafic heartbeat HA ou sur des interfaces connectes des rseaux moins occups. Les interfaces FortiGate qui comprennent un commutateur interne supportent la configuration heartbeat HA. Cependant cette configuration est dconseille pour deux raisons : Pour des raisons de scurit et pour conomiser de la bande passante du rseau, il est conseill de maintenir le trafic heartbeat HA en dehors de votre rseau interne. Des paquets heartbeat risquent dtre perdus si linterface commutateur traite de gros volumes de trafic. La perte de paquets heartbeat risquent dentraner des rplications rptes inutiles.
Les modles FortiGate avec des interfaces commutateur comprennent : Linterface interne de tous les modles FortiGate-60 et FortiWiFi-60 Linterface interne des FortiGate-100A et 200A Linterface LAN du FortiGate-500A
117
Tableau 6 : Configuration par dfaut des interfaces de heartbeat pour tous les modles FortiGate Modle FortiGate Interfaces de heartbeat par dfaut Modles FortiGate-60 et FortiWiFi-60 FortiGate-100 FortiGate-100A FortiGate-200 FortiGate-200A FortiGate-300 FortiGate-300A FortiGate-400 FortiGate-400A FortiGate-500 FortiGate-500A FortiGate-800 et FortiGate-800F FortiGate-1000A et FortiGate-1000AFA2 FortiGate-3000 FortiGate-3600 FortiGate-4000 FortiGate-5001 et FortiGate-5001FA2 FortiGate-5002FB2 DMZ WAN1 DMZ External DMZ 2 External DMZ External DMZ 2 External DMZ/HA External Port 3 Port 4 Port 3 Port 4/HA Port 3 Port 4 HA Port 1 Port 3 Port 4 HA Port 1 Port 3 Port 4 Port 3 Port 4/HA Port 4 Port 5/HA External oobm Port 9 Port 10 Port 5 Port 6
Les ports 9 et 10 connectent les quipements FortiGate-5001 et FortiGate5001FA2 via le fond de panier du chssis FortiGate srie 5000. Ces interfaces sont uniquement utilises pour le trafic heartbeat HA.
118
Adresses IP des interfaces de heartbeat

Il nest pas ncessaire daffecter des adresses IP aux interfaces de heartbeat pour que celles-ci soient en mesure de traiter les paquets heartbeat. Le cluster affecte des adresses IP virtuelles aux interfaces de heartbeat traitant le trafic. Ladresse IP affecte linterface de heartbeat du membre primaire est 10.0.0.1 et ladresse IP affecte linterface de heartbeat du membre subordonn est 10.0.0.2. Un troisime membre du cluster aura comme adresse IP 10.0.0.3 etc. Pour garantir de meilleurs rsultats, il est conseill disoler chaque interface de heartbeat sur son propre rseau. Les paquets heartbeat contiennent des informations importantes sur la configuration du cluster. Par ailleurs, ils peuvent utiliser un montant considrable de la bande passante et il est ds lors prfrable disoler ce trafic des rseaux destins vos utilisateurs. Lutilisation de la bande passante par les paquets heartbeat pourrait galement rduire la capacit de linterface traiter le trafic du rseau. Dans la plupart des modles FortiGate, si vous ne modifiez pas la configuration de linterface de heartbeat, vous isoleriez les interfaces heartbeat de tous les membres du cluster en les connectant au mme commutateur. Si le cluster est compos de deux membres, vous pouvez connecter les interfaces de heartbeat directement laide dun cble crois. Le heartbeat HA et le trafic de donnes sont supports par la mme interface du cluster. Si vous dcidez dutiliser les interfaces de heartbeat pour traiter le trafic du rseau ou pour une connexion administrative, vous pouvez, en mode NAT/Route, affecter nimporte quelle adresse linterface. Ladresse IP naltre en rien le trafic heartbeat. En mode Transparent, vous pouvez connecter linterface votre rseau et activer laccs administratif. Vous pourriez alors tablir une connexion administrative linterface via ladresse IP dadministration du mode Transparent. Cette configuration naltre en rien le trafic heartbeat.
Partitionnement de domaines virtuels

Lors de la configuration dun clustering virtuel, vous pouvez slectionner les domaines virtuels qui feront partie du cluster virtuel 1 et ceux qui feront partie du cluster virtuel 2. Le domaine virtuel root doit toujours se trouver dans le cluster virtuel 1. Gnralement, les domaines virtuels sont distribus de manire gale entre les deux clusters virtuels et les priorits configures de manire distribuer le trafic identiquement entre les membres du cluster. Pour plus dinformations, voir Exemple de configuration dun clustering virtuel la page 139 et Administration de clusters virtuels la page 141.
119
Liste des membres dun cluster

Les statuts des membres FortiGate dun cluster en opration sont visibles dans la liste des membres du cluster. Cette liste permet galement de : visualiser et modifier la configuration HA du cluster visualiser et modifier la priorit des membres individuels du cluster ( voir Modification du nom dhte et de la priorit dun membre subordonn la page 123) dconnecter un membre de son cluster (voir Dconnecter un membre de son cluster la page 136 et Administration de clusters virtuels la page 141)
Voir le botier FortiGate High Availability Guide - Guide des fonctions de haute disponibilit FortiGate pour obtenir des exemples de procdures HA et de configurations dtailles. Pour afficher la liste des membres du cluster, slectionnez Systme > Configuration > HA.
Illustration 51 : Exemple dune liste des membres dun cluster pour un FortiGate-5001
Liste des membres dun cluster virtuel

Dans le cas o les domaines virtuels sont activs, le statut des clusters virtuels en opration est visible dans la liste des membres du cluster. La liste des membres du cluster virtuel reprend le statut des deux clusters virtuels y compris les domaines virtuels ajouts chaque cluster virtuel. Pour afficher la liste des membres du cluster virtuel dun cluster oprationnel, connectez-vous en tant quadministrateur admin et slectionnez Configuration Globale, ensuite Systme > Configuration > HA.
120
Illustration 52 : Exemple dune liste de membres dun cluster virtuel pour un FortiGate-5001
Les flches haut et bas
Permettent de modifier lordre dans lequel apparaissent les membres du cluster. Cela naffecte pas le fonctionnement du cluster et de ses membres. Seul lordre dapparition est modifi. Illustrations des panneaux avant des membres du cluster. Si le port rseau dune interface apparat en vert, cela signifie que linterface est connecte. Maintenez le curseur de la souris sur chaque illustration pour visualiser le nom dhte, le numro de srie et le temps depuis lequel le membre est en fonction (up time). La liste des interfaces sous surveillance est galement affiche. Le nom dhte du FortiGate. Pour modifier le nom dhte du membre primaire, slectionnez Systme > Statut et cliquez sur Changer cte du nom dhte actuel. Pour modifier le nom dhte dun membre subordonn, cliquez sur licne Editer du membre subordonn.
Membre du cluster
Nom dhte
Rle
Le statut ou le rle du membre dans le cluster. Le rle est MASTER pour le membre primaire (ou matre) Le rle est SLAVE pour tous les membres subordonns (ou redondants) du cluster
Priorit de lquipement
La priorit du membre du cluster. Chaque membre peut avoir une priorit diffrente. Durant la ngociation HA, le membre avec la priorit la plus haute devient le membre primaire. Lintervalle de la priorit est de 0 255. La priorit par dfaut est 128. Dconnecte le membre du cluster. Voir Dconnexion dun membre du cluster la page 136.
Dconnexion du cluster
121
Editer
Slectionnez Editer pour modifier la configuration dun membre du cluster HA. Pour le membre primaire, cliquez sur licne Editer pour modifier la configuration du membre primaire et du cluster HA. Voir Options HA la page 114. Pour un membre primaire dun cluster virtuel, cliquez sur licne Editer pour modifier la configuration du cluster virtuel HA et pour modifier la priorit du membre dans les cluster virtuel 1 et cluster virtuel 2. Pour un membre subordonn, cliquez sur licne Editer pour modifier le nom dhte et la priorit. Voir Modification du nom dhte et de la priorit dun membre subordonn la page 123. Pour un membre subordonn dun cluster virtuel, cliquez sur licne Editer pour modifier son nom dhte. Vous pouvez galement modifier la priorit du membre subordonn dans le cluster virtuel slectionn. Dfinir une priorit plus haute peut avoir pour effet de faire passer le rle du membre de subordonn primaire dans le cluster virtuel.
Tlcharger un journal de dboguage
Tlcharger un journal de dboguage crypt dans un fichier. Vous pouvez ensuite lenvoyer au Service Technique de Fortinet qui vous aidera diagnostiquer les problmes ventuels rencontrs sur votre FortiGate.
Visualisation des statistiques HA

Slectionnez Visualiser les statistiques HA dans la liste des membres du cluster pour afficher le numro de srie, le statut et les informations sur la surveillance pour chaque membre du cluster. Pour visualiser les statistiques HA, slectionnez Systme > Configuration > HA et cliquez sur Visualiser les Statistiques HA.
Illustration 53 : Exemple de statistiques HA (pour un cluster actif-passif)
Rafrachir toutes les Back to HA monitor
Entrez lintervalle de temps souhait entre deux mises jour des statistiques par linterface graphique du FortiGate. Ferme la liste des statistiques HA et retourne la liste des membres du cluster.
122
N de srie
Le numro de srie vous permet didentifier chaque FortiGate dans le cluster. LID du cluster correspond au numro de srie du FortiGate. Indique le statut de chaque membre du cluster. Une marque en V verte indique un fonctionnement normal du cluster. Une croix rouge signifie que le membre du cluster narrive pas communiquer avec le membre primaire. Le temps en jours, heures, minutes et secondes depuis le dernier redmarrage du systme. Affiche les informations sur les statuts du systme pour chaque membre du cluster. Le statut CPU en cours de chaque membre du cluster. Linterface dadministration web affiche le taux CPU des processus majeurs uniquement. Le taux CPU des processus dadministration (tels que les connexions HTTPS linterface dadministration web) est exclu. Le statut du taux mmoire en cours de chaque membre du cluster. Linterface dadministration web affiche le taux mmoire des processus majeurs uniquement. Le taux mmoire des processus dadministration (tels que les connexions HTTPS linterface dadministration web) est exclu. Le nombre de sessions de communication en cours de traitement par le membre du cluster. Le nombre de paquets traits par le membre du cluster depuis son dernier redmarrage. Le nombre de virus dtects par le membre du cluster. Le total de la bande passante du rseau utilise par toutes les interfaces du membre du cluster. Le nombre doctets traits par le membre du cluster depuis son dernier redmarrage. Le nombre dintrusions ou dattaques dtectes par lIPS en fonction sur le membre du cluster.
Statut
Actif depuis Monitor Taux CPU
Taux Mmoire
Sessions actives Paquets totaux Virus dtects Utilisation rseau Total doctets Intrusion dtectes
Modification du nom dhte et de la priorit dun membre subordonn

Vous pouvez modifier le nom dhte et la priorit de nimporte quel membre subordonn dun cluster en fonction partir de la liste des membres du cluster. La modification de la priorit dun des membres du cluster entrane une rengociation au sein du cluster. Pour modifier un nom dhte ou une priorit dun membre subordonn, slectionnez Systme > Configuration > HA et cliquez sur licne Editer dun membre subordonn dans la liste des membres du cluster.
123
Illustration 54 : Modification du nom dhte ou de la priorit dun membre subordonn
Paire Priorit
Affiche et permet de modifier le nom dhte du membre subordonn. Affiche et permet de modifier la priorit du membre subordonn. La priorit nest pas synchronise parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorit dun quipement pour modifier la priorit de chaque membre du cluster. A chaque modification de la priorit dun membre du cluster, le cluster rengocie et le membre avec la priorit la plus leve devient le membre primaire. La plage de priorit stend de 0 255. La priorit par dfaut est de 128.
Configuration dun cluster HA

Les procdures suivantes portent sur la configuration dun cluster haute disponibilit de deux ou plusieurs botiers FortiGate. La configuration doprations HA y est dtaille pour chacun des quipements FortiGate. On y explique galement comment connecter les FortiGate entre eux pour former un cluster. Une fois le cluster connect, il se configure de la mme faon quun quipement FortiGate autonome. Pour la configuration de clusters virtuels, voir Configuration dun clustering virtuel la page 127. Pour la configuration en maillage intgral HA, voir Aperu sur le maillage intgral HA la page 109. Les procdures reprises dans cette section reprsentent une squence de dmarches possible parmi plusieurs pour configurer un clustering HA. Une fois que vous serez plus expriment avec FortiOS HA, rien ne vous empche dutiliser une squence de dmarches diffrente. Par commodit, les procdures suivantes partent du principe que le botier FortiGate est configur avec les paramtres par dfaut. Cependant, ceci nest pas une ncessit pour un dploiement HA russi. La HA FortiGate est suffisamment flexible pour supporter une configuration partir de paramtres de dpart varis. Le mode par dfaut tant le mode NAT/Route, les procdures dcrivent la configuration dun cluster oprant en mode rout. Toutefois, les procdures sont identiques pour un cluster oprant en mode Transparent. Vous pouvez passer en mode Transparent, soit avant de commencer les procdures, soit aprs la configuration HA et la connexion du cluster (le cluster tant alors oprationnel).
124
Configurer un botier FortiGate pour oprer en HA Connecter un cluster HA FortiGate Ajouter un nouveau membre un cluster oprationnel
Configurer un botier FortiGate pour oprer en haute disponibilit

Chaque membre FortiGate du cluster doit fonctionner avec la mme configuration HA. La procdure suivante parcourt la configuration de chaque membre FortiGate pour oprer en HA. Voir Options HA la page 114 pour plus dinformations sur les options HA reprises dans cette procdure. 1 2 3 Mettre le botier FortiGate sous tension pour le configurer. Connectez-vous linterface dadministration web. Eventuellement vous pouvez donner au botier FortiGate un nom dhte. Voir Modification du nom dhte dun botier FortiGate la page 52. Lutilisation dun nom dhte permet didentifier les FortiGate individuellement. Slectionnez Systme > Configuration > HA. Dfinissez le mode actif-passif ou actif-actif. Entrez un mot de passe pour le cluster. Ce mot de passe doit tre le mme pour tous les membres FortiGate du cluster HA. Cliquez sur OK.
4 5 6 7
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK, la connexion du FortiGate risque dtre perdue pendant un moment car le cluster HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez la commande CLI similaire arp d. 8 9 Mettre le botier FortiGate hors tension. Rptez cette procdure pour tous les membres FortiGate du cluster. Une fois tous les membres configurs, rendez-vous la section Connecter un cluster HA FortiGate .
Connecter un cluster HA FortiGate

Les procdures suivantes parcourent la connexion dun cluster, quil opre en mode rout ou Transparent. Il est ncessaire de connecter les membres du cluster entre eux et votre rseau. Les interfaces correspondantes du cluster doivent tre connectes au mme concentrateur ou commutateur. Il est ensuite ncessaire de connecter ces interfaces leurs rseaux en utilisant le mme concentrateur ou le mme commutateur. Pour une meilleure performance, Fortinet recommande lutilisation de commutateurs pour toutes les connexions du cluster.
125
Linsertion dun cluster HA dans votre rseau entrane une interruption temporaire des communications rseau puisque de nouvelles connexions physiques sont cres pour diriger le trafic travers le cluster. Le dmarrage du cluster occasionne galement une interruption du trafic rseau jusqu ce que tous les membres du cluster fonctionnent et que le cluster termine la ngociation. La ngociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le dmarrage et la ngociation du systme, tout le trafic rseau est arrt. 1 2 3 4 Connectez les interfaces internes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau interne. Connectez les interfaces externes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau externe. Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le cluster puisse oprer. Vous pouvez galement connecter les interfaces de heartbeat un rseau. Si le cluster ne comporte que deux membres FortiGate, vous pouvez connecter les interfaces de heartbeat directement laide du cble crois. Pour davantage dinformations sur les interfaces de heartbeat, voir Interface de Heartbeat la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate 5 Facultativement, connectez les autres interfaces de chaque membre du cluster un concentrateur ou commutateur connect aux rseaux. Lillustration 55 reprend lexemple dune configuration rseau pour un cluster HA comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et externes sont connectes aux rseaux. Les interfaces HA sont connectes pour une communication heartbeat HA.
Illustration 55 : Configuration rseau HA
126
Mettez sous tension tous les membres du cluster. Lors du dmarrage des membres du cluster, ceux-ci ngocient pour slectionner parmi eux un membre primaire et les membres subordonns. Cette ngociation a lieu sans intervention de lutilisateur et ne dure que quelques secondes. Vous pouvez maintenant configurer le cluster comme sil sagissait dun seul quipement FortiGate.
Ajouter un nouveau membre un cluster oprationnel

1 2 3 4 Configurez le nouveau membre du cluster pour oprer en HA avec les mmes paramtres de configuration que les autres membres du cluster. Si le cluster fonctionne en mode Transparent, faites passer le mode de fonctionnement du nouveau membre vers le mode Transparent. Connectez le nouveau membre au cluster. Mettez le nouveau membre sous tension. Lors du dmarrage du membre, celui-ci ngocie son intgration dans le cluster. Aprs avoir rejoint le cluster, celui-ci synchronise la configuration du nouveau membre avec la configuration du membre primaire.
Configuration dun clustering virtuel

Les procdures suivantes portent sur la configuration dun clustering virtuel de deux membres FortiGate. Ces procdures expliquent comment configurer deux nouveaux membres FortiGate pour un clustering virtuel, y compris la configuration pour oprer en HA, la connexion des membres, lactivation de la configuration de domaines virtuels et lajout de domaines virtuels un cluster. Les procdures dcrivent galement comment configurer un clustering virtuel. Une fois le cluster virtuel oprationnel, vous pouvez configurer le cluster de la mme faon quun FortiGate autonome avec des multiples domaines virtuels. Pour la configuration dun clustering normal sans domaines virtuels, voir Configuration dun cluster HA la page 124. Pour la configuration en maillage intgral HA, voir Aperu sur le maillage intgral HA la page 109. Les procdures reprises dans cette section reprsentent une squence de dmarches possible parmi plusieurs pour configurer un clustering virtuel. Une fois que vous serez plus expriment avec FortiOS HA, rien ne vous empche dutiliser une squence de dmarches diffrente. Par commodit, les procdures suivantes partent du principe que le botier FortiGate est configur avec les paramtres par dfaut. Cependant, ceci nest pas une ncessit pour un dploiement HA russi. La HA FortiGate est suffisamment flexible pour supporter une configuration partir de paramtres de dpart varis. Configurer deux nouveaux membres FortiGate pour un clustering virtuel Connecter un cluster virtuel HA FortiGate Activer la configuration de domaines virtuels pour un cluster HA Ajouter des domaines virtuels un cluster HA Activer le clustering virtuel
127
Configurer deux nouveaux membres FortiGate pour un clustering virtuel

Cette procdure dcrit comment configurer un clustering virtuel commenant avec deux membres FortiGate dont le paramtrage est celui par dfaut et qui ne sont pas connects un rseau. Les deux membres du cluster doivent avoir une configuration HA identique. La procdure suivante permet de configurer chaque membre FortiGate pour oprer en HA. Voir Options HA la page 114 pour plus dinformations sur les options HA reprises dans cette procdure. 1 2 3 Mettez le botier FortiGate sous tension pour le configurer. Connectez-vous linterface dadministration web. Facultativement vous pouvez donner au FortiGate un nom dhte. Voir Modification du nom dhte dun botier FortiGate la page 52. Lutilisation dun nom dhte permet didentifier les FortiGate individuellement. Slectionnez Systme > Configuration > HA. Dfinissez le mode actif-passif. Le mode HA actif-actif nest pas support par un clustering virtuel. Entrez un mot de passe pour le cluster virtuel . Ce mot de passe doit tre le mme pour tous les membres FortiGate du cluster virtuel HA. Cliquez sur OK.
4 5 6 7
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK, la connexion du FortiGate risque dtre perdue pendant un moment car le cluster HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre jour la table ARP de votre PC dadministration en effaant lentre ARP de votre FortiGate (ou simplement en effaant toutes les entres de la table ARP). Pour ce faire, utilisez la commande CLI similaire arp d. 8 Rptez cette procdure pour tous les membres FortiGate du cluster virtuel. Une fois les deux membres configurs, procdez avec la section Connecter un cluster virtuel HA FortiGate .
Connecter un cluster virtuel HA FortiGate

Les procdures suivantes parcourent la connexion de deux membres FortiGate pour oprer via un clustering virtuel. Il est ncessaire de connecter les membres du cluster entre eux et votre rseau. Les interfaces correspondantes du cluster doivent tre connectes au mme concentrateur ou commutateur. Il est ensuite ncessaire de connecter ces interfaces leurs rseaux en utilisant le mme concentrateur ou le mme commutateur.
128
Pour une meilleure performance, Fortinet recommande lutilisation de commutateurs pour toutes les connexions du cluster. Linsertion dun cluster HA dans votre rseau entrane une interruption temporaire des communications rseau puisque de nouvelles connexions physiques sont cres pour diriger le trafic travers le cluster. Le dmarrage du cluster occasionne galement une interruption du trafic rseau jusqu ce que tous les membres du cluster fonctionnent et que le cluster termine la ngociation. La ngociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le dmarrage et la ngociation du systme, tout le trafic rseau est arrt. 1 2 3 4 Connectez les interfaces internes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau interne. Connectez les interfaces externes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau externe. Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le cluster puisse oprer. Vous pouvez galement connecter les interfaces de heartbeat un rseau. Vous pouvez connecter les interfaces de heartbeat directement laide du cble crois. Pour davantage dinformations sur les interfaces de heartbeat, voir Interface de Heartbeat la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate. 5 Facultativement, connectez les autres interfaces de chaque membre du cluster un concentrateur ou commutateur connect aux rseaux. Lillustration 56 reprend lexemple dune configuration rseau pour un cluster virtuel comprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtuel possde deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans le domaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuel appel vdom_1. Le Site 1 est connect au domaine virtuel root et Site 2 est connect au domaine virtuel vdom_2. Lexemple comprend les connexions rseaux suivantes : Les interfaces du port 5 sont connectes ensemble et au rseau Site 1. Les interfaces du port 6 sont connectes ensemble et au routeur externe. Les interfaces du port 7 sont connectes ensemble et au rseau Site 2. Les interfaces du port 8 sont connectes ensemble et au routeur externe.
Les communications heartbeat HA travers le fond de panier du chssis FortiGate-5000 ne sont pas illustres.
Illustration 56 : Configuration rseau HA
Mettez sous tension tous les membres du cluster. Lors du dmarrage des membres du cluster, ceux-ci ngocient pour slectionner parmi eux un membre primaire et les membres subordonns. Cette ngociation a lieu sans intervention de lutilisateur et ne dure que quelques secondes. Vous pouvez maintenant configurer le cluster virtuel comme sil sagissait dun seul quipement FortiGate.
Activer la configuration de domaines virtuels pour un cluster HA

Les procdures suivantes dcrivent comment activer la configuration de domaines virtuels pour un cluster virtuel HA. La procdure dactivation de la configuration de domaines virtuels est la mme que celle dun quipement FortiGate autonome. 1 2 3 4 5 Connectez-vous linterface dadministration web en tant quadministrateur admin. Cliquez sur Configuration Globale. Slectionnez Systme > Admin > Settings (Paramtres). Activer Virtual Domain Configuration. Cliquez sur Appliquer. Le cluster vous dconnecte. Vous pouvez maintenant vous reconnectez en tant quadministrateur admin, ajouter des domaines virtuels et configurer le clustering virtuel. Voir Activation du mode multiple VDOM la page 43 pour plus dinformations sur lactivation de domaines virtuels et les changements de linterface dadministration web aprs lactivation des domaines virtuels.
130
Ajouter des domaines virtuels un cluster HA

Ajouter des domaines virtuels un cluster HA se fait de la mme faon que lajout de domaines virtuels un quipement FortiGate autonome. 1 Connectez-vous en tant quadministrateur admin linterface dadministration web du cluster. Si la configuration de domaines virtuels est active, la page Virtual Domain Configuration souvre. 2 3 Cliquez sur Crer Nouveau pour ajouter un domaine virtuel. Entrez un nom pour ce nouveau domaine virtuel et cliquez sur OK. Vous pouvez ajouter autant de domaines virtuels que ncessaire.
Activer le clustering virtuel

Pour activer un clustering virtuel, il faut prcdemment avoir configur le cluster, activ la configuration de domaines virtuels et ajout des domaines virtuels. Avant davoir activ un clustering virtuel, un cluster de membres FortiGate avec des domaines virtuels activs fonctionne de la mme faon quun cluster HA standard. Un membre FortiGate du cluster opre comme membre primaire pour tous les domaines virtuels activs. Le cluster opre en mode actif-passif. Ds lors, seul le membre primaire traite le trafic. Lactivation du clustering se fait en modifiant la configuration HA de manire distribuer les domaines virtuels entre les deux clusters virtuels. Ensuite, il faut ajuster les priorits de chaque membre de chaque cluster virtuel. Un des membres peut oprer en tant que membre primaire pour une partie des domaines virtuels, tandis que lautre membre opre en tant que membre primaire pour lautre partie. Il en rsulte un traitement du trafic distribu entre deux membres du cluster, semblable une solution en mode actif-actif.
Remarque : Les tapes suivantes ne sont pas requises si vous utilisez le clustering virtuel uniquement comme systme de rplication. De cette procdure rsulte une distribution du trafic entre les deux membres du cluster dans le cluster virtuel.
1 2 3
Connectez-vous en tant quadministrateur admin linterface dadministration web du cluster. La page de Configuration des Domaines Virtuels saffiche. Cliquez sur Configuration Globale. Slectionnez Systme > Configuration > HA. La liste des membres du cluster saffiche reprenant uniquement le Cluster Virtuel 1. Tous les domaines virtuels ainsi que les deux membres du cluster sont repris dans le Cluster Virtuel 1.
131
Illustration 57 : Exemple dune liste des membres dun cluster avec deux domaines virtuels dans le Cluster Virtuel 1
4 5
Cliquez sur licne Editer du membre primaire (matre) du Cluster Virtuel 1. Sous le partitionnement VDOM, distribuez les domaines virtuels entre les cluster virtuel 1 et cluster virtuel 2. Au dpart, tous les domaines virtuels sont ajouts au cluster virtuel 1. En gnral, la distribution des domaines virtuels entre les deux membres du cluster virtuel se fait de manire ce que chacun des membres traite la mme quantit de trafic rseau. Cela permet dassurer que le trafic est distribu de manire quivalente entre les membres du cluster. Cependant, vous pouvez distribuez les domaines virtuels comme vous le dsirez. La distribution peut par ailleurs tre modifie tout moment.
Cliquez sur OK. Le cluster rengocie. Aprs quelques secondes, la liste des membres du cluster reprend les deux clusters virtuels. Si vous navez modifi aucun paramtre de priorit, cest le mme membre qui devient membre primaire (matre) pour les deux domaines virtuels.
Illustration 58 : Exemple dune liste des membres dun cluster avec domaines virtuels distribus entre les deux clusters virtuels.
Cliquez sur licne Editer du membre primaire du cluster virtuel 1 et cluster virtuel 2.
132
Les options HA du clustering virtuel sont affiches. Vous pouvez modifier la priorit du membre primaire dans les deux clusters virtuels. 8 Affectez la priorit 200 pour ce membre du cluster dans le cluster virtuel 1 et la priorit 50 dans le cluster virtuel 2. Cliquez ensuite sur OK. Vous pouvez slectionner diffrentes valeurs de priorit. Si aucune autre valeur de priorit na t modifie, le membre du cluster slectionn devient le membre primaire dans le cluster virtuel 1 et le membre subordonn dans le cluster virtuel 2.
Illustration 59 : Exemple dune liste des membres dun cluster avec domaines virtuels distribus entre les deux clusters virtuels et les priorits modifies.
Dautres paramtres HA des clusters virtuels peuvent tre configurs. Voir Exemple de configuration dun clustering virtuel la page 139 et Administration de clusters virtuels la page 141 pour plus dinformations sur la configuration et ladministration de clusters virtuels.
Administration dun cluster

Les configurations de tous les membres FortiGate du cluster sont synchronises afin de permettre aux membres de fonctionner comme un cluster. Grce la synchronisation vous administrez le cluster HA au lieu dadministrer les membres individuellement. Ladministration se fait en se connectant linterface dadministration web en utilisant nimporte quelle adresse dinterface du cluster configure pour un accs administratif HTTPS. Une autre faon dadministrer le cluster est de se connecter en CLI en utilisant nimporte quelle adresse dinterface du cluster configure pour un accs administratif SSH. Vous pouvez galement administrer le cluster en configurant une des ses interfaces pour un accs administratif SNMP. Lutilisation dun superviseur SNMP vous permet dobtenir des informations sur la configuration du cluster, ainsi que de recevoir des traps. Pour toute information sur les listes des champs MIB HA, voir MIB FortiGate la page 156 et Traps FortiGate la page 156. Pour apporter une modification la configuration du cluster, connectez-vous au cluster et apportez les changements souhaits la configuration du membre primaire. Le cluster synchronise automatiquement tous les changements de configuration et les intgrent aux membres subordonns.
133
Les seuls changements qui ne sont pas synchroniss sont le nom dhte et la priorit du HA. Chaque membre du cluster peut avoir un nom dhte qui lui est propre de manire pouvoir distinguer les membres dans le cluster. Il est aussi possible de les distinguer partir de leur numro de srie. La priorit peut tre modifie individuellement pour contrler quel membre du cluster devient le membre primaire. Le rle du membre dans le cluster saffiche sur lcran LCD (pour les FortiGate qui en possdent). La mention primary saffiche sur lcran LCD du membre primaire. Les membres subordonns affichent sur leur cran LCD la mention slave <priority_id> o <priority_id> est la place prioritaire du membre subordonn dans le cluster. Dans lexemple dun cluster compos de trois membres et en mode actif-actif, les crans afficheront : primary (a-a) slave 1 (a-a) slave 2 (a-a)
Linterface dadministration web permet de contrler les statuts et les journaux de chaque membre du cluster individuellement. Voir Liste des membres dun cluster la page 120 et Visualiser et administrer les journaux pour les membres individuels dun cluster la page 134 Les membres du cluster peuvent tre administrs individuellement laide dune connexion SSH en CLI au cluster. La commande CLI execute ha manage permet de vous connecter en CLI chaque membre du cluster. Ladministration individuelle des membres peut aussi se faire via un cble null-modem connect au membre primaire. A partir de l, la commande CLI execute ha manage vous permet de vous connecter en CLI chaque membre du cluster. Voir Administrer individuellement les membres dun cluster la page 135 pour plus dinformations. En cas dutilisation dun cble null-modem pour vous connecter un membre subordonn, seule une connexion en CLI ce membre subordonn est possible. Visualiser et administrer les journaux pour les membres individuels dun cluster Contrler les membres pour la rplication Administrer individuellement les membres dun cluster
Visualiser et administrer les journaux pour les membres individuels dun cluster
1 2 Connectez-vous au cluster et linterface dadministration web. Slectionnez Journaux/Alertes > Journal. La liste du Cluster HA reprend le numro de srie du FortiGate dont les journaux sont affichs. 3 Slectionnez le numro de srie dun des membres du cluster dont vous voulez voir les journaux. Vous pouvez voir, chercher et administrer les journaux sauvegards sur la mmoire, dpendant de la configuration du membre du cluster.
134
Contrler les membres pour la rplication

Dans le cas dune dfaillance du membre primaire, les membres du cluster rengocient pour slectionner un nouveau membre primaire. Une panne du membre primaire enclenche les tapes suivantes : Si SNMP est activ, le nouveau membre primaire envoie un message trap HA switch . Ce message signifie que le membre primaire du cluster HA est en panne et a t remplac par le nouveau membre primaire. Le cluster fonctionne avec un nombre rduit de membres. Le membre primaire dfaillant napparat plus sur la Liste des Membres du Cluster. Le nom dhte et la priorit du membre primaire changent. Le nouveau membre primaire enregistre les messages des journaux dvnements suivants : HA slave became master Detected HA member dead Dans le cas o lun des membres subordonns tombe en panne, le cluster continue de fonctionner normalement. Une panne dun membre subordonn enclenche les tapes suivantes : Le cluster fonctionne avec un nombre rduit de membres. Le membre dfaillant napparat plus sur la Liste des Membres du Cluster. Le membre primaire enregistre le message du journal dvnement suivant : Detected HA member dead
Administrer individuellement les membres dun cluster

Cette procdure dcrit comment se connecter en CLI au membre primaire et de l, se connecter en CLI aux membres subordonns. La connexion un membre subordonn se fait partir du compte administrateur ha_admin. Ce compte intgr vous accorde les droits en lecture et en criture sur les membres subordonns. 1 Via SSH, connectez-vous au cluster et linterface de ligne de commande. Connectez-vous nimporte quelle interface du cluster configure pour un accs administratif SSH. Vous pouvez galement utiliser un cble null-modem connect au port console du membre primaire. Pour ce faire, vous devez dj avoir slectionn un membre primaire. 2 Entrez la commande suivante suivie dun espace et dun point dinterrogation ( ?) : execute ha manage Le CLI affiche alors une liste de tous les membres subordonns du cluster. Tous les membres sont numrots en commenant par 1. Les informations reprises pour chaque membre comprennent le numro de srie et le nom dhte du membre. 3 Ajoutez la fin de la commande CLI le numro du membre subordonn pour vous y connecter. Par exemple, pour vous connecter au membre subordonn 1, entrez la commande suivante : execute ha manage 1
135
Appuyez sur la touche Enter pour vous connecter en CLI au membre subordonn choisi. Lcran du CLI affiche le nom dhte du membre. Les commandes CLI vous permettent dadministrer ce membre subordonn. 4 Pour retourner au CLI du membre primaire, entrez : exit Vous pouvez utiliser la commande execute ha manage pour vous connecter en CLI nimporte quel membre subordonn du cluster.
Dconnexion dun membre du cluster

Les procdures suivantes dcrivent comment dconnecter un membre dun cluster oprationnel sans interruption des oprations. Vous pouvez dconnecter un quipement FortiGate dans le cas o vous en auriez besoin pour un autre usage, tel que par exemple un pare-feu autonome. Les procdures suivantes sappliquent aussi bien pour les clusters standard que pour les clusters virtuels. Pour ces derniers, vous devez nanmoins tre connect en tant quadministrateur admin et avoir slectionn Configuration Globale. Lors de la dconnexion dun membre, vous devez affecter une des interfaces de ce membre une adresse IP et un masque de rseau. Le membre primaire peut lui aussi tre dconnect. Dans ce cas, le cluster ragit de la mme manire que si le membre primaire tait tomb en panne. Il rengocie et slectionne un nouveau membre primaire. Une fois le membre dconnect, celui-ci passe du mode HA stand alone (autonome). De plus, toutes les adresses IP des interfaces sont remises 0.0.0.0 lexception de linterface que vous avez configure. Les autres paramtres de la configuration restent inchangs, y compris la configuration HA.
Dconnecter un membre de son cluster

1 2 Slectionnez Systme > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur licne Dconnecter du cluster ct du membre du cluster dconnecter.
Illustration 60 : Dconnecter un membre de son cluster
Numro de Srie Interface
Le numro de srie du membre du cluster dconnecter. Slectionnez linterface que vous voulez configurer. Vous devez en spcifier ladresse IP et le masque de rseau. Une
136
fois le membre dconnect, toutes les options daccs administratifs sont actives sur cette interface. IP/Masque de rseau Spcifiez ladresse IP et le masque de rseau de linterface. Vous pouvez utiliser cette adresse IP pour vous connecter cette interface et configurer le membre dconnect.
Cliquez sur OK. Le membre FortiGate est dconnect du cluster et celui-ci peut rengocier et slectionner un nouveau membre primaire. Linterface slectionne est configure avec ladresse IP et le masque de rseau spcifis.
R-adjoindre un membre FortiGate dconnect un cluster

Il est possible de reconnecter un membre FortiGate prcdemment dconnect au cluster en dfinissant le mode HA de ce membre pour quil corresponde au mode HA du cluster. En gnral le membre dconnect est r-adjoint en tant que membre subordonn et le cluster synchronise automatiquement sa configuration.
Remarque : Il nest pas ncessaire de modifier le mot de passe HA du membre dconnect moins que la HA ait t modifi aprs la dconnexion. Dconnecter un membre dun cluster naffecte pas le mot de passe HA.
Attention : Assurez-vous que la priorit du membre dconnect est bien infrieure la priorit du membre primaire. Si tel nest pas le cas, lors de la reconnexion du membre au cluster, celui-ci va rengocier et le membre r-adjoint deviendra le membre primaire. Ceci entrane une synchronisation de la configuration de ce membre tous les autres membres du cluster et pourrait causer une perturbation au sein du cluster.
La procdure suivante part des principes suivants : Le botier FortiGate dconnect du cluster est physiquement et correctement connect votre rseau et au hardware du cluster. Il nest pas en train doprer en mode HA. Il ne fait pas partie du cluster.
Avant de commencer cette procdure, il est conseill de prendre connaissance de la priorit du membre primaire. 1 Connectez-vous au membre FortiGate dconnect. Si les domaines virtuels sont activs, connectez-vous en tant quadministrateur admin et cliquez sur Configuration Globale. Slectionnez Systme > Configuration > HA. Modifiez le mode pour quil corresponde celui du cluster. Si ncessaire, modifiez le mot de passe HA pour quil corresponde celui du cluster. Affectez une priorit plus basse que la priorit du membre primaire. Cliquez sur OK. Le membre FortiGate dconnect r-adjoint le cluster.
2 3 4 5 6
137
Adresses MAC virtuelles dun cluster

Le FGCP affecte une adresse MAC virtuelle diffrente toutes les interfaces des membres primaires. Les sous-interfaces VLAN se voient affectes de la mme adresse MAC virtuelle que linterface laquelle elles ont t ajoutes. Le membre primaire envoie des paquets ARP libres pour mettre jour les commutateurs connects aux interfaces du cluster avec ladresse MAC virtuelle. Les commutateurs mettent jour leurs tables de relayage MAC avec cette adresse MAC. Les commutateurs dirigent alors tout le trafic rseau vers le membre primaire. En fonction de la configuration du cluster, le membre primaire soit traite le trafic rseau lui-mme, soit quilibre la charge du trafic rseau entre tous les membres du cluster.
Modification de lID de groupe HA

Dans la plupart des cas, le cluster opre avec lID de groupe zro. Cependant, dans le cas o il y aurait plus dun cluster FortiGate sur le mme rseau, chaque cluster devrait avoir un ID de groupe diffrent. Si deux clusters dun mme rseau ont un ID de groupe identique, des adresses MAC en double pourraient causer des conflits dadressage sur le rseau. Vous pouvez modifier lID groupe partir du CLI FortiGate. Pour plus dinformations ce sujet, voir FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate.
Mthode de calcul dune adresse MAC virtuelle

Une adresse MAC virtuelle est dtermine partir de la formule suivante : 00-09-0f-06-<group-id>-<idx> o <group-id> est lID groupe HA du cluster <idx> est une combinaison de lID du cluster virtuel auquel a t ajoute linterface et lindex de cette interface. Lavant-dernire partie dune adresse MAC virtuelle dpend de lID groupe HA et est identique pour chaque interface du cluster. La dernire partie dune adresse MAC virtuelle est diffrente pour chaque interface du cluster et est dtermine par lindex de linterface et par le cluster virtuel auquel a t ajout le domaine virtuel contenant linterface. Chaque interface des membres FortiGate a un index dinterface diffrent.
Exemple dadresses MAC virtuelles

Un FortiGate-500, oprant en mode HA, dont lID groupe HA na pas t modifi (par dfaut = 0) et dont les domaines virtuels nont pas t activs, aurait les adresses MAC virtuelles suivantes : MAC virtuelle de linterface dmz : 00-09-0f-06-00-00 MAC virtuelle de linterface externe: 00-09-0f-06-00-01 MAC virtuelle de linterface ha: 00-09-0f-06-00-02 MAC virtuelle de linterface interne: 00-09-0f-06-00-03 MAC virtuelle de linterface port1: 00-09-0f-06-00-04
138
MAC virtuelle de linterface port2: 00-09-0f-06-00-05 MAC virtuelle de linterface port3: 00-09-0f-06-00-06 MAC virtuelle de linterface port4: 00-09-0f-06-00-07 MAC virtuelle de linterface port5: 00-09-0f-06-00-08 MAC virtuelle de linterface port6: 00-09-0f-06-00-09 MAC virtuelle de linterface port7: 00-09-0f-06-00-0a MAC virtuelle de linterface port8: 00-09-0f-06-00-0b
Un FortiGate-5001, oprant en mode HA, avec domaines virtuels activs, dont lID groupe HA a t dfini sur 23, les ports 5 et 6 tant dans le vdom root (qui se trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes : MAC virtuelle de linterface port5: 00-09-0f-06-23-05 MAC virtuelle de linterface port6: 00-09-0f-06-23-06 MAC virtuelle de linterface port7: 00-09-0f-06-23-27 MAC virtuelle de linterface port8: 00-09-0f-06-23-28
Exemple de configuration dun clustering virtuel

Il nest pas ncessaire de configurer la haute disponibilit sparment pour chaque domaine virtuel pour simplifier la configuration dun clustering virtuel. Au lieu de cela, il suffit de crer une configuration globale HA similaire la configuration standard HA sans domaines virtuels. La configuration HA dun clustering virtuel comprend la configuration de partitionnement des domaines virtuels entre les deux clusters virtuels (appels Cluster Virtuel 1 et Cluster Virtuel 2). La configuration de partitionnement de domaines virtuels se fait en distribuant les domaines virtuels entre les deux clusters virtuels. La priorit de chaque membre du cluster doit tre dfinie pour chaque cluster virtuel. Par dfaut les deux membres ont la mme priorit dans chacun des clusters virtuels et cest le FGCP qui slectionne automatiquement le membre primaire pour chaque cluster virtuel. Une fois le cluster oprationnel, vous pouvez diviser les domaines virtuels entre les cluster virtuel 1 et 2 pour quils distribuent le trafic entre eux. Affectez ensuite la priorit de manire ce quun membre du cluster devienne le membre primaire du cluster virtuel 1 et que lautre membre devienne le membre primaire du cluster virtuel 2. Etant donn que cest le membre primaire qui traite tout le trafic pour un domaine virtuel, il en rsulte que les deux membres FortiGate du cluster traitent en dfinitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2 traite tout le trafic pour les domaines virtuels du cluster virtuel 2. A tout moment il est possible de dplacer les domaines virtuels du cluster virtuel 1 au cluster virtuel 2, et ce, pour ajuster lquilibrage de charge entre les membres du cluster. Cette section dcrit une configuration simple de domaine virtuel et son implmentation dans un cluster virtuel, de manire ce que le trafic reu soit trait
par les deux membres du cluster. La configuration du domaine virtuel est dcrite dans le tableau 7.
Tableau 7 : Exemple dune configuration dun domaine virtuel Domaine Virtuel root Description Comprend les interfaces port5 et port6. port5 est connect un rseau interne appel Site 1. port6 est connect un routeur externe et Internet. Tout le trafic du Site 1 est reu par le port5 et tout le trafic autoris est envoy vers Internet travers le port6. Comprend les interfaces port 7 et port8. port7 est connect un rseau interne appel Site 2. port8 est connect un routeur externe et Internet. Tout le trafic du Site 2 est reu par le port7 et tout le trafic autoris est envoy vers Internet travers le port8.
vdom_1
Ce cluster virtuel comprend deux FortiGate-5001 avec les noms dhte FortiGate_A et FortiGate_B. Le clustering virtuel est configur de manire ce que tout le trafic reu par le domaine virtuel root est trait par le botier FortiGate_A et tout le trafic reu par le domaine virtuel vdom_1 est trait par le botier FortiGate_B. La configuration du clustering est illustre dans les tableaux 8 et 9. Le cluster virtuel et la circulation du trafic travers le cluster est reprsent dans lillustration 61.
Tableau 8 : Configuration du Cluster Virtuel 1 Domaines Virtuels FortiGate_A root Priorit 200 Rle Primaire Tableau 9 : Configuration du Cluster Virtuel 2 Domaines Virtuels FortiGate_A vdom_1 Priorit 100 Rle Subordonn
Nom dhte FortiGate_B Priorit 100 Rle Subordonn
Nom dhte FortiGate_B Priorit 200 Rle Primaire
140
Illustration 61 : Partie dune configuration dun clustering virtuel avec deux membres FortiGate-5001
Pour connecter le domaine virtuel root, les interfaces des port5 des deux membres du cluster sont connectes un commutateur qui est aussi connect au rseau du Site 1. Les interfaces port6 des deux membres du cluster sont connectes un commutateur qui est aussi connect au routeur externe et Internet. Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux membres du cluster sont connectes un commutateur qui est aussi connect au rseau du Site 2. Les interfaces port8 des deux membres du cluster sont connectes un commutateur qui est aussi connect au routeur externe et Internet. Les clusters virtuels ont t configurs de manire ce que FortiGate_A soit le membre primaire du domaine virtuel root. Ds lors, tout le trafic destin au domaine virtuel root est reu et trait par le botier FortiGate_A. FortiGate_B est le membre primaire de vdom_1. Ds lors, tout le trafic destin vdom_1 est reu et trait par le botier FortiGate_B. Un des avantages dune telle configuration est lquilibrage de charge entre les membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de vdom_1. De cette manire la charge de tout le trafic est partage entre les membres du cluster. Dans le cas o FortiGate_A tombe en panne, FortiGate_B devient le membre primaire des deux clusters virtuels.
Administration de clusters virtuels

Les options de configuration et de maintenance disponibles lors dune connexion linterface graphique ou CLI dun cluster virtuel dpendent du domaine virtuel auquel vous vous connectez et du compte administrateur utilis. Si vous vous connectez un cluster en tant quadministrateur dun domaine virtuel, vous vous connectez directement ce domaine virtuel. Le clustering virtuel HA tant une configuration globale, les administrateurs des domaines virtuels nont pas accs aux options de configuration HA. Cependant, ils peuvent voir le nom dhte du membre du cluster auquel ils se connectent. Il sagit du nom dhte du membre primaire du domaine virtuel. Ces administrateurs peuvent galement slectionner de visualiser les messages journaliss pour chaque membre du cluster dans Journaux/Alertes > Journal.
141
Illustration 62 : Visualisation de messages journaliss dun domaine virtuel dans un cluster virtuel
Si vous vous connectez un cluster en tant quadministrateur admin, vous vous connectez la page de linterface graphique Configuration des Domaines Virtuels ou au CLI gnral. Vous vous connectez galement une interface et au domaine virtuel auquel cette interface a t ajoute. Le domaine virtuel auquel vous vous connectez ne diffre pas beaucoup quant ses oprations de configuration et de maintenance. Il existe cependant certaines exceptions. Vous vous connectez au FortiGate qui opre en tant que membre primaire pour le domaine virtuel. Ds lors le nom dhte affich est le nom dhte du membre primaire. La liste des membres du cluster diffre selon le membre du cluster. Dans lexemple dcrit la page 139 Exemple de configuration dun clustering virtuel , si vous connectez le port5, vous vous connectez au FortiGate_A (FortiGate_A saffiche dans la barre de titres de linterface graphique). Slectionnez Configuration Globale et ensuite Systme > Configuration > HA. A partir de chaque liste de membres, vous pouvez slectionner Editer pour le botier FortiGate_A pour modifier la configuration HA du cluster virtuel et dfinir les priorits du FortiGate_A dans le cluster virtuel 1 et dans le cluster virtuel 2. En slectionnant Editer pour le botier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom dhte du FortiGate_B, ainsi que la priorit de FortiGate_B dans le cluster virtuel 1. En slectionnant Editer pour le botier FortiGate_B dans le cluster virtuel 2, vous pouvez modifier le nom dhte du FortiGate_B, ainsi que la priorit de FortiGate_B dans le cluster virtuel 2.
Illustration 63 : Exemple dun cluster virtuel affichant la liste des membres du cluster FortiGate_A
Connectez-vous au port7 pour vous connecter au FortiGate_B (FortiGate_B saffiche dans la barre de titre de linterface graphique). Slectionnez Configuration Globale et ensuite Systme > Configuration > HA. A partir de chaque liste de membres, vous pouvez slectionner Editer pour le botier FortiGate_B pour modifier la configuration HA du cluster virtuel et dfinir les
priorits du FortiGate_B dans le cluster virtuel 1 et dans le cluster virtuel 2. En slectionnant Editer pour le botier FortiGate_A dans le cluster virtuel 1, vous pouvez modifier le nom dhte du FortiGate_A, ainsi que la priorit de FortiGate_A dans le cluster virtuel 1. En slectionnant Editer pour le botier FortiGate_A dans le cluster virtuel 2, vous pouvez modifier le nom dhte du FortiGate_A, ainsi que la priorit de FortiGate_A dans le cluster virtuel 2.
Illustration 64 : Exemple dun cluster virtuel affichant la liste des membres du cluster FortiGate_B
Exemple de configuration en maillage intgral HA

Lillustration 65 reprsente une configuration en maillage intgral HA avec un cluster de deux membres FortiGate-5001. Cette section dcrit les paramtres de configuration FortiGate et les composants requis pour ce type de configuration. Cette section parcourt galement des exemples de dmarches pour linstallation dune configuration en maillage intgral HA. Les procdures reprises dans cette section reprsentent une squences de dmarches possible parmi plusieurs pour configurer une configuration en maillage intgral HA. Une fois que vous serez plus expriment avec FortiOS, HA et le maillage intgral HA, rien ne vous empche dutiliser une squence de dmarches diffrente. Par commodit, les procdures suivantes partent du principe que le botier FortiGate est configur avec les paramtres par dfaut. Cependant, ceci nest pas une ncessit pour un dploiement HA russi. La HA FortiGate est suffisamment flexible pour supporter une configuration partir de paramtres de dpart varis. Les procdures dcrivent comment configurer un cluster oprant en mode NAT/Route, puisquil sagit du mode de fonctionnement par dfaut. Cependant les dmarches sont les mmes pour un cluster oprant en mode Transparent. Vous pouvez passer en mode Transparent, soit avec le commencement des procdures, soit aprs la configuration HA, alors que le cluster dj connect est oprationnel. Configuration en maillage intgral HA FortiGate-5001 Configuration de commutateurs en maillage intgral Connexions rseau en maillage intgral
143
Circulation des paquets du rseau interne travers le cluster en maillage intgral et vers lInternet Configurer les FortiGate-5001 pour oprer en HA Ajouter des interfaces redondantes au cluster Connecter le cluster votre rseau
Illustration 65 : Exemple de configuration en maillage intgral HA
Configuration en maillage intgral HA FortiGate-5001

Les deux membres FortiGate-5001 (1 et 2) peuvent oprer en mode NAT/Route ou Transparent. En plus des paramtres HA standard, la configuration des FortiGate5001 comprend les paramtres suivants : Les interfaces port9 et port10 sont configures comme interfaces de heartbeat HA (dans la configuration par dfaut). Les interfaces port1 et port2 sont ajoutes une interface redondante. Port1 est linterface physique active de cette interface redondante. Les interfaces port3 et port4 sont ajoutes une interface redondante. Port3 est linterface physique active de cette interface redondante.
Une configuration en maillage intgral HA comprend galement des interfaces de heartbeat HA. Lorsque les FortiGate-5001 sont installs dans un chssis
FortiGate-5020, les interfaces redondantes port9 et port10 de heartbeat HA sont connectes via le fond de panier du chssis. Par contre, dans le cas o les FortiGate-5001 sont installs dans un chssis FortiGate-5050 ou FortiGate-5140, il est ncessaire dinstaller des cartes de commutation FortiSwitch redondantes (par exemple deux FortiGate-5003).
Configuration de commutateurs en maillage intgral

Repris dans lexemple, deux commutateurs (ou concentrateurs optiques quivalents), appels commutateur 1 et commutateur 2, et connects au rseau interne. Un lien ISL (interswitch-link) relie les commutateurs 1 et 2. Egalement, deux autres commutateurs (ou concentrateurs optiques quivalents), appels commutateur 3 et commutateur 4, et connects au rseau externe. Un lien ISL (interswitch-link) relie les commutateurs 3 et 4.
Connexions rseau en maillage intgral

Crez les connexions rseau physiques suivantes pour le botier FortiGate 1 : Port1 au commutateur 1 (actif) Port2 au commutateur 2 (inactif) Port3 au commutateur 3 (actif) Port4 au commutateur 4 (inactif)
Crez les connexions rseau physiques suivantes pour le botier FortiGate 2 : Port1 au commutateur 2 (actif) Port2 au commutateur 1 (inactif) Port3 au commutateur 4 (actif) Port4 au commutateur 3 (inactif)
Circulation des paquets du rseau interne travers le cluster en maillage intgral et vers lInternet
Dans le cas o le cluster opre en mode actif-passif et que le botier FortiGate 2 est le membre primaire, tous les paquets prennent le chemin suivant, du rseau interne vers Internet : 1 Du rseau interne au commutateur 2. (Le commutateur 2 est la connexion active au FortiGate 2, le membre primaire dans notre exemple. Cest donc le membre primaire qui reoit tous les paquets). Du commutateur 2 linterface port1 du FortiGate 2. (Connexion active entre le commutateur 2 et le botier FortiGate 2. Port1 est le membre actif de linterface redondante). Du port1 du FortiGate 2 au port3 du FortiGate 2 (Connexion active entre le commutateur 4 et le botier FortiGate 2. Port1 est le membre actif de linterface redondante). Du commutateur 4 au routeur externe et vers Internet.
145
Configurer les FortiGate-5001 pour oprer en HA

Tous les membres FortiGate-5001 du cluster doivent tre configurs identiquement quant leurs paramtres HA. La procdure suivante parcourt la configuration des membres FortiGate-5001 pour oprer en HA. Voir Options HA la page 114 pour plus dinformations sur les options HA reprises dans cette procdure. 1 2 3 Installez les FortiGate-5001, ainsi que les cartes de commutations FortiSwitch dans le chssis et mettez ensuite le chssis sous tension. Connectez-vous linterface dadministration web dun des FortiGate-5001. Facultativement, vous pouvez donner un nom dhte au FortiGate. Voir Modification du nom dhte du FortiGate la page 52 . Les noms dhte servent identifier les membres du cluster individuellement. Slectionnez Systme > Configuration > HA. Dfinissez le mode Actif-Passif ou Actif-Actif. Entrez un mot de passe pour le cluster. Celui-ci doit tre identique pour tous les membres FortiGate du cluster. Cliquez sur OK.
4 5 6 7
Remarque : Vous pouvez maintenir la configuration par dfaut des options HA restantes et les modifier plus tard, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK, la connexion du FortiGate risque dtre perdue pendant un moment car le cluster HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez la commande CLI similaire arp d. 8 Rptez cette procdure pour lautre membre FortiGate-5001 du cluster. Les membres FortiGate-5001 ngocient pour former un cluster.
Ajouter des interfaces redondantes au cluster

Une fois le cluster oprationnel, vous pouvez lui ajouter des interfaces redondantes avant dintgrer dadditionnelles modifications de configuration. Vous ne pouvez pas ajouter des interfaces physiques une interface redondante si les interfaces physiques ont t configures avec une adresse IP (ou dautres options de configuration dinterface) ou encore si celles-ci sont comprises dans dautres paramtres de configuration. Les procdures suivantes dcrivent comment ajouter port1 et port2 une interface redondante et port3 et port4 une autre. A partir de la configuration par dfaut, il est ncessaire de supprimer les adresses IP de port1 et port2, ainsi que port2 de la route par dfaut. La procdure suivante ne rentre pas dans les dtails et nexplique pas comment maintenir une connexion linterface graphique pendant la dmarche ci-dessous. Il y a plusieurs faons daccomplir les tapes de la procdure et cela dpend de votre configuration. Par exemple, vous pouvez utiliser une connexion console linterface de ligne de commande pour configurer une
146
interface diffrente (par exemple port5) avec une adresse IP et un accs administratif. 1 2 3 4 5 6 Connectez-vous linterface dadministration web du cluster. Slectionnez Systme > Rseau > Interface. Editer le port1 et affectez lui lIP/Masque de rseau 0.0.0.0/0.0.0.0 Editer le port2 et affectez lui lIP/Masque de rseau 0.0.0.0/0.0.0.0 Slectionnez Routeur > Static > Route Statique. Supprimez la route par dfaut, ainsi que toutes les routes ventuellement ajoutes aux port1, port2, port3 et port4. Vous pouvez galement diter des routes statiques pour configurer le dispositif sur un nom dinterface diffrent. Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau et ajoutez la premire interface redondante.
Nom Type Membres de linterface physique Mode dAdressage R_Int_1_2 Interface Redondante Ajouter port1 et port2 la liste des Interfaces Slectionnes. Slectionnez le mode dadressage requis pour votre rseau et ajoutez un IP/Masque de rseau si ncessaire.
7 8
Cliquez sur Crer Nouveau et ajoutez la deuxime interface redondante.

Nom Type Membres de linterface physique Mode dAdressage R_Int_3_4 Interface Redondante Ajouter port3 et port4 la liste des Interfaces Slectionnes. Slectionnez le mode dadressage requis pour votre rseau et ajoutez un IP/Masque de rseau si ncessaire.
Connecter le cluster votre rseau

La procdure suivante permet de connecter le cluster de deux membres FortiGate5001 une configuration en maillage intgral HA. Elle dcrit les connexions des interfaces des FortiGate 1 et 2 tels que reprsentes dans lillustration 65 la page 144. 1 Etablissez les connexions rseau physiques suivantes pour le botier FortiGate 1 : 2 Connectez le port1 du FortiGate-5001 au commutateur 1. Connectez le port2 du FortiGate-5001 au commutateur 2. Connectez le port3 du FortiGate-5001 au commutateur 3. Connectez le port4 du FortiGate-5001 au commutateur 4.
Etablissez les connexions rseau physiques suivantes pour le botier FortiGate 2 : Connectez le port1 du FortiGate-5001 au commutateur 2. Connectez le port2 du FortiGate-5001 au commutateur 1. Connectez le port3 du FortiGate-5001 au commutateur 4.
147
3 4 5
Connectez le port4 du FortiGate-5001 au commutateur 3.
Connectez les commutateurs 1 et 2 au rseau interne. Connectez les commutateurs 3 et 4 au routeur externe. Activez la communication ESL entre les commutateurs 1 et 2 et entre les commutateurs 3 et 4. La configuration en maillage intgral HA de base est prsent termine. Vous pouvez configurer le cluster de la mme manire quun quipement FortiGate autonome. Vous pouvez mettre le cluster en service et modifier les paramtres HA de la mme manire quun cluster HA standard.
Maillage intgral HA pour clustering virtuel

Les FortiGate-800 et plus supportent la configuration en maillage intgral HA pour les clusters FortiGate oprant en tant que cluster virtuel. La configuration en maillage intgral HA dun clustering virtuel consiste en une expansion du maillage intgral HA chaque domaine virtuel du cluster. Par exemple, un cluster de deux FortiGate-5001 peut oprer comme un cluster HA dont les domaines virtuels et le clustering virtuel sont activs. Le cluster peut tre configur avec deux domaines virtuels : le domaine virtuel root et vous pouvez ajouter un domaine virtuel appel vdom_1. Le domaine virtuel root peut comprendre les interfaces suivantes : Interface redondante R_Int_1_2 comprenant les interfaces physiques port1 et port2. R_Int_1_2 peut tre connecte des commutateurs redondants euxmmes connects un rseau interne. Interface redondante R_Int_3_4 comprenant les interfaces physiques port3 et port4. R_Int_3_4 peut tre connecte des commutateurs redondants euxmmes connects Internet.
Le domaine virtuel vdom_1 peut comprendre les interfaces suivantes : Interface redondante R_Int_5_6 comprenant les interfaces physiques port5 et port5. R_Int_5_6 peut tre connecte des commutateurs redondants euxmmes connects un rseau interne. Interface redondante R_Int_7_8 comprenant les interfaces physiques port7 et port8. R_Int_7_8 peut tre connecte des commutateurs redondants euxmmes connects Internet.
Les domaines virtuels supportent des configurations mixtes maillage intgral et HA classique. Par exemple, vous pouvez configurer en maillage intgral HA le domaine virtuel root et procder une configuration HA classique pour le domaine virtuel vdom_1.
Remarque : Les interfaces physiques ajoutes une interface redondante doivent tre ajoutes au mme domaine virtuel que linterface redondante avant mme dtre ajoutes linterface redondante.
148
HA et interfaces redondantes
Sur les modles FortiGate-800 et plus, vous pouvez utiliser des interfaces redondantes pour combiner deux ou plusieurs interfaces en une seule interface redondante. Pour plus dinformations sur lajout dinterfaces redondantes, voir Cration dune interface redondante la page 67. Ladresse MAC de linterface redondante est celle de la premire interface rpertorie dans la liste des interfaces ajoutes la configuration de linterface redondante. La liste de ces interfaces apparat dans lordre alphabtique. Ds lors, dans lexemple o linterface redondante comprend les port1 et port2, linterface redondante apparat seule sur le rseau avec ladresse MAC du port1. Un cluster HA avec une interface redondante peut par exemple comprendre deux botiers FortiGate-800 oprant en mode HA et installs entre un serveur rseau et Internet. La connexion entre le cluster et le serveur rseau consiste en une connexion de linterface redondante vers port1 et port2 des botiers FortiGate-800 dans le cluster. Linterface redondante est configure comme une interface HA contrle. Le commutateur est galement connect au serveur rseau. Le cluster est connect Internet via une connexion gigabyte un commutateur. Le commutateur se connecte aux ports4 des deux membres FortiGate-800 dans le cluster.
Illustration 66 : Exemple dun cluster avec une interface redondante
Surveillance de linterface HA, rplication de lien et interfaces redondantes

La surveillance de linterface HA contrle linterface redondante comme une interface unique et ne contrle donc pas les interfaces physiques individuelles dans linterface redondante. Cette surveillance enregistre une dfaillance de linterface redondante uniquement si toutes les interfaces physiques de cette interface redondante sont en panne. Si seules certaines de ces interfaces physiques sont en panne ou dconnectes, la haute disponibilit considre linterface redondante comme oprant normalement.
149
Adresses MAC HA et interfaces redondantes

Dans le cas dun botier FortiGate autonome, une interface redondante possde ladresse MAC de la premire interface physique dans la configuration de linterface redondante. Une interface redondante comprenant port1 et port2 aurait ladresse MAC de port1. Dans un cluster HA, la haute disponibilit modifie les adresses MAC des interfaces du cluster en adresses MAC virtuelles. Une interface redondante dans un cluster obtient ladresse MAC virtuelle quaurait d obtenir la premire interface physique qui apparat dans la configuration de linterface redondante.
Connexion de multiples interfaces redondantes un commutateur en mode HA actif-passif

LHA affecte les mmes adresses MAC virtuelles aux interfaces du membre subordonn quaux interfaces correspondantes du membre primaire. Prenons lexemple dun cluster compos de deux FortiGate oprant en mode actif-passif avec une interface redondante comprenant des port1 et port2. Vous pouvez connecter de multiples interfaces redondantes au mme commutateur si vous le configurez de manire ce quil dfinisse de multiples interfaces redondantes spares et mettent les interfaces redondantes de chaque membre du cluster dans des interfaces redondantes spares. Avec une telle configuration, chaque membre du cluster forme une interface redondante spare avec le commutateur. Cependant, si le commutateur est configur avec une configuration dinterface redondante unique 4-ports (parce que les mmes adresses MAC sont utilises par les deux membres du cluster), le commutateur ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du membre subordonn) la mme interface redondante. Pour viter des rsultats imprvisibles, lors de la connexion du commutateur des interfaces redondantes dans un cluster actif-passif, il est conseill de configurer des interfaces redondantes spares sur le commutateur, une pour chaque membre du cluster.
Connexion de multiples interfaces redondantes un commutateur en mode HA actif-actif

Dans un cluster actif-actif, tous les membres du cluster reoivent et envoient des paquets. Pour crer un cluster avec interfaces redondantes en mode actif-actif, avec de multiples interfaces redondantes connectes au mme commutateur, vous devez sparer les interfaces redondantes de chaque membre du cluster en interfaces redondantes diffrentes sur le commutateur connect.
HA et interfaces agrges 802.3ad

Sur les modles FortiGate-800 et plus, vous pouvez utiliser une agrgation 802.3ad pour combiner deux ou plusieurs interfaces en une interface agrge unique. A propos des agrgations 802.3ad, voir Cration dune interface agrge 802.3ad la page 66. Une interface agrge acquiert son adresse MAC de la premire interface de la liste des interfaces ajoutes lagrgation. Les interfaces sont rpertories dans la configuration agrge par ordre alphabtique. Ainsi, par exemple, si une
150
agrgation comprend les port1 et port2, linterface agrge apparat sur le rseau comme une interface unique avec ladresse MAC du port1. Un cluster HA avec une interface agrge peut comprendre deux FortiGate-800 oprant en mode HA. Ces deux membres FortiGate-800 sont connects Internet via une connexion gigabyte un commutateur. Le commutateur se connecte au port4 des deux membres FortiGate-800 du cluster. Les domaines virtuels ne sont pas configurs. Un serveur rseau est connect un commutateur via deux connexions 100 Mbit/s. Le commutateur utilise des connexions dagrgation de liens (2 x 100Mbit/s) pour se connecter aux port1 et port2 des membres FortiGate-800 du cluster. Linterface agrge est configure comme une interface HA sous contrle.
Illustration 67 : Exemple dun cluster avec interfaces agrges
Surveillance dinterface HA, rplication de lien et agrgation 802.3ad

La surveillance de linterface HA contrle linterface agrge comme une interface unique et ne contrle pas les interfaces physiques individuelles dans lagrgation. Cette surveillance enregistre une dfaillance de linterface agrge uniquement si toutes les interfaces physiques de cette interface agrge sont en panne. Si seules certaines de ces interfaces physiques sont en panne ou dconnectes, la haute disponibilit considre linterface agrge comme oprant normalement.
Adresses MAC HA et agrgation 802.3ad

Si une configuration agrge lien utilise le Link Aggregate Control Protocol (LACP), soit passif ou actif, ce protocole est ngoci par del toutes les interfaces de toute agrgation. Dans le cas dun botier FortiGate autonome, limplmentation du LACP FortiGate utilise ladresse MAC de la premire interface physique dans la configuration de lagrgation pour identifier uniquement cette agrgation. Une interface agrge comprenant port1 et port2 aurait ladresse MAC de port1. Dans un cluster HA, la haute disponibilit modifie les adresses MAC des interfaces du cluster en adresses MAC virtuelles. Une interface agrge dans un cluster obtient ladresse MAC virtuelle quaurait d obtenir la premire interface de lagrgation.
151
Mode HA actif-passif et LACP

La haute disponibilit affecte les mmes adresses MAC virtuelles aux interfaces du membre subordonn que celles affectes aux interfaces correspondantes du membre primaire. Prenons lexemple dun cluster de deux FortiGate oprant en mode actif-passif avec une interface agrge comportant les port1 et port2. Vous pouvez connecter de multiples interfaces agrges au mme commutateur si vous le configurez de manire ce quil dfinisse des agrgations spares. Le commutateur place ensuite les interfaces de chaque membre du cluster dans des agrgations spares. Avec une telle configuration, chaque membre du cluster forme une agrgation spare avec le commutateur. Cependant si le commutateur est configur avec un agrgation unique de quatre ports et puisque les mmes adresses MAC sont utilises par les deux membres du cluster, le commutateur ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du membre subordonn) la mme agrgation. Cela engendre des problmes puisque le commutateur distribue le trafic travers les quatre interfaces de lagrgation. Ainsi, le trafic pourrait tre reu par une interface du membre primaire et renvoy par une interface connecte au membre subordonn. Pour empcher ce problme, lors de la connexion du commutateur aux interfaces agrges dun cluster en mode actif-passif, vous devriez configurer des agrgations spares sur le commutateur ; un pour chaque membre du cluster. Si vous devez malgr tout ajouter les deux membres FortiGate la mme agrgation, vous pouvez empcher le membre subordonn denvoyer ou daccepter des paquets LACP en dfinissant le mot-cl CLI config system interface lacp-ha-slave sur disable. De cette manire, le membre subordonn ne participe pas lagrgation. En cas de rplication, lorsque le membre subordonn devient le nouveau membre primaire, ce dernier commence envoyer et recevoir des paquets LACP et rejoint lagrgation. La commande lacpha-slave est active par dfaut. Voir le FortiGate CLI Reference pour plus dinformations sur le mot-cl lacp-ha-slave.
SNMP
Vous pouvez configurer lagent SNMP FortiGate pour transmettre des rapports sur les informations du systme et envoyer des traps (alarmes et messages sur les vnements) aux superviseurs SNMP. A laide de lun de ces superviseurs, vous pouvez accder aux traps et donnes SNMP partir de nimporte quelle interface FortiGate ou sous-interface VLAN configure pour un accs administratif SNMP. Limplmentation FortiGate SNMP est autorise en lecture uniquement. Les superviseurs compatibles SNMP v1 et v2c ne possdent que les droits en lecture des informations sur le systme FortiGate et reoivent des traps FortiGate. Pour contrler les informations sur le systme FortiGate et recevoir les traps FortiGate, vous devez compiler les MIB prives Fortinet ainsi que les MIB standard supportes par votre superviseur SNMP. Le support des RFC intgre le support de la majorit des informations de la RFC 2665 (MIB type Ethernet) ainsi que de celle de la RFC 1213 (MIB II) (Pour plus dinformations, voir MIB FortiGate la page 156).
152
Configuration SNMP
Pour configurer lagent SNMP, slectionnez Systme > Configuration > SNMP v1/v2c.
Illustration 68 : Configuration SNMP
Activer SNMP Description
Active lagent SNMP FortiGate. Entrez une information descriptive propos du FortiGate. Cette information ne doit pas dpasser 35 caractres. Entrez la localisation physique du botier FortiGate. Cette information ne doit pas dpasser 35 caractres. Entrez les informations de contact de la personne responsable de ce botier FortiGate. Cette information ne doit pas dpasser 35 caractres. Enregistre les modifications apportes la description, la localisation et au contact. Cliquez sur Crer Nouveau pour ajouter une nouvelle communaut SNMP. Voir Configuration dune communaut SNMP la page 154. La liste des communauts SNMP ajoutes la configuration FortiGate. Vous pouvez ajouter jusqu trois communauts. Le nom de la communaut. Le statut des requtes SNMP de chaque communaut SNMP. Ce statut peut tre activ ou dsactiv. Le statut des traps SNMP de chaque communaut SNMP. Ce statut peut tre activ ou dsactiv. Active une communaut. Supprime une communaut SNMP. Permet de modifier ou visualiser une communaut SNMP.
Localisation Contact
Appliquer Crer Nouveau
Communauts
Nom Requtes Traps Activer Icne Supprimer Icne Editer/Visualiser
153
Configuration dune communaut SNMP

Une communaut SNMP est un regroupement dquipements dans un objectif dadministration de rseaux. La cration de communauts permet aux superviseurs SNMP de se connecter lquipement FortiGate pour prendre connaissance des informations sur le systme et pour recevoir des traps SNMP. Vous pouvez crer jusqu trois communauts. Chacune dentre elles peut tre configure diffremment pour les requtes et traps SNMP. Chaque communaut peut tre configure pour contrler diffrents types dvnements du botier FortiGate. Vous pouvez galement ajouter jusqu 8 adresses IP de superviseurs SNMP chaque communaut.
Illustration 69 : Options pour les communauts SNMP (partie 1)
Illustration 70 : Options pour les communauts SNMP (partie 2)
Communaut Serveur SNMP
Entrez un nom didentification de la communaut. Entrez ladresse IP et identifiez les superviseurs SNMP qui peuvent utiliser les paramtres de cette communaut SNMP pour surveiller lquipement FortiGate. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
154
Adresse IP
Entrez ladresse IP dun superviseur SNMP qui peut utiliser les paramtres de la communaut pour surveiller lquipement FortiGate. Vous pouvez galement dfinir ladresse IP sur 0.0.0.0 pour que tout superviseur SNMP puisse utiliser cette communaut. Facultativement, slectionnez le nom de linterface que ce superviseur SNMP utilise pour se connecter lquipement FortiGate. Cette dmarche est ncessaire que si le superviseur SNMP nest pas sur le mme sous-rseau que lquipement FortiGate. Cest le cas par exemple dun superviseur passant par Internet ou plac derrire un routeur. Cliquez sur licne supprimer du superviseur que vous dsirez supprimer. Crer une nouvelle ligne dans la liste Serveur SNMP. Il est possible dajouter jusqu 8 superviseurs SNMP une communaut. Entrez le numro du port (161 par dfaut) utilis par les superviseurs de cette communaut pour les requtes SNMP v1 et SNMP v2c pour recevoir des informations sur la configuration de la part du botier FortiGate. Cochez les cases Activer pour activer les requtes de chaque version SNMP. Entrez les numros de ports local et distant (port 162 par dfaut pour chacun) que le botier FortiGate utilise pour envoyer des traps SNMP v1 et SNMP v2c vers les superviseurs SNMP de cette communaut. Cochez les cases Activer pour activer les traps pour chaque version SNMP. Cochez les cases Activer des vnements SNMP dont les traps doivent tre envoys aux superviseurs SNMP de cette communaut par le botier FortiGate.
Interface
Supprimer Ajouter
Requtes
Traps
Evnements SNMP
Configurer une interface pour un accs SNMP

Afin de permettre les connexions dun superviseur SNMP distance un agent FortiGate, il est ncessaire de configurer une ou plusieurs interfaces SNMP pour accepter les connexions SNMP. 1 2 3 4 Slectionnez Systme > Rseau > Interface. Cliquez sur licne Editer dune interface laquelle se connecte un superviseur SNMP. Dans la section Administration, cochez la case SNMP. Cliquez sur OK.
Configurer un accs SNMP en mode Transparent

1 2 3 Slectionnez Systme > Configuration > Operation Mode. Entrez ladresse IP utilise pour laccs administratif et le masque de rseau dans le champ IP/Masque de rseau de gestion. Cliquez sur Appliquer.
155
Vous devez configurer une ou plusieurs interfaces dans votre VDOM pour accepter laccs SNMP.
MIB FortiGate
Lagent SNMP FortiGate supporte les MIB prives FortiGate, ainsi que les MIB standard des RFC 1213 et RFC 2665. Le support RFC comprend un support pour les parties de la RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB II) qui sappliquent la configuration du FortiGate. Les MIB FortiGate, ainsi que les deux MIB RFC sont rpertories dans le tableau 10. Ces fichiers MIB sont disponibles au Support Technique Fortinet. Pour pouvoir communiquer avec lagent SNMP, vous devez compiler toutes ces MIB dans votre superviseur SNMP. Il est probable que votre superviseur SNMP contiennent dj des MIB standard et prives dans une base de donnes prte lemploi. Il est cependant ncessaire dajouter les MIB prives Fortinet cette base de donnes. Dans le cas o les MIB standard utilises par lagent SNMP Fortinet sont dj compiles dans votre superviseur SNMP, il nest pas ncessaire de les recompiler.
Tableau 10 : MIB FortiGate Nom de ficher MIB ou RFC fortinet.3.00.mib
Description La MIB prive Fortinet comprend des informations dtailles sur la configuration du systme et sur les traps. Votre superviseur SNMP requiert ces informations pour surveiller les paramtres de configuration FortiGate et recevoir les traps de lagent SNMP FortiGate. Voir Traps FortiGate ci-dessous et Champs MIB Fortinet la page 158. Lagent SNMP FortiGate supporte les groupes MIB II avec les exceptions suivantes : Pas de support pour le groupe EGP de MIB II (RFC 1213, section 3.11 et .10). Les statistiques sur le protocole renvoyes pour les groupes MIB II (IP/ICMP/TCP/UDP/etc.) ne capturent pas prcisment toute lactivit du trafic FortiGate. Des informations plus prcises peuvent tre obtenue par les informations reportes par la MIB Fortinet. Lagent SNMP FortiGate supporte les informations MIB type Ethernet lexception de : Pas de support pour les groupes dot3Tests et dot3Errors.
RFC-1213 (MIB II)
RFC-2665 (MIB type Ethernet)
Traps FortiGate
Lagent FortiGate peut envoyer des traps aux superviseurs SNMP des communauts SNMP. La rception des traps ne peut se faire quaprs avoir charg et compil la MIB Fortinet 3.0 sur le superviseur SNMP. Tous les traps comprennent le message trap ainsi que le numro de srie du botier FortiGate.
156
Tableau 11 : Traps FortiGate gnriques Message trap Description ColdStart WarmStart LinkUp LinkDown Traps standard tels que dcrits dans la RFC 1215.
Tableau 12 : Traps Systme FortiGate Message trap Description CPU usage high (fnTrapCpuHigh) Memory low (fnTrapMemLow) Interface IP change (fnTrapIfChange) Le taux CPU dpasse 90%. Le taux mmoire dpasse 90% Modification dune adresse IP sur une interface FortiGate. Le message trap comprend le nom de linterface, la nouvelle adresse IP et le numro de srie du botier FortiGate. Vous pouvez utiliser ce trap pour trouver les modifications dadresse IP des interfaces dont les adresses IP dynamiques sont dfinies via DHCP ou PPPoE. Pas de message. Linterface change dIP. Envoy uniquement pour contrler le FortiManager. Tout changement apport au FortiGate, lexception des changements apports par un FortiManager connect.
(fnFMTrapIfChange) (fnFMTrapConfChange)
Tableau 13 : Traps VPN FortiGate Message trap Description VPN tunnel is up (fnTrapVpnTunUp) VPN tunnel down (fnTrapVpnTunDown) Un tunnel VPN IPSec commence. Un tunnel VPN IPSec se ferme.
Tableau 14 : Traps IPS FortiGate Message trap Description IPS Anomaly (fnTrapIpsAnomaly) IPS Signature (fnTrapIpsSignature) Anomalie IPS dtecte. Signature IPS dtecte.
Tableau 15 : Traps antivirus FortiGate Message trap Description Virus detected (fnTrapAvEvent) Le botier FortiGate dtecte un virus et le supprime du fichier infect du tlchargement HTTP ou FTP ou du message email.
Tableau 16 : Traps logging FortiGate Message trap Description Log full (fnTrapLogFull) Sur un quipement FortiGate muni dun disque dur, lutilisation du disque dpasse 90%. Sur un quipement FortiGate non muni dun disque dur, lutilisation de la journalisation en mmoire dpasse 90%.
157
Tableau 17 : Traps HA FortiGate Message trap Description HA switch (fnTrapHaSwitch) Le membre primaire dun cluster tombe en panne et est remplac par un nouveau membre primaire.
Tableau 18 : Traps FortiBridge Message trap Description FortiBridge detects fail (fnTrapBridge) Un quipement FortiBridge dtecte une panne dun quipement FortiGate.
Champs MIB Fortinet

Les MIB Fortinet comprennent des champs concernant les statuts courants du systme FortiGate. Les tableaux ci-dessous rpertorient les noms des champs MIB et leur description. Des informations plus dtailles sur les champs MIB Fortinet sont disponibles en compilant le fichier fortinet.3.00.mib sur votre superviseur SNMP et en parcourant les champs MIB Fortinet.
Tableau 19 : Champs MIB du systme Champ MIB Description fnSysModel fnSysSerial fnSysVersion fnSysVersionAv fnSysVersionNids fnSysHaMode fnSysOpMode fnSysCpuUsage fnSysMemUsage fnSysSesCount fnSysDiskCapacity fnSysDiskUsage Le numro du modle botier FortiGate, par exemple 400 pour un FortiGate-400. Le numro de srie de lquipement FortiGate. La version du microcode install sur lquipement FortiGate. La version de la base de connaissance antivirus installe sur lquipement FortiGate. La version de la base de connaissance des attaques installe sur lquipement FortiGate. Le mode HA en cours (stand alone, A-A, A-P). Le mode de fonctionnement en cours (NAT ou Transparent). Le taux CPU (en pourcentage). Le taux dutilisation de la mmoire (en Mbit). Le compteur de sessions IP en cours. La capacit du disque dur (Mbit). Lusage en cours du disque dur (Mbit).
Tableau 20 : Champs MIB HA Champ MIB Description fnHaSchedule fnHaStatsTable Horaire pour lquilibrage de charge en mode A-A. Statistiques pour les membres individuels FortiGate dun cluster HA. fnHaStatsIndex fnHaStatsSerial fnHaStatsCpuUsage fnHaStatsMemUsage fnHaStatsNetUsage fnHaStatsSesCount fnHaStatsPktCount Le numro de lindex du membre dans le cluster. Le numro de srie du membre FortiGate. Le taux CPU du membre FortiGate (%). Le taux usage de la mmoire du membre FortiGate. Lutilisation rseau en cours (Kbit/s). Le nombre de sessions actives. Le nombre de paquets traits.
158
fnHaStatsByteCount fnHaStatsIdsCount fnHaStatsAvCount
Le nombre doctets traits par le membre FortiGate. Le nombre dattaques dtectes par lIPS les dernires 20 heures. Le nombre de virus dtects par lantivirus les dernires 20 heures.
Tableau 21 : Comptes Administrateurs Champ MIB Description fnAdminNumber fnAdminTable Le nombre dadministrateurs sur lquipement FortiGate. Le tableau des administrateurs. fnAdminIndex fnAdminName fnAdminAddr Le numro de lindex du compte administrateur. Le nom du compte administrateur. Une adresse dun hte ou sous-rseau de confiance partir duquel ce compte administrateur peut tre utilis. Le masque de rseau de fnAdminAddr.
fnAdminMask Tableau 22 : Utilisateurs locaux Champ MIB Description fnUserNumber fnUserTable
Le nombre de comptes utilisateurs locaux sur lquipement FortiGate. Le tableau des utilisateurs locaux. fnUserIndex fnUserName fnUserAuth Le numro de lindex du compte de lutilisateur local. Le nom du compte de lutilisateur local. Le type dauthentification pour lutilisateur local : local un mot de passe sauvegard sur lquipement FortiGate. radius-single un mot de passe sauvegard sur un serveur RADIUS. radius-multiple tous les utilisateurs qui peuvent sauthentifier sur un serveur RADIUS peuvent se connecter. ldap un mot de passe sauvegard sur un serveur LDAP. Etat de lutilisateur local : activ ou dsactiv.
fnUserState
Tableau 23 : Options Champ MIB fnOptIdleTimeout fnOptAuthTimeout fnOptLanguage fnOptLcdProtection
Description La priode dinactivit en minutes aprs laquelle un administrateur doit se rauthentifier. La priode dinactivit en minutes aprs laquelle un utilisateur doit se rauthentifier avec un pare-feu. La langue de linterface dadministration web. Dans le cas o un PIN LCD a t envoy.
159
Tableau 24 : Journalisation Champ MIB Description fnLogOption Les prfrences en matire de journalisation.
Tableau 25 : Messages personnaliss Champ MIB Description fnMessages Le nombre de messages personnaliss sur lquipement FortiGate.
Tableau 26 : Domaines virtuels Champ MIB Description fnVdNumber fnVdTable Le nombre de domaines virtuels sur lquipement FortiGate. Tableau des domaines virtuels fnVdIndex fnVdName Tableau 27 : Sessions IP actives Champ MIB Description fnIpSessIndex fnIpSessProto fnIpSessFromAddr fnIpSessFromPort fnIpSessToPort fnIpSessToAddr fnIpSessExp Tableau 28 : VPN dialup Champ MIB fnVpnDialupIndex fnVpnDialupGateway fnVpnDialupLifetime fnVpnDialupTimeout fnVpnDialupSrcBegin fnVpnDialupSrcEnd fnVpnDialupDstAddr Le numro de lindex de la session IP active. Le protocole IP (TCP, UDP, ICMP, etc.) de la session. Ladresse IP source de la session IP active. Le port source de la session IP active. Ladresse IP de destination de la session IP active. Le port de destination de la session IP active. Le temps dexpiration en secondes pour la session. Le numro de lindex du domaine virtuel interne sur lquipement FortiGate. Le nom du domaine virtuel.
Description Lindex du dialup VPN paire. Ladresse IP distante de la passerelle. La dure de fonctionnement en secondes du tunnel VPN. Le temps restant jusquau prochain change de cl (en secondes). Ladresse du sous-rseau distant. Le masque du sous-rseau distant. Ladresse du sous-rseau local.
160
Messages de remplacement
Slectionnez Systme > Configuration > Messages de Remplacement pour modifier les messages de remplacement et personnaliser les emails et informations sur les alertes que le botier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et sessions FTP. Lquipement FortiGate adjoint des messages de remplacement plusieurs types de flux de contenu. Par exemple, si un virus est trouv dans un email, le fichier contamin est supprim de lemail et remplac par un message de remplacement. Cette procdure sapplique galement aux pages Internet bloques par un filtrage web et aux emails bloqus par un filtrage antispam.
Liste des messages de remplacement

Illustration 71 : Liste des messages de remplacement
Nom
Le type de message de remplacement. Cliquez sur le triangle bleu pour afficher la catgorie. Vous pouvez modifier les messages adjoints aux emails dont les pices jointes sont infectes par un virus pages web (http) sessions ftp messages de mails dalertes email smtp bloqus comme spam pages web bloques par une des catgories du filtrage web sessions de messagerie instantane et peer-to-peer
Vous pouvez galement modifier la page douverture de la session pour une authentification de lutilisateur les messages dinformations dauthentification de lutilisateur (certains modles) la page dignorance du filtrage web FortiGuard la page douverture de session pour VPN SSL
161
Description
Description du type de message de remplacement. Linterface dadministration web dcrit lendroit o chaque message de remplacement est utilis par le botier FortiGate. Slectionnez pour diter ou visualiser un message de remplacement.
Icne Visualiser/Editer
Modification des messages de remplacement

Illustration 72 : Exemple dun message de remplacement dun virus HTTP
Les messages de remplacement scrivent sous forme de texte ou de messages HTML. Vous pouvez ajouter un code HTML des messages HTML. De plus, les messages de remplacement peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs reoivent le message de remplacement, la balise est remplace par un contenu en rapport avec le message. Le tableau 29 rpertorie les balises des messages de remplacement qui peuvent tre adjointes.
Tableau 29 : Balises de messages de remplacement Balise Description %%CATEGORY%% %%CRITICAL_EVENT%% Le nom de la catgorie de contenu du site web. Ajout aux messages email dvnement critique dalerte. %%CRITICAL_EVENT%% est remplace par le message dvnement critique qui a enclench lemail dalerte. Ladresse IP de la destination partir de laquelle un virus a t reu. Dans le cas demail, il sagit de ladresse IP du serveur email qui a envoy lemail contamin. Dans le cas de HTTP, il sagit de ladresse IP de la page web qui a envoy le virus. Ladresse email de lexpditeur du message duquel le fichier a t supprim. Ladresse email du destinataire lattention duquel le message du fichier a t supprim. Le nom du fichier ayant t supprim dun flux de contenu. Il peut sagir dun fichier qui contenait un virus ou qui a t bloqu par un antivirus. %%FILE%% peut tre utilis dans les messages de blocage de virus et fichiers.
%%DEST_IP%%
%%EMAIL_FROM%% %%EMAIL_TO% %%FILE%%
162
%%FORTIGUARD_WF%% %%FORTINET%% %%HTTP_ERR_CODE%% %%HTTP_ERR_DESC%% %%NIDSVEVENT%% %%NIDS_EVENT%% %%OVERRIDE%%
Le logo FortiGuard Filtrage Web. Le logo Fortinet. Le code erreur HTTP. Par exemple 404 . La description de lerreur HTTP. Le message de lattaque IPS. %%NIDSEVENT%% est ajout aux messages email dintrusions dalerte. Le lien vers le formulaire dignorance du filtrage web FortiGuard. Visible uniquement par les utilisateurs qui appartiennent un groupe qui a la permission de crer des ignorances de filtrage web FortiGuard. Le formulaire dignorance du filtrage web FortiGuard. Cette balise doit tre prsente dans le formulaire dignorance du filtrage web FortiGuard et ne doit pas tre utilise dans les autres messages de remplacement. Le protocole (http, ftp, pop3, imap ou smtp) dans lequel le virus a t dtect. %%PROTOCOL%% est ajout aux messages des virus des emails dalertes. Le nom dun fichier qui a t supprim dun flux de contenu et plac en quarantaine. Il peut sagir dun fichier qui contient un virus ou a t bloqu par un antivirus. %%QUARFILENAME%% peut tre utilis dans les messages de blocage de virus et fichier. La mise en quarantaine nest possible que sur les quipements FortiGate quip dun disque local. Le nom du service de filtrage web. Ladresse IP du destinataire qui aurait d recevoir le fichier bloqu. Dans le cas demail, il sagit de ladresse IP de lordinateur de lutilisateur qui a tent de tlcharger le message partir duquel le fichier a t retir. LURL dune page web. Il peut sagir dune page web bloque par un filtre de contenu web ou un blocage dURL. %%URL%% peut aussi tre utilis dans les messages des virus http et de blocage de fichier pour tre lURL de la page partir de laquelle un utilisateur a tent de tlcharger un fichier qui a t bloqu. Le nom du virus trouv dans un fichier par le systme antivirus. %%VIRUS%% peut tre utilis dans les messages virus.
%%OVRD_FORM%%
%%PROTOCOL%%
%%QUARFILENAME%%
%%SERVICE%% %%SOURCE_IP%%
%%URL%%
%%VIRUS%%
Modification de la page de connexion et dauthentification

Les utilisateurs voient safficher une page dauthentification lorsquils utilisent un VPN ou une rgle pare-feu qui ncessitent une authentification. Vous pouvez personnaliser cette page de la mme manire que vous avez modifi dautres messages de remplacement. Cependant il existe quelques exigences particulires : La page de connexion doit tre une page HTLM contenant un formulaire avec ACTION= / et METHOD= POST Le formulaire doit contenir les contrles cachs suivants : <INPUT TYPE="hidden" NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%">
163
<INPUT TYPE="hidden" NAME="%%STATEID%%" VALUE="%%STATEVAL%%"> <INPUT TYPE="hidden" NAME="%%REDIRID%%" VALUE="%%PROTURI%%">
Le formulaire doit contenir les contrles visibles suivants : <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> <INPUT TYPE="password" NAME="%%PASSWORDID%%" size=25>
Exemple
Ci-dessous un exemple dune page dauthentification simple qui rpond aux exigences nonces ci-dessus. <HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this service.</H4> <FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH>Username:</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> <TR><TH>Password:</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR> <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML>
Modification de la page dignorance du filtrage web FortiGuard

La balise %%OVRD_FORM%% fournit le formulaire utilis pour initier une ignorance dans le cas o le filtrage web FortiGuard bloque laccs une page web. Ne pas retirer cette balise du message de remplacement.
164
Modification du message de connexion VPN SSL

Le message de connexion VPN SSL prsente une page web partir de laquelle les utilisateurs se connectent au portail web VPN SSL. La page est relie au botier FortiGate et vous devez lditer en respectant les exigences suivantes. La page de connexion doit tre une page HTML contenant un formulaire avec ACTION="%%SSL_ACT%%" et METHOD="%%SSL_METHOD%%" Le formulaire doit contenir la balise %%SSL_LOGIN%% pour fournir le formulaire de connexion. Le formulaire doit contenir la balise %%SSL_HIDDEN%%.
Modification de la page dinformation dauthentification

La page dinformation dauthentification, disponible sur certains modles, souvre par un texte sur lusage de rgles que lutilisateur doit accepter avant que laccs au FortiGate ne lui soit permis. Lautorisation sactive dans une rgle pare-feu. Voir Autorisation de lauthentification de lutilisateur dans Options des rgles parefeu la page 234. Il est conseill de ne modifier que le texte de lautorisation et non pas le code HTML du formulaire.
165
Mode de fonctionnement des VDOM et accs administratif

Vous pouvez configurer un accs administratif pour chaque interface de votre VDOM. Voir Contrler laccs administratif dune interface la page 74 . En mode NAT/Route, ladresse IP de linterface est utilise pour laccs administratif. En mode Transparent, vous devez configurer une seule adresse IP dadministration qui sapplique toutes les interfaces du VDOM qui permettent un accs administratif. Lquipement FortiGate utilise galement cette adresse IP pour se connecter au FDN pour la mise jour de virus et dattaques (voir Centre FortiGuard la page 183.) Un administrateur rgulier peut uniquement accder au VDOM auquel il appartient. Lordinateur dadministration doit tre connect une des interfaces de ce VDOM. Ladministrateur admin peut accder tous les VDOM, peu importe le VDOM auquel appartient linterface. Dans les deux cas, lordinateur dadministration doit se connecter une interface qui permette laccs administratif et dont ladresse IP doit se trouver sur le mme rseau. Vous pouvez autoriser ladministration distance de lquipement FortiGate. Cependant, permettre une administration distance via lInternet pourrait compromettre la scurit de lquipement FortiGate. Ceci est donc viter moins que la configuration lexige. Pour amliorer la scurit de lquipement FortiGate lors dune administration distance, il est fortement conseill de : utiliser des mots de passe utilisateurs administratifs scuriss. modifier rgulirement ces mots de passe. activer un accs administratif scuris cette interface via HTTPS ou SSH. maintenir la valeur par dfaut (5 minutes) du timeout dinactivit du systme (voir Paramtres la page 178 ).
Modification du mode de fonctionnement

Vous pouvez dfinir un mode de fonctionnement (aussi appel mode dopration) pour votre domaine virtuel et accomplir des configurations rseau suffisantes pour assurer une connexion linterface dadministration web dans ce nouveau mode.
Passer du mode NAT/ Route au mode Transparent

1 Slectionnez Systme > Configuration > Operation Mode ou cliquez sur Changer ct de Mode de Fonctionnement sur la page des Statuts du Systme pour le domaine virtuel. Slectionnez Transparent dans la liste Mode dOpration.
Entrez les informations suivantes et cliquez ensuite sur Appliquer.
166
IP/Netmask de gestion
Entrez ladresse IP et le masque de rseau dadministration. Il doit sagir dune adresse IP valide pour le rseau partir duquel vous voulez administrer lquipement FortiGate. Entrez la passerelle par dfaut requise pour atteindre dautres rseaux partir du botier FortiGate.
Passerelle par dfaut
Passer du mode Transparent au mode NAT/Route

1 Slectionnez Systme > Configuration > Operation Mode ou cliquez sur Changer ct de Mode de Fonctionnement sur la page des Statuts du Systme pour le domaine virtuel. Slectionnez NAT dans la liste Mode dOpration.
Entrez les informations suivantes et cliquez ensuite sur Appliquer.

IP/Netmask de linterface Entrez une adresse IP et un masque de rseau valides pour le rseau partir duquel vous voulez administrer lquipement FortiGate. Slectionnez dans la liste linterface pour laquelle les paramtres IP/masque de rseau sappliquent. Entrez la passerelle par dfaut requise pour atteindre dautres rseaux partir du botier FortiGate. Slectionnez dans la liste linterface laquelle la passerelle par dfaut est connecte.
Interface (ou Device) Passerelle par dfaut Interface de la passerelle (ou Gateway Device)
167
Administration du Systme
Cette section dcrit comment configurer des comptes administrateurs sur votre quipement FortiGate. Les administrateurs accdent au botier FortiGate pour configurer son fonctionnement. Lquipement possde, par dfaut, un administrateur : admin. A partir de linterface dadministration web ou de linterface de ligne de commande, vous pouvez configurer des administrateurs supplmentaires avec des niveaux varis daccs aux diffrentes parties de la configuration de lquipement FortiGate. Cette section couvre les sujets suivants : Administrateurs Profils dadministration FortiManager Paramtres Contrle des administrateurs
Administrateurs
Il existe deux types de comptes administrateurs : Un administrateur rgulier Un compte par dfaut, admin
Un compte administrateur rgulier a accs aux options de configuration dtermines par son profil dadministration. Dans le cas o des domaines virtuels sont activs, ladministrateur rgulier est affect lun de ces VDOM et ne peut pas accder aux options de la configuration globale ni la configuration dun autre VDOM. Pour plus dinformations propos des options globales et spcifiques aux VDOM, voir Paramtres de configuration dun domaine virtuel la page 41 et Paramtres de la configuration globale la page 42. Le compte administrateur par dfaut, ladmin, a accs la totalit de la configuration du botier FortiGate. De plus, il peut: activer la configuration VDOM crer des VDOM configurer des VDOM affecter des administrateurs rguliers aux VDOM configurer des options globales
Le compte admin nayant pas de profil dadministration, on ne sait pas en limiter ses droits. Il est par ailleurs impossible de supprimer le compte admin, mais il est possible de le renommer, de lui dfinir des htes de confiance et den modifier le mot de passe. Par dfaut, ladmin na pas de mot de passe. Vous pouvez authentifier un administrateur par un mot de passe sauvegard sur un botier FortiGate ou sur un serveur RADIUS. Facultativement, vous pouvez sauvegarder tous les comptes administrateurs sur un serveur RADIUS,
lexception du compte admin par dfaut. Les comptes RADIUS tant sur le mme serveur RADIUS partagent le mme profil dadministration.
Configuration de lauthentification RADIUS des administrateurs

Si vous prvoyez dutiliser un serveur RADIUS pour authentifier les administrateurs dans votre VDOM, vous devez configurer lauthentification avant de crer des comptes administrateurs. Pour ce faire, vous avez besoin de : configurer laccs au serveur RADIUS sur le botier FortiGate crer un groupe dutilisateurs dont le serveur RADIUS est le seul membre
Les procdures suivantes prvoient que vous ayez dj configur un serveur RADIUS sur votre rseau avec les noms et mots de passe de vos administrateurs. Pour plus dinformations sur la configuration dun serveur RADIUS, reportez-vous la documentation de votre serveur RADIUS.
Configurer un botier FortiGate pour accder au serveur RADIUS

1 2 3 Slectionnez Utilisateur > RADIUS. Cliquez sur Crer Nouveau. Entrez les informations suivantes :
Nom Nom / adresse IP Secret Entrez un nom pour le serveur RADIUS. Vous utilisez ce nom lorsque vous crez le groupe utilisateur. Le nom de domaine ou ladresse IP du serveur RADIUS. Le secret du serveur RADIUS. Ladministrateur du serveur RADIUS peut vous fournir cette information.
Cliquez sur OK.
Crer le groupe dutilisateurs dadministration

1 2 3 4 5 6 7 Slectionnez Utilisateur > Groupe utilisateur. Cliquez sur Crer Nouveau. Dans le champ Nom, tapez un nom pour le groupe dadministrateurs. Dans la liste Utilisateurs Disponibles, slectionnez le nom du serveur RADIUS. Cliquez sur la flche verte droite pour dplacer le nom vers la liste Membres. Slectionnez un profil de protection dans la liste. Cliquez sur OK.
Visualisation de la liste des administrateurs

A partir du compte admin ou dun compte qui possde les droits en lecture et en criture des utilisateurs admin, vous pouvez crer de nouveaux comptes administrateurs et contrler leurs niveaux de permission. Slectionnez Systme > Admin > Administrateurs. A moins que vous soyez ladministrateur admin, la liste des administrateurs naffiche que les administrateurs pour le domaine virtuel en cours.
169
Illustration 73 : Liste des Administrateurs
Crer Nouveau Nom Poste IP
Permet dajouter un compte administrateur. Le nom du compte administrateur. Ladresse IP et le masque de rseau dhtes de confiance partir desquels ladministrateur peut se connecter. Pour plus dinformations, voir Utilisation dhtes de confiance la page 173. Le profil dadministration pour ladministrateur. Ladministrateur admin par dfaut na pas de profil. Le type dauthentification pour cet administrateur. Cela peut tre : Local un mot de passe local RADIUS authentification dun compte spcifique via un serveur RADIUS RADIUS+Wildcard authentification de nimporte quel compte via un serveur RADIUS.
Profil Type
Icne Suppression
Permet de supprimer le compte administrateur. Le compte administrateur admin ne peut pas tre supprim. Permet dditer ou de visualiser le compte administrateur. Permet de modifier le mot de passe du compte administrateur.
Icne Editer ou Visualiser Icne Changer le mot de passe
Modifier le mot de passe dun administrateur

1 2 3 4 Slectionnez Systme > Admin > Administrateurs. Cliquez sur licne Changer le mot de passe ct du compte administrateur dont vous voulez modifier le mot de passe. Entrez et confirmez le nouveau mot de passe. Cliquez sur OK.
Configuration dun compte administrateur

La cration dun nouvel administrateur ncessite une connexion partir du compte admin ou partir dun compte administrateur possdant les droits en lecture et criture dutilisateur Admin. Slectionnez Systme > Admin > Administrateurs et cliquez sur Crer Nouveau.
170
Illustration 74 : Configuration dun compte administrateur authentification locale.
Illustration 75 : Configuration dun compte administrateur authentification RADIUS
Nom de compte RADIUS
Entrez le nom du compte administrateur. Cochez cette case pour authentifier ladministrateur via un serveur RADIUS. Lauthentification RADIUS pour administrateurs doit tre configure dabord. Voir Configuration RADIUS pour une authentification des administrateurs la page 169. Cochez cette case pour faire de tous les comptes du serveur RADIUS des administrateurs. Cette fonction est uniquement disponible si RADIUS a t slectionn. Dans le cas dune utilisation dune authentification RADIUS, slectionnez dans la liste le groupe dutilisateurs dadministrateurs qui compte comme membre le serveur RADIUS appropri. Entrez un mot de passe pour le compte administrateur. Pour plus de scurit, le mot de passe doit tre compos dau moins 6 caractres. Si RADIUS est activ, lquipement FortiGate tente une premire authentification RADIUS. En cas dchec, il tente une authentification via mot de passe. Ceci nest pas disponible si la fonction Wildcard a t active.
Wildcard
Groupe utilisateur
Mot de Passe
171
Confirmer le Mot de Passe Entrez le mot de passe une seconde fois pour confirmer la premire entre. Ceci nest pas disponible si la fonction Wildcard a t active. Poste IP # 1 Poste IP # 2 Poste IP # 3 Facultativement, entrez ladresse IP et le masque de rseau dun hte de confiance auquel ladministrateur est restreint sur le botier FortiGate. Vous pouvez spcifier jusqu trois htes de confiance. Les adresses par dfaut sont respectivement 0.0.0.0/0, 0.0.0.0/0 et 127.0.0/32. La mise en place dhtes de confiance pour vos administrateurs permet daugmenter la scurit du systme. Pour plus dinformations, voir Utilisation dhtes de confiance la page 173. Profil dadministration Slectionnez le profil dadministration de ladministrateur. Le profil prconfigur prof_admin fournit un accs total au botier FortiGate. Vous pouvez galement cliquer sur Crer Nouveau pour crer un nouveau profil dadministration. Pour plus dinformations sur les profils dadministration, voir Configuration dun profil dadministration la page 176 . Slectionnez le domaine virtuel que cet administrateur peut configurer. Ce champ est uniquement disponible si vous tes ladministrateur admin et que la configuration des domaines virtuels est active.
Domaine Virtuel
Configurer un compte administrateur

1 2 3 Slectionnez Systme > Admin > Administrateurs. Cliquez sur Crer Nouveau pour ajouter un compte administrateur ou cliquez sur licne Editer pour apporter des modifications un compte administrateur existant. Dans le champ Nom de compte, entrez un nom pour le compte administrateur. Si vous utilisez une authentification RADIUS pour cet administrateur mais nutilisez pas la fonction wildcard, le nom de ladministrateur doit correspondre un des comptes du serveur RADIUS. 4 Si vous utilisez une authentification RADIUS pour cet administrateur : 5 6 Slectionnez RADIUS. Slectionnez Wildcard si vous dsirez que tous les comptes du serveur RADIUS soient des administrateurs de lquipement FortiGate. Slectionnez le groupe dutilisateurs des administrateurs dans la liste Groupe Utilisateur.
Entrez et confirmez votre mot de passe pour ce compte administrateur. Cette tape nest pas ncessaire dans le cas dune authentification RADIUS Wildcard. Facultativement, entrez ladresse IP et le masque de rseau dun hte de confiance partir duquel ladministrateur puisse se connecter linterface dadministration web. Slectionnez le profil dadministration pour cet administrateur. Cliquez sur OK.
7 8
172
Utilisation dhtes de confiance

La mise en place dhtes de confiance pour tous les administrateurs augmente la scurit de votre rseau car en restreint laccs administratif. En plus de devoir connatre le mot de passe, ladministrateur doit se connecter uniquement partir du ou des sous-rseau(x) spcifi(s). Vous pouvez aller jusqu restreindre un administrateur une seule adresse IP si vous ne dfinissez quune adresse IP dhte de confiance avec un masque de rseau 255.255.255.255. Si vous dfinissez des htes de confiance pour tous les administrateurs, lquipement FortiGate ne rpond pas aux tentatives daccs administratif de tout autre hte. Cela fournit la meilleure scurit. Si vous laissez, ne ft-ce quun seul administrateur sans restriction, lquipement accepte les tentatives daccs administratif de nimporte quelle interface dont laccs administratif est activ, exposant ainsi le botier des tentatives daccs non autorises. Par dfaut les adresses dhtes de confiance sont respectivement 0.0.0.0/0, 0.0.0.0/0 et 127.0.0.1/32. Si une des adresses 0.0.0.0/0 est modifie par une adresse non nulle, lautre adresse 0.0.0.0/0 sera ignore. La seule faon dutiliser une entre mtacaractre (wildcard) est de maintenir les deux adresses dhtes de confiance sur 0.0.0.0/0. Toutefois, ceci ne constitue pas une configuration sans risque.
173
Profils dadministration
Chaque compte administrateur appartient un profil dadministration. Le profil dadministration spare les caractristiques FortiGate en catgories de droits daccs pour lesquels vous pouvez activer des droits en lecture et/ou criture. Le tableau suivant rpertorie les pages de linterface dadministration web auxquelles chaque catgorie fournit un accs :
Tableau 30 : Droits daccs des profils dadministration aux pages de linterface dadministration web Contrle daccs Pages de linterface dadministration web affectes Utilisateurs dadministration Systme > Admin Configuration Antivirus Utilisateurs authentifis Configuration firewall Mise jour FortiGuard Configuration IPS Journaux et rapports Maintenance Configuration rseau Antivirus Utilisateur Pare-feu Systme > Maintenance > FortiGuard Center Intrusion Protection Journaux/Alertes Systme > Maintenance Systme > Rseau > Interface Systme > Rseau > Zone Systme > DHCP Routeur Anti-Spam Systme > Statut, y compris les informations sur la session Systme > Configuration Systme > Maintenance > Sauvegarde et Restauration Systme > Maintenance > Support VPN Filtrage Web
Configuration routeur Configuration Spamfilter Configuration systme
Configuration VPN Configuration Webfilter
Les droits en lecture autorisent ladministrateur visualiser la page de linterface dadministration web. Ladministrateur ncessite les droits en criture pour apporter des modifications aux paramtres de la page.
Remarque : Lorsque la configuration de domaines virtuels est active (voir Paramtres la page 178), seul ladministrateur admin a accs aux paramtres gnraux. Mme si les paramtres gnraux sont activs dans le profil dadministration, un administrateur rgulier ne peut accder quaux paramtres spcifiques VDOM. Pour plus dinformations propos des paramtres gnraux, voir Paramtres de configuration dun domaine virtuel la page 41.
Le profil dadministration affecte similairement laccs des administrateurs aux commandes CLI. Le tableau suivant dcrit les types de commande disponibles pour chaque catgorie de droits daccs. Les droits en lecture donnent accs aux commandes get et show , tandis que les droits en criture permettent daccder la commande config .
174
Tableau 31 : Droits daccs des profils dadministration aux commandes CLI Contrle daccs Commandes CLI disponibles Utilisateurs dadministration system admin (admingrp) system accprofile Configuration Antivirus (avgrp) Utilisateurs authentifis (authgrp) Configuration Pare-feu (fwgrp) Mise jour FortiGuard (updategrp)
antivirus user firewall system autoupdate execute backup execute update_now ips alertemail log execute factoryreset execute formatlogdisk execute reboot execute restore execute shutdown system arp system dhcp reserved-address system dhcp server system interface system status system zone execute dhcp lease-clear execute dhcp lease-list router execute router spamfilter system lexception de accprofile, admin et autoupdate execute date execute dhcpclear execute enter execute ha execute ping execute ping-options execute ping6 execute restore execute time execute traceroute vpn execute vpn
Configuration IPS (ipsgrp) Journaux et rapports (loggrp) Maintenance (mntgrp)
Configuration rseau (netgrp)
Configuration routeur (routegrp) Configuration Filtrage Antispam (spamgrp) Configuration systme (sysgrp)
Configuration VPN (vpngrp)
Configuration Filtrage web (webgrp) webfilter
Slectionnez Systme > Admin > Droits dAccs pour ajouter des profils dadministration aux administrateurs FortiGate. Chaque compte administrateur appartient un profil dadministration. Vous pouvez crer des profils dadministration qui empchent ou permettent les droits en lecture uniquement, droits en criture uniquement ou les deux : droits en lecture et criture des fonctionnalits FortiGate.
175
Un administrateur qui possde les droits en lecture dune fonction peut accder la page dadministration web de cette fonction mais ne peut pas apporter de modifications la configuration. Les boutons Crer ou Appliquer napparaissent pas sur la page. Les listes affichent licne Visualiser ( ) la place des icnes Editer, Supprimer ou toute autre commande de modification.
Visualisation de la liste des profils dadministration
Pour crer ou diter des profils dadministration, utilisez un compte admin ou un compte qui possdent les droits en lecture et en criture des utilisateurs admin. Slectionnez Systme > Admin > Droits dAccs.
Illustration 76 : Liste des profils dadministration
Crer Nouveau Nom du profil Icne Suppression
Ajoute un nouveau profil dadministration. Le nom du profil dadministration. Slectionnez cette icne pour supprimer un profil dadministration. Il est impossible de supprimer un profil dadministration tant quun ou plusieurs administrateur(s) y est (sont) encore affect(s). Slectionnez cette icne pour modifier le profil dadministration.
Icne Editer
Configuration dun profil dadministration
Pour diter des profils dadministration, utilisez un compte admin ou un compte qui possdent les droits en lecture et en criture des utilisateurs admin. Slectionnez Systme > Admin > Droits dAccs et cliquez sur Crer Nouveau.
176
Illustration 77 : Options des profils dadministration
Nom de profil Droits daccs Lecture Ecriture Les catgories des droits daccs
Entrez le nom du profil dadministration. Les droits daccs rpertorient les catgories dont le profil dadministration contrle laccs. Cochez la case Lecture pour cocher les droits en lecture de toutes les catgories. Cochez la case Ecriture pour cocher les droits en criture de toutes les catgories. Slectionnez les cases none/lecture et/ou criture pour les diffrentes catgories en fonction de vos besoins. Pour plus de dtails propos des catgories des droits daccs, voir Profils dadministration la page 174.
177
FortiManager
Pour permettre votre FortiGate dtre administr par un serveur FortiManager, slectionnez Systme > Admin > FortiManager pour configurer votre quipement FortiGate. La communication entre votre quipement FortiGate et le serveur FortiManager se fait via un VPN IPSec pr-configur et invisible sur votre FortiGate.
Illustration 78 : Configuration FortiManager
Paramtres FortiManager Activer Cochez la case Activer pour permettre une communication scurise entre le botier FortiGate et le Serveur FortiManager. Sans quoi, la communication nest pas scurise. Entrez le numro de srie du Serveur FortiManager. Entrez ladresse IP du Serveur FortiManager.
ID Adresse IP
Paramtres
Slectionnez Systme > Admin > Settings (Paramtres) pour dfinir les options suivantes : Les ports pour les accs administratifs HTTP et HTTPS Les paramtres des timeouts, y compris le timeout de ladministrateur et le timeout de lutilisateur La langue de linterface dadministration web Une protection laide dun PIN pour lcran LCD et les boutons de commandes (pour les modles quips de ces fonctions uniquement)
178
Illustration 79 : Paramtres des administrateurs
Web Administration Ports HTTP HTTPS Paramtres de timeout Administrateurs Entrez le nombre de minute pendant lesquelles la connexion peut rester inactive avant que ladministrateur ne doive se reconnecter. Le temps maximum est de 480 minutes (8 heures). Pour une meilleure scurit, il est conseill de maintenir la valeur par dfaut de 5 minutes. Entrez le nombre de minute pendant lesquelles une connexion authentifie peut rester inactive avant que lutilisateur ne doive se rauthentifier. Le temps maximum est de 480 minutes (8 heures). La valeur par dfaut est 15 minutes. Pour plus dinformations, voir Paramtrage du timeout dauthentification la page 324. Entrez le port TCP utilis pour laccs administratif HTTP. La valeur par dfaut est 80. Entrez le port TCP utilis pour laccs administratif HTTPS. La valeur par dfaut est 443.
Utilisateur (authentification pare-feu)
Langage Interface dadministration Slectionnez la langue dsire de linterface dadministration web. Vous avez le choix entre langlais, le chinois simplifi ou traditionnel, le japonais, le coren ou le franais. Remarque : Il est conseill de choisir la langue dans laquelle opre le systme dexploitation de lordinateur dadministration.
Panneau LCD (pour les quipements quips de cette fonction) Protection PIN Cochez la case Protection PIN et tapez un pin de 6 caractres dans le champ prvu cet effet. Les administrateurs doivent alors entrer le PIN pour accder aux commandes de lcran LCD et des boutons. Virtual Domain Configuration Cochez cette case si vous dsirez oprer de multiples VDOM. Cela active les droits de cration et de configuration des VDOM du compte administrateur admin
179
par dfaut. Pour plus dinformations sur la cration et ladministration de VDOM, voir Domaines Virtuels la page 40.
Contrle des administrateurs

Le nombre dadministrateurs connects apparat dans la barre des statuts des pages de linterface dadministration web.
Illustration 80 : Les administrateurs connects dans la barre des statuts
Cliquez sur licne Administrateurs Connects pour visualiser les informations sur les administrateurs connects linterface dadministration web en cours. Une nouvelle fentre souvre affichant la liste des administrateurs connects ce moment-l.
Illustration 81 : Fentre de contrle des administrateurs connects
Dconnecter
Dconnecte les administrateurs slectionns. Cette fonction nest disponible quaux administrateurs qui possdent les droits en criture de la Configuration du Systme. Met la liste jour. Ferme la fentre. Cochez les cases des administrateurs dconnecter et cliquez ensuite sur Dconnecter. Cette fonction nest disponible quaux administrateurs qui possdent les droits en criture de la Configuration du Systme. Le nom du compte administrateur. Le type daccs : WEB ou CLI. Dans le cas dun Type WEB, apparat dans ce champ ladresse IP de ladministrateur. Dans le cas dun Type CLI, apparat dans ce champ, soit ssh ou telnet , soit ladresse IP de ladministrateur ou console . La date et lheure auxquelles sest connect ladministrateur.
Rafrachir Fermer Les cases cocher
Nom dutilisateur Type De
Heure
180
Maintenance du Systme
Cette section dcrit comment sauvegarder et restaurer la configuration de votre systme et comment configurer des mises jour automatiques partir du FDN (FortiGuard Distribution Network). Les sujets suivants sont parcourus dans cette section : Sauvegarde et Restauration FortiGuard Center Licence
Sauvegarde et Restauration
Pour sauvegarder et restaurer la configuration de votre systme, et pour grer le microcode, slectionnez Systme > Maintenance > Sauvegarde et Restauration. Vous pouvez sauvegarder la configuration du systme, y compris les fichiers de contenu web et les fichiers de filtrage antispam sur lordinateur dadministration ou sur un disque USB (pour les modles qui le supportent). Vous pouvez galement restaurer la configuration du systme partir de fichiers de sauvegarde dj tlchargs. Pour inclure les certificats VPN dans le fichier de sauvegarde, vous devez permettre le cryptage du fichier de sauvegarde. Lorsque la configuration des domaines virtuels est active, le contenu du fichier de sauvegarde dpend du compte administrateur qui la cr. Une sauvegarde de la configuration du systme faite partir dun compte administrateur admin comprend les paramtres gnraux et les paramtres de chaque VDOM. Seul ladministrateur admin peut restaurer la configuration de ce fichier. Une sauvegarde faite partir dun compte administrateur rgulier comprend les paramtres gnraux et les paramtres du VDOM gr par cet administrateur. Seul un compte administrateur rgulier peut restaurer la configuration sauve sur ce fichier.
181
Illustration 82 : Options de sauvegarde et de restauration
Dernire Sauvegarde Sauvegarde Sauvegarde de la configuration vers :
Le jour et lheure de la dernire sauvegarde vers le PC local. Sauvegarde la configuration actuelle. Slectionnez le support sur lequel vous dsirez sauvegarder le fichier de configuration : local PC ou cl USB. La slection de Cl USB nest possible que si la cl est connecte lquipement FortiGate. Si vous slectionnez Cl USB, nommez le fichier de sauvegarde. Cochez cette case pour crypter le fichier de sauvegarde. Entrez ensuite un mot de passe dans le champ Mot de Passe et entrez le une seconde fois dans le champ Confirmer. Ce mot de passe est exig pour la restitution du fichier. Pour sauvegarder des certificats VPN, le cryptage doit tre permis sur le fichier de sauvegarde.
Nom du fichier : Chiffrer le fichier de configuration
Sauvegarde Restaurer Restaurer la configuration depuis :
Cliquez sur ce bouton pour sauvegarder la configuration. Restaure la configuration partir dun fichier. Slectionnez le support sur lequel vous avez sauvegard la configuration : local PC ou Cl USB. La slection de Cl USB nest possible que si la cl est connecte lquipement FortiGate. Dans le cas o vous restaurez la configuration partir de la cl USB, slectionnez le nom du fichier de configuration dans la liste. Dans le cas o vous restaurez la configuration partir du PC dadministration, entrez le nom du fichier de configuration ou utilisez le bouton Parcourir (Browse). Dans le cas o le fichier de sauvegarde est crypt, entrez le mot de passe.
Nom du fichier :
Mot de Passe
182
Restaurer Firmware Partition
Cliquez sur le bouton Restaurer pour restaurer la configuration partir du fichier slectionn. Une partition peut contenir une version du logiciel et de la configuration du systme. Les modles FortiGate 100 et plus possdent deux partitions. Une des partitions est active, tandis que lautre est une sauvegarde. Une marque V verte indique la partition comprenant le logiciel et la configuration en cours. Le jour et lheure de la dernire mise jour de cette partition. La version du microcode FortiGate. La partition de sauvegarde permet de : Slectionner Charger pour remplacer le microcode par celui qui se trouve sur le PC dadministration ou sur la cl USB. Slectionnez Charger et Redmarrer pour remplacer le microcode et en faire la partition active.
Active Dernire Mise jour Version du Firmware
Dmarrer sur firmware alternatif
Cliquez sur ce bouton pour redmarrer le botier FortiGate en utilisant le microcode sauvegard. Cette fonction nest disponible que sur les FortiGate 100 et plus.
Avancs (USB Auto-Install, Import CLI Commands, Download Debug Log) Cette section nest disponible que dans le cas o une cl USB est connecte lquipement FortiGate. Slectionnez les options requises et redmarrez le botier FortiGate. Si vous slectionnez les mises jour de configuration et de microcode, les deux senclenchent lors du redmarrage. Un microcode ou un fichier de configuration dj tlcharg ne seront pas re-tlchargs. Quand le systme redmarre, mettre jour la configuration de la FortiGate par celle de la cl USB si le Fichier de Configuration par dfaut est prsent sur celle-ci. Met la configuration jour automatiquement lors du redmarrage. Assurez-vous que le nom du fichier de configuration par dfaut corresponde au nom de ce fichier sur la cl USB.
Quand le systme redmarre, mettre jour le FirmWare de la FortiGate par celle de la cl USB si lImage par dfaut est prsente sur celle-ci. Met le microcode jour automatiquement lors du redmarrage. Assurez-vous que le nom de lImage par dfaut corresponde au nom du fichier de limage sur la cl USB.
Import Bilk CLI Commands Importe sur lquipement FortiGate des dfinitions de filtres URL et de filtres antispam partir dun fichier texte prsent sur lordinateur dadministration. Entrez le chemin daccs et le nom de fichier ou cliquez sur Parcourir (Browse) pour localiser le fichier. Vous pouvez crer le fichier texte en extrayant la section approprie dun fichier de sauvegarde de configuration FortiGate ou en tapant les commandes CLI appropries. Download Debug Log Tlcharger un journal de dboguage crypt dans un fichier. Vous pouvez ensuite lenvoyer au Service Technique de Fortinet qui vous aidera diagnostiquer les problmes ventuels rencontrs sur votre FortiGate.
183
Centre FortiGuard
Le Centre FortiGuard configure votre FortiGate pour le FortiGuard Distribution Network (FDN - Rseau de Distribution FortiGuard) et les Services FortiGuard. Le FDN fournit des mises jour des bases de connaissance antivirus et IPS. Les Services FortiGuard procurent quant eux des listes noires dadresses IP, dURL et autres outils de filtrage antispam.
Rseau de Distribution FortiGuard

Ce rseau, appel FDN, est un rseau mondial de FortiGuard Distribution Servers (FDS). Le FDN fournit des mises jour des bases de donnes antivirus (y compris grayware) et IPS (contre les attaques). Lorsque le botier FortiGate se connecte au FDN, il se connecte au FDS le plus proche, considrant le fuseau horaire dfini. Lquipement FortiGate supporte les mises jour des fonctionnalits suivantes : Mises jour inities par lutilisateur partir du FDN, Mises jour mensuelles, hebdomadaires voire toutes les heures, des bases de donnes antivirus et IPS, partir du FDN, Mises jour forces partir du FDN, Statuts des mises jour, y compris les numros des versions, les dates dexpiration, ainsi que les dates et heures des mises jour, Mises jour forces partir dun serveur NAT.
Vous devez dabord enregistrer votre FortiGate sur la page web du support de Fortinet. Voir Enregistrement dun quipement FortiGate la page 37. Pour recevoir des mises jour programmes, lquipement FortiGate doit pouvoir se connecter au FDN via HTTPS sur le port 443. Pour plus dinformations sur la configuration de programmation de mises jour, voir Activer la programmation de mise jour la page 190. Vous pouvez galement configurer votre FortiGate pour quil accepte des mises jour forces. Pour ce faire, le FDN doit tre capable dacheminer des paquets vers le botier FortiGate via UDP port 9443. Pour plus dinformations ce sujet, voir Activer les mises jour forces la page 191.
Services FortiGuard
Les Points de Service FortiGuard (FortiGuard Service Points) offrent une couverture mondiale. Fortinet cre des nouveaux Points de Service chaque fois que ncessaire. Le botier FortiGate communique par dfaut avec le Point de Service le plus proche. Si celui-ci devient, pour quelque raison que ce soit, injoignable, lquipement FortiGate contacte un autre Point de Service dont les informations saffichent aprs quelques secondes. Par dfaut le botier FortiGate communique avec le Point de Service via UDP sur le port 53. Comme alternative, vous pouvez utiliser UDP port 8888 en slectionnant Systme > Maintenance > FortiGuard Center. Pour modifier, si ncessaire, le nom dhte du Point de Service FortiGuard par dfaut, entrez le mot-cl hostname dans la commande CLI system
fortiguard. Il nest pas possible de modifier ce nom dhte partir de linterface dadministration web. Pour plus dinformations sur les services FortiGuard, rendez-vous sur la page web FortiGuard Center.
Service Antispam FortiGuard

FortiGuard-Antispam est un systme antispam de Fortinet qui comprend des listes noires dadresses IP, dURL et des outils de filtrage antispam. La liste noire dadresses IP contient des adresses IP de serveurs mails connus pour gnrer des spams. La liste noire dURL contient des URL de sites web trouvs dans ces spams. Les procds FortiGuard-Antispam sont compltement automatiss et configurs par Fortinet. Grce un contrle constant et des mises jour dynamiques, FortiGuard-Antispam est toujours actualis. Vous pouvez activer ou dsactiver FortiGuard-Antispam dans les profils de protection pare-feu. Pour plus dinformations, voir Options du filtrage antispam la page 286. Une licence gratuite, valable 30 jours, pour un essai du FortiGuard Antispam est offerte lachat dun quipement FortiGate. La gestion de ces licences est suivie par les serveurs Fortinet. Il nest pas ncessaire dentrer un numro de licence. Lors de lactivation de FortiGuard-Antispam, le botier FortiGate contacte automatiquement un Point de Service FortiGuard-Antispam. Pour renouveler la licence aprs la priode dessai de 30 jours, contactez le Support Technique de Fortinet. Pour activer FortiGuard-Antispam, slectionnez Systme > Maintenance > FortiGuard Center et configurez ensuite les options du Filtrage Antispam pour chaque profil de protection pare-feu. Voir Options du filtrage antispam la page 286.
Service FortiGuard-Web
Le FortiGuard-Web est une solution de filtrage de contenu web de Fortinet. Ce service trie des centaines de millions de pages web en diverses catgories que les utilisateurs peuvent accepter, bloquer ou contrler. Le botier FortiGate accde au Point de Service FortiGuard-Web le plus proche pour dterminer la catgorie de la page web souhaite et applique ensuite la rgle pare-feu configure pour cet utilisateur ou cette interface. Une licence gratuite, valable 30 jours, pour un essai du FortiGuard-Web est offerte lachat dun quipement FortiGate. La gestion de ces licences est suivie par les serveurs Fortinet. Il nest pas ncessaire dentrer un numro de licence. Lors de lactivation du service de blocage des catgories FortiGuard, lquipement FortiGate contacte automatiquement un Point de Service FortiGuard. Pour renouveler la licence FortiGuard aprs la priode dessai de 30 jours, contactez le Support Technique de Fortinet. Pour activer FortiGuard-Web, slectionnez Systme > Maintenance > FortiGuard Center et configurez ensuite les options du filtrage FortiGuard-Web pour chaque profil de protection pare-feu. Voir Options du filtrage FortiGuard-Web la page 285.
185
Configuration du botier FortiGate pour les services FDN et FortiGuard

Pour configurer laccs aux mises jour FDN et aux services FortiGuard, slectionnez Systme > Maintenance > FortiGuard Center.
Illustration 83 : Centre de Mise jour
Rseau de distribution FortiGuard Etat FDN Ltat de la connexion au FortiGuard Distribution Network (FDN) : vert Le botier FortiGate arrive se connecter au FDN. Vous pouvez le configurer pour des mises jour programmes. Voir Activer la programmation de mises jour la page 190. rouge-jaune clignotant Le botier FortiGate narrive pas se connecter au FDN. Voir Rsolution de problmes de connexion FDN la page 188. Mise jour force Le statut de rception des mises jour forces provenant du FDN : vert Le FDN arrive se connecter lquipement FortiGate pour envoyer des mises jour forces. Vous pouvez configurer lquipement FortiGate pour des mises jour forces. Voir Activer les mises jour forces la page 191.
186
rouge-jaune clignotant Le botier FortiGate narrive pas se connecter au FDN pour envoyer des mises jour forces. Voir Rsolution de problmes de connexion FDN la page 188.
Ractualiser
Cliquez sur Ractualiser pour que le botier FortiGate teste sa connexion au FDN. Les rsultats saffichent en haut de la page FortiGuard Center. Configurez un serveur override si vous narrivez pas vous connecter au FDN ou si votre entreprise fournit des mises jour via son propre serveur FortiGuard. Cochez cette case et entrez une adresse IP ou un nom de domaine dun serveur FortiGuard. Cliquez ensuite sur Appliquer. Si ltat FDN indique toujours un problme de connexion, voir Rsolution de problmes de connexion FDN la page 188.
Utiliser ladresse de remplacement
Mise jour Version Date dexpiration Dernire tentative de mise jour
Ce tableau reprend les statuts des mises jour des bases de donnes antivirus et IPS FortiGuard. Le numro de la version du fichier de la base de donnes courante sur le botier FortiGate. La date dexpiration de votre licence pour ce service FortiGuard. Le jour et lheure de la dernire tentative par le botier FortiGate de tlcharger les mises jour des bases de donnes. Le rsultat de la dernire tentative de mise jour : Pas de mise jour ; No Updates la dernire tentative a t installe avec succs, pas de nouvelle mise jour disponible. Mises jour installes ; Installed Updates - la dernire tentative a t installe avec succs, de nouvelles mises jour ont t installes.
Statut de la dernire mise jour
Dautres messages peuvent indiquer que lquipement FortiGate na pas russi se connecter au FDN ou autre message derreur. Permettre les mises jour forces Utiliser ladresse IP de remplacement Cochez cette case pour permettre des mises jour automatiques de votre FortiGate. Spcifiez une adresse IP et un port de remplacement lors de la prsence dun serveur NAT entre le botier FortiGate et le FDN. Cochez la case, entrez ladresse IP et le numro du port auxquels le FDN doit envoyer les mises jour. Cliquez ensuite sur Appliquer. Pour plus dinformations, voir Activation des mises jour forces via un serveur NAT la page 192. Programmation des mises jour rgulires Chaque Cochez cette case pour activer les mises jour programmes. Tente une mise jour toutes les 1 23 heures. Slectionnez le nombre dheure dsir entre chaque requte de mise jour.
187
Journalire
Tente une mise jour une fois par jour. Vous pouvez en spcifier lheure. La tentative de mise jour senclenche un moment dtermin arbitrairement pendant lheure slectionne. Tente une mise jour une fois par semaine. Vous pouvez en spcifier le jour et lheure. La tentative de mise jour senclenche un moment dtermin arbitrairement pendant lheure slectionne. Slectionnez cette fonction pour initier manuellement une mise jour FDN.
Hebdomadaire
Mettre jour FortiGuard Service Activer Service Licence Expire Utiliser le cache
Active le service. Un des services FortiGuard : Anti Spam, Filtrage Web ou AV Query (future). Etat de votre licence pour ce service. Date dexpiration de votre licence pour ce service. Permet le cache des informations des Services FortiGuard. Cela amliore les performances grce la rduction des requtes de lquipement FortiGate au serveur FortiGuard. Le cache est configur pour utiliser 6% de la mmoire du FortiGate. Lorsque le cache est plein, ladresse IP ou lURL utilise le moins rcemment est supprime. Time to live . Le nombre de secondes pour stocker les adresses IP et URL bloques dans le cache avant de recontacter le serveur. Etat de la connexion vers le serveur FortiGuard-Antispam : Rouge/jaune clignotant chec de la connexion avec le serveur Vert permanent succs de la connexion avec le serveur
Cache TTL
Etat
Use Default Port (53) Use Alternate Port (8888) Test Availability
Slectionnez cette fonction pour utiliser le port 53 pour communiquer avec les serveurs FortiGuard-Antispam. Slectionnez cette fonction pour utiliser le port 8888 pour communiquer avec les serveurs FortiGuard-Antispam. Slectionnez cette fonction pour tester la connexion au serveur FortiGate-Antispam. Les rsultats saffichent en dessous du bouton et sur les indicateurs des Statuts.
Rsolution de problmes de connexion FDN

Dans le cas o votre quipement FortiGate narrive pas se connecter au FDN, il est ncessaire de vrifier votre configuration. Par exemple, vous devrez probablement ajouter des routes la table de routage FortiGate ou encore configurer votre rseau afin de permettre lquipement FortiGate lutilisation HTTPS sur le port 443 pour se connecter Internet. Vous devrez galement peut-tre vous connecter un serveur override FortiGuard pour recevoir des mises jour. Voir Ajouter un serveur override la page 190. Si cela ne fonctionne toujours pas, vrifiez votre configuration pour vous assurer de la connexion entre le serveur override FortiGuard et lquipement FortiGate.
188
Les mises jour forces risquent de ne pas tre disponibles si : Vous navez pas enregistr votre quipement FortiGate (voir Enregistrement dun quipement FortiGate la page 37.) Un serveur NAT est install entre votre FortiGate et le FDN (voir Activation de mises jour forces via un serveur NAT la page 192.) Votre FortiGate se connecte Internet via un serveur proxy (voir Activer la programmation de mises jour via un serveur proxy la page 190.)
Mise jour des signatures antivirus et IPS

Les procdures suivantes vous guident dans la configuration de votre FortiGate pour une connexion au Rseau de Distribution FortiGuard (FDN) afin de mettre jour les bases de connaissance antivirus et IPS (contre les attaques).
Sassurer que lquipement FortiGate se connecte au FDN

1 2 3 4 Slectionnez Systme > Statut et cliquez sur Changer ct de Heure Systme dans la section des Informations sur le systme. Assurez-vous que le bon fuseau horaire est slectionn, dpendant de la localisation de votre FortiGate. Slectionnez Systme > Maintenance > FortiGuard Center. Cliquez sur Ractualiser. Le botier FortiGate tente alors une connexion avec le FDN. Les rsultat du test saffichent en haut de la page des Mises jour du systme.
Mettre jour les signatures antivirus et IPS

1 2 Slectionnez Systme > Maintenance > FortiGuard Center. Cliquez sur Mettre jour pour mettre jour les bases de connaissance antivirus et IPS. En cas de succs de la connexion au FDN ou au serveur override, linterface dadministration web affiche un message du type : Your update request has been sent. Your database will be updated in a few minutes. Please check your update page for the status of the update. A savoir: Votre demande de mise jour a t envoye. Votre base de donnes sera mise jour dans quelques minutes. Merci de vrifier ltat de la mise jour sur votre page de mise jour. Lorsquune mise jour est disponible, la page du Centre FortiGuard affichera, aprs quelques minutes, les nouvelles versions dantivirus, en fonction de leurs dates de cration et numros de version. Le journal Evnement enregistre les messages tmoignant du succs ou de lchec des mises jour.
Remarque : La mise jour des dfinitions dantivirus, par lajout de nouvelles signatures par FortiGate dans la base de donnes, peut entraner une brve rupture du trafic analys. Il est
189
ds lors prfrable de programmer les mises jour lorsque le trafic est faible, par exemple pendant la nuit.
Activer la programmation de mise jour

1 2 3 Slectionnez Systme > Maintenance > FortiGuard Center. Cochez la case Programmation des mises jour rgulires. Slectionnez une des frquences suivantes pour la vrification et le tlchargement des mises jour : Chaque Toutes les 1 23 heures. Slectionnez le temps souhait (en heures et minutes) entre chaque demande de mise jour. La mise jour a lieu quotidiennement. Vous pouvez en spcifier lheure prcise dans la journe. La mise jour a lieu une fois par semaine. Vous pouvez en spcifier le jour et lheure.
Journalire Hebdomadaire 4 Cliquez sur Appliquer.
La nouvelle programmation de frquence entre en vigueur immdiatement. A chaque fois que le botier FortiGate procde une mise jour, laction est enregistre dans le journal Evnement.
Ajouter un serveur override

Dans le cas o vous ne parvenez pas vous connecter au FDN, ou encore si votre entreprise vous fournit les mises jour de leur propre serveur FortiGuard, les procdures suivantes vous permettront dajouter une adresse IP dun serveur override FortiGuard. 1 2 3 4 Slectionnez Systme > Maintenance > FortiGuard Center. Cochez la case Utiliser ladresse de remplacement. Entrez le nom de domaine entier ou ladresse IP dun serveur FortiGuard. Cliquez sur Appliquer. Le botier FortiGate teste la connexion vers le serveur override. En cas de succs, le paramtre du FDN affiche un statut disponible. Dans le cas contraire o le FDN affiche un statut de service indisponible, le botier FortiGate narrivant pas se connecter au serveur override, vrifiez les configurations du FortiGate et du rseau et tentez de dceler les paramtres empchant la connexion au serveur override FortiGuard.
Activer la programmation de mise jour via un serveur proxy

Si votre FortiGate doit se connecter Internet via un serveur proxy, vous pouvez utiliser la commande config system autoupdate tunneling pour permettre au FortiGate de se connecter (via un tunnel) au FDN via le serveur proxy. Pour plus dinformations, voir le FortiGate CLI Reference.
190
Activation des mises jour forces

Le FDN peut forcer les mises jour sur le botier FortiGate en vue de fournir une rponse la plus rapide possible aux situations critiques. Votre quipement FortiGate doit dabord avoir t enregistr pour recevoir ces mises jour forces. Voir Enregistrement dun quipement FortiGate la page 37. Les quipements FortiGate configurs pour recevoir les mises jour forces envoient un message SETUP au FDN. De cette manire, lorsque les nouvelles bases de connaissance antivirus et IPS sont cres, le FDN informe tous les FortiGate configurs pour la mise jour force dune nouvelle mise jour disponible. Dans les 60 secondes aprs la rception de ce message, les FortiGates demandent la mise jour au FDN.
Remarque : Les mises jour forces ne sont pas supportes dans le cas de lutilisation dun serveur proxy pour se connecter au FDN. Pour plus dinformations, voir Activer la programmation de mises jour via un serveur proxy la page 190.
Lorsque la configuration du rseau le permet, il est recommand dactiver les mises jour forces en plus de la configuration des mises jour programmes. Cela permet au FortiGate de recevoir plus rapidement les mises jour. Cependant, la programmation de mises jour assurent au FortiGate une meilleure garantie de rception des dernires mises jour. Lactivation des mises jour forces comme seul moyen dobtention des mises jour nest pas recommande. Il existe toujours un risque que le botier FortiGate ne reoive pas linformation de la disponibilit de nouvelles mises jour. De plus une telle information nactive quune seule tentative de connexion au FDN et de tlchargement des mises jour.
Activer les mises jour forces

1 2 3 Slectionnez Systme > Maintenance > FortiGuard Center. Slectionnez Permettre les mises jour forces. Cliquez sur Appliquer.
Mises jour forces en cas de modification des adresses IP FortiGate

Le message SETUP envoy par le botier FortiGate lors de lactivation de mises jour forces comprend ladresse IP de linterface laquelle vient se connecter le FDN. En mode Transparent, le message SETUP comprend ladresse IP dadministration FortiGate. En mode NAT/Route, ce message comprend ladresse IP dune interface, dpendant du modle botier FortiGate.
Tableau 32 : Interface pour les mises jour forces FDN Modle Interface pour les mises jour forces FDN 50A, 50AM, 100, 200, 300, 500, 800, 2000, 3000, 3600, 4000 60, 60M, 60Wi-Fi 100A, 200A, 300A, 400, 400A, 500A Externe WAN1 Port 2
191
Dans le cas dun changement manuel dune adresse IP de linterface ou de changement dynamique via DHCP ou PPPoE, lquipement FortiGate envoie un message SETUP. Le FDN doit pouvoir se connecter cette adresse IP pour permettre votre FortiGate de recevoir les messages de mises jour forces. Si votre FortiGate se trouve derrire un serveur NAT, voir Activation de mises jour forces via un serveur NAT la page 192. Dans le cas de connexions Internet redondantes, le botier FortiGate envoie galement un message SETUP lorsque lune des connexions choue et quune autre prend le relais. Si un changement dadresse IP dadministration a lieu, en mode Transparent, lquipement FortiGate envoie galement un message SETUP pour en informer le FDN.
Activation de mises jour forces via un serveur NAT

Dans le cas o le FDN ne se connecte au FortiGate qu travers un serveur NAT, il est ncessaire de configurer le relayage de port sur le serveur NAT et dajouter ces informations dans la configuration des mises jour forces. Lors de lutilisation dun relayage de port, le FDN se connecte au FortiGate via UDP soit sur le port 9443 soit sur un port de remplacement spcifi.
Remarque : Vous ne pouvez pas recevoir de mise jour force via un serveur NAT si son adresse IP externe est dynamique (par exemple, via lutilisation de PPPoE ou DHCP).
Procdure gnrale
Les procdures suivantes vous guident dans la configuration du serveur NAT FortiGate et du botier FortiGate sur le rseau interne pour la rception des mises jour forces. 1 2 3 Ajoutez une IP virtuelle de relayage de port sur le serveur NAT FortiGate. Ajoutez une rgle pare-feu sur le serveur NAT FortiGate qui comprenne lIP virtuelle du relayage de port. Configurez lquipement FortiGate sur le rseau interne avec une IP et un port de remplacement.
Remarque : Avant de clturer cette procdure, assurez-vous davoir enregistr votre rseau interne du FortiGate de manire ce quil puisse recevoir les mises jour forces.
192
Licence
Pour les modles FortiGate-3000 et plus, des cls de licence sont en vente auprs de Fortinet pour augmenter le nombre maximum de VDOM jusqu 25, 50, 100 ou 250. Le botier FortiGate supporte par dfaut un maximum de 10 VDOM. La cl de licence est un code de 32 caractres fournit par Fortinet. Votre numro de srie est exig pour gnrer cette cl de licence. Slectionnez Systme > Maintenance > Licence pour entrer la cl de licence.
Illustration 84 : Cl de licence pour ajout de VDOM supplmentaires
Current License Input License Key
Le nombre actuel maximum de domaines virtuels. Entrez la cl de licence fournie par Fortinet et cliquez ensuite sur Appliquer.
193
Routeur Statique
Vous trouverez dans cette section la faon de dfinir des routes statiques et de crer des rgles de route. Une route fournit au FortiGate linformation ncessaire pour transfrer un paquet vers une destination particulire. Une route statique entrane le transfert de paquets vers une destination autre que celle de la passerelle par dfaut configure lorigine. La route statique par dfaut configure lorigine vous fournit un point de dpart pour configurer la passerelle par dfaut. Vous pouvez diter cette route statique par dfaut et spcifier une passerelle par dfaut diffrente pour le botier FortiGate, ou vous pouvez la supprimer et spcifier votre propre route statique par dfaut qui dirige vers la passerelle par dfaut (voir Route par dfaut et passerelle par dfaut la page 198). Les routes statiques sont dfinies manuellement. Elles contrlent le trafic sortant du FortiGate vous pouvez spcifier linterface travers laquelle les paquets sortent et linterface vers laquelle ces paquets sont dirigs. Facultativement, il est possible de dfinir des rgles de route (route policies). Celles-ci ajoutent des critres supplmentaires pour lexamin des proprits des paquets entrants. Ces rgles permettent galement de configurer le botier FortiGate pour diriger les paquets en fonction de leurs adresses IP source et/ou de destination et autres critres tels que linterface qui a reu le paquet ou le protocole (service) et/ou port utilis pour le transport du paquet. Les sujets suivants sont parcourus dans cette section : Route Statique Rgle de Routage
Route Statique
Les routes statiques se configurent en dfinissant ladresse IP et le masque de rseau de destination des paquets que le botier FortiGate sapprte intercepter et en spcifiant une adresse IP (de passerelle) pour ces paquets. Ladresse de la passerelle indique le routeur du prochain saut vers lequel le trafic va tre dirig.
Remarque : La commande CLI config router static6 permet dajouter, diter ou supprimer les routes statiques du trafic IPv6. Pour plus dinformations, voir le chapitre sur les routeurs dans le FortiGate CLI Reference.
Concepts de routage
Le routage tant un sujet complexe, certains le considrent comme trop difficile matriser. Cependant, le botier FortiGate tant un appareil ddi la scurit sur le rseau, ce guide dveloppe un certain nombre de concepts de base sur le routage de manire ce que la configuration du FortiGate puisse tre ralise avec efficacit. Que le rseau administrer soit grand ou petit, ce module vous aide comprendre les fonctions de routage excutes par un quipement FortiGate.
194
Comment se construit une table de routage ?

La table de routage FortiGate comprend, par dfaut, une seule route statique par dfaut. Vous pouvez ajouter des informations la table de routage en dfinissant des routes statiques supplmentaires. La table peut comprendre plusieurs routes diffrentes vers une mme destination. Les adresses IP du routeur du prochain saut spcifi dans ces routes peuvent varier, de mme que les interfaces FortiGate associes ces routes. Lquipement FortiGate slectionne la meilleure route pour un paquet en valuant les informations de la table de routage. La meilleure route est typiquement associe la distance la plus courte entre lquipement FortiGate et le routeur le plus proche du prochain saut. Dans le cas o la meilleure route est indisponible, cest la meilleure route suivante qui est slectionne. Les meilleures routes sont reprises dans la table de relayage FortiGate, qui reprsente un sousensemble de la table de routage FortiGate. Les paquets sont donc transfrs en fonction des informations contenues dans la table de relayage.
Comment les dcisions de routage sont-elles prises ?

A chaque fois quun paquet arrive sur lune des interfaces du FortiGate, ce dernier dtermine si le paquet a t reu par une interface lgitime en lanant une recherche inverse utilisant ladresse IP source de len-tte du paquet. Dans le cas o le botier FortiGate narrive pas communiquer avec lordinateur de cette adresse IP source, le botier FortiGate annule le paquet. Dans le cas o ladresse de destination correspond une adresse locale (et que la configuration locale permet la livraison), lquipement FortiGate livre le paquet au rseau local. Si le paquet est destin un autre rseau, lquipement FortiGate transfre le paquet vers le routeur du prochain saut daprs la rgle de route correspondante (voir Rgle de routage la page 201) et/ou daprs les informations disponibles dans la table de relayage FortiGate.
Comment la distance administrative affecte-t-elle la prfrence des routes ?

Lorsque plusieurs entres vers une mme destination sont prsentes dans le table de routage, il est possible de forcer lquipement FortiGate slectionner une route primaire (prfre) parmi les diffrentes routes, en diminuant sa distance administrative. La distance administrative se situe entre 1 et 255. Toutes les entres de la table de routage sont associes une distance administrative. Si la table de routage contient plusieurs entres vers une mme destination (les entres pouvant avoir des associations de passerelles ou dinterfaces diffrentes), lquipement FortiGate compare et slectionne les entres ayant les distances les plus basses et les installe comme routes dans la table de relayage. De cette manire la table de relayage FortiGate ne contient que des routes ayant les distances les plus basses vers toutes les destinations possibles. Pour toutes informations sur la modification de ces distances administratives, voir Ajout dune route statique la table de routage la page 200.
Comment le numro de squence dune route affecte-t-elle la priorit de cette route ?

Une fois la slection des routes statiques dans la table de relayage dfinie, la priorit de routage sappuie sur le numro de la route dans la liste. Lorsquil existe
deux routes pour une mme destination dans la table de relayage, cest la route qui possde le numro le plus bas dans la succession qui est considre comme la route avec la plus grande priorit. Dans la version 3.0 de FortiOS, il est possible de dfinir un champ de priorits pour les routes partir des commandes CLI. Ce champ ne tient pas compte du numro de squence dans le cas o deux routes ont la mme distance administrative la route ayant la priorit la plus leve est le route primaire. Si deux routes ont la mme priorit, il est possible de dfinir le champ de priorits via la commande CLI set priority <integer> dans la commande config route static. Pour plus dinformations, voir le FortiGate CLI Reference. DH New 3.0, partial fix for bug. Lorsquune route statique est cre dans la liste de Routes Statiques partir de linterface dadministration web, lquipement FortiGate lui affecte automatiquement le prochain numro de squence. Par exemple, dans lillustration 85, deux routes statiques vers une mme destination (1.1.1.0/24) ont t cres pour montrer comment les numros dentre et les numros de squence sont affects par linterface graphique. Les deux routes spcifient la mme passerelle, mais dans un cas, le paquet quitte lquipement FortiGate via linterface port1 et dans le deuxime cas, via linterface port2 .
Illustration 85 : Routes statiques cres partir de linterface dadministration web
Le numro de squence dans la table de routage dpend de lordre de cration des entres. Ainsi lentre 2 a t cre avant lentre 3. Lorsque lquipement FortiGate value ces deux routes pour une mme destination, celles-ci seront toutes les deux ajoutes dans la table de relayage car leur distance administrative est basse. Une fois dans la table de relayage, le numro de squence dtermine la priorit de la route, moins que celle-ci ait t dfinie partir de la commande CLI set priority. Lentre 2 ayant le numro de squence le plus bas, elle devient la route prfre.
Remarque : Il est possible dafficher les numros des routes statiques dans la table de routage partir de la commande CLI config router static, et tapez ensuite get. Le numro dune route est quivalente la valeur edit <ID_integer> entre prcdemment par une commande CLI. Pour plus dinformations, voir config router static dans le FortiGate CLI Reference.
Lorsque toutes les routes statiques sont configures partir de linterface graphique, lordre des entres dans la liste de Routes Statiques quivaut la squence des routes statiques dans la table de routage. Cependant, le numro de squence dune route ne correspond pas toujours son numro dentre dans la liste de Routes Statiques. Cest le cas lorsque les numros de squence ont t dfinis lors de leur cration partir de linterface de commande en ligne. Les numros de squence peuvent tre spcifis partir de commandes CLI uniquement. En rsum, si une route de la table de routage possde un numro de squence plus bas quune autre route pour la mme destination, lquipement FortiGate
196
choisit la route avec le numro de squence le plus bas. Etant donn que vous pouvez, lors de la configuration de routes statiques, partir de linterface de ligne de commande, spcifier les numros de squence ou la priorit affecter, les routes vers une mme destination peuvent tre dfinies comme prioritaires ou non en fonction de leurs numro de squence et priorit. Pour mettre la priorit sur une route statique, vous devez crer cette route partir de la commande CLI config router static et spcifier un numro de squence bas ou une priorit haute pour cette route.
Visualisation, cration et dition de routes statiques

La liste des Routes Statiques affiche les informations que lquipement FortiGate compare aux en-ttes des paquets dans le but de les diriger. Au dpart, la liste comprend les routes statiques configures par dfaut (voir Route par dfaut et passerelle par dfaut la page 198). Des entres supplmentaires peuvent tre cres manuellement. Lorsque vous ajoutez une route la liste des Routes Statiques, lquipement FortiGate value les nouvelles informations pour dterminer si celles reprsentent une route diffrente compare toutes les autres routes prsentes dans la table de routage. Si aucune de ces routes ne possdent la mme destination, lquipement FortiGate ajoute cette nouvelle route la table de routage. Pour visualiser la liste des routes statiques, slectionnez Routeur > Static > Route Statique. Pour diter une entre de route statique existante, cliquez sur son icne Editer. Lillustration 86 prsente un exemple de liste de routes statiques appartenant un quipement FortiGate. Les noms des interfaces varient dun modle FortiGate un autre.
Illustration 86 : Liste des Routes Statiques
Crer Nouveau
Permet dajouter une route statique la liste des Routes Statiques. Voir Ajout dune route statique la table de routage la page 200. Les adresses IP de destination des paquets intercepts par lquipement FortiGate. Le masque de rseau associ aux adresses IP. Les adresses IP des routeurs du prochain saut vers lequel les paquets intercepts sont envoys. Le nom de linterface FortiGate travers laquelle les paquets intercepts sont reus et envoys. Les distances administratives associes chaque route. La valeur reprsente la distance vers les routeurs du prochain saut.
IP Masque Passerelle Interface Distance
Icnes Supprimer et Editer Permet de supprimer ou dditer lentre dans la liste. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 197
Route par dfaut et passerelle par dfaut

Dans la configuration dorigine, lentre numro 1 dans la liste des Routes Statiques est associe ladresse de destination 0.0.0.0/0.0.0.0, ce qui signifie toutes destinations. Cette route est appele la route statique par dfaut . Si aucune autre route nest prsente dans la table de routage et quun paquet doit tre envoy au-del de lquipement FortiGate, la route par dfaut dorigine permet lquipement FortiGate denvoyer le paquet vers la passerelle par dfaut. Pour empcher cela vous pouvez soit diter la route statique par dfaut et spcifier une passerelle par dfaut diffrente, soit supprimer cette route statique par dfaut et en spcifier une nouvelle qui dirige vers la passerelle par dfaut. Lillustration 87 offre lexemple dun quipement FortiGate connect un routeur. Pour sassurer que tous les paquets destins tout rseau au-del du routeur sont commuts vers la bonne destination, il vous faut diter la configuration par dfaut et faire du routeur la passerelle par dfaut de lquipement FortiGate.
Illustration 87 : Faire dun routeur une passerelle par dfaut
Dans cet exemple, pour diriger les paquets sortants du rseau interne vers des destinations qui ne sont pas sur le rseau 192.168.20.0/24, vous pouvez diter la route par dfaut et inclure les paramtres suivants : IP/Masque de destination : 0.0.0.0/0.0.0.0 Passerelle : 192.168.10.1 Interface : Nom de linterface connecte au rseau 192.168.10.0/24 (par exemple, external). Distance : 10
198
Le paramtre Passerelle spcifie, pour linterface external du FortiGate, ladresse IP de linterface du routeur du prochain saut. Linterface derrire le routeur (192.168.10.1) est la passerelle par dfaut pour FortiGate_1. Dans certains cas, il peut y avoir des routeurs derrire lquipement FortiGate. Si la destination dune adresse IP dun paquet nest pas sur le rseau local mais sur un rseau derrire lun de ces routeurs, la table de routage de lquipement FortiGate doit comprendre une route statique vers ce rseau. Dans lexemple de lillustration 88, lquipement FortiGate doit tre configur avec des route statiques vers les interfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets respectivement vers Network_1 et Network_2.
Illustration 88 : Destinations vers des rseaux derrire les routeurs internes
Pour diriger les paquets du Network_1 vers le Network_2, Router_1 doit tre configur pour utiliser linterface internal de lquipement FortiGate comme sa passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement FortiGate une nouvelle route statique avec les paramtres suivants : IP/Masque de destination : 192.168.30.0/24 Passerelle : 192.168.11.1 Interface : dmz Distance : 10
Pour diriger les paquets du Network_2 vers le Network_1, Router_2 doit tre configur pour utiliser linterface dmz de lquipement FortiGate comme sa passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement FortiGate une nouvelle route statique avec les paramtres suivants : IP/Masque de destination : 192.168.20.0/24 Passerelle : 192.168.10.1 Interface : internal Distance : 10
199
Spcifier une passerelle diffrente pour la route par dfaut

La passerelle par dfaut dtermine vers quelle destination les paquets correspondants la route par dfaut seront envoys. Spcifier une passerelle diffrente pour la route par dfaut 1 2 3 4 Slectionnez Routeur > Static > Route statique. Cliquez sur licne Editer de la ligne 1. Dans le champ Passerelle, tapez ladresse IP du routeur du prochain saut vers lequel le trafic sortant doit tre dirig. Si lquipement FortiGate atteint le routeur du prochain saut via une interface diffrente (compar linterface en cours slectionne dans le champ Interface), slectionnez le nom de linterface dans le champ Interface. Dans le champ Distance, ajoutez, facultativement, la valeur de la distance administrative. Cliquez sur OK.
5 6
Ajout dune route statique la table de routage

Une route fournit au FortiGate les informations ncessaires pour envoyer un paquet vers une destination particulire. Une route statique permet aux paquets dtre envoys vers une destination autre que la passerelle par dfaut. Les routes statiques se dfinissent manuellement. Les routes statiques contrlent le trafic sortant de lquipement FortiGate vous pouvez spcifier partir de quelle interface le paquet sort et vers quelle interface le paquet doit tre dirig. Pour ajouter une entre de route statique, slectionnez Routeur > Static > Route statique et cliquez sur Crer Nouveau. Lorsque vous ajoutez une route statique partir de linterface dadministration web, lquipement FortiGate affecte automatiquement le prochain numro de squence la route et ajoute lentre la liste de Routes Statiques. Lillustration 89 reprsente la bote de dialogue ddition dune route statique appartenant un quipement FortiGate ayant une interface appele internal . Les noms des interfaces varient en fonction des modles FortiGate.
Illustration 89 : Nouvelle route statique
Adresse IP destination / Masque
Entrez ladresse IP de destination et le masque de rseau des paquets devant tre intercepts par lquipement FortiGate. La valeur 0.0.0.0/0.0.0.0 est rserve la route par dfaut.
200
Passerelle
Entrez ladresse IP du routeur du prochain saut vers lequel lquipement FortiGate enverra les paquets intercepts. Slectionnez le nom de linterface FortiGate travers laquelle les paquets intercepts passeront pour se diriger vers le routeur du prochain saut. Entrez une distance administrative pour la route. La valeur de la distance est arbitraire et devrait reflter la distance vers le routeur du prochain saut. Une valeur plus basse indique une route prfre. La valeur se situe entre 1 et 255.
Interface
Distance
Rgle de Routage
A chaque fois quun paquet arrive sur lune des interfaces du FortiGate, ce dernier dtermine si le paquet a t reu par une interface lgitime en lanant une recherche inverse utilisant ladresse IP source de len-tte du paquet. Dans le cas o le botier FortiGate narrive pas communiquer avec lordinateur de cette adresse IP source, le botier FortiGate annule le paquet. Dans le cas o ladresse de destination correspond une adresse locale (et que la configuration locale permet la livraison), lquipement FortiGate livre le paquet au rseau local. Si le paquet est destin un autre rseau, lquipement FortiGate transfre le paquet vers le routeur du prochain saut daprs la rgle de route correspondante et/ou daprs les informations disponibles dans la table de relayage FortiGate (voir Concepts de routage la page 194). Lorsque des rgles de route existent et quun paquet arrive sur lquipement FortiGate, ce dernier se rfre la liste des Rgles de Routage et tente de faire correspondre le paquet avec lune dentre elles. Si une correspondance est trouve et que la rgle contient assez dinformations pour diriger le paquet (ladresse IP du routeur du prochain saut doit tre spcifie, ainsi que linterface FortiGate pour lenvoi de paquets vers le routeur du prochain saut), lquipement FortiGate dirige le paquet en fonction des informations contenues dans la rgle de routage. Si aucune rgle de routage correspond au paquet, lquipement FortiGate dirige le paquet utilisant la table de routage.
Remarque : Etant donn que la plupart des paramtres des rgles sont optionnels, une rgle seule risque de ne pas fournir toute linformation ncessaire au FortiGate pour envoyer le paquet. Lquipement FortiGate peut se rfrer la table de routage dans une tentative de faire correspondre les informations contenues dans len-tte du paquet avec une route dans la table de routage. Par exemple, si linterface sortante est le seul lment repris dans la rgle, lquipement FortiGate vrifie ladresse IP du routeur du prochain saut dans la table de routage. Cette situation pourrait se prsenter lorsque les interfaces FortiGate sont dynamiques (linterface reoit son adresse IP via DHCP ou PPPoE) et vous ne dsirez pas ou narrivez pas spcifier une adresse IP du routeur du prochain saut car ladresse IP change dynamiquement.
Pour voir la liste des rgles de routage, slectionnez Routeur > Static > Policy Route. Pour diter une rgle de routage existante, cliquez sur licne Editer ct de la rgle que vous voulez diter. Lillustration 90 reprsente une liste de rgles de routage appartenant un quipement FortiGate qui possdent des interfaces appeles external et internal . Les noms des interfaces varient selon les modles FortiGate.
201
Illustration 90 : Liste de Rgle de Routage
Crer Nouveau #
Permet dajouter une rgle de routage. Voir Ajout dune rgle de routage la page 202. Les numros ID des rgles de routage configures. Ces numros sont squentiels, moins que des rgles aient t modifies dans la table. Les interfaces sur lesquelles les paquets sujets des rgles de routage ont t reus. Les interfaces travers lesquelles les paquets routs par rgles sont dirigs. Les adresses IP source et masques de rseau responsables de lapplication de rgles de routage. Les adresses IP de destination et les masques de rseau responsables de lapplication de rgles de routage. Permet de supprimer une rgle de routage. Permet dditer une rgle de routage. Permet de dplacer une rgle de routage vers le haut ou le bas dans la table de routage. En slectionnant cette icne, une nouvelle fentre saffiche dans laquelle vous pouvez spcifier la nouvelle localisation dans la table de Rgles de Routage. Voir Dplacer une rgles de routage la page 203.
Interface source Interface destination Source Destination Icne Supprimer Icne Editer Icne Dplacer
Ajout dune rgle de routage

Les options des rgles de routage dfinissent les proprits dun paquet entrant responsable de lapplication dune rgle de routage. Si les proprits dun paquet correspondent toutes les conditions spcifies, lquipement FortiGate commute le paquet travers linterface spcifie vers la passerelle dsigne. Pour ajouter une rgle de routage, slectionnez Routeur > Static > Rgle de routage et cliquez sur Crer Nouveau. Lillustration 91 reprsente la bote de dialogue dune nouvelle rgle de routage appartenant un quipement FortiGate qui possdent des interfaces appeles external et internal . Les noms des interfaces varient selon les modles FortiGate.
202
Illustration 91 : Nouvelle Rgle de Routage
Protocole
Pour excuter des rgles de routage en fonction de la valeur dans le champ protocole du paquet, entrez le numro de protocole correspondant. Cette valeur se situe entre 0 et 255. La valeur 0 dsactive la fonctionnalit. Slectionne le nom de linterface travers laquelle les paquets entrants sujets la rgle sont reus. Pour excuter des rgles de routage en fonction de ladresse IP source du paquet, entrez ladresse source et le masque de rseau correspondants. La valeur 0.0.0.0/0.0.0.0 dsactive la fonctionnalit. Pour excuter des rgles de routage en fonction de ladresse IP de destination du paquet, entrez ladresse de destination et le masque de rseau correspondants. La valeur 0.0.0.0/0.0.0.0 dsactive la fonctionnalit. Pour excuter des rgles de routage en fonction du port sur lequel est reu, entrez le mme numro de port dans les champs Dbut et Fin. Si vous voulez que cette rgle sapplique un intervalle de ports, entrez le premier port de la plage dans le champ Dbut et le dernier dans le champ Fin. Les valeurs 0 dsactivent cette fonctionnalit. Slectionnez le nom de linterface travers laquelle les paquets concerns pas la rgle passeront. Entrez ladresse IP du routeur du prochain saut que lquipement FortiGate peut accder travers linterface spcifie. La valeur 0.0.0.0 nest pas valide.
Interface source Adresse source et masque
Adresse destination et masque
Ports destination
Interface destination Passerelle
Dplacement dune rgle de routage

Une nouvelle rgle de routage est ajoute au bas de la table de routage. Si vous dsirez quune rgle en prcde une autre, vous aurez peut-tre la dplacer plus haut dans la table de routage. Le choix entre deux routes se prsente lorsque celles-ci sont identiques. Prenons lexemple suivant de deux routes prsentes dans la table de routage : 172.20.0.0/255.255.0.0 et 172.20.120.0/255.255.255.0. Elles peuvent toutes deux correspondre 172.20.120.112 mais la deuxime est prfrable. Elle devrait donc tre positionne avant lautre dans la table de routage. A partir de linterface de ligne de commande, vous pouvez affecter des priorits aux routes. Ainsi dans le cas de deux routes identiques dans la table de routage, la
priorit dterminera la route utiliser. Cette fonctionnalit nest disponible qu partir de linterface de ligne de commande.
Illustration 92 : Dplacement dune rgle de routage
Avant / Aprs
Slectionnez Avant pour placer la rgle de routage slectionne avant la route indique. Slectionnez Aprs pour placer la rgle de routage slectionne aprs la route indique. Entrez lID de la rgle de routage avant ou aprs laquelle doit venir se positionner la rgle de routage slectionne.
Policy route ID
204
Routeur dynamique
Cette section explique comment configurer des protocoles dynamiques pour diriger le trafic travers de larges et complexes rseaux. Les protocoles de routage dynamiques permettent lquipement FortiGate de partager automatiquement les informations sur les routes et rseaux avec les routeurs voisins. Le botier FortiGate supporte les protocoles de routage dynamiques suivants : Routing Information Protocol (RIP) Open Shortest First (OSPF) Border Gateway Protocol (BGP)
Remarque : Les options de base de routage RIP, OSPF et BGP peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures partir de linterface de ligne de commande uniquement. Des descriptions et exemples complets sur lutilisation de commandes CLI pour configurer les paramtres RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Le botier FortiGate slectionne des routes et met jour sa table de routage dynamiquement en fonction de rgles spcifies. A partir dun ensemble de rgles, lquipement FortiGate peut dterminer la meilleure route pour lenvoi de paquets vers une destination. Des rgles peuvent galement tre dfinies pour supprimer la publicit des routes vers les routeurs voisins et/ou modifier les informations de routage FortiGate avant de les publier.
Remarque : Le botier FortiGate peut oprer comme un routeur PIM (Protocol Independant Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes PIM clairsem et dense et peuvent servir de serveurs ou receveurs multicast sur le segment rseau auquel linterface FortiGate est connecte. PIM peut utiliser des routes statiques, RIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.
Les sujets suivants sont parcourus dans cette section : RIP OSPF BGP Multicast
RIP
Le RIP est un protocole de routage vecteur de distance prvu pour de petits rseaux relativement homognes. Limplmentation FortiGate du RIP supporte les versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).
Remarque : Les options de base de routage peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures partir de linterface de ligne de commande uniquement. Des descriptions et exemples complets sur lutilisation de commandes CLI pour configurer les paramtres RIP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
205
Fonctionnement RIP
Lorsque le routage RIP est activ, lquipement FortiGate met des requtes pour des annonces RIP partir de chacune de ses interfaces pour lesquelles le RIP est activ. Les routeurs voisins rpondent en se basant sur leur table de routage. Lquipement FortiGate ajoute les routes de ses voisins, absentes de sa table de routage, sa propre table de routage. Si une route existe dj dans sa table de routage, lquipement FortiGate compare la route diffuse la route enregistre et en choisit une. La mtrique utilise par RIP utilise le nombre de sauts (hop count) pour choisir la meilleure route. Un nombre de sauts de 1 reprsente un rseau connect directement lquipement FortiGate. Un nombre de sauts de 16 reprsente un rseau que lquipement FortiGate ne peut pas atteindre. Chaque rseau travers par un paquet pour atteindre sa destination compte en gnral pour un saut. Lorsque lquipement FortiGate compare deux routes pour une mme destination, la route ayant le nombre de sauts le plus bas est ajoute la table de routage. Par ailleurs, lorsquun routage RIP est activ sur une interface, le botier FortiGate envoie rgulirement des rponses RIP aux routeurs voisins. Les annonces fournissent des informations propos des routes prsentes dans la table de routage FortiGate en fonction des rgles de diffusion spcifies. Il est possible de prciser la frquence laquelle lquipement FortiGate envoie ces annonces, le temps pendant lequel une route est sauvegarde dans la table de routage sans subir de mise jour, et encore, pour les routes non mises jour rgulirement, combien de temps lquipement FortiGate diffuse la route comme inatteignable avant quelle soit supprime de la table de routage.
Visualisation et dition des paramtres de base RIP

Lors de la configuration de paramtres RIP, vous devez spcifier les rseaux fonctionnant avec RIP, ainsi que tous les paramtres supplmentaires ncessaires pour ajuster le fonctionnement RIP sur les interfaces FortiGate connectes au rseau RIP. Pour configurer les paramtres de base dun quipement FortiGate connect un rseau RIP, slectionnez Routeur > Dynamic > RIP. Pour diter les paramtres de fonctionnement dune interface, cliquez sur licne Editer dans la ligne correspondante linterface (sur laquelle le routage RIP est activ). Lillustration 93 reprsente les paramtres de base RIP dun quipement FortiGate qui possdent des interfaces appeles external et internal . Les noms des interfaces varient dun modle FortiGate un autre.
206
Illustration 93 : Paramtres de base RIP
Version RIP
Slectionnez le niveau de compatibilit. Vous pouvez activer les paramtres globaux RIP sur toutes les interfaces FortiGate connectes aux rseaux RIP : Slectionnez 1 pour envoyer et recevoir les paquets RIP version 1. Slectionnez 2 pour envoyer et recevoir les paquets RIP version 2. Slectionnez Les deux pour envoyer et recevoir les paquets RIP versions 1 et 2. Vous pouvez ignorer les paramtres globaux pour une interface FortiGate spcifique si ncessaire (voir Ignorer les paramtres de fonctionnement sur une interface la page 209).
Options Avances Rseaux
Slectionnez Options Avances RIP. Voir Slection doptions RIP avances la page 208. Les adresses IP et masques de rseau des rseaux principaux (connects lquipement FortiGate) muni de RIP. Lorsque vous ajoutez un rseau la liste des Rseaux, les interfaces FortiGate faisant partie de ce rseau sont diffuses dans les annonces RIP. Vous pouvez activer RIP sur toutes les interfaces FortiGate dont les adresses IP correspondent lespace adressage du rseau RIP. Entrez ladresse IP et le masque de rseau qui dfinissent le rseau RIP. Permet dajouter les informations sur le rseau la liste des Rseaux. Tous les paramtres supplmentaires ncessaires pour ajuster le fonctionnement RIP sur une interface FortiGate. Permet de configurer les paramtres de fonctionnement RIP dune interface. Ces paramtres ignoreront les paramtres globaux RIP pour cette interface. Voir Ignorer les paramtres de fonctionnement RIP sur une interface la page 209. Slectionnez linterface pour laquelle configurer les paramtres de fonctionnement RIP.
IP/Masque Add Interfaces Crer Nouveau
Interfaces
Version - Envoys Slectionnez la version RIP utilise pour lenvoi dannonces partir de chaque interface : 1, 2 ou les deux.
207
Version - Reus Authentification Passive
Slectionnez la version RIP utilise pour la rception dannonces partir de chaque interface : 1, 2 ou les deux. Slectionnez le type dauthentification utilis sur cette interface : None, Text ou MD5. Slectionnez pour bloquer lmission RIP sur cette interface.
Icnes Supprimer et Editer Permet de supprimer ou dditer une entre rseau RIP ou une dfinition dinterface RIP.
Slection doptions RIP avances

Les options RIP avances vous permettent de spcifier les paramtres des compteurs RIP et de dfinir les mtriques pour la redistribution de routes dont lquipement FortiGate a pris connaissance autrement que par les annonces RIP. Cest le cas par exemple, si le botier FortiGate est connect un rseau OSPF ou BGP ou encore si vous ajoutez manuellement une route statique la table de routage FortiGate. Dans ces cas-l, vous pouvez configurer la diffusion par lquipement FortiGate de ces routes sur les interfaces RIP. Pour slectionnez les options RIP avances, slectionnez Routeur > Dynamic > RIP et drouler les Options Avances. Aprs avoir slectionn les options, cliquez sur Appliquer.
Remarque : Des options avances supplmentaires peuvent tre configures partir de linterface de ligne de commande. Par exemple, vous pouvez filtrer les annonces entrantes et sortantes grce lutilisation dune carte de route, dune liste daccs ou encore dune liste de prfixes. Lquipement FortiGate supporte galement des listes offset, qui ajoutent un dcalage aux mtriques dune route. Pour plus dinformations, voir le chapitre Routeur dans le FortiGate CLI Reference. Illustration 94 : Options avances (RIP)
Mtrique par dfaut
Entrez le nombre de sauts par dfaut que lquipement FortiGate devrait affecter aux routes ajoutes la table de routage. Ce nombre varie entre 1 et 16. Cette valeur sapplique galement la Redistribution des routes moins que spcifi diffremment.
Annoncer la route par dfaut dans RIP
Slectionnez pour gnrer et annoncer sans restriction une route par dfaut vers les rseaux RIP FortiGate. La route gnre peut tre base sur des routes annonces partir dun protocole de routage dynamique, des routes de la table de routage ou les deux.
208
Compteurs RIP
Ignore les paramtres par dfaut du compteur RIP. Ces paramtres sont en vigueur dans la plupart des configurations en cas de modifications de ces paramtres, veillez ce que les nouveaux paramtres soient compatibles avec les routeurs locaux et les serveurs daccs. Entrez le laps de temps (en secondes) entre chaque envoi par le botier FortiGate des annonces RIP. Entrez le temps maximum (en secondes) pendant lequel une route reste considre comme atteignable bien quaucune annonce nest reue pour cette route. Cest le temps maximum pendant lequel lquipement FortiGate gardera une route atteignable dans la table de routage alors quaucune annonce nest reue pour cette route. Si lquipement FortiGate reoit une annonce pour cette route avant que le laps de temps soit coul, le compteur redmarre. Cette priode devrait tre au moins trois fois plus longue que la priode Annonces ci-dessus.
Annonces Route invalide
Route supprime Entrez le temps (en secondes) pendant lequel lquipement FortiGate annoncera une route dont le statut est inatteignable avant de la supprimer de la table de routage. Cette valeur dtermine le temps pendant lequel une route inatteignable reste dans la table de routage. Redistribution des routes Activez ou dsactivez les annonces RIP concernant les routes qui nont pas t diffuses via annonces RIP. Lquipement FortiGate peut utiliser le RIP pour redistribuer les routes diffuses partir de rseaux connects directement, de routes statiques, OSPF et/ou BGP. Connectes Slectionnez cette option pour redistribuer les routes diffuses via des rseaux connects directement. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Slectionnez cette option pour redistribuer les routes diffuses via des routes statiques. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Slectionnez cette option pour redistribuer les routes diffuses via OSPF. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Slectionnez cette option pour redistribuer les routes diffuses via BGP. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16.
Statiques
OSPF
BGP
Ignorer les paramtres de fonctionnement RIP dune interface

Les options des interfaces RIP vous permettent dignorer les paramtres globaux RIP qui sappliquent toutes les interfaces connectes des rseaux RIP. Par exemple, si vous voulez supprimer lenvoi dannonces RIP sur une interface connecte un sous-rseau ou rseau RIP, vous pouvez configurer linterface pour quelle fonctionne passivement. Les interfaces passives reoivent les annonces RIP mais ne rpondent pas aux requtes. La version 2 du RIP permet de choisir un mot de passe dauthentification afin que lquipement FortiGate authentifie un routeur voisin avant daccepter ses
annonces. Lquipement FortiGate et les routeurs voisins doivent tre configurs avec le mme mot de passe. Le procd dauthentification garantit lauthenticit du paquet dannonces mais ne garantit pas la confidentialit des informations sur le routage contenus dans le paquet. Pour dfinir les paramtres RIP des interfaces RIP, slectionnez Routeur > Dynamic > RIP et cliquez sur Crer Nouveau.
Remarque : Certaines options supplmentaires telles que split-horizon et key-chain peuvent tre configures sur chaque interface partir de linterface de ligne de commande. Pour plus dinformations, voir le chapitre Routeur dans le FortiGate CLI Reference.
Lillustration 95 reprsente la bote de dialogue Nouvelle/Editer Interface RIP appartenant un FortiGate qui possde une interface appele internal . Les noms des interfaces varient selon les modles FortiGate.
Illustration 95 : Nouvelle/Editer Interface RIP
Interface
Slectionnez le nom de linterface pour laquelle les paramtres ci-dessous sappliquent. Linterface doit tre connecte un rseau RIP. Linterface peut tre une interface virtuelle IPSec ou GRE. Slectionnez pour ignorer le paramtre par dfaut de compatibilit RIP pour lenvoi ou la rception des annonces travers linterface : RIP version 1, version 2 ou les deux. Slectionnez une mthode dauthentification pour les changes RIP sur linterface spcifie : Slectionnez None pour dsactiver lauthentification. Pour une interface connecte un rseau muni de RIP version 2, vous pouvez facultativement slectionner Texte et entrez un mot de passe (jusqu 35 caractres). Lquipement FortiGate et le routeur des annonces RIP doivent tre configurs avec le mme mot de passe. Le mot de passe est envoy sous forme de texte travers le rseau. Slectionnez MD5 pour authentifier un change via MD5.
Version des annonces envoyes, Version des annonces reues
Authentification
Passive Interface
Permet de supprimer lannonce des informations de routage FortiGate travers linterface spcifie. Pour activer les rponses de linterface aux requtes RIP, ne pas slectionner cette case.
210
OSPF
OSPF est un protocole de routage IP de type tat de lien utilis gnralement sur de larges rseaux htrognes pour partager les informations de routage entre les routeurs dun mme Systme Autonome (AS). Lquipement FortiGate supporte OSPF version 2 (voir RFC 2328).
Remarque : Les options de base de routage OSPF peuvent tre configure partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures uniquement partir de linterface de ligne de commande. Pour des descriptions et exemples complets sur la configuration de paramtres OSPF via lutilisation des commandes CLI, voir le chapitre Routeur du FortiGate CLI Reference.
Systmes autonomes OSPF

Un systme autonome OSPF est divis en aires (ou zones) logiques relies par des routeurs de bordure de zones. Une aire comprend un groupe de rseaux environnants. Un routeur de bordure de zones relie une ou plusieurs aires au backbone du rseau OSPF (Aire ID 0). Pour spcifier les caractristiques dun systme autonome OSPF, voir Dfinition dun systme autonome OSPF la page 212 . Lorsquun quipement FortiGate possde une de ses interfaces dans une aire OSPF, il peut alors participer aux changes de communications OSPF. Le botier FortiGate utilise le protocole OSPF Hello pour acqurir des voisins dans une aire. Tout routeur qui possde une interface dans la mme aire que le botier FortiGate est un voisin. Aprs un contact initial, lquipement FortiGate change rgulirement des paquets Hello avec ses voisins OSPF pour confirmer que ceuxci peuvent tre joints. Les routeurs OSPF gnrent des LSA (link-state advertisements) et les envoient leurs voisins chaque changement de statut dun voisin ou lorsquun nouveau voisin apparat dans laire. Tant que le rseau OSPF est stable, il ny a pas de LSA entre les voisins OSPF. Un LSA identifie des interfaces de tous les routeurs dune aire et procure des informations qui permettent aux routeurs de slectionner le chemin le plus court vers une destination. Tous les changes LSA entre routeurs OSPF sont authentifis. Lquipement FortiGate maintient une base de donnes des informations dtats de lien base sur les LSA reus des autres routeurs OSPF. Pour calculer la meilleure route (chemin le plus court) vers une destination, lquipement FortiGate applique lalgorithme SPF (Shortest Path First) aux informations dtats de lien. Le protocole OSPF utilise le cot relatif comme mtrique de base pour le choix de la meilleure route. Le cot impose une pnalit en sortie chaque interface dun FortiGate. Le cot dune route est calcul en additionnant tous les cots associs aux interfaces de sorties sur le chemin vers la destination. Cest la route au moindre cot qui sera considre comme la meilleure route. Lquipement FortiGate met jour sa table de routage dynamiquement, en fonction des rsultats des calculs SPF pour assurer quun paquet OSPF sera commut vers sa destination via le chemin le plus court. Selon la topologie du rseau, les entres dans la table de routage FortiGate peuvent inclure : les adresses rseaux de laire locale OSPF (vers lesquels les paquets sont envoys directement).
211
des routes vers les routeurs de bordure daires OSPF (vers lesquels les paquets destins dautres aires sont envoys). si le rseau contient des aires OSPF et des domaines non-OSPF, des routes vers les routeurs frontires AS, qui rsident dans le rseau backbone OSPF et sont configurs pour lenvoi de paquets vers des destinations en dehors du systme autonome OSPF.
Le nombre de routes portes la connaissance de lquipement FortiGate dpendent de la topologie du rseau. Un seul quipement FortiGate peut supporter des dizaines de milliers de routes si le rseau OSPF est configur correctement.
Dfinition dun systme autonome (AS) OSPF

Dfinir un AS OSPF comprend : la dfinition de caractristiques dune ou plusieurs aires OSPF. la cration dassociations entre aires OSPF que vous dfinissez et les rseaux locaux inclure dans lAS OSPF. si ncessaire, ajuster les paramtres des interfaces OSPF.
Les procdures suivantes dcrivent la configuration de ces tches partir de linterface dadministration web. Dfinir un AS OSPF 1 2 3 4 5 Slectionnez Routeur > Dynamic > OSPF. Cliquez sur Crer Nouveau dans la section Aires. Dfinissez les caractristiques dune ou plusieurs aires OSPF. Voir Dfinition daires OSPF la page 216. Cliquez sur Crer Nouveau dans la section Rseaux. Crez des associations entre les aires OSPF que vous dfinissez et les rseaux locaux inclure dans lAS OSPF. Voir Spcification des rseaux OSPF la page 217. Sil est ncessaire dajuster les paramtres par dfaut dune interface OSPF, cliquez sur Crer Nouveau dans la section Interfaces. Slectionnez les paramtres de fonctionnement pour linterface. Voir Slection de paramtres de fonctionnement dune interface OSPF la page 218. Rptez les tapes 6 et 7 si ncessaire pour dautres interfaces OSPF. Facultativement, slectionnez les options OSPF avances pour lAS OSPF. Voir Slection doptions OSPF avances la page 214.
6 7 8 9
10 Cliquez sur Appliquer.
Visualisation et dition de paramtres de base OSPF

Lors de la configuration de paramtres OSPF, il vous faut dfinir lAS dans lequel OSPF est activ et spcifier les interfaces de lquipement FortiGate qui en font partie. Pour cela il faut galement spcifier les aires AS et les rseaux inclure dans ces aires. Vous pouvez facultativement ajuster les paramtres associs aux oprations OSPF sur les interfaces FortiGate.
212
Pour visualiser et diter les paramtres OSPF, slectionnez Routeur > Dynamic > OSPF. Lillustration 96 reprsente les paramtres de base OSPF dun quipement FortiGate qui possde une interface appele port1 . Les noms des interfaces varient en fonction des modles FortiGate.
Illustration 96 : Paramtres de base OSPF
Routeur ID
Entrez un ID de routeur unique en vue didentifier lquipement FortiGate vis--vis des autres routeurs OSPF. Par convention, lID du routeur est ladresse IP la plus haute (numriquement parlant) de toutes les interfaces FortiGate dans lAS OSPF. Ne pas modifier lID du routeur pendant le fonctionnement dOSPF. Voir Slection doptions OSPF avances la page 214. Informations propos des aires (zones) qui forment lAS OSPF. Len-tte dun paquet OSPF contient lID de laire, ce qui permet didentifier lorigine dun paquet au sein dun AS.
Options Avances Aires
Crer Nouveau
Permet de dfinir une aire OSPF et dajouter cette nouvelle aire la liste des Aires. Voir Dfinition daires OSPF la page 216. Chaque ligne comprend lidentificateur (ID) 32 bits unique, exprim sous forme de notation dcimale point, dune aire dans lAS. Laire portant lID 0.0.0.0 est laire backbone de lAS et ne peut tre chang ou supprim. Les diffrents types des aires dans lAS : Dans le cas o laire est une aire normale OSPF, le type affich est Regular . Si laire est une not-so-stubby area , le type affich est NSSA . Si laire est une stub area , le type affich est Stub .
Aire
Type
Pour plus dinformations, voir Dfinition daires OSPF la page 216.
213
Authentification
Les mthodes dauthentification de paquets OSPF envoys et reus travers les interfaces FortiGate lies chaque aire. Lorsque lauthentification est dsactive, la mention None saffiche. Lorsquune authentification avec mot de passe en texte est active, la mention Texte saffiche. Lorsque lauthentification MD5 est active, la mention MD5 saffiche.
Des paramtres dauthentification diffrents peuvent sappliquer certaines interfaces dune aire, tel quaffich dans la section Interfaces. Par exemple, si une aire utilise des mots de passe simples, vous pouvez configurer un mot de passe diffrent pour un ou plusieurs rseaux de cette aire. Rseaux Les rseaux de lAS OSPF et leur ID aire. Lorsquun rseau est ajout dans la liste des Rseaux, toutes les interfaces FortiGate faisant partie du rseau sont annonces via les LSA OSPF. Vous pouvez activer OSPF sur toutes les interfaces dont les adresses IP correspondent lespace adressage rseau OSPF. Slectionnez pour ajouter un rseau lAS, spcifier son ID aire et ajouter une dfinition la liste Rseaux. Voir Spcification des rseaux OSPF la page 217. Les adresses IP et masques de rseau des rseaux de lAS sur lesquels OSPF est activ. Lquipement FortiGate peut avoir des interfaces physiques ou VLAN connectes au rseau. LID de laire affecte lespace adressage rseau OSPF. Tout paramtre supplmentaire ncessaire lajustement du fonctionnement OSPF sur une interface FortiGate. Slectionnez pour ajouter des paramtres de fonctionnement OSPF supplmentaires ou diffrents pour une interface FortiGate et ajouter la configuration la liste des Interfaces. Voir Slection de paramtres de fonctionnement dune interface OSPF la page 218. Les noms des dfinitions des interfaces OSPF. Les noms des interfaces physiques ou VLAN ayant des paramtres diffrents des valeurs par dfaut affectes toutes les autres interfaces dune mme aire. Les adresses IP des interfaces OSPF ayant des paramtres supplmentaires ou diffrents. Les mthodes dauthentification des changes LSA envoys ou reus sur des interfaces OSPF spcifies. Ces paramtres ignorent les paramtres de lauthentification de laire. Slectionnez pour supprimer ou diter une aire OSPF, un rseau ou une dfinition dinterface.
Crer Nouveau
Rseaux
Aire Interfaces Crer Nouveau
Nom Interface
IP Authentification
Icnes Supprimer et Editer
Slection doptions avances OSPF

Les options OSPF avances vous permettent de prciser les mtriques pour la redistribution de routes dont le botier FortiGate a pris connaissance par dautres moyens que les LSA OSPF. Cest le cas par exemple, si lquipement FortiGate est connect un rseau RIP ou BGP ou encore si vous ajoutez manuellement
214
une route statique la table de routage FortiGate. Dans ces cas-l, vous pouvez configurer la diffusion par le FortiGate de ces routes sur les interfaces OSPF. Pour slectionnez les options OSPF avances, slectionnez Routeur > Dynamic OSPF et drouler les Options Avances. Aprs avoir slectionn les options, cliquez sur Appliquer.
Illustration 97 : Options OSPF avances
Information par dfaut
Gnre ou diffuse une route par dfaut (external) vers lAS OSPF. La route gnre peut tre base sur des routes dont lquipement FortiGate a eu connaissance via un protocole de routage dynamique ou des routes dans la table de routage, ou les deux. Dsactive la gnration dune route par dfaut. Gnre une route par dfaut dans lAS OSPF et diffuse la route aux systmes autonomes voisins seulement si la route est prsente dans la table de routage. Gnre une route par dfaut dans lAS OSPF et diffuse la route aux systmes autonomes voisins inconditionnellement mme si la route est absente de la table de routage. Active ou dsactive les LSA OSPF propos des routes non diffuses via OSPF. Lquipement FortiGate peut utiliser OSPF pour redistribuer les routes diffuses partir de rseaux connects directement, de routes statiques, RIP et/ou BGP. Slectionnez cette option pour redistribuer les routes diffuses partir de rseaux connects directement. Si vous dsirez prciser un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214. Slectionnez cette option pour redistribuer les routes diffuses partir de routes statiques. Si vous dsirez spcifier un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214. Slectionnez cette option pour redistribuer les routes diffuses partir de RIP. Si vous dsirez spcifier un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214. Slectionnez cette option pour redistribuer les routes diffuses partir de BGP. Si vous dsirez spcifier un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214.
Aucun Regular
Toujours
Redistribution
Connect
Statiques
RIP
BGP
Remarque : Des options avances supplmentaires peuvent tre configures partir de linterface de ligne de commande. Pour plus dinformations, voir le chapitre Routeur dans le FortiGate CLI Reference. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 215
Dfinitions daires OSPF

Une aire dfinit logiquement une partie de lAS OSPF. Chaque aire est identifie par un ID aire de 32 bits exprim sous forme de notation dcimale point. Laire portant lID 0.0.0.0 est laire backbone du rseau OSPF. Il existe trois classifications pour les aires dune AS : Regular Stub NSSA
Une aire Regular comprend plus dun routeur, chacun ayant au moins une interface OSPF dans cette aire. Pour atteindre le backbone OSPF, les routeurs dune aire stub doivent envoyer les paquets vers un routeur de bordure de zones. Les routes qui mnent vers des domaines non-OSPF ne sont pas diffuses aux routeurs des aires stub. Le routeur de bordure de zones diffuse lAS OSPF une seule route par dfaut (destination 0.0.0.0) dans laire stub, qui assure que tous les paquets OSPF ne correspondant pas une route spcifique correspondront la route par dfaut. Tous les routeurs connects une aire stub est considre comme faisant partie de cette aire. Dans une aire NSSA (Not-So-Stubby Area), les routes qui sortent de laire vers un domaine non-OSPF sont diffuses lAS OSPF. Cependant, laire elle-mme continue dtre traite comme une aire stub par le reste de lAS. Les aires Regular et stub (y compris NSSA) sont connectes au backbone OSPF par lintermdiaire de routeurs de bordure de zones. Pour dfinir une aire OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez sur Crer Nouveau dans la section Aires. Pour diter les proprits dune aire OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez sur licne Editer dans la ligne correspondante laire concerne.
Remarque : Si ncessaire, vous pouvez dfinir un lien virtuel vers une aire qui a perdu sa connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement tre dfinis entre deux quipements FortiGate qui agissent en tant que routeurs de bordure de zones. Pour plus dinformations, voir config virtual-link sous la sous-commande OSPF config area dans le FortiGate CLI Reference. Illustration 98 : Nouvelle/Editer Aire OSPF
Aire
Entrez un identificateur de 32 bits pour cette aire. La valeur doit tre similaire une adresse IP sous forme de notation dcimale point. Une fois laire OSPF cre, la valeur IP de cette aire ne peut plus tre modifie. Slectionnez un type daire pour catgoriser les caractristiques du rseau qui seront affectes laire :
Type
216
Slectionnez Regular si laire comprend plus dun routeur, chacun ayant au moins une interface OSPF dans laire. Slectionnez NSSA si vous dsirez des routes vers des domaines non-OSPF diffuss sur lAS OSPF et dsirez que laire soit traite comme une aire stub par le reste de lAS. Slectionnez STUB si les routeurs de laire doivent envoyer des paquets vers un routeur en bordure de zones pour atteindre le backbone et que vous ne dsirez pas que les routes vers des domaines non-OSPF soit diffuses vers les routeurs dans laire.
Authentification
Slectionnez la mthode dauthentification OSPF des paquets envoys et reus par lintermdiaire de toutes les interfaces dans cette aire : Slectionnez None pour dsactiver lauthentification. Slectionnez Texte pour activer un mot de passe dauthentification sous forme de texte pour authentifier les changes LSA. Le mot de passe est envoy sous forme de texte travers le rseau. Slectionnez MD5 pour authentifier un change via MD5.
Si ncessaire, vous pouvez ignorer ce paramtres pour une ou plusieurs interfaces de laire (voir Slection des paramtres de fonctionnement dune interface OSPF la page 218.
Remarque : Pour affecter un rseau une aire, voir Spcification des rseaux OSPF la page 217.
Spcification de rseaux OSPF

Les aires OSPF regroupent plusieurs rseaux environnants. Lorsque vous affectez un ID un espace adressage du rseau, les proprits de cette aire sont associes au rseau. Pour affecter un ID aire OSPF un rseau, slectionnez Routeur > Dynamic > OSPF et cliquez sur Crer Nouveau dans la section Rseaux. Pour diter cet ID, slectionnez Routeur > Dynamic > OSPF et cliquez sur licne Editer dans la ligne correspondant au rseau concern.
Illustration 99 : Nouveau/Editer Rseau OSPF
IP/Masque Aire
Entrez ladresse IP et le masque de rseau du rseau local que vous dsirez affecter une aire OSPF. Slectionnez un ID aire pour le rseau. Les proprits de laire doivent correspondre aux caractristiques et la topologie du rseau spcifi. Vous devez dfinir laire avant de pouvoir slectionnez lID aire. Voir Dfinition daires OSPF la page 216.
217
Slection de paramtres de fonctionnement dune interface OSPF

La dfinition dune interface OSPF contient des paramtres de fonctionnement spcifiques une interface OSPF FortiGate. La dfinition comprend le nom de linterface (par exemple, external ou VLAN_1), ladresse IP affecte linterface, la mthode dauthentification des changes LSA et les paramtres de temps pour lenvoi et la rception des paquets OSPF Hello et dead-interval. Le protocole OSPF peut tre activ sur toutes les interfaces FortiGate dont les adresses IP correspondent lespace rseau OSPF. Par exemple, dfinissez une aire 0.0.0.0 et un rseau OSPF dfini 10.0.0.0/16. Dfinissez ensuite vlan1 10.0.1.1.24, vlan2 10.0.2.1/24 et vlan3 10.0.3.1/24. Ces trois vlans seront munis dOSPF dans une aire 0.0.0.0. Pour activer toutes les interfaces, vous devriez crer un rseau OSPF 0.0.0.0/0 ayant une aire qui corresponde une adresse IP spcifique. Vous pouvez configurer des paramtres OSPF diffrents pour une mme interface FortiGate lorsque plus dune adresse IP ont t assignes linterface. Par exemple, une mme interface FortiGate pourrait tre connecte deux voisins partir de sous-rseaux diffrents. Vous pourriez alors configurer une dfinition de linterface OSPF comprenant un ensemble de paramtres Hello et dead-interval pour la compatibilit avec les paramtres dun voisin, et configurer une deuxime dfinition de cette mme interface pour assurer la compatibilit avec les paramtres du deuxime voisin. Pour slectionnez les paramtres de fonctionnement dune interface FortiGate, slectionnez Routeur > Dynamic > OSPF et cliquez sur Crer Nouveau dans la section Interfaces. Pour diter ces paramtres, cliquez sur licne Editer dans la ligne correspondant linterface OSPF diter. Lillustration 100 reprsente la bote de dialogue Nouvelle/Editer Interface OSPF appartenant un quipement FortiGate qui possde une interface appele port1 . Les noms des interfaces varient selon les modles FortiGate.
Illustration 100 : Nouvelle/Editer Interface OSPF
Nom
Entrez un nom pour identifier la dfinition de linterface OSPF. Par exemple, le nom pourrait indiquer laire OSPF laquelle sera relie linterface. Slectionnez le nom de linterface associer cette dfinition dinterface OSPF (par exemple, port1, external ou VLAN_1). Lquipement FortiGate peut avoir des interfaces physiques, VLAN, virtuelles IPSec ou GRE connectes au rseau OSPF.
Interface
218
IP
Entrez ladresse IP affecte linterface OSPF. Linterface devient une interface OSPF lorsque son adresse IP correspond lespace adresse rseau OSPF. Par exemple, si vous dfinissez un rseau OSPF 172.20.120.0/24 et affectez ladresse IP 172.20.120.140 au port1, entrez 172.20.120.140. Slectionnez une mthode dauthentification pour les changes LSA pour linterface spcifie : Slectionnez None pour dsactiver lauthentification. Slectionnez Texte pour une authentification partir dun mot de passe textuel. Ce mot de passe se compose de 35 caractres maximum et est envoy sous forme de texte travers le rseau. Slectionnez MD5 pour lutilisation dune ou plusieurs cl(s) pour gnrer un hash MD5.
Authentification
Ces paramtres ignorent les paramtres dAuthentification pour laire. Mot de passe Entrez le mot de passe textuel. Entrez une valeur alphanumrique jusqu 15 caractres. Les voisins OSPF qui envoient des LSA aux interfaces FortiGate doivent tre configurs avec le mme mot de passe. Ce champ nest disponible que si vous avez choisi la mthode dauthentification Texte. Entrez lidentificateur cl pour le (premier) mot de passe dans le champ ID (dans un intervalle de 1 255) et tapez ensuite le mot de passe associ dans le champ Cl (Key). Le mot de passe est une suite alphanumrique de maximum 16 caractres. Les voisins OSPF qui envoient des LSA cette interface FortiGate doivent tre configurs avec une cl MD5 identique. Si le voisin OSPF utilise plus dun mot de passe pour gnrer un hash MD5, cliquez sur licne Ajouter pour ajouter des cls MD5 supplmentaires dans la liste. Ce champ est disponible seulement si vous avez slectionn la mthode dauthentification MD5. Vous pouvez, facultativement, dfinir un Hello Interval compatible avec les paramtres Hello Interval sur tous les voisins OSPF. Ce paramtre dfinit la priode de temps dattente (en secondes) de lquipement FortiGate entre chaque envoi de paquets Hello par ses interfaces. Facultativement, dfinissez le Dead Interval compatible avec les paramtres Dead Interval de tous les voisins OSPF. Ce paramtre dfinit la priode de temps dattente (en secondes) de lquipement FortiGate entre chaque rception de paquets Hello provenant de ses voisins sur ses interfaces. Si le FortiGate ne reoit pas de paquet Hello endans le temps spcifi, il dclare le voisin inaccessible. Par convention, la valeur du Dead Interval est quatre fois plus grande que la valeur du Hello Interval.
Cls MD5
Hello Interval
Dead Interval
BGP
BGP est un protocole de routage Internet gnralement utilis par les Fournisseurs dAccs Internet (FAI) pour changer des informations de routage entre diffrents rseaux FAI. Par exemple, BGP permet le partage de chemins de rseaux entre le rseau DAI et un systme autonome (AS) qui utilise RIP et/ou OSPF pour acheminer les paquets dans lAS. Limplmentation FortiGate du BGP supporte BGP-4 et est conforme la RFC 1771.
219
Remarque : Les options de base de routage BGP peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures uniquement partir de linterface de ligne de commande. Pour des descriptions et exemples complets sur lutilisation de commande CLI pour la configuration de paramtres BGP, voir le chapitre Routeur du FortiGate CLI Reference.
Fonctionnement de BGP
Lorsque BGP est activ, lquipement FortiGate envoie des mises jour de la table de routage aux systmes autonomes voisins chaque modification de la table de routage. Chaque AS, y compris celui dont lquipement FortiGate est membre, est associ un numro AS. Ce numro fait rfrence une destination particulire sur le rseau. Les mises jour BGP diffusent le meilleur chemin vers une destination du rseau. Lors de la rception de mises jour, le botier FortiGate examine les proprits du discriminant multi-sorties (MED Multi-Exit Discriminator) des routes potentielles pour dterminer le meilleur chemin vers une destination du rseau avant denregistrer ce chemin dans sa table de routage.
Visualisation et dition des paramtres BGP

Lors de la configuration des paramtres BGP, il est ncessaire de spcifier lAS dont le botier FortiGate est membre et dentrer un ID routeur permettant aux autres routeurs BGP didentifier lquipement FortiGate. Vous devez galement identifier les voisins BGP du FortiGate et spcifier lequel des rseaux du FortiGate devrait tre diffus aux voisins BGP. Pour visualiser et diter les paramtres BGP, slectionnez Routeur > Dynamic > BGP. Linterface dadministration web offre une interface simplifie pour configurer les options de base BGP. De nombreuses options avances BGP peuvent tre configures partir de linterface de ligne de commande. Pour plus dinformations, voir le chapitre Routeur du FortiGate CLI Reference.
Illustration 101 : Options de base BGP
Local AS Router ID
Entrez le numro de lAS local dont le botier FortiGate est membre. Entrez un ID de routeur unique pour permettre lidentification de lquipement FortiGate aux autres routeurs BGP. LID du routeur est une adresse IP en format notation dcimale points. Si vous modifiez lID du routeur pendant le
220
fonctionnement BGP, toutes les connexions aux paires BGP seront momentanment interrompues jusqu leurs rtablissement. Voisins IP AS distant Boutons Add/Edit Les adresses IP et les numros AS de paires BGP dans les systmes autonomes voisins. Entrez ladresse IP de linterface du voisin du rseau BGP. Entrez le numro de lAS auquel le voisin appartient. Slectionnez Add pour ajouter les informations sur le voisin la liste Voisins. Slectionnez Edit pour diter une entre de la liste. Les adresses IP des paires BGP. Les numros des AS associs aux paires BGP. Les adresses IP et masques de rseaux des rseaux diffuser aux paires BGP. Lquipement FortiGate peut avoir une interface physique ou VLAN connecte ces rseaux. Entrez ladresse IP et le masque de rseau du rseau diffuser. Slectionnez pour ajouter des informations sur le rseau la liste Rseaux. Les adresses IP et masques de rseaux des rseaux majeurs diffuss aux paires BGP. Permet de supprimer un voisin BGP ou une dfinition rseau BGP.
Voisin AS distant Rseaux
IP/Masque Bouton Add Rseau Icne Supprimer
Multicast
Un quipement FortiGate peut oprer comme routeur Multicast PIM (Protocol Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les modes clairsem (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et rcepteurs multicast sur le segment rseau auquel est connecte une interface FortiGate. Les applications serveurs multicast utilisent une adresse multicast (Class D) pour envoyer une copie du paquet un groupe de receveurs. Les routeurs PIM travers le rseau assurent que seule une copie du paquet est envoye travers le rseau jusqu ce quelle atteigne sa destination finale. A destination, des copies du paquet sont cres seulement sil est ncessaire de livrer les informations aux applications clients multicast qui ncessitent le trafic destin ladresse multicast.
Remarque : Toutes les applications envoi/rception et tous les routeurs PIM connects entre doivent valider le protocole PIM version 2 en vue de supporter les communications PIM. PIM utilise des routes statiques, RIP, OSPF ou BGP pour transfrer des paquets multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source leur point de destination, soit le mode clairsem (ou pars), soit le mode dense doit tre activ sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsem ne peuvent pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un quipement FortiGate est localis entre une source et un routeur PIM, ou entre deux routeurs PIM ou encore est connect directement un receveur, vous devez crer une rgle pare-feu manuellement pour passer les paquets (multicast) encapsuls ou les donnes dcapsules (trafic IP) entre la source et la destination.
Un domaine PIM est une aire logique comprenant un nombre de rseaux contigus. Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsem est activ le domaine comprend galement plusieurs Points de Rendez-vous (RP)
221
et de Designated Routers (DR). Si PIM est activ sur un botier FortiGate, ce dernier peut excuter chacune de ses fonctions nimporte quel moment tel que configur. Si ncessaire en mode clairsem, vous pouvez dfinir des RP statiques.
Remarque : Les options de base peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures uniquement partir de linterface de ligne de commande. Pour des descriptions et exemples complets sur lutilisation de commandes CLI pour la configuration de paramtres PIM, voir multicast dans le chapitre Routeur du FortiGate CLI Reference.
Visualisation et dition de paramtres multicast

Lorsque le routage multicast (PIM) est activ, vous pouvez configurer le mode clairsem ou dense sur chacune des interfaces FortiGate. Pour visualiser ou diter les paramtres PIM, slectionnez Routeur > Dynamic > Multicast. Linterface dadministration web offre une interface simplifie pour configurer les options de base PIM. Les options PIM avances peuvent tre configures partir de linterface de ligne de commande. Pour plus dinformations, voir le chapitre Routeur du FortiGate CLI Reference.
Illustration 102 : Options de base multicast
Activer le Routage Multicast
Slectionnez pour activer le routage PIM version 2. Une rgle pare-feu doit tre cre sur les interfaces PIM pour laisser passer les paquets encapsuls et les donnes dcapsules entre leur source et leur destination. Ajouter une adresse RP. Si ncessaire en mode clairsem, entrez ladresse IP dun Point de Rendezvous (RP) qui peut tre utilis comme racine de larbre de distribution dun paquet pour un groupe multicast. Les join messages du groupe multicast et les donnes de la source sont envoys au RP. Si un RP du groupe multicast de lIP spcifi est dj connu par le Boot Strap Router, ce RP est utilis et ladresse RP statique spcifie ignore.
Add Static RP (+)
Appliquer Crer Nouveau
Permet de sauvegarder les adresses RP statiques entres. Slectionnez pour crer une nouvelle entre multicast pour une interface. Cela vous permettra de rgler Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
222
prcisment des oprations PIM sur une interface spcifique FortiGate ou ignorer les paramtres globaux PIM sur une interface particulire. Voir Ignorer les paramtres multicast sur une interface la page 223. Interface Mode Statut Les noms des interfaces FortiGate ayant des paramtres spcifiques PIM. Le mode de fonctionnement PIM (Clairsem ou Dense) valide sur cette interface. Le statut de la candidature RP en mode clairsem sur linterface. Pour activer ou dsactiver la candidature sur une interface, slectionnez licne Editer dans la ligne correspondant linterface. Le numro de priorit affect la candidature RP sur cette interface. Uniquement disponible lorsque la candidature RP est active. Le numro de priorit affect la candidature DR (Designated Router) sur linterface. Uniquement disponible lorsque le mode clairsem est activ. Permet de supprimer ou dditer les paramtres PIM de linterface.
Priorit
Priorit DR
Icnes Supprimer et Editer
Ignorer les paramtres multicast dune interface

Les options des interfaces multicast (PIM) permettent de dfinir des paramtres de fonctionnement pour les interfaces FortiGate connectes des domaines PIM. Par exemple vous pouvez activer le mode dense sur une interface connecte un segment rseau PIM. Lorsque le mode clairsem est activ, vous pouvez ajuster le numro de priorit utilis pour diffuser les candidatures RP (Rendezvous Point) et/ou DR (Designated Router) sur linterface.
Illustration 103 : Paramtres multicast de linterface
Interface
Slectionnez le nom de linterface FortiGate du VDOM root laquelle ces paramtres sappliquent. Linterface doit tre connecte un segment rseau PIM version 2. Slectionnez le mode de fonctionnement : Mode clairsem ou Mode dense. Tous les routeurs PIM connects au mme segment rseau doivent fonctionner dans le mme mode. Si vous slectionnez le mode clairsem, ajuster les options tel que dcrit ci-dessous. Entrez le numro de priorit pour la diffusion de candidatures DR sur linterface FortiGate. Lintervalle va de 1 4 294 967 295. Cette valeur est compare aux interfaces DR de tous les autres routeurs PIM du mme segment rseau. Le routeur ayant la priorit DR la plus haute est slectionne pour tre le DR.
Mode PIM
Priorit DR
223
Candidat RP Priorit du candidat RP
Slectionnez pour activer ou dsactiver la candidature RP sur linterface. Entrez le numro de priorit de la diffusion de la candidature RP sur linterface FortiGate. Lintervalle va de 1 255.
224
Table de Routage
Cette section vous aide interprter la table de routage. Les sujets suivants y sont parcourus : Affichage des informations sur le routage Recherche dans la table de routage FortiGate
Affichage des informations sur le routage

Par dfaut, toutes les routes sont affiches dans la table de routage. La route statique par dfaut est dfinie 0.0.0.0/0, ce qui correspond ladresse IP de destination de chaque/tout paquet. Pour afficher les routes de la table de routage, slectionnez Routeur > Table de routage. Lillustration 104 reprsente une table de routage appartenant un quipement FortiGate qui possdent des interfaces appeles port1 , port4 et lan . Les noms des interfaces varient en fonction des modles FortiGate.
Illustration 104 : Table de routage
Type
Slectionnez un des types suivants pour lancer une recherche dans la table de routage et afficher toutes les routes du type slectionn : Tout : affiche toutes les routes enregistres dans la table de routage. Connect : affiche toutes les routes associes des connexions directes aux interfaces FortiGate. Statique : affiche les routes statiques ajoutes manuellement la table de routage. RIP : affiche toutes les routes diffuses par RIP. OSPF : affiche toutes les routes diffuses par OSPF. BGP : affiche toutes les routes diffuses par BGP. HA : affiche toutes les routes RIP, OSPF et BGP synchronises entre le membre primaire et les membres 225
subordonns dun cluster haute disponibilit (HA). Les routes HA tant maintenues au niveau des membres subordonns, elles ne sont visibles qu partir dune table de routage dun domaine virtuel configur comme domaine virtuel subordonn dans un cluster virtuel. Pour plus de dtails propos de la synchronisation de routage, voir le FortiGate High Availability User Guide Guide Utilisateur Haute Disponibilit FortiGate. Rseau Entrez ladresse IP et le masque de rseau (par exemple, 172.16.14.0/24) pour rechercher une table de routage et afficher les routes correspondantes au rseau spcifi. Entrez ladresse IP et le masque de rseau (par exemple, 192.168.12.1/32) pour rechercher une table de routage et afficher les routes correspondantes la passerelle spcifie. Permet de rechercher les entres dune table de routage sur base dun critre de recherche spcifi et dafficher toutes les routes correspondantes. La valeur type affecte aux routes FortiGate (Statique, Connect, RIP, OSPF ou BGP). Si dapplication, reprend la classification du sous-type affect aux routes OSPF. Pas de mention implique une route intra-aire. La destination est dans une aire laquelle le botier FortiGate est connect. OSPF inter area : la destination est dans lAS OSPF, mais le botier FortiGate nest pas connect cette aire. External 1 : la destination est en dehors de lAS OSPF. La mtrique dune route redistribue est calcule en additionnant le cot externe et le cot OSPF. External 2 : la destination est en dehors de lAS OSPF. Dans ce cas, la mtrique de la route redistribue est quivalente au cot externe uniquement, exprim en cot OSPF. OSPF NSSA 1 : quivalent la mention External 1, si ce nest que la route a t reue par une aire NSSA (notso-stubby area). OSPF NSSA 2 : quivalent la mention External 2, si ce nest que la route a t reue par une aire NSSA (notso-stubby area).
Passerelle
Appliquer le filtre
Type Sous-type
Rseau Distance
Les adresses IP et masques de rseau de rseaux de destination atteignables par le botier FortiGate. La distance administrative associe la route. La valeur 0 signifie que la route est prfrable toutes les autres routes pour la mme destination. Pour modifier la distance administrative affecte aux routes statiques, voir Ajout dune route statique la table de routage la page 200.Rfrezvous au FortiGate CLI Reference pour les routes dynamiques. La mtrique associe au type de la route. La mtrique dune route influence la faon dont le botier FortiGate lajoute dynamiquement dans la table de routage : Le comptage de sauts est utilis pour les routes diffuses par RIP. Le cot relatif est utilis pour les routes diffuses par OSPF. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Mtrique
226
Le discriminant multi-sorties (MED) est utilis pour les routes diffuses par BGP. Cependant, plusieurs proprits, en plus du MED, dterminent le meilleur chemin vers un rseau de destination.
Passerelle Interface Valide depuis
Les adresses IP des passerelles vers les rseaux de destination. Linterface travers laquelle les paquets sont transfrs vers la passerelle du rseau de destination. Le temps total accumul pour quune route diffuse par RIP, OSPF ou BGP soit atteignable.
Recherche dans la table de routage FortiGate

Des filtres peuvent tre utiliss pour faire des recherches dans la table de routage et afficher certaines routes uniquement. Par exemple, vous pouvez afficher des routes statiques, des routes connectes, des routes diffuses par RIP, OSPF ou BGP, et/ou des routes associes au rseau ou la passerelle que vous spcifiez. Si vous dsirez lancer une recherche dans la table de routage en fonction des types et limiter un peu plus laffichage en fonction de rseau ou passerelle, toutes les valeurs des critres de recherche doivent correspondre aux valeurs de la mme entre de la table de routage pour que cette entre soit affiche (la condition implicite ET est applique tous les paramtres de recherches spcifis). Par exemple, si lquipement FortiGate est connect au rseau 172.16.14.0/24 et vous dsirez afficher toutes les routes directement connectes au rseau 172.16.14.0/24, vous devez slectionner Connect dans la liste Type, taper 172.16.14.0/24 dans le champ Rseau et ensuite cliquer sur Appliquer le Filtre pour afficher la ou les entre(s) associe(s) de la table de routage. Chaque entre qui contient le mot Connect dans le champ Type et la valeur spcifie dans le champ Passerelle seront affiches. Lancer une recherche dans la table de routage FortiGate 1 2 Slectionnez Routeur > Table de routage > Table de routage. Slectionnez dans la liste Type, le type afficher. Par exemple, slectionnez Connect pour afficher toutes les routes connectes ou slectionnez RIP pour afficher toutes les routes diffuses par RIP. Si vous dsirez afficher les routes pour un rseau spcifique, tapez ladresse IP et le masque de rseau du rseau dans le champ Rseau. Si vous dsirez afficher les routes pour une passerelle spcifique, tapez ladresse IP de la passerelle dans le champ Passerelle. Cliquez sur Appliquer le Filtre.
3 4 5
Remarque : Toutes les valeurs des critres de recherche doivent correspondre aux valeurs de la mme entre de la table de routage pour que cette entre soit affiche.
227
Rgle Pare-feu
Les rgles pare-feu contrlent tout le trafic passant par le botier FortiGate. Lajout de rgles pare-feu permet de contrler les connexions et le trafic entre les interfaces FortiGate, les zones et les sous-interfaces VLAN. Cette section couvre les sujets suivants : A propos des rgles pare-feu Visualisation de la liste des rgles pare-feu Configuration des rgles pare-feu
A propos des rgles pare-feu

Les rgles pare-feu sont des instructions utilises par le botier FortiGate pour dcider de la rponse donner une requte de connexion. Lorsque le botier FortiGate reoit une requte de connexion sous la forme dun paquet, il analyse ce paquet pour en extraire ladresse source, ladresse de destination et le service (via le numro du port). Ladresse source, ladresse de destination et le service dun paquet qui veut se connecter travers un FortiGate doivent correspondre une rgle pare-feu. La rgle rgit laction du pare-feu sur le paquet. Les actions possibles sont lautorisation de la connexion, le blocage de la connexion, la requte dune authentification avant que la connexion soit autorise ou le traitement du paquet comme un paquet IPSec VPN. Chaque rgle peut tre configure pour diriger les connexions ou appliquer le service de translation dadresse rseau (NAT network address translation) pour translater les adresses IP et ports source et de destination. Vous pouvez ajouter des pools IP pour une utilisation NAT dynamique lorsque le pare-feu translate les adresses sources. Vous pouvez utiliser des rgles pour configurer la translation dadresse port (PAT port address translation) travers le botier FortiGate. Lajout de profils de protection des rgles de pare-feu permet dappliquer des paramtres de protection diffrents pour le trafic contrl par des rgles pare-feu. Vous pouvez utiliser des profils de protection pour : appliquer un contrle antivirus aux rgles HTTP, FTP, IMAP, POP3, IM et SMTP activer du filtrage Web statique sur les rgles HTTP appliquer du filtrage web dynamique, par catgorie, sur ces mmes rgles HTTP activer les services antispam sur les rgles IMAP, POP3 et SMTP activer les services de prvention d'intrusion sur tous les flux activer la journalisation de contenu pour les flux HTTP, FTP, IMAP, POP3, IM et SMTP configurer le filtrage IM et le contrle daccs pour AIM, ICQ, MSN et la messagerie instantane Yahoo
228
configurer laccs P2P et le contrle de la largeur de bande pour les clients peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa et Skype dcider des actions des profils de protection journaliser
Lactivation de la journalisation du trafic pour une rgle pare-feu entrane la journalisation par le botier FortiGate de toutes les connexions utilisant cette rgle. Le pare-feu lance une recherche sur des rgles en partant du haut de la liste et descendant jusqu ce quil trouve la premire correspondance. Il est donc essentiel de hirarchiser les rgles dans la liste de la plus spcifique la plus gnrale. Par exemple, la rgle par dfaut est une rgle trs gnrale car elle correspond toutes les tentatives de connexion. Les exceptions cette rgle sont ajoutes la liste de rgles au-dessus de la rgle par dfaut. Une rgle qui devrait tre place en dessous de la rgle par dfaut ne reprsentera jamais une correspondance. Les options de la rgle sont configurables lors de la cration ou de ldition dune rgle pare-feu. Un ensemble diffrent doptions est prsent en fonction du type daction slectionn.
Comment fonctionne la correspondance de rgles ?

Lorsque le botier FortiGate reoit une tentative de connexion sur une interface, il slectionne une liste de rgles dans laquelle il va chercher une rgle qui corresponde la tentative de connexion. Le botier FortiGate choisit la liste de rgles en fonction des adresses source et de destination de la tentative de connexion. Le botier FortiGate commence alors sa recherche par le haut de la liste et descend jusqu la premire rgle qui corresponde aux adresses source et de destination, au port service et au jour et heure de la tentative de connexion reue. La premire rgle correspondante sapplique la tentative de connexion. Si aucune rgle ne correspond, la connexion est abandonne. En rgle gnrale, toujours organiser les rgles pare-feu de la plus spcifique la plus gnrale. Les rgles gnrales sont des rgles qui peuvent accepter des connexions avec de multiples adresses sources et de destination, ainsi quavec des intervalles dadresses. Elles peuvent galement accepter des connexions de multiples ports service ou avoir des horaires trs ouverts. Si vous dsirez ajouter des rgles qui sont des exceptions aux rgles gnrales, ces exceptions doivent tre ajoutes audessus des rgles gnrales. dans la liste de rgles Par exemple, vous pouvez avoir une rgle gnrale permettant tous les utilisateurs de votre rseau interne daccder tous les services Internet. Si vous dsirez bloquer laccs aux serveurs FTP sur Internet, vous devriez ajouter audessus de la rgle gnrale une rgle qui bloque les connexions FTP. La rgle de dni bloque les connexions FTP mais les tentatives de connexion de tous les autres types de services ne correspondent pas la rgle FTP mais correspondent la rgle gnrale. De ce fait, la pare-feu accepte toutes les connexions du rseau interne vers Internet, lexception des connexions FTP.
229
Concernant les correspondances de rgles, il faut galement savoir que : Les rgles qui ncessitent une authentification doivent tre ajoutes la liste de rgles au-dessus des rgles correspondantes qui nen ncessitent pas. Sinon, la rgle qui ne ncessite pas dauthentification est slectionne en premier. Les rgles sur le mode tunnel VPN IPSec doivent tre ajoutes la liste de rgles au-dessus des rgles daccs ou de blocage correspondantes. Les rgles sur le VPN SSL doivent tre ajoutes la liste de rgles au-dessus des rgles daccs ou de blocage correspondantes.
Visualisation de la liste des rgles pare-feu

Dans le cas o des domaines virtuels sont activs sur le botier FortiGate, les rgles pare-feu sont configures sparment pour chaque domaine virtuel. Pour accder aux rgles, slectionnez un domaine virtuel partir du menu principal. Ajouter, supprimer, diter, rorganiser, activer ou dsactiver des rgles dans la liste des rgles. Pour visualiser la liste des rgles, slectionnez Pare-feu > Rgle.
Illustration 105 : Echantillon dune liste de rgles
La liste des rgles possdent les icnes et fonctionnalits suivants :

Crer Nouveau Icne Commentaire Permet dajouter une rgle pare-feu. Voir Ajout dune rgle pare-feu la page . Cette icne napparat que dans le cas o la rgle possde un commentaire. Le commentaire apparat lorsque le curseur de la souris vient se placer sur licne. Lidentificateur de la rgle. Les rgles sont numrotes selon lordre dans lequel elles sont ajoutes la liste. Ladresse source ou le groupe dadresses auquel la rgle sapplique. Voir Adresse Pare-feu la page 245. Les informations sur les adresses peuvent galement tre dites partir de la liste. En cliquant sur ladresse, la bote de dialogue ddition dune adresse souvre. Ladresse de destination ou le groupe dadresses auquel la rgle sapplique. Voir Adresse Pare-feu la page 245 . Les informations sur les adresses peuvent galement tre dites partir de la liste. En cliquant sur ladresse, la bote de dialogue ddition dune adresse souvre. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
ID Source
Destination
230
Schedule Service Action Statut
Dtermine la priode dactivit de la rgle. Dtermine le service auquel sapplique la rgle. Dfinit laction apporter lorsque la rgle correspond une tentative de connexion. Permet dactiver ou de dsactiver la rgle. Activer la rgle la rend disponible pour le pare-feu pour les connexions entrantes. Les titres de la liste des rgles indiquant le trafic auquel sapplique la rgle. Le titre de la liste est en format Source -> Destination (n) o n est le nombre de rgles dans la liste. Slectionnez pour supprimer la rgle de la liste. Slectionnez pour diter la rgle. Slectionnez pour ajouter une nouvelle rgle au-dessus de la rgle correspondante (la fentre de la nouvelle rgle apparat). Slectionnez pour dplacer la rgle correspondante avant ou aprs une autre rgle dans la liste. Voir Dplacement dune rgle vers une position diffrente dans la liste la page 231.
Source -> destination (n)
Icne Supprimer Icne Editer Icne Insrer la rgle avant
Icne Dplacer
Ajout dune rgle pare-feu

La procdure suivante dcrit comment ajouter une rgle pare-feu dans la liste des rgles pare-feu. 1 2 3 4 5 6 7 Slectionnez Pare-feu > Rgle. Cliquez sur Crer Nouveau ou slectionnez licne Insrer la rgle avant ct dune rgle pour que la nouvelle rgle sajoute au-dessus de celle-ci. Slectionnez les interfaces source et de destination. Slectionnez les adresses source et de destination. Configurez la rgle. Pour toute information sur la configuration de rgles, voir Configuration des rgles pare-feu la page 232. Cliquez sur OK. Hirarchisez les rgles dans la liste de manire obtenir les rsultats attendus. Pour plus dinformations sur larrangement des rgles dans une liste, voir Comment fonctionne la correspondance de rgles ? la page 229 et Dplacement dune rgle vers une position diffrente dans la liste la page 231.
Dplacement dune rgle dans la liste

Vous pouvez dplacer une rgle dans la liste pour influencer les valuations des rgles. Dans le cas o plus dune rgle ont t dfinies pour une mme paire dinterfaces, la rgle qui se trouve en premier dans la liste est value en premier. La disposition des rgles de cryptage pare-feu est importante pour assurer quelles prennent effet comme prvu les rgles de cryptage pare-feu doivent tre values avant des rgles pare-feu rgulires. Dplacer une rgle dans la liste ne modifie pas son numro ID.
231
Illustration 106 : Dplacer une rgle
1 2 3 4
Slectionnez Pare-feu > Rgle. Cliquez sur licne Dplacer de la rgle que vous voulez dplacer. Entrez une position pour la rgle. Cliquez sur OK.
Configuration des rgles pare-feu

Lutilisation de rgles pare-feu permet de dfinir la faon dont une rgle pare-feu est slectionne pour tre applique une session de communication et de dfinir comment le botier FortiGate traite les paquets pour cette session. Pour ajouter ou diter une rgle pare-feu, slectionnez Pare-feu > Rgle. Vous pouvez ajouter des rgles ACCEPT pour accepter des sessions de communication. Une telle rgle permet dappliquer des fonctionnalits FortiGate telles quune analyse des virus et une authentification de la session de communication accepte par cette rgle. Une rgle ACCEPT peut galement permettre le trafic VPN IPSec en mode interface si la source ou la destination est une interface virtuelle IPSec. Pour plus dinformations, voir Aperu sur le mode interface IPSec la page 294. Vous pouvez ajouter des rgles DENY pour interdire des sessions de communication. Vous pouvez galement ajouter des rgles de cryptage IPSec pour permettre le trafic VPN en mode tunnel IPSec et des rgles de cryptage VPN SSL pour permettre le trafic VPN SSL. Des rgles de cryptage pare-feu dterminent quels types de trafic IP seront permis pendant une session IPSec ou VPN SSL. Si permis par une rgles de cryptage pare-feu, un tunnel peut tre initi automatiquement chaque fois quun paquet IP du type slectionn arrive linterface FortiGate vers le rseau priv local. Pour plus dinformations, voir Options des rgles pare-feu IPSec la page 242 et Options des rgles pare-feu VPN SSL la page 243.
232
Illustration 107 : Options des rgles rgle ACCEPT en mode NAT/Route
Illustration 108 : Options des rgles rgle ACCEPT en mode Transparent
233
Illustration 109 : Options des rgles rgle DENY
Les champs Interface/Zone Source et Destination correspondent la rgle parefeu avec la source et destination dune session de communication. Les champs Adresse correspondent aux adresses sources et de destination de la session de communication. Le champ Horaire permet de dfinir la plage horaire dactivit de la rgle pare-feu. Le champ Service correspond la rgle pare-feu avec le service utilis par une session de communication. Le champ Action dfinit le traitement du trafic par le botier FortiGate. Spcifiez une action pour accepter ou bloquer le trafic ou configurez une rgle de cryptage parefeu. Les options des rgles pare-feu peuvent tre slectionnes pour dfinir des fonctionnalits additionnelles : NAT, Profil de Protection, Log Allowed Traffic, Log Violation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut tre appliqu aux rgles qui bloquent le trafic. Des services supplmentaires diffrents sont configurables partir de linterface de ligne de commande (voir le chapitre firewall du FortiGate CLI Reference).
Options des rgles pare-feu

Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau pour ajouter une rgle pare-feu. Les options suivantes des rgles pare-feu sont configurables :
Source Interface/Zone Spcifiez les caractristiques de la source des paquets IP qui seront sujets la rgle. Slectionnez le nom de linterface ou de la zone FortiGate sur laquelle les paquets IP sont reus. Les interfaces et zones sont configures sur la page Systme > Rseau. Voir Interface la page 61 et Zone la page 75 pour plus dinformations sur les interfaces et les zones. Si le champ ACTION est positionn sur IPSEC, linterface est associe un rseau priv local. Si le champ ACTION est positionn sur SSL-VPN, linterface est associe des connexions des clients VPN SSL distants. 234 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Adresse
Slectionnez le nom dune adresse IP prcdemment dfinie associer linterface ou zone source ; ou slectionnez Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du paquet doit contenir ladresse IP associe pour tre confront la rgle. Les adresses peuvent tre cres lavance. Voir Configuration des adresses la page 247. Si le champ ACTION est positionn sur IPSEC, ladresse correspond ladresse prive de lhte, serveur ou rseau derrire le botier FortiGate. Si le champ ACTION est positionn sur SSL-VPN et que la rgle sapplique aux clients en mode web, slectionnez all (tout). Si le champ ACTION est positionn sur SSL-VPN et que la rgle sapplique aux clients en mode tunnel, slectionnez le nom de ladresse que vous rservez pour ces clients.
Destination Interface/Zone
Spcifiez les caractristiques de la destination des paquets IP qui seront sujets la rgle. Slectionnez le nom de linterface ou de la zone FortiGate vers laquelle les paquets IP sont envoys. Les interfaces et zones sont configures sur la page Systme > Rseau. Voir Interface la page 61 et Zone la page 75 pour plus dinformations sur les interfaces et les zones. Si le champ ACTION est positionn sur IPSEC, linterface est associe lentre du tunnel VPN. Si le champ ACTION est positionn sur SSL-VPN, linterface est associe un rseau priv local.
Adresse
Slectionnez le nom dune adresse IP prcdemment dfinie associer linterface ou zone de destination ; ou slectionnez Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du paquet doit contenir ladresse IP associe pour tre confront la rgle. Les adresses peuvent tre cres lavance. Configuration des adresses la page 247. Si le champ ACTION est positionn sur IPSEC, ladresse correspond ladresse IP prive vers laquelle les paquets peuvent tre envoys la fin du tunnel VPN. Si le champ ACTION est positionn sur SSL-VPN, slectionnez le nom de ladresse IP qui correspond lhte, au serveur ou au rseau dont les clients distances ont besoin pour accder derrire lquipement FortiGate.
Horaire
Slectionnez une plage horaire ponctuelle ou rcurrente qui contrle la priode de disponibilit de la rgle. Les horaires peuvent tre cres lavance dans Pare-feu > Plage horaire. Voir Plage horaire des pare-feu la page 257. Vous pouvez crer une plage horaire, ponctuelle ou rcurrente, pendant la configuration de la rgle en cliquant sur Crer Nouveau. Ajoutez les informations requises pour la configuration de la plage horaire et cliquez sur OK. Cette nouvelle plage horaire est alors ajoute la liste des plages horaires.
Service
Slectionnez le nom du service ou du groupe de services qui correspond au service ou protocole des paquets auquel sapplique cette rgle. Vous pouvez slectionner
235
les services partir dune longue liste de services prdfinis. Des services personnaliss peuvent tre cres lavance dans Pare-feu > Service > Personnalis. Des groupes de services peuvent galement tre cres lavance dans Pare-feu > Service > Groupe. Voir Configuration de services personnaliss la page 253 et Configuration de groupes de services la page 255. Vous pouvez crer un service personnalis ou un groupe de services pendant la configuration de la rgle en cliquant sur Crer Nouveau. Ajoutez les informations requises pour la configuration des services personnaliss ou des groupes de services et cliquez sur OK. Ces services sont alors ajouts la liste des Services. Action ACCEPT Slectionnez la rponse du pare-feu appliquer lorsquun paquet correspond aux conditions de la rgle. Accepte le trafic correspondant la rgle. Vous pouvez alors configurer les options NAT, profils de protection, log traffic, shape traffic, authentification ou ajouter un commentaire la rgle. Rejette le trafic correspondant la rgle. La seule option configurable est la journalisation (journaliser les connexions refuses par la rgle). Vous pouvez galement ajouter un commentaire. Configure une rgle de cryptage pare-feu IPSEC, qui entrane le traitement des paquets VPN IPSec par le botier FortiGate. Voir Options des rgles pare-feu IPSec la page 242. Configure une rgle de cryptage pare-feu VPN SSL, qui entrane lacceptation du trafic VPN SSL par le botier FortiGate. Cette option nest disponible quaprs avoir ajout un groupe dutilisateurs VPN SSL. Voir Options des rgles pare-feu VPN SSL la page 243. Activer loption NAT (Network Address Translation) pour la rgle. NAT translate ladresse source et le port de paquets accepts par la rgle. Lorsque NAT est activ, les fonctions Pool dAdresses et Port Fixe peuvent tre configurs. NAT nest pas disponible en mode Transparent. Pool dAdresses Slectionnez pour translater ladresse source en une adresse slectionne arbitrairement dans un pool dadresses. Un pool dadresses peut se composer dune seule adresse IP ou dune plage dadresses IP. Une liste de pools dadresses apparat si ces pools ont t ajouts linterface de destination. Slectionnez ANY IP Pool pour que le botier FortiGate slectionne nimporte quelle adresse IP de nimporte quel pool dadresses ajout linterface de destination. Slectionnez le nom dun pool dadresses ajout linterface de destination pour que le botier FortiGate translate ladresse source en une des adresses dfinies dans ce pool. Il nest pas possible de slectionner Pool dAdresses si linterface de destination, la sous-interface VLAN ou lune des interfaces ou des sous-interfaces VLAN dans la zone de destination est configure avec DHCP ou PPPoE. Vous ne pouvez pas utiliser des pools dadresses lors de lutilisation de zones. Un pool dadresses peut seulement tre associ une interface. 236 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
DENY
IPSEC
SSL-VPN
NAT
Pour plus dinformations sur lajout de pools dadresses, voir Plages IP la page 277. Port fixe Slectionnez un port fixe pour empcher NAT de translater le port source. Certaines applications ne fonctionnent pas correctement si le port source est modifi. Dans la plupart des cas, si Port fixe est slectionn, Pool dAdresses est galement slectionn. Si Pool dAdresses nest pas slectionn, une rgle qui a loption Port Fixe slectionne ne peut permettre quune connexion la fois. Slectionnez un profil de protection pour configurer la faon dont les antivirus, filtrage web, filtrage par catgorie web, filtrage antispam, IPS, archives et journaux sont appliqus la rgle pare-feu. Les profils de protection peuvent tre cres lavance ou pendant la configuration dun profil. Les profils cres ici apparaissent dans la liste des profils de protection. Pour plus dinformations sur lajout et la configuration de profils de protection, voir Profil de protection pare-feu la page 279. Pour une authentification dans les paramtres avancs, loption de profil de protection est dsactive car le groupe dutilisateurs choisi pour lauthentification est dj li un profil de protection. Pour plus dinformations propos de lajout dune authentification aux rgles pare-feu, voir Ajout dune authentification aux rgles pare-feu la page 238. Log Allowed Traffic Slectionnez cette option pour les rgles ACCEPT, IPSEC ou VPN SSL pour enregistrer les messages dans les journaux chaque fois que la rgle traite une connexion. Activez la journalisation du trafic vers une destination (syslog, WebTrends, un disque local si disponible, mmoire ou FortiAnalyzer) et fixez le niveau de svrit de la journalisation Notification ou plus bas. Pour plus dinformations sur la journalisation, voir Journaux et Alertes la page 409. Slectionnez cette option pour les rgles DENY pour enregistrer les messages dans les journaux chaque fois que la rgle traite une connexion. Activez la journalisation du trafic vers une destination (syslog, WebTrends, un disque local si disponible, mmoire ou FortiAnalyzer) et fixez le niveau de svrit de la journalisation Notification ou plus bas. Pour plus dinformations sur la journalisation, voir Journaux et Alertes la page 409. Ajoutez des utilisateurs et un profil de protection pare-feu un groupe dutilisateurs avant de slectionner Authentification. Pour toute information propos de lajout et de la configuration de groupes utilisateurs, voir Groupe dutilisateurs la page 330. Lauthentification est possible si laction est positionne sur ACCEPT. Pour plus dinformations sur lajout dune authentification aux rgles pare-feu, voir Ajout dune authentification aux rgles pare-feu la page 238. Cette option permet de contrler la bande passante disponible et de dfinir les niveaux de priorit du trafic trait par la rgle. Remarque :
Profil de protection
Log Violation Traffic
Authentification
Traffic Shaping
Veillez activer cette option sur toutes les rgles pare-feu. Si vous nappliquez aucune consigne de
237
priorit de trafic une rgle, cette dernire est dfinie comme hautement prioritaire par dfaut.
Affectez chaque rgle pare-feu une des trois priorits (high, medium ou low). Assurez-vous que la somme de toutes les bandes passantes garanties de toutes les rgles pare-feu est considrablement moindre que la capacit de la bande passante de linterface.
Pour toute information sur la configuration des priorits du trafic, voir Ajout dune priorit de trafic aux rgles parefeu la page 239. User Authentication Disclaimer Affiche la page dinformation dauthentification (un message de remplacement). Lutilisateur doit accepter ce message pour se connecter la destination. Ce message peut tre utilis lors dune authentification ou dun profil de protection. Cette option est disponible sur certains modles uniquement. Si vous entrez un URL dans ce champ, lutilisateur est redirig vers cette URL aprs authentification et/ou acceptation de la page dinformation dauthentification de lutilisateur. Cette option est disponible sur certains modles uniquement. Ajoutez une description ou dautres informations sur cette rgle. Le commentaire peut tre long de 63 caractres, espaces compris.
Redirect URL
Commentaires
Ajout dune authentification aux rgles pare-feu

Ajoutez des utilisateurs et un profil de protection pare-feu un groupe dutilisateurs avant de slectionner une Authentification. Lauthentification est disponible si lAction est positionne sur ACCEPT. Pour plus dinformations sur lajout et la configuration de groupes utilisateurs, voir Groupe dutilisateurs la page 330. Slectionnez Authentification, ensuite un ou plusieurs groupes dutilisateurs pour obliger les utilisateurs entrer un nom dutilisateur et un mot de passe avant que le pare-feu naccepte la connexion.
Illustration 110 : Slection de groupes utilisateurs pour authentification
Slectionnez Authentification pour tous les services. Les utilisateurs peuvent sauthentifier avec le pare-feu en utilisant HTTP, Telnet ou FTP. Pour que les utilisateurs puissent sauthentifier, ajoutez une rgle HTTP, Telnet ou FTP configure pour authentification. Lorsque les utilisateurs tentent de se connecter travers le pare-feu via cette rgle, il leurs est demand dentrer un nom dutilisateur et un mot de passe pare-feu.
238
La mthode dauthentification pare-feu comprend des groupes dutilisateurs dfinis locaux, de mme que des utilisateurs LDAP ou Radius. Slectionnez Active Directory dans le menu droulant pour choisir des groupes Active Directory dfinis dans Utilisateur > Groupe utilisateur. Lauthentification avec des groupes Active Directory et dautres groupes ne peut pas tre combine dans une mme rgle.
Remarque : Pour permettre au botier FortiGate dauthentifier partir dun serveur Active Directory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active Directory Domain Controller. Le FSAE est disponible auprs du Support Technique Fortinet.
Pour que les utilisateurs puissent sauthentifier partir dautres services (par exemple POP3 ou IMAP), crez un groupe de services qui comprend les services pour lesquels une authentification est requise, de mme que HTTP, Telnet et FTP. Ainsi, les utilisateurs peuvent sauthentifier avec la rgle via HTTP, Telnet ou FTP avant dutiliser un autre service. Dans la plupart des cas, assurez-vous que les utilisateurs puissent utiliser DNS travers le pare-feu sans authentification. Si DNS nest pas disponible, les utilisateurs ne peuvent pas se connecter un serveur web, FTP ou Telnet avec un nom de domaine.
Remarque : Les rgles qui ncessitent une authentification doivent tre places, dans la liste, au-dessus des rgles correspondantes qui nen ncessitent pas. Sinon, la rgle qui ne ncessite pas dauthentification est choisie en premier.
Ajout dune priorit de trafic aux rgles pare-feu

Le Traffic Shaping contrle la bande passante disponible pour la rgle et dfinit le niveau de priorit du trafic trait par cette rgle. Le Traffic Shaping permet de contrler quelles rgles ont la priorit la plus haute lorsquun grand montant de donnes passent par un botier FortiGate. Par exemple, on pourrait attribuer la rgle du serveur web de lorganisation une priorit plus haute que celle des rgles destines aux ordinateurs des autres employs. Un employ qui ncessiterait exceptionnellement un accs Internet haut dbit pourrait bnficier dune rgle spciale offrant une bande passante plus grande. Loption de priorit de trafic est disponible pour les rgles ACCEPT, IPSEC et VPN SSL, ainsi que pour tous les services supports, y compris H.323, TCP, UDP, ICMP et ESP. Elle sera disponible pour SIP dans les versions futures. Les bandes passantes garantie et maximum, combine loption dattente dans la queue, assurent quun minimum et maximum de bande passante soit disponible pour le trafic. Loption de priorit de trafic ne permet pas daugmenter la quantit totale de bande passante disponible, mais elle peut amliorer la qualit pour le trafic utilisant la bande passante de manire intensive ou sensible aux variations de performances.
Bande passante garantie et bande passante maximum

Lorsque vous entrez une valeur dans le champ de la bande passante garantie dune rgle pare-feu, vous garantissez la disponibilit dune quantit de bande passante pour un trafic rseau slectionn (en Koctets/sec). Par exemple, vous pourriez donner une bande passante garantie plus grande votre trafic ecommerce.
Lorsque vous entrez une valeur dans le champ de la bande passante maximum dune rgle pare-feu, vous limitez la disponibilit dune quantit de bande passante pour un trafic rseau slectionn (en Koctets/sec). Par exemple, vous pourriez limiter la bande passante du trafic IM, de manire avoir plus de bande passante pour le trafic e-commerce plus important. La bande passante utilise pour le trafic contrl par une rgle sert au contrle et aux sessions de donnes du trafic dans les deux directions. Par exemple, si la bande passante garantie est applique une rgle FTP interne et externe, lorsquun utilisateur dun rseau interne utilise FTP pour placer et recevoir des fichiers, les sessions de rception et denvoi partagent la bande passante disponible au trafic contrler par cette rgle. La bande passante garantie et maximum disponible pour une rgle est la bande passante totale disponible pour tout le trafic contrl par cette rgle. Si diffrents utilisateurs commencent plusieurs sessions de communication avec la mme rgle, toutes ces sessions de communication doivent se partager la bande passante disponible pour cette rgle. Cependant, la disponibilit de la bande passante nest pas partage entre les instances multiples qui utilisent le mme service si ces instances sont contrles par des rgles diffrentes. Par exemple, vous pouvez crer une rgle FTP pour limiter la quantit de bande passante disponible pour le service FTP pour une adresse rseau et crer une autre rgle FTP avec une disponibilit diffrente pour une autre adresse rseau.
Priorit du trafic
Fixer une priorit permet de grer les priorits relatives des diffrents types de trafic. Les trafics importants devraient avoir un haut niveau de priorit. Les trafics moins importants devraient se voir attribuer un niveau plus bas de priorit. Le pare-feu antivirus FortiGate procure de la bande passante des connexions moins prioritaires seulement si la bande passante nest pas utilise pour des connexions hautement prioritaires. Par exemple, vous pouvez ajouter des rgles qui garantissent de la bande passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une haute priorit la rgle qui contrle le trafic voix et une priorit medium la rgle qui contrle le trafic e-commerce. Aux heures de pointe, lorsque les deux trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic voice sera transmis avant le trafic e-commerce puisquil a la plus haute priorit.
Remarques sur la priorit de trafic

Loption de priorit de trafic tente de normaliser les piques de trafic en donnant la priorit certains flux. Il y a cependant une limite physique la quantit de donnes mise en rserve (dans le buffer) et son dlai. Une fois les seuils dpasss, les trames et paquets seront abandonns affectant alors le bon droulement des sessions. Une priorit mal configure pourrait dgrader un peu plus les flux rseaux tant donn que la quantit de paquets non pris en compte pourrait crer un surplus aux couches suprieures. Un exemple de priorit de trafic de base serait de dfinir une priorit pour certains flux de trafic au dtriment dautres trafics qui ne seront alors pas pris en compte.
240
Ce qui signifie que vous acceptez de sacrifier certaines performances du trafic X dans le but daugmenter ou de garantir la performance et la stabilit du trafic Y. Si, par exemple, vous appliquez une limitation de la bande passante certains flux, vous devez accepter le fait que ces sessions peuvent tre limites. La priorit de trafic applique une rgle pare-feu est renforce pour le trafic qui peut circuler dans chaque direction. Ds lors une session mise en place par un hte interne vers un hte externe, via une rgle Interne -> Externe, subira la priorit de trafic applique mme si le flot de donnes provient alors dExterne -> Interne. Ce sera par exemple le cas pour un fichier FTP reu ou un serveur SMTP se connectant un serveur externe dans le but de rcuprer des emails. La priorit de trafic est efficace pour un trafic IP normal des taux rguliers. Elle nest pas efficace durant des situations extrmes de trafic dense alors que le trafic dpasse la capacit du botier FortiGate. Les paquets doivent tre reus par le botier FortiGate avant quils soient sujets la priorit de trafic. Si le botier FortiGate narrive pas traiter tout le trafic reu, le risque de paquets abandonns, retards ou latents augmente. Pour assurer un fonctionnement optimal de la priorit de trafic, veillez ce que les statistiques de linterface Ethernet soient dpourvues derreurs, de tlescopage ou de dpassement du buffer. Si ce nest pas le cas, les paramtres du botier FortiGate et du commutateur ncessiteront probablement quelques ajustements. Pour un fonctionnement optimal de la priorit de trafic, veillez respecter les rgles suivantes : Activer la priorit de trafic sur toutes les rgles pare-feu. Si vous nappliquez une priorit de trafic qu une seule rgle, cette dernire est dfinie par dfaut comme hautement prioritaire. Affectez chaque rgle pare-feu une des trois priorits (low, medium et high).
Assurez-vous galement que la somme des bandes passantes garanties de toutes les rgles pare-feu est considrablement moindre que la capacit de la bande passante de linterface.
Configuration de la priorit de trafic FortiGate

La priorit de trafic sactive et ses paramtres se dfinissent lors de la configuration de rgles pare-feu. Configurer la priorit de trafic 1 2 3 Slectionnez Pare-feu > Rgle. Lorsque vous crez une nouvelle rgle ou diter une rgle existante, slectionnez loption Traffic Shaping (Priorit de Trafic). Configurez les trois options suivantes :
Bande Passante Garantie Permet de garantir une quantit disponible de bande passante pour une rgle travers le pare-feu. Garantir de la bande passante (en Koctets) assure une disponibilit suffisante de bande passante pour les services hautement prioritaires. Assurez-vous que la somme des bandes passantes garanties de toutes les rgles pare-feu est considrablement moindre que la capacit de la bande passante de linterface. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 241
Bande Passante Maximum Permet de limiter la quantit disponible de bande passante pour une rgle travers le pare-feu. Limiter la bande passante permet dempcher lutilisation de la bande pour des services mineurs au bnfice de services plus importants. Niveau de Priorit Slectionnez High, Medium ou Low. Cela permet de grer les priorits relatives des diffrents types de trafic. Par exemple, une rgle permettant de se connecter un serveur web scuris et supportant le trafic e-commerce devrait tre affecte dune priorit de trafic haute (High). Les services moins importants devraient tre affects dune priorit de trafic basse (low). Le pare-feu fournit de la bande passante aux connexions moins prioritaires seulement lorsque celle-ci nest pas requise pour des connexions hautement prioritaires. Assurez-vous dactiver la priorit de trafic sur toutes les rgles pare-feu. Si vous nappliquez une priorit de trafic qu une seule rgle, cette dernire est dfinie par dfaut comme hautement prioritaire. Affectez chaque rgle pare-feu une des trois priorits.
Remarque : Si vous affectez la valeur 0 (zro) la bande passante garantie et la bande passante maximum, la rgle naccepte aucun trafic.
Options des rgles pare-feu IPSec

Lorsque laction est positionne sur IPSEC, les options suivantes sont disponibles :
Illustration 111 : Rgle de cryptage IPSEC
VPN Tunnel
Allow Inbound
Allow Outbound Inbound NAT
Outbound NAT
Slectionnez le nom du tunnel VPN dfini dans la configuration phase 1. Le tunnel spcifi sera sujet cette rgle de cryptage pare-feu. Activez cette option pour permettre au trafic dun client ou dordinateurs dialup dun rseau priv distant de dmarrer le tunnel. Activez cette option pour permettre au trafic partir dordinateurs du rseau priv local de dmarrer le tunnel. Activez cette option pour translater les adresses IP source de paquets entrants dcrypts en adresse IP de linterface FortiGate au rseau priv local. Activez cette option en combinaison avec une valeur CLI natip pour translater les adresses sources des paquets sortants en clair en une adresse IP que vous spcifiez. Ne pas slectionnez cette option moins que vous nayez spcifi une valeur natip partir du CLI. Dans ce cas, les adresses source de paquets IP sortants sont remplacs avant que les paquets ne soient envoys travers le tunnel. Pour plus dinformations, voir le chapitre Firewall du FortiGate CLI Reference.
Remarque : Les tunnels IPSec en mode route (mode interface) ne sont pas configurs de la mme manire que les tunnels IPSec en mode tunnel : au lieu de dfinir une rgle de cryptage pare-feu (en mode tunnel IPSEC ) qui permet les connexions VPN et le contrle du trafic IP travers le tunnel, celui-ci lie un tunnel VPN en mode route une interface 242 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
virtuelle IPSec et spcifie ensuite cette interface comme interface source ou de destination dans une rgle pare-feu (ACCEPT ou DENY) rgulire.
Pour plus dinformations, voir le chapitre Dfinition dune rgle de cryptage parefeu du Guide Utilisateur VPN IPSec FortiGate FortiGate IPSec VPN User Guide.
Options des rgles pare-feu VPN SSL

Lorsque lAction est positionne sur SSL-VPN, les options suivantes sont disponibles :
Remarque : Loption VPN SSL est disponible partir de la liste Action aprs quun ou plusieurs groupes dutilisateurs aient t crs. Pour crer des comptes utilisateurs et des groupes dutilisateurs VPN SSL, voir Configuration des options des groupes dutilisateurs VPN SSL la page 335. Illustration 112 : Rgle de cryptage VPN SSL
Certificat Client SSL Restrictive
Autorise le trafic gnr par des titulaires dun certificat de groupe (partag). Ces titulaires doivent tre des membres dun groupe dutilisateurs VPN SSL, et le nom de ce groupe doit tre prsent dans le champ Allowed , Autoris . Slectionnez une des options suivantes pour dterminer le niveau de cryptage SSL utiliser. Le navigateur web du client distant doit pouvoir correspondre au niveau slectionn : Pour utiliser une suite de chiffres, slectionnez Any. Pour utiliser une suite de chiffres 164 bits ou plus, slectionnez High>=164. Pour utiliser une suite de chiffres 128 bits ou plus, slectionnez Medium>=128.
Algorithme de la cl de cryptage
Authentification Utilisateur Slectionnez lune des options suivantes : Mthode Si le groupe dutilisateurs li cette rgle de pare-feu est un groupe dutilisateurs local, slectionnez Local. Si les clients distance seront authentifis par un serveur RADIUS externe, slectionnez Radius. Si les clients distance seront authentifis par un serveur LDAP externe, slectionnez LDAP. Slectionnez Any pour activer toutes les mthodes dauthentification ci-dessus. Lauthentification Local est tente en premier, suivit de Radius et ensuite LDAP.
Groupes Disponibles
Slectionnez le nom du groupe dutilisateurs ncessitant un accs VPN SSL, et cliquez ensuite sur la flche droite. Ne slectionnez pas plus dun groupe dutilisateurs moins que
243
tous les membres des groupes dutilisateurs slectionns aient des exigences daccs identiques.
Pour plus dinformations sur comment crer une rgle de cryptage pare-feu pour les utilisateurs VPN SSL, voir le chapitre SSL VPN administration tasks du FortiGate SSL VPN User Guide.
244
Adresse Pare-Feu
A partir de cette page, vous pouvez ajouter, diter ou supprimer des adresses pare-feu. Les adresses pare-feu sont ajoutes aux rgles pare-feu pour correspondre aux adresses IP source ou de destination de paquets reus par le botier FortiGate. Cette section couvre les sujets suivants : A propos des adresses pare-feu Visualisation de la liste des adresses pare-feu Configuration des adresses Visualisation de la liste des groupes dadresses Configuration des groupes dadresses
A propos des adresses pare-feu

Une adresse pare-feu peut tre : Ladresse IP dun ordinateur unique (par exemple, 192.45.46.45). Ladresse IP dun sous-rseau (par exemple, 192.168.1.0 pour un sous-rseau classe C). 0.0.0.0 pour reprsenter toutes les adresses IP possibles.
Le masque de rseau correspond au type dadresses ajoutes. Par exemple : Le masque de rseau dune adresse IP dun ordinateur unique devrait tre 255.255.255.255. Le masque de rseau dun sous-rseau classe A devrait tre 255.0.0.0. Le masque de rseau dun sous-rseau classe B devrait tre 255.255.0.0. Le masque de rseau dun sous-rseau classe C devrait tre 255.255.255.0. Le masque de rseau pour toutes les adresses devrait tre 0.0.0.0.
Une plage dadresses IP reprsente : Une plage dadresses IP dans un sous-rseau (par exemple, 192.168.20.1 192.168.20.10).
Remarque : Ladresse IP 0.0.0.0 et le masque de rseau 255.255.255.255 ne correspond pas une adresse de pare-feu valide.
Pour simplifier la cration de rgles, il est conseill dorganiser les adresses ayant un lien entre elles en groupes dadresses. Une adresse pare-feu peut tre configure avec un nom, une adresse IP et un masque de rseau ou un nom et une plage dadresses. Il peut galement sagir dun FQDN (Fully Qualified Domain Name). Entrez une adresse IP et un masque de rseau en utilisant les formats suivants :
x.x.x.x/x.x.x.x., par exemple 192.168.1.0/255.255.255.0 x.x.x.x/x, par exemple 192.168.1.0/24
Entrez une plage dadresses IP en utilisant les formats suivants : x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120 x.x.x.[x-x], par exemple 192.168.110.[100-120] x.x.x.*, par exemple 192.168.110.* pour reprsenter toutes les adresses sur le sous-rseau
Une adresse IP/Masque peut reprsenter : Ladresse dun sous-rseau (par exemple, un sous-rseau classe C, adresse IP : 192.168.20.0 et un masque de rseau : 255.255.255.0) Une adresse IP unique (par exemple, une adresse IP : 192.168.20.1 et un masque de rseau : 255.255.255.255) Toutes les adresses IP possibles (reprsentes par ladresse IP : 0.0.0.0 et le masque de rseau : 0.0.0.0)
Entrez un FQDN en utilisant le format suivant : <host_name>.<second_level_domain_name>.<top_level_domain_name> <host_name>.<top_level_domain_name>
Un FQDN peut tre www.fortinet.com exemple.com
Visualisation de la liste des adresses pare-feu

Si des domaines virtuels sont activs sur le botier FortiGate, les adresses sont configures sparment pour chaque domaine virtuel. Pour accder aux adresses, slectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez ajouter des adresses la liste et diter des adresses existantes. Le botier FortiGate est configur avec ladresse par dfaut All qui reprsente nimporte quelle adresse IP sur le rseau. Les adresses dans la liste sont tries par type : IP/Masque, Plage IP et FQDN. Pour visualiser la liste dadresses, slectionnez Pare-feu > Adresse.
Illustration 113 : Echantillon dune liste dadresses
Crer Nouveau Nom Adresse / FQDN 246
Permet dajouter une adresse pare-feu. Le nom de ladresse pare-feu. Ladresse IP et le masque, la plage dadresses IP ou le FQDN. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Icne Supprimer
Permet de supprimer une adresse de la liste. Cette icne saffiche uniquement si ladresse nest pas reprise dans une rgle pare-feu. Permet dditer les informations suivantes : Nom, Type, Sousrseau/Plage IP.
Icne Editer
Configuration des adresses

Les adresses peuvent galement tre cres ou dites pendant la configuration de rgles pare-feu partir de la fentre de la rgle pare-feu. Vous pouvez lier un FQDN de multiples machines pour un quilibrage de charge et de la haute disponibilit. Une rgle pare-feu FQDN unique peut tre cre pour laquelle le botier FortiGate correspond automatiquement et maintient un enregistrement de toutes les adresses auxquelles le FQDN correspond.
Attention : Lutilisation dun FQDN dans une rgle pare-feu peut, malgr sa
commodit, prsenter des risques de scurit. Soyez trs prudents lors de lutilisation de cette fonction. Slectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage dadresses ou un FQDN.
Illustration 114 : Options de nouvelles adresses ou de plage IP.
Nom
Entrez un nom pour identifier ladresse pare-feu. Les adresses, groupes dadresses et IP virtuelles doivent avoir des noms uniques afin dviter la confusion parmi les rgles pare-feu. Slectionnez le type dadresse : Subnet/IP Range ou FQDN. Entrez ladresse IP du pare-feu / le masque du sous-rseau ou entrez la plage IP spare par un tiret.
Type Subnet/IP Range
Visualisation de la liste des groupes dadresses

Si des domaines virtuels sont activs sur le botier FortiGate, les groupes dadresses sont configurs sparment pour chaque domaine virtuel. Pour accder aux groupes dadresses, slectionnez un domaine virtuel de la liste dans le menu principal. Pour simplifier la configuration de rgles, il est conseill dorganiser les adresses apparentes en groupes dadresses. Par exemple, aprs avoir ajout trois adresses et les avoir configur en un groupe dadresses, configurez une seule rgle qui reprend les trois adresses. Pour visualiser la liste des groupes dadresses, slectionnez Pare-feu > Adresse > Groupe.
Remarque : Si un groupe dadresses est compris dans une rgle, il ne peut pas tre supprimer moins quil soit dabord retirer de la rgle.
247
Illustration 115 : Echantillon dune liste de groupes dadresses
Crer Nouveau Nom des groupes Membres Icne Supprimer
Permet dajouter un groupe dadresses. Le nom du groupe dadresses. Les adresses faisant partie du groupe dadresses. Permet de supprimer le groupe de la liste. Cette icne saffiche uniquement si le groupe dadresses nest pas repris dans une rgle pare-feu. Permet dditer les informations suivantes : Nom du groupe et Membres
Icne Editer
Configuration des groupes dadresses

Des groupes dadresses peuvent tre crs pendant la configuration de pare-feu en cliquant sur Crer Nouveau de la liste droulante Adresse. Pour organiser les adresses en groupes dadresses, slectionnez Pare-feu > Adresse > Groupe.
Illustration 116 : Options des groupes dadresses
Nom du groupe
Entrez un nom pour identifier le groupe dadresses. Les adresses, groupes dadresses et IP virtuelles doivent avoir des noms uniques pour viter la confusion parmi les rgles parefeu. La liste des adresses pare-feu configures et par dfaut. Utilisez les flches pour dplacer les adresses dune liste lautre. La liste des adresses dans le groupe. Utilisez les flches pour dplacer les adresses dune liste lautre.
Adresses disponibles
Membres
248
Service Pare-feu
La fonctionnalit Service permet de dterminer les types de communication qui seront accepts ou refuss par le pare-feu. Vous pouvez ajouter un ou plusieurs service(s) prdfini(s) au choix une rgle. Vous pouvez galement crer des services personnaliss pour chaque domaine virtuel et ajouter des services des groupes de services. Cette section couvre les sujets suivants : Visualisation de la liste des services prdfinis Visualisation de la liste des services personnaliss Configuration des services personnaliss Visualisation de la liste des groupes de services Configuration des groupes de services
Visualisation de la liste des services prdfinis

Lorsque des domaines virtuels sont activs sur le botier FortiGate, les services prdfinis sont disponibles globalement. Dans le menu principal, slectionnez Configuration Globale et ensuite Pare-feu > Service pour visualiser la liste des services prdfinis.
Illustration 117 : Liste des services prdfinis
Nom Dtail
Le nom du service prdfini. Le protocole de chaque service prdfini.
Le tableau 33 rpertorie les services pare-feu FortiGate prdfinis. Vous pouvez ajouter ces services nimporte quelle rgle.
249
Tableau 33 : Services FortiGate prdfinis Nom du service Description AH Authentication Header. AH fournit une authentification de lhte source et lintgrit des donnes, mais pas de secret. Ce protocole est utilis pour lauthentification par les passerelles IPSec distantes dfinies en mode agressif. ANY Convient aux connexions nimporte quel port. Une connexion utilisant nimporte lequel des services prdfinis est autoris travers le pare-feu. AOL Protocole de messagerie instantane AOL. BGP Protocole de routage Border Gateway Protocol. BGP est un protocole de routage intrieur/extrieur. DHCP Dynamic Host Configuration Protocol alloue des adresses rseau et livre des paramtres de configuration partir de serveurs DHCP vers les htes. DNS Domain Name Service pour la traduction de noms de domaines en adresses IP. ESP Encapsulating Security Payload. Ce service est utilis par les tunnels VPN en cl manuelle et AutoIKE pour communiquer des donnes cryptes. Les tunnels VPN AutoIKE utilisent ESP aprs avoir tabli le tunnel en utilisant IKE. FINGER Un service rseau fournissant des informations sur les utilisateurs. FTP Service FTP pour le transfert de fichiers. FTP_GET Service FTP pour le tlchargement de fichiers reus . FTP_PUT Service FTP pour le tlchargement de fichiers envoyer . GOPHER Service de communications GOPHER. Il organise et affiche les contenus dun serveur Internet sous forme de liste de fichiers structurs hirarchiquement. GRE Generic Routing Encapsulation. Un protocole permettant un protocole rseau arbitraire dtre transmis sur tout autre protocole rseau arbitraire, en encapsulant les paquets du protocole dans des paquets GRE. H323 Protocole multimdia H.323. Il sagit dun standard approuv par ITU (International Telecommunication Union) dfinissant comment les donnes de confrences audiovisuelles sont transmises travers les rseaux. HTTP HTTP est le protocole utilis par la toile web mondiale pour le transfert de donnes pour les pages web.
Protocole
Port 51
all
all
TCP TCP
5190-5194 179
UDP
67
TCP UDP
53 53 50
TCP TCP TCP TCP TCP
79 21 21 21 70
47
TCP
1720, 1503
TCP
80
250
HTTPS
ICMP_ANY
IKE
IMAP
INFO_ADDRESS INFO_REQUEST IRC
Internet Locator Service L2TP LDAP
NFS
NNTP
NTP
NetMeeting
OSPF
PC-Anywhere
PING
POP3
PPTP
HTTPS est un service SSL (Secure socket layer) pour des communications scurises des serveurs web. Internet Control Message Protocol est une console de messages et un protocole de rapport derreurs entre un hte et une passerelle (Internet). IKE est le protocole pour obtenir lchange de cls authentifies utilises avec ISAKMP pour IPSEC Internet Message Access Protocol est un protocole utilis pour la rception de courriers lectroniques. Messages de requtes dinformations ICMP. Messages de requtes de masque dadresses ICMP. Internet Relay Chat permet aux personnes connectes Internet de rejoindre des discussions en ligne. Internet Locator Service comprend LDAP, User Locator Service, et LDAP sur TLS/SSL. L2TP est un protocole tunnel en mode PPP pour laccs distance. Lightweight Directory Access Protocol est un ensemble de protocoles utiliss pour accder aux informations des services dannuaires. Network File System autorise les utilisateurs du rseau daccder des fichiers partags stocks sur des ordinateurs de diffrents types. Network News Transport Protocol est un protocole utilis pour envoyer, distribuer et recevoir des messages USENET. Network Time Protocol pour la synchronisation de la date et lheure avec un serveur NTP. NetMeeting autorise les utilisateurs de participer des tlconfrences via Internet comme moyen de transmission. Open Shortest Path First est un protocole de routage commun dtat de lien. PC-Anywhere est un protocole de contrle distance et de transfert de fichiers. ICMP echo request/reply pour tester des connexions vers dautres machines. Post Office Protocol est un protocole email pour le tlchargement de courriers lectroniques partir dun serveur POP3. Point-to-Point Tunneling Protocol est un protocole permettant aux organisations dtendre leur propre rseau organisationnel travers des tunnels privs sur lInternet public.
TCP
443
ICMP
UDP
500
TCP
143
ICMP ICMP TCP
17 15 6660-6669
TCP
389
TCP TCP
1701 389
TCP
111, 2049
TCP
119
TCP
123
TCP
1720
89
UDP
5632
ICMP
TCP
110
TCP
1723
251
QUAKE
Pour les connexions utilises par le jeu dordinateur multi-joueurs Quake.
UDP
RAUDIO RIP
RLOGIN SAMBA
SIP
SIPMSNmessenger SMTP
SNMP
SSH
SYSLOG TALK
TCP TELNET
TFTP
TIMESTAMP UDP UUCP VDOLIVE WAIS WINFRAME
X-WINDOWS
Pour fluer le trafic multimedia audio rel. Routing Information Protocol est un protocole commun de routage vecteur de distance. Service RLOGIN pour la connexion distance un serveur. Samba autorise les clients Microsoft Windows utiliser les services de fichier et dimpression partir dhtes TCP/IP. Session Initiation Protocol dfinit comment les donnes de confrence audiovisuelle sont transmises travers les rseaux. Session Initiation Protocol est utilis par Microsoft Messenger pour initier une session mulimedia interactive. Simple Mail Transfer Protocol est utilis pour lenvoi de mail entre serveurs emails sur Internet. Simple Network Management Protocol est un ensemble de protocoles pour la gestion de rseaux complexes. Secure Shell est un service pour connexions scurises dordinateurs lors dadministrations distantes. Service syslog pour connexion distance. Un protocole supportant des conversations entre deux ou plusieurs utilisateurs. Tous les ports TCP. Service Telnet pour des connexions vers un ordinateur dadministration pour en prendre les commandes. Trivial File Transfert Protocol est un protocole de transfert simple de fichiers similaire FTP mais sans fonctionnalits de scurit. Messages de requtes ICMP timestamp. Tous les ports UDP Unix to Unix copy utility, un protocole simple de copiage de fichiers. Pour fluer le trafic multimedia VDO live. Wide Area Information Server est un protocole de recherche Internet. Pour des communications WinFrame entre des ordinateurs munis de Windows NT. Pour des communications distance entre un serveur X-Window et des clients X-Window.
UDP UDP
26000, 27000, 27910, 27960 7070 520
TCP TCP
513 139
UDP
5060
TCP
1863
TCP
25
TCP UDP TCP UDP UDP UDP
161-162 161-162 22 22 514 517-518
TCP TCP
0-65535 23
UDP
69
ICMP UDP UDP TCP TCP TCP
13 0-65535 540 7000-7010 210 1494
TCP
6000-6063
252
Visualisation de la liste des services personnaliss

Si les domaines virtuels sont activs sur le botier FortiGate, les services personnaliss sont configurs sparment pour chaque domaine virtuel. Pour accder aux services personnaliss, slectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez ajouter un service personnalis pour crer une rgle pour un service qui ne se trouve pas dans la liste des services prdfinis. Pour visualiser la liste des services personnaliss, slectionnez Pare-feu > Service > Personnalis.
Illustration 118 : Liste de services personnaliss
Crer Nouveau Nom du Service Dtail Icne Supprimer
Slectionnez un protocole et cliquez ensuite sur Crer Nouveau pour ajouter un service personnalis. Le nom du service personnalis. Les numros des protocole et ports pour chaque service personnalis. Permet de supprimer une entre de la liste. Cette icne saffiche uniquement si le service nest pas repris dans une rgle pare-feu. Permet dditer les informations suivantes : Nom, Type de Protocole, Type, Numro de Protocole, Code, Port Source et Port de Destination.
Icne Editer
Configuration des services personnaliss

Des services personnaliss peuvent tre crs lors de la configuration dune rgle pare-feu en slectionnant Crer Nouveau de la liste Service droulante. Ajouter un service personnalis TCP ou UDP 1 2 3 Slectionnez Pare-feu > Service > Personnalis. Positionnez le Type de Protocole sur TCP/UDP. Configurez les paramtres suivants :
Illustration 119 : Nouveau service personnalis TCP/UDP
253
Nom Type de protocole Protocole Port source
Entrez un nom au service personnalis. Slectionnez le type de protocole du service personnalis : TCP/UDP. Slectionnez TCP ou UDP comme protocole de la plage des ports ajoute. Spcifiez la plage des numros de Port Source pour le service en entrant les numros de ports les plus bas et plus haut. Si le service nutilise quun numro de port, entrez celui-ci dans les champs Dbut et Fin. Les valeurs par dfaut permettent lutilisation de nimporte quel port source. Spcifiez la plage des numros de Port de Destination pour le service en entrant les numros de ports les plus bas et plus haut. Si le service nutilise quun numro de port, entrez celuici dans les champs Dbut et Fin. Si le service personnalis ncessite plus dune plage de ports, cliquez sur le bouton Add pour permettre plusieurs plages source et de destination. Permet de supprimer une entre de la liste.
Port destination
Bouton ADD
Icne Supprimer
Ajouter un service personnalis ICMP 1 2 3 Slectionnez Pare-feu > Service > Personnalis. Positionnez le Type de Protocole sur ICMP. Configurez les paramtres suivants :
Illustration 120 : Nouveau service personnalis - ICMP
Nom Type de protocole Type Code
Entrez un nom au service personnalis ICMP. Slectionnez le type de protocole du service : ICMP. Entrez le numro du type ICMP pour ce service. Entrez le numro du code ICMP pour ce service si requis.
Ajouter un service personnalis IP 1 2 3 Slectionnez Pare-feu > Service > Personnalis. Positionnez le Type de Protocole sur IP. Configurez les paramtres suivants :
254
Illustration 121 : Nouveau service personnalis - IP
Nom Type de protocole Numro de protocole
Entrez un nom au service personnalis IP. Slectionnez le type de protocole du service : IP. Le numro de protocole IP pour ce service.
Visualisation de la liste des groupes de services

Si les domaines virtuels sont activs sur le botier FortiGate, les groupes de services sont crs sparment pour chaque domaine virtuel. Pour accder aux groupes de services, slectionnez un domaine virtuel de la liste dans le menu principal. Pour faciliter lajout de rgles, vous pouvez crer des groupes de services et ensuite ajouter une rgle qui autorise ou bloque laccs tous les services dun groupe. Un groupe de service peut comprendre des services prdfinis et personnaliss. Un groupe de services ne peut pas tre ajout un autre groupe de services. Pour visualiser la liste des groupes de services, slectionnez Pare-feu > Service > Groupe.
Illustration 122 : Echantillon dune liste de groupes de services
Crer Nouveau Nom des groupes Membres Icne Supprimer
Permet dajouter un groupe de services. Le nom didentification du groupe de services. Les services ajouts ce groupe de services. Permet de supprimer lentre de la liste. Cette icne saffiche uniquement si le groupe de services nest pas repris dans une rgle pare-feu. Permet dditer les informations suivantes : Nom des groupes et Membres.
Icne Editer
Configuration des groupes de services

Des groupes de services peuvent tre crs lors de la configuration dune rgle pare-feu en cliquant sur Crer Nouveau dans la liste droulante. Pour organiser les services en un groupe de services, slectionnez Pare-feu > Service > Groupe.
255
Illustration 123 : Options des groupes de services
Nom du groupe Services disponibles Membres
Entrez un nom pour identifier le groupe de services. La liste des services configurs et prdfinis. Utilisez les flches pour dplacer les services dune liste lautre. La liste des services dans le groupe. Utilisez les flches pour dplacer les services dune liste lautre.
256
Plage horaire dun Pare-feu

Cette section dcrit lutilisation de plages horaires pour contrler les priodes dactivit et dinactivit des rgles. Des plages horaires ponctuelles et rcurrentes peuvent tre cres. Les plages horaires ponctuelles oprent une seule fois pendant la priode de temps spcifi dans lhoraire. Les plages horaires rcurrentes se ritrent chaque semaine. Elles oprent uniquement lors de priodes de temps spcifis de la journe ou lors de jours spcifis dans la semaine. Cette section couvre les sujets suivants : Visualisation de la liste des plages horaires ponctuelles Configuration des plages horaires ponctuelles Visualisation de la liste des plages horaires rcurrentes Configuration des plages horaires rcurrentes
Visualisation de la liste des plages horaires ponctuelles

Si des domaines virtuels sont activs sur le botier FortiGate, les plages horaires ponctuelles sont configures sparment pour chaque domaine virtuel. Pour accder aux plages horaires ponctuelles, slectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez crer une plage horaire ponctuelle qui active ou dsactive une rgle pour une priode de temps spcifie. Par exemple, un pare-feu peut tre configur avec une rgle par dfaut qui permet laccs tous les services Internet tout moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet accs Internet pendant une priode de cong. Pour visualiser la liste des plages horaires ponctuelles, slectionnez Pare-feu > Plage horaire > Ponctuelle.
Illustration 124 : Listes des plages horaires ponctuelles
Crer Nouveau Nom Dbut Fin Icne Supprimer
Permet dajouter une plage horaire ponctuelle. Le nom de la plage horaire ponctuelle. La date et lheure de dbut de la plage horaire ponctuelle. La date et lheure de la fin de la plage horaire ponctuelle. Permet de supprimer la plage horaire de la liste. Cette icne apparat seulement si la plage horaire nest pas reprise dans une rgle pare-feu. Permet dditer la plage horaire.
Icne Editer
257
Configuration des plages horaires ponctuelles

Les plages horaires ponctuelles peuvent tre cres lors de la configuration dune rgle pare-feu en slectionnant Crer Nouveau dans la liste Plage Horaire (Schedule) droulante. Pour ajouter une plage horaire ponctuelle, slectionnez Pare-feu > Plage horaire > Ponctuelle.
Illustration 125 : Nouvelle plage horaire ponctuelle
Nom Dbut Fin
Entrez un nom pour identifier la plage horaire ponctuelle. Entrez les date et heure de dpart de la plage horaire ponctuelle. Entrez les date et heure de fin de la plage horaire ponctuelle.
Pour une plage horaire active tout au long de la journe, affectez 00 aux dates et heures de dpart et de fin. Les plages horaires ponctuelles utilisent une horloge de 24 heures (et non pas 12).
Visualisation de la liste des plages horaires rcurrentes

Si des domaines virtuels sont activs sur le botier FortiGate, les plages horaires rcurrentes sont configures sparment pour chaque domaine virtuel. Pour accder aux plages horaires rcurrentes, slectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez crer une plage horaire rcurrente qui active ou dsactive une rgle des moments de la journe ou lors de certains jours de la semaine spcifis. Par exemple, empcher les jeux pendant les heures de travail en crant une plage horaire rcurrente.
Remarque : Une plage horaire rcurrente avec une heure de fin qui a lieu avant lheure de dbut commence lheure de dbut et finit lheure de fin de la journe suivante. Cette technique permet de crer des plages horaires qui passent du jour au lendemain. Pour crer une plage horaire qui fonctionne 24 heures, affectez la mme heure aux heures de dbut et de fin.
Pour visualiser la liste des plages horaires rcurrentes, slectionnez Pare-feu > Plage horaire > Rcurrente.
258
Illustration 126 : Listes des plages horaires rcurrentes
Crer Nouveau Nom Jour Dbut Fin Icne Supprimer
Permet dajouter une plage horaire rcurrente. Le nom de la plage horaire rcurrente. Les initiales des jours de la semaine pendant lesquelles la plage horaire rcurrente est active. Lheure de dbut de la plage horaire rcurrente. Lheure de fin de la plage horaire rcurrente. Permet de supprimer la plage horaire de la liste. Cette icne apparat seulement si la plage horaire nest pas reprise dans une rgle pare-feu. Permet dditer la plage horaire.
Icne Editer
Configuration des plages horaires rcurrentes

Les plages horaires rcurrentes peuvent tre cres lors de la configuration dune rgle pare-feu en slectionnant Crer Nouveau dans la liste Plage Horaire (Schedule) droulante. Pour ajouter une plage horaire rcurrente, slectionnez Pare-feu > Plage horaire > Rcurrente.
Illustration 127 : Nouvelle plage horaire rcurrente
Nom Select Dbut Fin
Entrez un nom pour identifier la plage horaire rcurrente. Cochez les jours de la semaine pendant lesquelles la plage horaire rcurrente doit tre active. Slectionnez lheure de dpart de la plage horaire rcurrente. Slectionnez lheure de fin de la plage horaire rcurrente.
Les plages horaires rcurrentes utilisent une horloge de 24 heures (et non pas 12).
259
IP virtuelles
Cette section explique comment configurer et utiliser dans les rgles pare-feu les IP virtuelles et les plages IP FortiGate. Cette section couvre les sujets suivants : IP virtuelles Visualisation de la liste dIP virtuelles Configuration des IP virtuelles Plages IP Visualisation des Plages IP Configuration des Plages IP
IP virtuelles
Les adresses IP virtuelles sont utilises pour permettre des connexions travers le botier FortiGate en utilisant des rgles pare-feu NAT (Network Address Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au botier FortiGate de rpondre aux requtes ARP sur le rseau pour un serveur install sur un autre rseau. Proxy ARP est dfini par la RFC 1027. Par exemple, vous pouvez ajouter une adresse IP virtuelle une interface externe FortiGate de manire ce que cette interface puisse rpondre aux requtes de connexion des utilisateurs en ralit connects un serveur du rseau DMZ ou du rseau interne.
Comment les adresses IP virtuelles grent-elles leurs connexions travers le botier FortiGate ?
Un exemple dutilisation dune adresse IP virtuelle de translation est de permettre un accs public facile un serveur web dun rseau priv protg par un botier FortiGate. De la manire la plus simplifie, cette situation implique seulement trois parties, tel quexemplifi dans lillustration 128 : Le serveur web du rseau priv, la machine cliente et le botier FortiGate connect aux deux rseaux. Un ordinateur client tentant de se connecter au serveur envoie des paquets de donnes reus par le botier FortiGate. Les adresses reprises dans les paquets sont rcrites et transfres au serveur du rseau priv.
Illustration 128 : Exemple dune adresse IP virtuelle de translation simple
Les paquets envoys par lordinateur client ont une adresse IP source 192.168.37.55 et une adresse IP de destination 192.168.37.4. Le botier FortiGate reoit ces paquets sur son interface externe. Les paramtres de ladresse IP
virtuelle indiquent une redirection de 192.168.37.4 10.10.10.42, les adresses des paquets ayant t modifies. Ladresse source est devenue 10.10.10.2 et celle de destination 10.10.10.42. Le botier FortiGate enregistre cette translation dans sa table de session du pare-feu. Les paquets sont ensuite envoys et arrivent finalement sur le serveur.
Illustration 129 : Exemple de translation dadresse dun paquet pendant une translation client - serveur
Vous remarquerez que ladresse de lordinateur client napparat pas dans les paquets reus par le serveur. En effet, aprs que le botier FortiGate ait translat les adresses rseaux, il ny a plus de rfrence faite au rseau de lordinateur client. Le serveur na pas dindication sur lexistence dun autre rseau. Pour lui, toutes les communications viennent directement du botier FortiGate. Lorsque le serveur rpond lordinateur client, la procdure fonctionne de la mme manire mais dans la direction oppose. Le serveur envoie ses paquets rponses ayant une adresse IP source 10.10.10.42 et une adresse IP de destination 10.10.10.2. Le botier FortiGate reoit ces paquets sur son interface interne. Cependant, cette fois-ci, lentre dans la table de session pare-feu va servir dterminer ladresse de destination translate. Dans cet exemple, ladresse source est rcrite et devient 192.168.37.4 et la destination 192.168.37.55. Les paquets sont ensuite envoys et arrivent finalement sur lordinateur client. Ladresse du serveur napparat pas dans les paquets que le client reoit. En effet, aprs que le botier FortiGate ait translat les adresses rseaux, il ny a plus de rfrence faite au rseau du serveur. Le client na pas dindication sur lexistence du rseau priv du serveur. Pour lui, le botier FortiGate est le serveur web.
Illustration 130 : Exemple de translation dadresse dun paquet pendant une translation serveur - client
Remarque : Les adresses IP virtuelles ne sont pas disponibles ou requises en mode Transparent.
Une adresse IP virtuelle peut tre une seule adresse IP ou une plage dadresses IP limite une interface FortiGate. Lorsque vous faites correspondre une adresse IP ou une plage dadresses IP une interface FortiGate fonctionnant avec une adresse IP virtuelle, linterface rpond aux requtes ARP pour ladresse IP ou pour la plage dadresses IP correspondante.
261
Dans le cas o la case NAT na pas t slectionne lors de la configuration dune rgle pare-feu, cette rgle effectuera la DNAT (destination network address translation). La DNAT accepte les paquets dun rseau externe lattention dune adresse IP de destination spcifique, translate ladresse de destination des paquets en une adresse IP de correspondance dun autre rseau cach et transfre ensuite les paquets travers le botier FortiGate vers ce rseau de destination cach. A linverse des exemples prcdents, ladresse source nest pas translate. Une fois sur le rseau de destination cach, les paquets peuvent arriver leur destination finale. Les adresses IP virtuelles translatent galement ladresse IP source des paquets de retour de ladresse source du rseau cach pour quelle soit identique ladresse de destination des paquets originaux. Les plages dadresses IP virtuelles peuvent tre de presque nimporte quelle taille et peuvent translater les adresses vers diffrents sous-rseaux. Les plages dadresses IP virtuelles ont les restrictions suivantes : Ladresse IP de correspondance ne peut pas inclure 0.0.0.0 ou 255.255.255.255. Ladresse IP externe ne peut pas tre 0.0.0.0. si le type de cette adresse est NAT statique et est translate en une plage dadresses IP. Seuls lquilibrage de charge des adresses IP virtuelles, et les adresses IP virtuelles translates vers une seule adresse IP, supportent une adresse IP externe 0.0.0.0. La translation de Port translate une plage de ports externes vers une plage de ports internes. Le nombre de ces ports doit tre le mme. Pour cela, le port externe doit tre dfini de manire ce que sa plage ne dpasse pas 65535. Par exemple, une plage interne de 20 ports translates du port externe 65530 nest pas valide puisque le dernier port de la plage serait 65550. Lors du relayage de port, la plage dadresses IP externes ne peut pas inclure dadresses IP dinterfaces. La plage dadresses IP de correspondance ne doit pas inclure dadresses IP dinterfaces. Le nom dune adresse IP virtuelle ne peut pas tre identique celui dune adresse ou dun groupe dadresses. Les entres dupliques ou de plages qui se chevauchent ne sont pas permises.
En plus de lier ladresse IP ou la plage dadresses IP linterface, ladresse IP virtuelle contient galement toutes les informations requises pour translater ladresse IP ou la plage dadresses IP de linterface qui reoit les paquets vers linterface connecte au mme rseau que ladresse IP ou la plage dadresses IP actuelle. Vous pouvez crer cinq diffrents types dadresses IP virtuelles, chacun pouvant tre utilis pour une variation de DNAT.
Static NAT Les adresses IP virtuelles de translation translate une adresse IP externe ou une plage dadresses IP dun rseau source vers une adresse IP translate ou une plage dadresses IP dun rseau de destination.
262
Les adresses IP virtuelles de translation utilisent une translation un--un. Une seule adresse IP externe est translate vers une seule adresse IP. Une plage dadresses IP externes est translate vers une plage correspondante dadresses IP. Une adresse IP donne dans la plage dadresses sources est toujours translate vers la mme adresse IP dans la plage dadresses de destination. Static NAT Port Forwarding Le relayage de port NAT statique translate une seule adresse IP ou une plage dadresses et un seul numro de port ou de plage de ports sur un rseau vers une seule adresse IP ou une plage dadresses diffrente et un seul numro de port ou de plage de ports diffrente sur un autre rseau. Le relayage de port NAT statique est galement appel relayage de port. Les adresses IP virtuelles du relayage de port NAT statique utilisent une translation un un. Une plage dadresses IP externes est translate vers une plage correspondante dadresses IP et une plage de ports externes est translate vers une plage correspondante de ports. Les adresses IP virtuelles de relayage de port peuvent tre utilises pour configurer le botier FortiGate pour le PAT (port address translation). Equilibrage de charge Egalement appel relayage de port dynamique. Une adresse IP virtuelle dquilibrage de charge translate une seule adresse IP sur un rseau vers une plage dadresses IP sur un autre rseau. Lquilibrage de charge utilise une translation un--plusieurs et un algorithme dquilibrage de charge pour affecter une adresse IP de destination de la plage dadresses IP pour assurer une distribution du trafic plus quilibre. Load Balancing Port Forwarding Un quilibrage de charge avec une adresse IP virtuelle de relayage de port translate une seule adresse IP et un seul numro de port sur un rseau vers une plage dadresses IP et une plage de numros de ports sur un autre rseau. Un quilibrage de charge relayage de port utilise un algorithme dquilibrage de charge un--plusieurs pour affecter ladresse IP de destination dune plage dadresses IP pour assurer une distribution plus quilibre du trafic et galement pour affecter le port de destination de la plage de ports de destination. Dynamic virtual IPs Si vous dfinissez ladresse IP externe dune adresse IP virtuelle 0.0.0.0 vous crez une adresse IP virtuelle dynamique pour laquelle toute adresse IP externe est translate vers ladresse IP ou la plage dadresses IP translate.
Vous devez ajouter ladresse IP virtuelle une rgle pare-feu NAT pour rellement implmenter la translation configure dans ladresse IP virtuelle. Pour ajouter une rgle pare-feu qui translate des adresses sur un rseau externe vers un rseau interne, vous ajoutez une rgle pare-feu de lexterne vers linterne et ajoutez ladresse IP virtuelle dans le champ de ladresse de destination de la rgle. Par exemple, si lordinateur muni dun serveur web est localis sur le rseau interne, il pourrait avoir une adresse IP prive telle que 10.10.10.42. Pour recevoir des paquets dInternet vers le serveur web, il doit y avoir une adresse externe du serveur web sur Internet. Ajoutez une adresse IP virtuelle au pare-feu qui translate ladresse externe IP du serveur web sur Internet vers ladresse actuelle du serveur web du rseau interne. Pour autoriser des connexions dInternet vers le serveur
263
web, ajoutez une rgle pare-feu de lexterne vers linterne et affectez ladresse IP virtuelle lAdresse de Destination.
Visualisation de la liste dIP virtuelles

Pour visualiser la liste des adresses IP virtuelles, slectionnez Pare-feu > IP virtuelle > IP virtuelle.
Illustration 131 : Liste dadresses IP virtuelles
Crer Nouveau Nom IP Port
Permet dajouter une adresse IP virtuelle. Le nom de ladresse IP virtuelle. Ladresse IP ou la plage dadresses externe. Le numro du port externe ou la plage de ports. Le port de service est compris dans le relayage de port dadresses IP virtuelles. La translation vers ladresse IP ou la plage dadresses sur le rseau de destination. La translation vers le numro du port ou la plage de ports. Le port rel est compris dans le relayage de port dadresses IP virtuelles. Permet de supprimer ladresse IP virtuelle de la liste. Cette icne apparat seulement si cette adresse nest pas reprise dans une rgle pare-feu. Permet de modifier toute option dune adresse IP virtuelle notamment son nom.
Adresse IP relle Port rel
Icne Supprimer
Icne Editer
Configuration des adresses IP virtuelles

Pour ajouter une liste dadresses IP virtuelles, slectionnez Pare-feu > IP virtuelle > IP virtuelle et cliquez sur Crer Nouveau. Pour diter une adresse IP virtuelle, cliquez sur licne Editer de ladresse diter. Une adresse IP virtuelle de translation pour une seule adresse IP est la configuration la plus simple dune adresse IP virtuelle. Une seule adresse IP sur un rseau est translate vers une autre adresse IP sur un second rseau. Le botier FortiGate connecte les deux rseaux et autorise la communication entre eux. Pour ajouter ou diter une adresse IP virtuelle, slectionnez Pare-feu > IP virtuelle > IP virtuelle.
Nom Entrez ou modifiez le nom didentification de ladresse IP virtuelle. Pour viter toute confusion, les rgles pare-feu, les adresses, les groupes dadresses et les adresses IP virtuelles ne peuvent pas avoir des noms en commun. Slectionnez linterface externe de ladresse IP virtuelle dans la liste. Linterface externe est connecte au rseau source et reoit les paquets transfrer au rseau de destination. Vous pouvez slectionner nimporte quelle interface FortiGate, sousinterface VLAN ou interface VPN. Slectionnez NAT statique ou Load Balance.
Interface externe
Type
264
External IP Address/Range
Entrez ladresse IP externe que vous voulez translater vers une adresse sur le rseau de destination. Pour configurer une adresse IP virtuelle dynamique qui accepte les connexions pour nimporte quelle adresse IP, affectez 0.0.0.0 ladresse IP externe. Pour une adresse IP virtuelle dynamique de translation vous ne pouvez ajouter quune adresse IP translate. Pour une adresse IP virtuelle dynamique dquilibrage de charge vous pouvez spcifier une seule adresse ou une seule plage dadresses translate. Entrez ladresse IP relle sur le rseau de destination de ladresse IP externe translate. Vous pouvez galement entrer une plage dadresses pour transfrer les paquets vers de multiples adresses IP sur le rseau de destination. Pour une adresse IP virtuelle de translation, si vous ajoutez une plage dadresses IP translates, le botier FortiGate calcule la plage dadresses IP externe et ajoute cette plage dans le champ External IP Adresse/Range.
Mapped IP Address/Range
Port forwarding Protocole Port externe Port rel
Permet dajouter une adresse IP virtuelle de relayage de port. Slectionnez le protocole (TCP ou UDP) que les paquets transfrs utiliseront. Entrez le numro du port service externe pour lequel vous dsirez configurer le relayage de port. Entrez le numro du port sur le rseau de destination dont le numro du port externe est translat. Vous pouvez galement entrer une plage de ports pour transfrer les paquets vers de multiples ports sur le rseau de destination. Pour une adresse IP virtuelle de translation, si vous ajoutez une translation une plage de ports, le botier FortiGate calcule la plage de ports externes et ajoute cette plage dans le champ Port Externe.
Ajout dune adresse IP virtuelle de translation une seule adresse IP

Ladresse IP 192.168.37.4 sur Internet est translate 10.10.10.42 sur un rseau priv. Les tentatives pour communiquer avec 192.168.37.4 sur Internet sont translates et envoyes 10.10.10.42 par le botier FortiGate. Les ordinateurs sur Internet nont pas connaissance de cette translation et ne voient quun ordinateur avec une adresse IP 192.168.37.4 au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 132 : Exemple dadresse IP virtuelle de translation une seule adresse IP
265
Ajouter une adresse IP virtuelle de translation une seule adresse IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs dInternet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range simple_static_NAT wan1 NAT statique Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que lIP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP du serveur sur le rseau interne. Puisquil ny a quune adresse IP, laissez le deuxime champ vide.
Map to IP/IP Range
Illustration 133 : Options des adresses IP virtuelles : IP virtuelles de translation une seule adresse IP
Cliquez sur OK. Ajouter une adresse IP virtuelle de translation une seule adresse IP dans une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de manire ce que lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du serveur web, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. Ladresse IP virtuelle translate ladresse de destination de ces paquets de lIP externe vers ladresse IP du rseau DMZ du serveur web.
1 2
Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau. Configurez la rgle pare-feu :
Source Interface/Zone Source Adresse wan1 All (ou une adresse spcifique prcise) Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
266
Destination Interface/Zone Destination Adresse Horaire Service Action
dmz1 simple_static_NAT always HTTP ACCEPT
3 4
Cochez la case NAT. Cliquez sur OK.
Ajout dune adresse IP virtuelle de translation une plage dadresses IP

La plage dadresses IP 192.168.37.4-192.168.37.6 sur Internet est translate vers 10.10.10.42-10.10.123.44 sur un rseau priv. Les paquets des ordinateurs Internet communiquant avec 192.168.37.4 sont translates et envoyes 10.10.10.42 par le botier FortiGate. Similairement, les paquets destins 192.168.37.5 sont translats et envoys 10.10.10.43 et les paquets destins 192.168.37.6 sont translats et envoys 10.10.10.44. Les ordinateurs sur Internet nayant pas connaissance de la translation ne voient que trois ordinateurs avec des adresses IP individuelles au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 134 : Exemple dadresse IP virtuelle de translation une plage dadresses IP
Ajouter une adresse IP virtuelle de translation une plage dadresses IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs dInternet de se connecter trois serveurs web individuels sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range static_NAT_range wan1 NAT statique La plage dadresses IP Internet des serveurs web. Les adresses IP externes doivent tre des adresses IP
267
statiques obtenues par votre FAI pour votre serveur web. Ces adresses doivent galement tre des adresses IP uniques qui ne sont pas utilises par un autre hte et ne peuvent pas tre les mmes que les adresses IP de linterface externe que lIP virtuelle va utiliser. Cependant, les adresses IP externes doivent tre routes vers linterface slectionne. Les adresses IP virtuelles et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour les adresses IP externes. Map to IP/IP Range La plage dadresses IP des serveurs du rseau interne. Dfinissez la plage en entrant la premire adresse de la plage dans le premier champ et la dernire adresse de la plage dans le deuxime champ.
Illustration 135 : Options des adresses IP virtuelles : IP virtuelles de translation avec une plage dadresses IP
Cliquez sur OK. Ajouter une adresse IP virtuelle de translation avec une plage dadresses IP une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. Ladresse IP virtuelle translate les adresses de destination de ces paquets de ladresse IP externe vers les adresses IP du rseau DMZ des serveurs web.
1 2
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 static_NAT_range always HTTP ACCEPT
3 4
268
Ajout dun relayage de port de translation une seule adresse IP et un seul port
Ladresse IP 192.168.37.4, port 80 sur Internet est translate vers 10.10.10.42, port 8000 sur un rseau priv. Les tentatives de communication avec 192.168.37.4, port 80 dInternet sont translates et envoyes vers 10.10.10.42, port 8000 par le botier FortiGate. Les ordinateurs sur Internet nayant pas connaissance de cette translation ne voient quun seul ordinateur au 192.168.37.4, port 80 au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 136 : Exemple de relayage de port de ladresse IP virtuelle de translation pour une seule adresse IP et un seul port
Ajouter un relayage de port de ladresse IP virtuelle de translation une seule adresse IP et un seul port 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range
Port_fwd_NAT_VIP wan1 NAT statique Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que ladresse IP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP du serveur sur le rseau interne. Puisquil ny a quune adresse IP, laissez le deuxime champ vide. Slectionn TCP Le port utilis par le trafic provenant dInternet. Pour un serveur web, il sagit gnralement du port 80. 269
Map to IP/IP Range Port forwarding Protocole Port externe
Port rel
Le port sur lequel le serveur reoit le trafic. Puisquil ny a quun port, laissez le deuxime champ vide.
Illustration 137 : Options des adresses IP virtuelles : Relayage de port dune adresse IP virtuelle de translation une seule adresse IP et un seul port
Cliquez sur OK. Ajouter un relayage de port dune adresse IP virtuelle de translation une seule adresse IP et un seul port une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. Ladresse IP virtuelle translate les adresses et ports de destination de ces paquets de ladresse IP externe vers les adresses IP du rseau DMZ des serveurs web.
1 2
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 Port_fwd_NAT_VIP always HTTP ACCEPT
3 4
Ajout dun relayage de port de translation une plage dadresses IP et une plage de ports
Les ports 80 83 des adresses 192.168.37.4 192.168.37.7 sur Internet sont translates aux ports 8000 8003 des adresses 10.10.10.42 10.10.10.44 sur un rseau priv. Les tentatives de communication vers 192.168.37.5, port 82 dInternet par exemple, sont translates et envoyes vers 10.10.10.43, port 8002 par le botier FortiGate. Les ordinateurs sur Internet nayant pas connaissance de cette translation ne voient quun seul ordinateur au 192.168.37.5 au lieu dun botier FortiGate avec un rseau priv derrire.
270
Illustration 138 : Exemple de relayage de port dune adresse IP virtuelle de translation une plage dadresses IP et une plage de ports
Ajouter un relayage de port de ladresse IP virtuelle de translation une plage dadresses IP et une plage de ports 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range
Port_fwd_NAT_VIP_port_range wan1 NAT statique Ladresse IP Internet du serveur web. Les adresses IP externes doivent tre des adresses IP statiques obtenues par votre FAI. Ces adresses doivent galement tre uniques et inutilises par un autre hte et ne peuvent pas tre identiques ladresse IP de linterface externe que ladresse IP virtuelle va utiliser. Cependant, les adresses IP externes doivent tre routes vers linterface slectionne. Les adresses IP virtuelles et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour les adresses IP externes. Les adresses IP du serveur sur le rseau interne. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ. Slectionn TCP Les ports utiliss par le trafic provenant dInternet. Pour un serveur web, il sagit gnralement du port 80. Les ports sur lesquels le serveur attend le trafic. Dfinissez la plage en entrant le premier port de cette plage dans le premier champ et le dernier port dans le deuxime champ. Sil ny a quun seul port, laissez le deuxime champ vide.
Map to IP/IP Range
Port forwarding Protocole Port externe Port rel
Illustration 139 : Options de ladresse IP virtuelle : relayage de port de ladresse IP virtuelle de translation une plage dadresses IP et une plage de ports Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 271
Cliquez sur OK. Ajouter un relayage de port dune adresse IP virtuelle de translation une plage dadresses IP et une plage de ports une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise lIP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. LIP virtuelle translate les adresses et ports de destination de ces paquets de lIP externe vers les adresses IP du rseau DMZ des serveurs web.
1 2
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 Port_fwd_NAT_VIP_port_range always HTTP ACCEPT
3 4
Ajout dune IP virtuelle dquilibrage de charge une plage dadresses IP

Ladresse IP 192.168.37.4 sur Internet est translate vers 10.10.123.42 10.10.123.44 sur un rseau priv. La translation dadresse IP est dtermine par lalgorithme de lquilibrage de charge du botier FortiGate. Les tentatives de communication avec 192.168.37.4 dInternet sont translates et envoyes vers 10.10.10.42, 10.10.10.43 ou 10.10.10.44 par le botier FortiGate. Les ordinateurs sur Internet nayant pas connaissance de cette translation ne voient quun seul ordinateur 192.168.37.4 au lieu dun botier FortiGate avec un rseau priv derrire.
272
Illustration 140 : Exemple dIP virtuelle dquilibrage de charge dune plage dadresses IP
Ajouter une IP virtuelle dquilibrage de charge une plage dadresses IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range Load_Bal_VIP wan1 Load Balance Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que lIP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez lIP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP des serveurs sur le rseau interne. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ.
Map to IP/IP Range
Illustration 141 : Options de lIP virtuelle : IP virtuelle dquilibrage de charge
Cliquez sur OK.
273
Ajouter une IP virtuelle dquilibrage de charge une plage dadresses IP une rgle pare-feu Ajoutez une rgle pare-feu wan1 vers dmz1 qui utilise lIP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. LIP virtuelle translate ladresse de destination de ces paquets de lIP externe vers les adresses IP du rseau DMZ des serveurs web. 1 2 Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau. Configurez la rgle pare-feu :
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 Load_Bal_VIP always HTTP ACCEPT
3 4
Ajout dune IP virtuelle relayage de port quilibrage de charge une plage dadresses IP et une plage de ports
Les connexions vers 192.168.37.4 sur Internet sont translates vers 10.10.10.42 10.10.10.44 sur un rseau priv. La translation dadresse IP est dtermine par lalgorithme de lquilibrage de charge du botier FortiGate. Les ports 80 83 sur 192.168.37.4 sont translats vers 8000 8003. Les ordinateurs sur Internet nayant pas connaissance de cette translation ne voient quun seul ordinateur 192.168.37.4 au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 142 : Exemple dIP virtuelle relayage de ports quilibrage de charge une plage dadresses IP et une plage de ports
Ajouter une IP virtuelle dquilibrage de charge une plage dadresses IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans
274
notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range Load_Bal_VIP_port_forward wan1 Load Balance Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que lIP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez lIP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP des serveurs sur le rseau interne. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ. Slectionn. TCP Les ports que le trafic provenant dInternet utiliseront. Pour un serveur web, il sagit gnralement du port 80. Les ports sur lesquels le serveur attend le trafic. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ. Sil ny a quun port, laissez le deuxime champ vide.
Map to IP/IP Range
Port Forwarding Protocole Port externe Port rel
Illustration 143 : Options de lIP virtuelle : IP virtuelle dquilibrage de charge
Cliquez sur OK. Ajouter une IP virtuelle dquilibrage de charge pour une plage dadresses IP une rgle pare-feu Ajoutez une rgle pare-feu wan1 vers dmz1 qui utilise lIP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. LIP virtuelle translate ladresse de destination de ces paquets de lIP externe vers les adresses IP du rseau DMZ des serveurs web.
Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau.
275
Configurez la rgle pare-feu :

Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 Load_Bal_VIP_port_forward always HTTP ACCEPT
3 4
Ajout dIP virtuelles dynamiques

Ajouter une IP virtuelle dynamique est similaire lajout dune IP virtuelle. La diffrence est que ladresse IP Externe doit tre dfinie sur 0.0.0.0 de manire ce quelle corresponde nimporte quelle adresse IP.
Illustration 144 : Ajout dune nouvelle translation dIP virtuelle le relayage de port dynamique
Ajouter une IP virtuelle dynamique 1 2 3 4 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Entrez un nom pour lIP virtuelle dynamique. Slectionnez lInterface Externe de lIP virtuelle dans la liste. Linterface externe est connecte au rseau source et reoit les paquets transfrer au rseau de destination. Slectionnez nimporte quelle interface pare-feu ou sous-interface VLAN. 5 6 Dfinissez lAdresse IP Externe sur 0.0.0.0. Cela correspond toute adresse IP. Entrez le numro du Port Externe pour lequel configurer le relayage de port dynamique. Le numro de port externe doit correspondre au port de destination des paquets transfrer. Par exemple, si lIP virtuelle fournit un accs PPTP au serveur PPTP travers lInternet, le numro du port externe devrait tre 1723 (le port PPTP). 7 Entrez ladresse Map to IP (ou Mapped IP Address) vers laquelle translater ladresse IP externe. Par exemple, ladresse IP dun serveur PPTP sur un rseau interne.
276
Entrez le numro du Port Rel ajouter aux paquets lors de leur transfert. Entrez le mme numro que le Port Externe si le port nest pas destin tre translat.
Cliquez sur OK.
Plages IP
Vous pouvez utiliser des plages IP pour ajouter des rgles NAT qui translatent les adresses sources en adresses slectionnes arbitrairement dans la plage IP au lieu dtre limit ladresse IP de linterface de destination. Une plage IP dfinit une adresse ou une plage dadresses IP dont chacune rpond aux requtes ARP sur linterface laquelle la plage IP est ajoute. Lors de la configuration dune rgle pare-feu, cochez la case Pool dadresses pour translater ladresse source de paquets sortants en une adresse slectionne arbitrairement dans la plage IP. Une liste de plages IP apparat lorsque linterface de destination de la rgle est la mme que linterface de plage IP. Avec une plage IP ajoute linterface interne, vous pouvez slectionner une plage IP dynamique pour les rgles avec linterface interne comme destination. Vous pouvez ajouter des plages IP nimporte quelle interface et slectionn la plage IP utiliser lors de la configuration dune rgle pare-feu. Une seule adresse IP est entre normalement. Par exemple, 192.168.110.100 est une adresse de plage IP valide. Si une plage dadresses IP est ncessaire, entrez lun des formats suivants : x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120 x.x.x.[x-x], par exemple 192.168.110.[100-120]
Plages IP et NAT dynamique

Vous pouvez utiliser des plages IP pour une NAT dynamique. Par exemple, une entreprise peut avoir achet une plage dadresses Internet mais na quune connexion Internet sur linterface externe de son botier FortiGate. Affectez une des adresses IP Internet de lentreprise linterface externe du botier FortiGate. Si le botier FortiGate fonctionne en mode NAT/Route, toutes les connexions du rseau vers Internet semblent venir de cette adresse IP. Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette plage dadresses une plage IP pour linterface externe. Slectionnez ensuite Pool dadresses pour toutes les rgles qui ont linterface externe comme destination. Pour chaque connexion, le pare-feu slectionne dynamiquement une adresse IP de la plage dadresses qui servira dadresse source la connexion. Les connexions vers Internet semblent alors provenir de nimporte quelle adresse IP de la plage IP.
Plages IP pour les rgles pare-feu utilisant des ports fixes

Certaines configurations rseaux ne fonctionnent pas correctement si une rgle NAT translate le port source des paquets utiliss par la connexion. La NAT translate les ports sources pour garder une trace des connexions pour un service particulier. Slectionnez Port Fixe pour les rgles NAT dans le but dempcher la
translation de port source. Cependant, la slection de Port Fixe signifie quune seule connexion peut tre supporte travers le pare-feu pour ce service. Pour tre capable de supporter des connexions multiples, ajoutez une plage IP linterface de destination, et slectionnez ensuite Pool dadresses dans la rgle. Le pare-feu slectionne arbitrairement une adresse IP de la plage IP et laffecte chaque connexion. Dans ce cas, le nombre de connexions que le pare-feu peut supporter est limit par le nombre dadresses IP dans la plage IP.
Visualisation des plages IP

Si les domaines virtuels sont activs sur le botier FortiGate, les plages IP sont cres sparment pour chaque domaine virtuel. Pour accder aux plages IP, slectionnez un domaine virtuel de la liste dans le menu principal. Les plages IP ne sont pas disponibles en mode Transparent. Pour visualiser la liste des plages IP, slectionnez Pare-feu > IP virtuelle > Plage IP.
Illustration 145 : Liste de plages IP
Crer Nouveau Nom Dbut de la plage Fin de la plage Icne Supprimer Icne Editer
Permet dajouter une plage IP. Le nom de la plage IP. Dfinit la premire adresse de la plage IP. Dfinit la dernire adresse de la plage IP. Permet de retirer une entre de la liste. Cette icne napparat que si la plage IP nest pas reprise dans une rgle pare-feu. Permet dditer les informations suivantes : Nom, Interface, Plage IP/Rseau.
Configuration des plages IP

Pour ajouter une plage IP, slectionnez Pare-feu > IP virtuelle > Plage IP.
Illustration 146 : Nouvelle Plage IP dynamique
Nom Interface Plage IP/Rseau
Entrez ou modifiez le nom de la plage IP. Slectionnez linterface laquelle ajouter une plage IP. Entrez la plage dadresses IP pour cette plage IP. La plage dadresses IP dfinit le dbut et la fin de la plage IP. Le dbut de la plage doit tre infrieur la fin. La plage IP ne doit pas forcment se trouver sur le mme sous-rseau que ladresse IP de linterface laquelle la plage IP est ajoute.
278
Profil de Protection
Cette section dcrit comment ajouter des profils de protection aux rgles en mode NAT/Route et mode Transparent. Cette section couvre les sujets suivants : Quest-ce quun profil de protection ? Profil de protection par dfaut Visualisation de la liste des profils de protection Configuration dun profil de protection Ajout dun profil de protection une rgle Configuration CLI dun profil de protection
Quest-ce quun profil de protection?

Un profil de protection est un groupe de paramtres ajustables pour parvenir un but particulier. Les profils de protection appliquant diffrents paramtres de protection aux trafics contrls par les rgles pare-feu, vous pouvez adapter les paramtres au type de trafic que chaque rgle contrle. Lutilisation de profils de protection permet de : configurer une protection antivirus aux rgles HTTP, FTP, IMAP, POP3, SMTP et IM. configurer un filtrage de contenu web pour les rgles HTTP. configurer un filtrage par catgorie du contenu web pour les rgles HTTP. configurer un filtrage anti-spam pour les rgles IMAP, POP3 et SMTP. activer lIPS pour tous les services. configurer un archivage de contenu pour les rgles HTTP, FTP, IMAP, POP3, SMTP et IM. configurer un filtrage IM et un contrle daccs pour les messageries instantanes AIM, ICQ, MSN et Yahoo. configurer un contrle daccs et de la bande passante P2P pour les clients peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa, Skype et WinNY. configurer les profils de protection journaliser.
Grce lutilisation de profils de protection, vous pouvez personnaliser les types et niveaux de protection pour les diffrentes rgles pare-feu. Par exemple, alors que le trafic entre les adresses interne et externe ncessitent probablement une protection stricte, le trafic entre des adresses internes de confiance ncessitent quant lui une protection modre. Il est conseill de configurer des rgles pour des services de trafics diffrents qui utiliseront des profils de protection identiques ou diffrents.
279
Si les domaines virtuels sont activs sur le botier FortiGate, les profils de protection sont configurs globalement et sont disponibles pour tous les domaines virtuels. Pour accder aux profils de protection, slectionnez Configuration Globale > Pare-feu > Profil de protection.
Profils de protection par dfaut

Quatre profils de protection sont pr-configurs:
Strict Applique une protection maximum pour le trafic HTTP, FTP, IMAP, POP3 et SMTP. Vous nutiliserez probablement pas ce profil rigoureux de protection en circonstances normales mais il est disponible en cas de problme de virus ncessitant une analyse maximum. Applique une analyse antivirus et une mise en quarantaine de fichiers du contenu du trafic HTTP, FTP, IMAP, POP3 et SMTP. Sur les modles FortiGate muni dun disque dur, lorsque lanalyse antivirus dtecte un virus dans un fichier, ce dernier est mis en quarantaine sur le disque dur du botier FortiGate. Si ncessaire, les fichiers placs en quarantaine peuvent tre rcuprs. Applique une analyse antivirus et un blocage du contenu web. Vous pouvez ajouter ce profil de protection aux rgles pare-feu qui contrlent le trafic HTTP. Napplique ni analyse, ni blocage, ni IPS. A utiliser dans le cas o aucune protection du contenu du trafic nest souhaite. Vous pouvez ajouter ce profil de protection aux rgles pare-feu pour les connexions entre des rseaux hautement fiables et scuriss dont le contenu ne ncessite pas dtre protg.
Scan
Web
Unfiltered (Non-filtr)
Visualisation de la liste des profils de protection

Pour visualiser la liste des profils de protection, slectionnez Pare-feu > Profil de protection.
Illustration 147 : Profils de protection par dfaut
Crer Nouveau Nom Icne Supprimer
Permet dajouter un profil de protection. Le nom du profil de protection. Permet de retirer un profil de protection de la liste. Cette icne apparat uniquement si le profil nest pas repris dans une rgle pare-feu. Permet de modifier un profil de protection.
Icne Editer
Remarque : Un profil de protection ne peut pas tre supprim sil est repris dans une rgle pare-feu ou compris dans un groupe dutilisateurs.
280
Configuration dun profil de protection

Dans le cas o les profils de protection par dfaut ne fournissent pas les paramtres requis, vous pouvez crer des profils de protection personnaliss. Pour ajouter un profil de protection, slectionnez Pare-feu > Profil de protection et cliquez sur Crer Nouveau.
Illustration 148 : Nouveau profil de protection
Nom du profil Comments Antivirus Filtrage Web FortiGuard-Web Filtering Filtrage antispam IPS Archiver le contenu IM & P2P Logging
Entrez un nom au profil de protection. Si ncessaire, entrez une description au profil. Voir Options Antivirus la page 282. Voir Options du filtrage Web la page 283. Voir Options du filtrage Web FortiGuard la page 285. Voir Options du filtrage anti-spam la page 286. Voir Options IPS la page 289. Voir Options des archives de contenu la page 289. Voir Options IM et P2P la page 290. Voir Options de la journalisation la page 291.
Remarque : Si les fonctionnalits Virus Scan et File Block sont toutes deux actives, le botier FortiGate bloque les fichiers correspondant aux types de fichiers activs avant de procder une analyse antivirus.
281
Options Antivirus
Illustration 149 : Options antivirus du profil de protection
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Le support sera ajout dans une version ultrieure.
Les options antivirus suivantes sont disponibles dans les profils de protection.
Dtection de virus Activez ou dsactivez lanalyse de virus pour chaque protocole (HTTP, FTP, IMAP, POP3, SMTP, IM). Loption Grayware, si active dans Antivirus > Config > Grayware, est comprise avec lAnalyse de virus. Notez que le mode continu est activ automatiquement lorsque vous activez lanalyse de virus. Activez ou dsactivez loption file pattern pour chaque protocole. Les fichiers peuvent tre bloqus ou autoriss en fonction de leur nom, leur extension ou tout autre critre. Ce processus offre la flexibilit de bloquer des fichiers qui contiendraient des lments nuisibles. Liste droulante de File Pattern : Slectionnez la liste File Pattern utiliser avec ce profil de protection. La liste par dfaut est appele built-in-patterns . Seuls les modles FortiGate800 et plus sont munis de cette liste. Quarantaine (log disk requis) Activez ou dsactivez loption de mise en quarantaine pour chaque protocole. Vous pouvez visualiser les fichiers suspects placs en quarantaine ou les soumettre Fortinet pour analyse. Cette option nest pas affiche si le botier FortiGate ne possde pas de disque dur ou un quipement FortiAnalyzer configur. Activez ou dsactivez les emails fragments pour les protocoles de mail (IMAP, POP3, SMTP). Les mails fragments ne peuvent pas subir une analyse virus. Activez ou dsactivez cette option pour les trafics HTTP et FTP. Cette option fournit le statut des fichiers mis en rserve (buffer) pour tlchargement via HTTP ou FTP. Les utilisateurs peuvent observer les pages web ou fichiers en cours de tlchargement. Si dsactive, les utilisateurs nont aucune indication quant la mise en rserve du tlchargement et peuvent annuler le transfert pensant quil a chou. Interval Le temps en secondes avant que loption Comfort Client dmarre aprs que le tlchargement ait commenc. Il sagit Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
File Pattern
Transmettre les mails fragments Comfort Clients
282
galement du temps entre des intervalles prochains. Amount Le nombre doctets envoys chaque intervalle.
Fichier/Mail dpassant la taille limite
Slectionnez Transmettre ou Bloquer pour les fichiers et les messages mails excdant les seuils configurs pour chaque protocole. Threshold Si le fichier est plus grand que la valeur du seuil (en mgaoctets), le fichier est transmis ou bloqu, selon ce qui a t dfini dans loption Fichier/Mail dpassant la taille limite. Le seuil maximum pour lanalyse en mmoire est 10% de la RAM du botier FortiGate. Remarque : Pour lanalyse de mails, le seuil de taille limite fait rfrence la taille finale du mail aprs encodage du mail client, y compris les pices jointes. Les mails clients peuvent utiliser une varit de types dencodage dont certains translatent en taille plus grande que la taille de la pice jointe originale. Lencodage le plus commun, base64, translate 3 octets de donnes binaires en 4 octets de donnes en base64. Ds lors un fichier peut tre bloqu ou journalis comme trop grand mme si la pice jointe est de quelques mgaoctets plus petite que la taille limite configure dans le seuil.
Ajout dune signature aux mails sortants
Permet de crer et dajouter une signature aux mails sortants (SMTP uniquement).
Voir Antivirus la page 337 pour des options antivirus supplmentaires.
Options du filtrage Web

Illustration 150 : Options de filtrage Web du profil de protection
Les options de filtrage Web suivantes sont disponibles dans les profils de protection.
Filtrage Web par mots clefs Activez ou dsactivez le blocage de pages web pour le trafic HTTP bas sur les critres de blocage de contenu dans la liste de blocage de contenu. Liste droulante de blocage de contenu : Permet de slectionner une liste de blocage de contenu utiliser avec ce
283
profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. Threshold : Si les rsultats combins des critres de blocage de contenu apparaissant sur une page web excdent la valeur du seuil, la page sera bloque. Voir Visualisation de la liste de blocage de contenu web la page 369. Web Content Exempt Activez ou dsactivez loverride (lignorance) du blocage de contenu web bas sur des critres de dispense de contenu dans la liste de contenu dispens. Liste droulante de contenu web dispens : Slectionnez une liste de contenu dispens utiliser avec ce profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. Web URL Filter Activez ou dsactivez un filtrage de page web pour le trafic HTTP bas sur une liste dURL. Liste droulante de filtre dURL web : Permet de slectionner une liste de filtre dURL web utiliser avec ce profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. ActiveX Filter Cookie Filter Java Applet Filter Ne pas reprendre les transferts Web en cours Permet dactiver le blocage de contrle ActiveX. Permet dactiver le blocage de cookies. Permet dactiver le blocage des Applets Java. Permet de bloquer les transferts de partie dun fichier dj partiellement tlcharg. Cette option empche le tlchargement involontaire de virus cachs dans des fichiers fragments. Notez que certains types de fichiers, comme PDF, sont fragments pour augmenter la vitesse de tlchargement. Lactivation de cette option pourrait donc entraner des interruptions dans le tlchargement de ces types de fichier.
Voir Filtrage Web la page 366 pour des options supplmentaires de configuration de filtrage web.
284
Options du filtrage FortiGuard-Web

Illustration 151 : Options de filtrage FortiGuard-Web du profil de protection
Activer FortiGuard-Web Filtering (HTTP seulement) Activer FortiGuard-Web Filtering Overrides (HTTP uniquement)
Active le blocage par catgorie FortiGuard-WebTM. Active loverride (lignorance) de catgories. Une fois slectionne, une liste de groupes est affiche. Si aucun groupe nest disponible, loption est grise. Pour plus dinformations sur les overrides, voir Visualisation de la liste override la page 379 et Configuration de rgles dignorance la page 380. Pour plus dinformations sur les groupes, voir Groupe dutilisateurs la page 330.
Fournir les dtails pour les Affiche un message de remplacement pour les erreurs bloques HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si lerreur est (HTTP uniquement) autorise, des sites malintentionns peuvent utiliser ces pages derreurs pour passer outre le blocage par catgorie web. Evaluer les images par URL (les images bloques seront remplaces par des blancs) (HTTP uniquement) Bloque les images qui ont t values par FortiGuard. Les images bloques sont remplaces sur les pages web par des blancs. Les types dimage qui sont valus sont GIF, JPEG, PNG, BMP et TIFF. Autorise les pages web qui renvoient une erreur dvaluation du service de filtrage web.
Autoriser les sites web lors dune erreur dvaluation (HTTP uniquement) Blocage strict
Lorsque cette option est active, laccs au site web
285
(HTTP uniquement)
est rejet si lune des classifications ou catgories correspond lvaluation du site. Lorsque cette option est dsactive, laccs au site web est accept si lune des classifications ou catgories correspond la liste autorise. Ceci est dfinit par dfaut. Lorsque cette option est active, elle envoie lURL et ladresse IP du site requis pour contrle, fournissant ainsi une scurit additionnelle contre les tentatives de contournements du systme FortiGuard. Le service de filtrage de contenu FortiGuard-Web offre de nombreuses catgories de filtrages du trafic web. Dfinissez les actions prendre pour les pages web de chaque catgorie : autorise, bloque, journalise ou autorise loverride. Les classifications bloquent des classes entires de sites web. Des sites qui fournissent des contenus cachs, comme Google par exemple, peuvent tre bloqus. Des sites web qui autorisent des recherches dimages, daudio ou de vidos peuvent galement tre bloqus. Des sites web qui sont classifis sont galement valus dans lune des catgories ou ne sont pas valus. Choisissez entre autorise, bloque, journalise ou autorise loverride.
Evaluer les URL par domaines et adresses IP
Catgorie
Classification
Voir Filtrage Web FortiGuard la page 378 pour plus doptions de configuration du blocage de catgories.
Options du filtrage antispam

Illustration 152 : Options du filtrage antispam du profil de protection
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout dans une version ultrieure.
Les options de filtrage antispam suivantes sont disponibles dans les profils de protection.
FortiGuard Anti-spam Vrification de ladresse IP Activez ou dsactivez la liste noire dadresses IP du filtrage FortiGuardAntispamTM. Le FortiGuard-Antispam extrait Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
286
ladresse source du serveur mail SMTP et envoie ladresse IP vers un serveur FortiGuard-Antispam pour la comparer la liste des spammers connus. Si ladresse IP est trouve FortiGuard-Antispam met fin la session. Si ladresse IP nest pas trouve le serveur mail envoie le mail son destinataire. Voir Service FortiGuardAntispam la page 185 pour plus dinformations sur ce service. URL check Activez ou dsactivez la liste noire URL du TM filtrage FortiGuard-Antispam . Le corps de messages mails sont filtrs pour en extraire tout lien URL. Ces liens URL sont envoys vers un serveur FortiGuard-Antispam pour comparaison avec ses listes. Des messages spam contiennent souvent des liens URL vers des sites publicitaires. Sil y a une correspondance dURL, le FortiGuardAntispam met fin la session. Sil ny a pas de correspondance, le serveur mail envoie le mail son destinataire. Voir Service FortiGuard-Antispam la page 185 pour plus dinformations sur ce service.
Vrification Email Activez ou dsactivez la liste noire de Checksum somme de vrification (checksum) de messages mails FortiGuard-Antispam. Lorsque cette option est active, ce filtre calcule la somme de vrification dun message mail et lenvoie aux serveurs FortiGuard afin de dterminer si cette somme de vrification fait partie de la liste. Le botier FortiGate transfre ensuite ou marque/bloque le message mail en fonction de la rponse du serveur. Spam submission Lorsque cette option est active, tous les messages mails dfinis comme spam se voient ajouter un lien dans le corps du message. Si le message mail nest pas un spam, cliquez simplement sur le lien dans le message pour en informer FortiGuard. Filtrage par liste dadresses IP Activez ou dsactivez le contrle des adresses IP entrantes en fonction de la liste dadresses IP du filtre antispam configur (SMTP uniquement). Liste droulante de filtrage par liste dadresses IP : Permet de slectionner une liste blanche/noire dadresses IP utiliser avec ce profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. Activez ou dsactivez la recherche du nom du domaine source (commande SMTP HELO) dans le Domain Name Server. Filtrage par liste dadresses mail :Activez ou dsactivez le filtrage dadresses mail entrants avec la liste dadresses mail du filtre antispam configur. Liste droulante de filtrage par liste dadresses mail : Permet de slectionner une liste blanche/noire dadresses mail utiliser avec ce profil de protection.
HELO DNS lookup
287
Seuls les modles FortiGate-800 et plus offrent cette slection. Return e-mail DNS check Activez ou dsactivez cette option qui contrle si le domaine spcifi dans les champs Reply to (Rpondre ) et From Address (A partir de ladresse) possde un enregistrement DNS A ou MX. Activez ou dsactivez le filtrage de mail source en fonction dune liste de mots-cls du filtre antispam configur. Liste droulante de filtrage par mots clefs : Permet de slectionner une liste de mots-cls utiliser avec ce profil de protection. Seuls les modles FortiGate800 et plus offrent cette slection. Threshold Si les rsultats combins des critres de mots-cls apparaissant dans un message mail excdent la valeur du seuil, le message sera trait selon les paramtres dfinis dans Spam Action. Voir Visualisation de la liste des mots bannis antispam la page 390. Dfinit les actions mises en vigueur par le filtre antispam. Laction Tag vous permet dajouter une balise personnalise un sujet ou un en-tte de mail identifi comme spam. Pour le trafic SMTP, si lanalyse de virus ou le mode continu est activ, vous ne pourrez que rejeter les mails spams, ces connexions tant alors abandonnes. (Notez que le mode continu est activ automatiquement lorsque lanalyse de virus est active). Sans mode continu ou analyse de virus activ, vous pouvez choisir entre baliser ou rejeter les spams SMTP. Vous pouvez baliser les mails en insrant un mot ou une phrase dans le sujet ou en ajoutant un en-tte MIME et une valeur dans len-tte du mail. Vous pouvez choisir de journaliser toute action spam dans le Journal dvnements. Permet dinsrer une balise au sujet ou en-tte MIME du mail identifi comme spam. Entrez un mot ou une phrase (tag/balise) insrer au mail identifi comme spam. La longueur maximum tant de 63 caractres.
Filtrage par mots clefs
Action antispam
Insertion
Tag
Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en fonction de leur en-tte MIME. Contrlez les paramtres de votre mail client avant de dfinir comment baliser les spams.
Voir Antispam la page 386 pour plus doptions de configuration de filtre antispam. Pour configurer le service FortiGuard-Antispam, voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186.
288
Options IPS
Illustration 153 : Options IPS du profil de protection
Les options suivantes sont disponibles pour lIPS travers le profil de protection.
IPS Signature Slectionnez un ou plusieurs niveaux de svrit des signatures IPS pour ce profil : Critical, High, Medium, Low et Information. Les signatures avec niveau de svrit qui nont pas t slectionns ne sont pas enclenches. Slectionnez un ou plusieurs niveaux de svrit danomalie pour ce profil : Critical, High, Medium, Low et Information. Les anomalies avec niveau de svrit qui nont pas t slectionnes ne sont pas enclenches.
IPS Anomaly
Voir Protection contre les intrusions la page 352 pour des options de configuration IPS supplmentaires.
Options des archives de contenu

Pour accder toutes les options des archives de contenu, un quipement FortiAnalyzer doit tre configur et une connexion active. Pour plus dinformations, voir Journalisation sur un botier FortiAnalyzer la page 411.
Illustration 154 : Options des archives de contenu du profil de protection
Remarque : Les options NNTP et darchivage de fichiers ne peuvent pas tre slectionns. Un support sera ajout dans une version ultrieure.
Les options suivantes sont disponibles pour larchivage de contenu travers le profil de protection.
Afficher les meta-informations Permet davoir des meta-informations pour chaque dans le tableau de bord Systme types de trafic qui saffichent dans la section Content Summary de la page Statut du botier FortiGate. Visualiser les statistiques pour les trafics HTTP, FTP et messages mails (IMAP, POP3 et SMTP combins). Archive to FortiAnalyzer Activez ou dsactivez larchivage sur un quipement FortiAnalyzer de meta-informations sur le contenu pour chaque protocole. Les meta-informations sur le contenu
289
peuvent comprendre la date et lheure, la source et le rsultat de lanalyse. Larchivage de contenu nest disponible que si un quipement FortiAnalyzer est activ dans Journaux/Alertes > Configuration > Configuration du Journal. Archive a copy of all files transferred Log emails to FortiAnalyzer Archive IM to FortiAnalyzer Activez ou dsactivez larchivage de copies de fichiers tlchargs. Permet de sauvegarder une copie de tous les messages mails sur un quipement FortiAnalyzer. Activez ou dsactivez des informations condenses de journalisation pour les protocoles IM: AIM, ICQ, MSN et Yahoo. Des informations condenses peuvent comprendre la date et lheure, les informations sur la source et la destination, la taille de la requte et de la rponse et le rsultat de lanalyse. Remarque : Vous devez activer les options IM dans la section IM & P2P du profil de protection pour un archivage de contenu oprationnel. Archive full IM chat information to FortiAnalyzer Activez ou dsactivez larchivage de lentiret des chats pour le protocole IM sur un quipement FortiAnalyzer. Larchivage de contenu nest disponible que si le FortiAnalyzer est activ dans Journaux/Alertes > Configuration > Configuration du Journal. Remarque : Vous devez activer les options IM dans la section IM et P2P du profil de protection pour un archivage de contenu oprationnel. Archive a copy of all files transferred Activez ou dsactivez larchivage de copies de fichiers transfrs. Remarque : Vous devez activer les options IM dans la section IM & P2P du profil de protection pour un archivage de contenu oprationnel.
Options IM et P2P
Illustration 155 : Options IM et P2P pour un profil de protection
Les options suivantes darchivage de contenu sont disponibles dans les profils de protection.
Bloquer la connexion Empche les utilisateurs de messageries instantanes de se connecter aux services AIM, ICQ, MSN et Yahoo. Bloque les transferts de fichiers pour les protocoles AIM, ICQ, MSN et Yahoo.
Bloquer le transfert de fichiers
290
Bloquer laudio Inspecter les ports non standard Action
Bloque laudio pour les protocoles AIM, ICQ, MSN et Yahoo. Active linspection de ports non standard pour le trafic IM. Transfre, bloque ou value une limite des transferts P2P pour les protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY. Les transferts Skype peuvent tre transfrs ou bloqus, mais pas limits. Spcifiez une limite de bande passante pour les protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY si laction est dfinie sur Limitation de Bande Passante.
Limite (Koctets/sec)
Les changements apports aux options des profils de protection IM, alors que des utilisateurs sont connects, ne prendront effet qu leur prochaine connexion. Activer le blocage de connexion, par exemple, ne peut pas tre utilis pour dconnecter les utilisateurs qui ont une connexion en cours. Voir IM/P2P la page 403 pour des options de configuration IM supplmentaires.
Options de la journalisation
Illustration 156 : Options de connexion du profil de protection
Les options de journalisation suivantes sont disponibles dans les profils de protection.
Antivirus Virus Fichiers bloqus Fichiers/Emails surdimensionns Filtrage Web Blocage de contenu Active la journalisation de virus scanns. Active la journalisation de fichiers bloqus. Active la journalisation de fichiers et messages mails surdimensionns. Active la journalisation du blocage de contenu. 291
Filtrage dURL Filtrer les ActiveX Filtrer les Cookies Filtrer les Applets Java FortiGuard Web Filtering Erreurs dvaluation (HTTP uniquement) Log Spam Journaliser les intrusions
Active la journalisation dURL bloques et exemptes. Active la journalisation des ActiveX bloqus. Active la journalisation des cookies bloqus. Active la journalisation des Applets Java bloqus. Active la journalisation des erreurs dvaluation. Active la journalisation des spams dtects. Active la journalisation des intrusions de signatures et anomalies. Active la journalisation de lactivit IM. Active la journalisation de lactivit P2P.
Filtrage Antispam IPS
IM / P2P
Journaliser lactivit IM Journaliser lactivit p2p
Pour plus dinformations propos de la journalisation, voir Journaux/Alertes la page 409.
Ajout dun profil de protection une rgle

Vous pouvez activer un profil de protection pour les rgles pare-feu dont laction est dfinie sur Allow ou IPSec et dont le service est dfini sur ANY, HTTP, FTP, IMAP, POP3, SMTP ou un groupe de services comprenant ces services. Si les domaines virtuels sont activs sur le botier FortiGate, les profils de protection doivent tre ajouts aux rgles dans chaque domaine virtuel. Pour accder une rgle, slectionnez un domaine virtuel dans le menu principal. 1 2 Slectionnez Pare-feu > Rgle. Slectionnez une liste de rgles laquelle ajouter un profil de protection. Par exemple, pour activer une protection rseau sur les fichiers tlchargs dInternet par les utilisateurs internes du rseau, slectionnez une liste de rgles Interne > Externe. Cliquez sur Crer Nouveau pour ajouter une rgle ou cliquez sur licne Editer dune rgle modifier. Slectionnez Profil de protection. Slectionnez un des profils de protection de la liste. Configurez les autres paramtres de la rgle si ncessaire. Cliquez sur OK. Rptez cette procdure pour toutes les rgles pour lesquelles il faut activer une protection rseau.
3 4 5 6 7 8
292
Configuration CLI dun profil de protection

Remarque : Pour des descriptions et exemples complets sur lutilisation de commandes CLI, rfrez-vous au FortiGate CLI Reference.
Config firewall profile

La commande CLI config firewall profile vous permet dajouter, dditer ou de supprimer des profils de protection. Les profils de protection appliquent des paramtres de protection diffrents pour le trafic contrl par les rgles pare-feu.
293
VPN IPSEC
Cette section couvre les informations sur les options des modes tunnel et route (mode interface) VPN IPSec disponibles partir de linterface dadministration web. Les botiers FortiGate implmentent le protocole ESP (Encapsulated Security Pauload) en mode tunnel. Les paquets crypts ressemblent des paquets ordinaires qui peuvent tre routs travers nimporte quel rseau IP. IKE (Internet Key Exchange) seffectue automatiquement en fonction des cls partages ou de certificats digitaux X.509. Facultativement, vous pouvez spcifier des cls manuelles. Le mode interface est uniquement support en mode NAT/Route. Cela cre une interface virtuelle pour la fin locale dun tunnel VPN. Cette section parcourt les sujets suivants : Aperu du mode interface IPSec Auto Key Cl Manuelle Tunnels actifs
Aperu du mode interface IPSec

Lors de la dfinition dun tunnel IPSec en mode route (mode interface), une interface virtuelle IPSec est cre automatiquement. Peu importe davoir des cls IKE gnres automatiquement ou des cls manuelles, linterface virtuelle IPSec est cre comme une sous-interface dune interface physique FortiGate locale, agrge ou VLAN slectionne lors de la dfinition des paramtres de la phase 1 IPSec. Ladresse IP de linterface physique locale, agrge ou VLAN est obtenue sur Systme > Rseau > Interface.
Remarque : Il est possible de lier une interface IPSec une zone.
Une interface virtuelle IPSec est considre comme active (up) lorsquelle peut tablir une connexion phase 1 avec un client ou paire VPN. Cependant, linterface virtuelle IPSec ne peut pas tre utilise pour envoyer du trafic tant quelle nest pas lie une dfinition de tunnel phase 2. Les liens des interfaces virtuelles IPSec sont affichs sur la page Systme > Rseau > Interface. Les noms de tous les tunnels lis aux interfaces physiques sont affichs sous linterface physique associe dans la colonne Nom. Pour plus dinformations sur la page Interface, voir Interface la page 61. Aprs quune interface virtuelle IPSec ait t lie un tunnel, le trafic peut tre rout vers linterface utilisant des mtriques spcifiques pour les routes statiques et de rgles. De plus, vous pouvez crer une rgle pare-feu ayant linterface virtuelle IPSec comme interface source ou de destination. Lorsque le trafic IP provenant de derrire le botier FortiGate local arrive une interface FortiGate de sortie agissant comme sortie locale du tunnel IPSec (si le mode interface IPSec est activ sur linterface), le trafic est encapsul par le tunnel et transfr travers linterface physique laquelle linterface virtuelle IPSec est lie. Lorsque le trafic encapsul dun client distant atteint une interface physique FortiGate locale, le botier FortiGate dtermine si une interface virtuelle IPSec est
294
associe linterface physique travers des slecteurs dans le trafic. Si le trafic correspond aux slecteurs prdfinis, il est encapsul et transfr vers linterface virtuelle IPSec. Pour les flux en sortie, le botier FortiGate excute une recherche de route pour trouver linterface travers laquelle il doit transfrer le trafic en vue datteindre le routeur du prochain saut. Si la route trouve passe par une interface virtuelle lie un tunnel VPN spcifique, le trafic est crypt et envoy travers le tunnel VPN. Pour les flux en entre, le botier FortiGate identifie un tunnel VPN en utilisant ladresse IP de destination et le SPI (Security Parameter Index) du datagramme ESP pour identifier la SA (security association) de la phase 2 correspondante. Si une SA correspondante est trouve, le datagramme est dcrypt et le trafic IP associ est redirig travers linterface virtuelle IPSec. La rgle pare-feu associe un chemin spcifique est responsable du contrle de tout le trafic passant entre les adresses source et de destination. Si ncessaire, vous pouvez configurer plusieurs rgles pare-feu pour rguler le flux du trafic entrant et/ou sortant du tunnel VPN en mode route. Deux rgles pare-feu sont ncessaires pour supporter le trafic bidirectionnel travers un tunnel IPSec en mode route : lun pour contrler le trafic vers lextrieur et lautre pour le trafic vers lintrieur. Les VPN en mode route simplifient limplmentation de la redondance de tunnel VPN. Vous pouvez configurer une route pour le mme trafic IP utilisant des mtriques de routes diffrentes. Vous pouvez galement configurer lchange dinformations de routage dynamique (RIP, ISPF ou BGP) travers des tunnels VPN. Si la connexion primaire VPN choue ou la priorit dune route est modifie par un routage dynamique, une route alternative sera slectionne pour envoyer le trafic en utilisant une connexion redondante.
Auto Key
Deux paires VPN (ou un serveur dialup FortiGate et un client VPN) peuvent tre configurs pour gnrer des cls uniques IKE (Internet Key Exchange) automatiquement durant les changes IPSec en phases 1 et 2. Pour configurer le botier FortiGate pour quil gnre des cls uniques automatiquement en phases 1 et 2, slectionnez VPN > IPSEC > Auto Key (IKE). Lors de la dfinition des paramtres de cration du tunnel en phase 2, vous pouvez choisir nimporte quel ensemble de paramtres de la phase 1 pour mettre en place une connexion scurise pour le tunnel et authentifier le paire distance. La configuration Auto Key sapplique aux VPN en modes tunnel et interface.
295
Illustration 157 : Liste Auto Key
Crer Phase 1 Crer Phase 2 Phase 1 Phase 2 Interface Binding Icnes Supprimer et Editer
Crer une nouvelle configuration phase 1. Voir Cration dune nouvelle configuration phase 1 la page 296. Crer une nouvelle configuration phase 2. Voir Cration dune nouvelle configuration phase 2 la page 302. Les noms des configurations phase 1 existantes. Les noms des configurations tunnel phase 2 existantes. Les noms des interfaces physiques locales, agrges ou VLAN auxquelles les tunnels IPSec sont lis. Supprime ou dite une configuration phase 1.
Cration dune nouvelle configuration phase 1

En phase 1, deux paires VPN (ou un serveur dialup FortiGate et un client VPN) sauthentifient lun lautre et changent des cls pour tablir un canal de communication scuris entre eux. Les paramtres de base de la phase 1 associent les paramtres de la phase 1 avec une passerelle distance et dterminent : si les paramtres varis de la phase 1 seront changs en tapes multiples avec des informations dauthentification cryptes ou en un message unique avec des informations dauthentification qui ne sont pas cryptes (mode agressif). si une cl partage ou des certificats digitaux seront utiliss pour authentifier les identits des deux paires VPN (ou un serveur VPN et ses clients). si un identificateur spcial, un certificat distinguished name , ou un nom de groupe seront utiliss pour identifier le paire ou client VPN distance lors dune tentative de connexion.
Pour dfinir les paramtres de base de la phase 1 IPSec, slectionnez VPN > IPSEC > Auto Key (IKE) et cliquez sur Crer Phase 1.
296
Illustration 158 : Nouvelle Phase 1
Nom
Entrez un nom qui reprsente la dfinition de la phase 1. La longueur maximum du nom est de 15 caractres pour un VPN en mode interface, 35 caractres pour un VPN bas sur une rgle. Le nom des VPN en mode tunnel devrait faire rfrence lorigine de la connexion distance. Dans le cas dun tunnel en mode route (mode interface), le botier FortiGate utilise ce mme nom pour linterface virtuelle IPSec quil cre automatiquement. Slectionnez la nature de la connexion distance : Si cest un paire distance avec une adresse IP statique qui se connectera au botier FortiGate, slectionnez Adresse IP Statique. Si ce sont un ou plusieurs utilisateurs dialup TM FortiClient /FortiGate avec des adresses IP dynamiques qui se connecteront au botier FortiGate, slectionnez Utilisateur Dialup. Si cest un paire distance qui possde un nom de domaine et souscrit un service dynamique DNS qui se connectera au botier FortiGate, slectionnez Dynamique DNS.
Passerelle
Adresse IP Dynamique DNS Interface locale
Si vous avez slectionn Adresse IP Statique, entrez ladresse IP du paire distance. Si vous avez slectionn Dynamique DNS, entrez le nom de domaine du paire distance. Cette option est disponible en mode NAT/Route uniquement. Slectionnez linterface physique, agrge ou VLAN laquelle le tunnel IPSec sera li. Le botier FortiGate obtient ladresse IP de linterface sur Systme > Rseau > Interface (voir Interface la page 61) moins que vous spcifiez une adresse IP diffrente dans le champ Passerelle IP locale dans les options avances de la Phase 1 (voir Passerelle IP locale la page 300). Slectionnez Aggressive ou Main, en fonction des paramtres des Options de Connexion ci-dessous. En mode Main, les paramtres de la phase 1 sont changs en tapes multiples avec des informations dauthentification cryptes. En mode Agressif, les paramtres de la phase 1 sont changs via un message unique avec des informations dauthentification non cryptes.
Mode
Lorsque le client ou paire VPN distance possde une adresse IP dynamique, ou quil sera authentifi via un identifiant (ID
297
local), vous devez slectionner le mode Agressif sil y a plus dune configuration phase 1 dialup pour ladresse IP de linterface. Mthode dauthentification Clef partage Slectionnez Clef partage ou Signature RSA. Si vous avez slectionn Clef partage, entrez la clef partage que le botier FortiGate utilisera pour sauthentifier auprs du paire distance ou du client dialup pendant les ngociations de la phase 1. Vous devez dfinir la mme valeur au client ou paire distant. La cl doit contenir au moins 6 caractres imprimables et ne doit tre connue que des administrateurs rseau. Pour une protection optimum contre les attaques connues, la cl devrait se constituer dun minimum de 16 caractres alphanumriques choisis arbitrairement. Dans le cas o vous avez slectionn Signature RSA, choisissez le nom du certificat du serveur que le botier FortiGate utilisera pour sauthentifier auprs du paire distance ou client dialup pendant les ngociations de la phase 1. Pour obtenir et charger le certificat du serveur, voir le FortiGate Certificate Management User Guide. Une ou plusieurs des options suivantes sont disponibles pour lauthentification des paires ou clients VPN, en fonction de la Passerelle et des paramtres de la Mthode dauthentification. Lorsque la Mthode dauthentification est dfinie sur Clef partage, vous pouvez slectionner loption Accepter tout identifiant de connexion . Dans ce cas, le botier FortiGate ne contrlent pas les identifiants (ID locaux). Le mode peut tre dfini sur Aggressive ou Main. Lorsque la Mthode dauthentification est dfinie sur Clef partage, vous pouvez authentifier un paire distance qui a une adresse IP dynamique, ou plusieurs clients dialup FortiGate/FortiClient en fonction dun identifiant particulier. Slectionnez Accepter cet identifiant et entrez lidentifiant. Pour un paire DDNS ou un client dialup FortiGate qui se connecte via un tunnel ddi, cette valeur doit tre identique la valeur dans le champ ID local de la configuration de la passerelle en phase 1 sur le pair distant ou le client dialup. Si vous configurez des paramtres dauthentification pour des clients dialup FortiClient, rfrez-vous au document Authenticating FortiClient Dialup Clients Technical Note. Si plusieurs clients dialup FortiGate/FortiClient se connecteront travers le mme tunnel VPN et utilisant le mme identifiant (partag), le Mode doit tre dfini sur Aggressive. Lorsque la Mthode dauthentification est dfinie sur Clef partage, slectionnez Accepter les identifiants du groupe dialup pour authentifier de multiples clients dialup FortiGate/FortiClient qui utilisent des identifiants uniques et des cls partages pour se connecter au VPN travers le mme tunnel VPN. Dans ce cas, vous devez crer un groupe dialup dans un but dauthentification. Voir Groupe dutilisateurs la page 330. Lorsque cette option est slectionne, vous pouvez slectionner le nom du groupe dans la liste. Pour configurer des clients dialup FortiGate, rfrez-vous au FortiGate IPSec VPN User Guide. Pour configurer, des clients dialup FortiClient, rfrez-vous la note Authenticating FortiClient Dialup Clients Technical Note. Le Mode doit tre dfini sur Aggressive lorsque les clients dialup utilisent des identifiants et cls partages uniques. Sils utilisent seulement des cls partages
Nom du certificat
Options de connexion
298
uniques, vous pouvez dfinir le Mode sur Main sil ny a quune seule configuration dialup de la phase 1 pour cette adresse IP dinterface. Lorsque la Mthode dauthentification est dfinie sur Signature RSA, vous pouvez authentifier un (ou plusieurs) paire distance ou client dialup sur base dun certificat de scurit particulier (ou partag). Slectionnez le nom du certificat dans la liste. Le certificat doit tre ajout la configuration FortiGate via la commande CLI config user paire avant quil ne puisse tre slectionn. Pour plus dinformations, voir le chapitre User dans le FortiGate CLI Reference. Si le paire ou client VPN distance possde une adresse IP dynamique, dfinissez le Mode sur Aggressive. Lorsque la Mthode dauthentification est dfinie sur Signature RSA, vous pouvez utiliser un groupe de certificats pour authentifier les paires distance et les clients dialup qui ont des adresses IP dynamiques et utilisent des certificats uniques. Slectionnez le nom du groupe de la liste. Le groupe doit tre ajout la configuration FortiGate via les commandes CLI config user paire et config user peergrp avant quil ne puisse tre slectionn. Pour plus dinformations, voir le chapitre User dans le FortiGate CLI Reference. Si le paire ou client VPN distance possde une adresse IP dynamique, dfinissez le Mode sur Aggressive.
Avanc ...
Permet de dfinir les paramtres avancs de la phase 1. Voir Dfinition des paramtres avancs de la phase 1 ci-dessous.
Dfinition des paramtres avancs de la phase 1

Les paramtres avancs de la Proposition Phase 1 permettent de slectionner les algorithmes de cryptage et dauthentification que le botier FortiGate utilise pour gnrer des cls pour lchange IKE. Des paramtres avancs supplmentaires de la phase 1 peuvent tre slectionns pour assurer une bonne opration des ngociations de la phase 1. Pour modifier les paramtres avancs de la phase 1 IPSec, slectionnez VPN > IPSEC > Auto Key (IKE), cliquez sur Crer Phase 1 et ensuite sur Avanc.
Illustration 159 : Paramtres avancs de la Phase 1
299
Activer le mode interface IPSec Passerelle IP locale
Crer une interface virtuelle pour le fin locale du tunnel VPN. Ceci nest pas disponible en mode Transparent. Dans le cas o le mode Interface IPSec est activ, il faut spcifier une adresse IP pour la fin locale du tunnel VPN. Slectionnez lune des options suivantes : Interface IP principale Le botier FortiGate obtient ladresse IP de linterface partir des paramtres dans Systme > Rseau > Interface (voir Interface la page 61). Spcifier Spcifier une adresse IP. Cette adresse IP sera assigne linterface physique, agrge ou VLAN qui est slectionne ce moment dans le champ Interface locale de la phase 1 (voir Interface locale la page 297).
Vous ne pouvez pas configurer le mode Interface dans un VDOM en mode Transparent. Proposition Phase 1 Slectionnez les algorithmes de cryptage et dauthentification qui seront utiliss pour gnrer des cls pour la protection des ngociations. Ajouter ou supprimer des algorithmes de cryptage et dauthentification tel que ncessaire. Slectionnez un minimum de 1 et un maximum de trois combinaisons. Le paire ou client distant doit tre configur pour utiliser au moins une des propositions que vous dfinissez. Vous pouvez slectionner chacun des algorithmes cls symtriques suivants : DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une cl de 56 bits. 3DES Triple- DES, avec lequel le texte clair est crypt trois fois par trois cls. AES128 un algorithme de 128 bits qui utilise une cl de 128 bits. AES192 un algorithme de 128 bits qui utilise une cl de 192 bits. AES256 un algorithme de 128 bits qui utilise une cl de 256 bits.
Vous pouvez slectionner chacun des messages rcapitulatifs pour vrifier lauthenticit des messages pendant les ngociations de la phase 1 : MD5 Message Digest 5, lalgorithme de hachage dvelopp par RSA Data Security. SHA1 Secure Hash Algorithm 1, qui produit un message rsum de 160 bits.
Pour ajouter une troisime combinaison, cliquez sur le bouton + ct des champs de la seconde combinaison. Groupe DH Slectionnez un ou plusieurs groupes Diffie-Hellman des groupes DH 1, 2 et 5. Lors de lutilisation du mode agressif, les groupes DH ne peuvent pas tre ngocis. Si les deux paires VPN (ou un serveur daccs distant VPN et son client) ont des adresses IP statiques et utilisent un mode agressif, slectionnez un seul groupe DH. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
300
Le paramtrage du botier FortiGate doit tre identique au paramtrage du paire distant ou du client dialup. Lorsque le paire VPN distant ou le client possde une adresse IP dynamique et utilise un mode agressif, slectionnez jusqu trois groupes DH sur le botier FortiGate et un groupe DH sur le paire distance ou client dialup. Le paramtrage du paire ou client distant doit tre identique lune des slections du botier FortiGate. Si lun des paire ou client VPN emploie le mode main, vous pouvez slectionner de multiples groupes DH. Au moins, lun des paramtres du paire ou client distance doit tre identique aux slections du botier FortiGate.
Dure de vie de la clef
Entrez la priode de temps (en secondes) avant que la cl de cryptage IKE expire. Lors de lexpiration dune cl, une autre cl est gnre sans interruption de service. La dure de vie de la cl peut varier entre 120 et 172800 secondes. Si le botier FortiGate agit comme client VPN et que vous utilisez des ID paire pour authentification, entrez lidentifiant que le botier FortiGate fournira au serveur daccs distant VPN pendant lchange de la phase 1. Si le botier FortiGate agit comme client VPN et que vous utilisez des certificats de scurit pour authentification, slectionnez le nom DN (distinguished name) du certificat du serveur local que le botier FortiGate utilisera pour lauthentification. Si le botier FortiGate est un client dialup et ne partagera pas un tunnel avec dautres clients dialup (ce qui signifie que le tunnel sera ddi ce client dialup FortiGate), dfinissez le Mode sur Aggressive.
ID local
XAuth
Cette option est fournie pour supporter lauthentification de clients dialup. Si le botier FortiGate est un client dialup et que vous slectionnez Activer en tant que client , entrez le nom dutilisateur et le mot de passe dont le botier FortiGate aura besoin pour sauthentifier auprs du serveur distance XAuth. Si la passerelle est dfinie sur Utilisateur dialup et que les clients dialup sauthentifieront comme membres dun groupe dialup, le botier FortiGate peut agir comme un serveur XAuth. Pour pouvoir slectionner Activer en tant que serveur , vous devez dabord crer des groupes dutilisateurs pour identifier les clients dialup qui ncessitent un accs au rseau derrire le botier FortiGate. Voir Configuration dun groupe dutilisateurs la page 333. Vous devez galement configurer le botier FortiGate pour envoyer les requtes dauthentification un serveur dauthentification externe RADIUS ou LDAP. Pour plus dinformations ce propos, voir Configuration dun serveur RADIUS la page 326 et Configuration dun serveur LDAP la page 328. Slectionnez un paramtre de Type de Serveur pour dterminer le type de mthode de cryptage utiliser entre un botier FortiGate, un client XAuth et le serveur dauthentification externe. Slectionnez ensuite le groupe dutilisateurs dans la liste des Groupes Utilisateur.
Nat-traversal
Activez cette option si un serveur NAT existe entre le botier FortiGate local et le paire ou client VPN. Le botier FortiGate local et le paire ou client VPN doivent avoir les mmes paramtres de NAT traversal (tous deux slectionns ou dsactivs). 301
Frquence des keepalive
Si vous activez NAT-traversal, entrez un paramtre de frquence des keepalive. Cette valeur reprsente un intervalle entre 0 et 900 secondes. Dead Paire Detection Activez cette option pour rtablir des tunnels VPN sur des connexions inactives et se dbarrasser des paires IKE morts si ncessaire. Vous pouvez utiliser cette option pour recevoir une notification chaque fois quun tunnel devient actif ou inactif. Vous pouvez aussi activer loption pour garder les connexions tunnel ouvertes lorsque aucun trafic nest gnr lintrieur du tunnel (par exemple, dans les scnarios o un client dialup ou paire DNS dynamique se connecte dune adresse IP qui change rgulirement le trafic peut tre suspendu pendant que ladresse IP change). Lorsque loption de DPD est active, vous pouvez utiliser les commandes CLI config vpn ipsec phase1 (mode tunnel) ou config vpn ipsec phase1-interface (mode interface) pour spcifier optionnellement un temps dinactivit court et long, un nombre dessais et un intervalle entre chaque tentative. Pour plus dinformations, voir le FortiGate CLI Reference.
DPD
Cration dune nouvelle configuration phase 2

Aprs que les ngociations de la phase 1 IPSec se terminent avec succs, la phase 2 commence. Les paramtres de la phase 2 dfinissent les algorithmes que le botier FortiGate pourrait utiliser pour crypter et transfrer des donnes pour le reste de la session. Pendant la phase 2, les associations spcifiques de scurit IPSec ncessaires limplmentation de services de scurit sont slectionnes et un tunnel est tabli. Les paramtres de base de la phase 2 associent les paramtres IPSec de la phase 2 avec la configuration de la phase 1 et spcifient le point final distance du tunnel VPN. Dans la plupart des cas, vous navez besoin de configurer que les paramtres de base de la phase 2. Pour configurer les paramtres de la phase 2, slectionnez VPN > IPSEC > Auto Key (IKE) et cliquez sur Crer Phase 2.
Illustration 160 : Nouvelle Phase 2
Nom Phase 1
Entrez un nom pour identifier la configuration du tunnel. Slectionnez la configuration de la phase 1 affecter ce tunnel. Voir Cration dune nouvelle configuration phase 1 la page 296. La configuration phase 1 dcrit comment des paires ou clients VPN distance seront authentifis sur ce tunnel, et comment la connexion sera scurise. Permet de dfinir les paramtres avancs de la phase 2. Voir Dfinition des paramtres avancs de la phase 2 cidessous.
Avanc
302
Dfinition des paramtres avancs de la phase 2

Pendant la phase 2, le botier FortiGate et le paire ou client VPN schangent encore des cls pour tablir un canal de communication scuris entre eux. Les paramtres de la proposition Phase 2 slectionnent les algorithmes de cryptage et dauthentification ncessaires la gnration de cls pour la protection des dtails dimplmentation de SA (Securtity Associations). Les cls sont gnres automatiquement via un algorithme Diffie-Hellman. Un nombre de paramtres supplmentaires avancs de la phase 2 sont disponibles pour amliorer lopration du tunnel. Pour modifier les paramtres avancs de la phase 2 IPSec, slectionnez VPN > IPSEC > Auto Key (IKE), cliquez sur Crer Phase 2 et ensuite sur Avanc.
Illustration 161 : Paramtres avancs de la Phase 2
Proposition Phase 2
Slectionnez les algorithmes de cryptage et dauthentification qui seront utiliss pour modifier les donnes en code crypt. Ajoutez ou supprimez les algorithmes de cryptage et dauthentification tel que requis. Slectionnez un minimum de 1 et un maximum de 3 combinaisons. Le paire distance doit tre configur pour utiliser au moins une des propositions que vous avez dfinies. Vous pouvez slectionner un des algorithmes cls symtriques suivants : NULL Ne pas utiliser dalgorithme de cryptage. DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une cl de 56 bits. 3DES Triple-DES, dans lequel le texte clair est crypt trois fois par trois cls. AES128 Un algorithme de 128 bits qui utilise une cl de 128 bits. AES192 Un algorithme de 128 bits qui utilise une cl de 192 bits. AES256 Un algorithme de 128 bits qui utilise une cl de 256 bits.
303
Vous pouvez slectionner chacun des messages rcapitulatifs pour vrifier lauthenticit des messages pendant les ngociations de la phase 2 : NULL Ne pas utiliser de message rcapitulatif. MD5 Message Digest 5, lalgorithme de hachage dvelopp par RSA Data Security. SHA1 Secure Hash Algorithm 1, qui produit un message rsum de 160 bits.
Pour spcifier une seule combinaison, affectez la seconde combinaison, la mention NULL. Pour ajouter une troisime combinaison, cliquez sur le bouton + ct des champs de la seconde combinaison. Activer loption Replay detection Facultativement, vous pouvez activer ou dsactiver loption Replay Detection. Les attaques rejoues ont lieu lorsquune partie non autorise intercepte une srie de paquets IPSec et les rejoue dans le tunnel. Activer ou dsactiver PFS. Cette option amliore la scurit en forant un nouvel change Diffie-Hellman chaque fois quune dure de vie dune cl expire. Slectionnez un groupe Diffie-Hellman (1, 2 ou 5). Le paire distant ou client dialup doit tre configur pour utiliser le mme groupe. Slectionnez la mthode pour dterminer quand la cl de la phase 2 expire : Secondes, Koctets ou les deux. Si vous slectionnez les deux, la cl expire soit quand la priode de temps sest coule, soit lorsque le nombre de Ko a t trait. Les intervalles stendent de 120 172800 secondes ou de 5120 2147483648 Ko. Activez loption tunnel toujours actif si vous dsirez que le tunnel reste actif lorsque aucune donne nest traite. Activez cette option si le botier FortiGate agit comme serveur dialup et quun relais DHCP FortiGate sera utilis pour affecter des adresses VIP aux clients dialup FortiClient. Nactivez pas cette option sur les botiers FortiGate qui agissent comme clients dialup. Les paramtres du relais DHCP doivent tre configurs sparment. Pour plus dinformations, voir Systme > DHCP la page 99. Si le botier FortiGate agit comme serveur dialup et vous affectez manuellement les adresses VIP des clients dialup FortiClient qui correspondent au rseau derrire le serveur dialup, slectionnez Activer pour que le botier FortiGate agisse comme proxy pour ses clients dialup. Ceci nest disponible que pour les configurations phase 2 en mode tunnel associes une configuration phase 1 dialup. Quick Mode Selector Facultativement, vous pouvez spcifier les adresses IP source et de destination utiliser comme slecteurs pour des ngociations IKE. Si le botier FortiGate est un serveur dialup, la valeur par dfaut 0.0.0.0/0 devrait tre maintenue moins quil soit ncessaire de contourner des problmes causs par des adresses IP ambigus entre un ou plusieurs rseaux privs constituant le VPN. Vous pouvez spcifier une seule adresse IP hte, une plage dadresses IP ou une adresse rseau. Vous pouvez en option spcifier les numros de ports source et de destination et/ou un numro de protocole. Si vous ditez une configuration de tunnel phase 2 existante, les champs Adresse Source et Adresse
Activer loption Perfect forward secrecy (PFS) Groupe DH
Dure de vie Tunnel toujours actif
DHCP-IPSec
304
Destination sont indisponibles si le tunnel a t configur pour utiliser des adresses pare-feu comme slecteurs. Cette option nexiste que sur linterface de ligne de commande. Voir les mots-cls dst-addrtype, dst-name, src-addr-type et src-name de la commande vpn ipsec phase2 dans le FortiGate CLI Reference. Adresse source Si le botier FortiGate est un serveur dialup, entrez ladresse IP source qui corresponde /aux expditeur(s) local/locaux ou au rseau derrire le paire VPN local. Par exemple, 172.16.5.0/24 ou 172.16.5.0/255.255.255.0 pour un sousrseau, ou 172.16.5.1/32 ou 172.16.5.1/255.255.255.255 pour un serveur ou un hte, ou 192.168.10.[80-100] ou 192.168.10.80-192.168.10.100 pour une plage dadresses. Une valeur de 0.0.0.0/0 reprsente toutes les adresses IP derrire le paire VPN local. Si le botier FortiGate est un client dialup, ladresse source doit rfrer au rseau priv derrire le client dialup FortiGate. Port source Entrez le numro du port que le paire VPN local utilise pour transporter le trafic li au service spcifi (numro du protocole). Lintervalle varie entre 0 et 65535. Pour spcifier tous les ports, entrez 0. Entrez ladresse IP de destination qui corresponde aux destinataires ou rseau derrire le paire VPN distant. Par exemple 192.168.20.0/24 pour un sous-rseau, ou 172.16.5.1/32 pour un serveur ou un hte, ou 192.168.10.[80-100] pour une plage dadresses. Une valeur de 0.0.0.0/0 reprsente toutes les adresses IP derrire le paire VPN distance. Entrez le numro du port que le paire VPN distance utilise pour transporter le trafic li au service spcifi (numro de protocole). Lintervalle varie entre 0 et 65535. Pour spcifier tous les ports, entrez 0. Entrez le numro du protocole IP du service. Lintervalle varie entre 1 et 255. Pour spcifier tous les ports, entrez 0.
Adresse destination
Port destination
Protocole
Remarque : Vous pouvez permettre aux utilisateurs VPN de naviguer sur Internet travers le botier FortiGate. Pour ce faire, configurez une rgle pare-feu IPSec supplmentaire avec comme interface source et de destination linterface publique FortiGate, ladresse source all, ladresse de destination le rseau distance et la translation en entre active. Pour plus dinformations sur les rgles pare-feu, voir Configuration de rgles pare-feu la page 232.
Cl Manuelle
Si ncessaire, vous pouvez dfinir manuellement des cls de cryptographie pour ltablissement dun tunnel VPN IPSec. Des cls manuelles peuvent tre dfinies dans les cas suivants : Une connaissance antrieure de la cl de cryptage et/ou dauthentification est ncessaire (cest--dire lorsque lun des paires VPN requiert une cl spcifique de cryptage et/ou dauthentification).
305
Le cryptage et lauthentification doivent tre dsactivs.
Dans les deux cas, vous ne spcifiez pas les paramtres des phases 1 et 2 IPSec ; au lieu de cela, vous dfinissez des cls manuelles sur la page VPN > IPSEC > Clef Manuelle.
Remarque : Il y a toujours un risque dans la dfinition de cls manuelles car il faut compter sur les administrateurs rseaux pour garder les cls confidentielles et la propagation scurise de changements aux paires VPN distance risque dtre difficile. Illustration 162 : Liste des cls manuelles
Crer Nouveau
Crer une nouvelle configuration de cl manuelle. Voir Cration dune nouvelle configuration cl manuelle ci-dessous. Les noms des configuration de cls manuelles existantes. Les adresses IP des paires distants ou des clients dialup. Les noms des algorithmes de chiffrement spcifis dans les configurations de cls manuelles. Les noms des algorithmes dauthentification spcifis dans les configurations de cls manuelles. Permet de supprimer ou dditer une configuration de cl manuelle.
Nom du tunnel Passerelle Algorithme de chiffrement Algorithme dauthentification Icnes Supprimer et Editer
Cration dune nouvelle configuration cl manuelle

Si lun des quipements VPN utilise des cls dauthentification et/ou de cryptage pour tablir un tunnel, les deux quipements VPN doivent tre configurs pour utiliser des cls dauthentification et/ou de cryptage identiques. De plus, il est essentiel que ces deux quipements VPN soient configurs avec les paramtres complmentaires SPI (Security Parameter Index). Chaque SPI identifie un SA (Security Association). La valeur est place dans des datagrammes ESP pour lier les datagrammes au SA. Lorsquun datagramme est reu, le destinataire se rfre au SPI pour dterminer quel SA sapplique au datagramme. Un SPI doit tre spcifi manuellement pour chaque SA. Etant donn quun SA sapplique la communication dans une seule direction, vous devez spcifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les communications bidirectionnelles entre deux quipements VPN.
Attention : Si vous ntes pas familier avec les rgles de scurit, SA, slecteurs et bases de donnes SA, ne tentez pas la procdure suivante sans assistance qualifie.
Pour spcifier des cls manuelles pour la cration dun tunnel, slectionnez VPN > IPSEC > Clef Manuelle et cliquez sur Crer Nouveau.
306
Illustration 163 : Nouvelle Cl Manuelle
Nom
Entrez un nom pour le tunnel VPN. La longueur du nom ne doit pas dpasser 15 caractres pour un VPN en mode interface, 35 caractres pour un VPN bas sur une rgle. Entrez un nombre hexadcimal (jusqu 8 caractres, 0-9, a-f) qui reprsente le SA qui traite le trafic sortant sur le botier FortiGate local. Lintervalle stend de 0x100 0xffffffff. Cette valeur doit correspondre la valeur SPI Distant dans la configuration de la cl manuelle du paire distant. Entrez un nombre hexadcimal (jusqu 8 caractres, 0-9, a-f) qui reprsente le SA qui traite le trafic entrant sur le botier FortiGate local. Lintervalle stend de 0x100 0xffffffff. Cette valeur doit correspondre la valeur SPI Local dans la configuration de la cl manuelle du paire distant. Entrez ladresse IP de linterface publique vers le paire distant. Ladresse identifie le destinataire des datagrammes ESP. Cette option nest disponible quen mode NAT/Route. Slectionnez le nom de linterface physique, agrge ou VLAN laquelle le tunnel IPSec sera li. Le botier FortiGate obtient ladresse IP de linterface dans les paramtres de Systme > Rseau > Interface (voir Interface la page 61).
SPI Local
SPI Distant
Passerelle Local Interface
Algorithme de chiffrement Vous pouvez slectionner un des algorithmes cl symtrique suivants : NULL Ne pas utiliser dalgorithme de chiffrement. DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une cl de 56 bits. 3DES Triple-DES, dans lequel le texte est crypt trois fois par trois cls. AES128 Un algorithme de 128 bits qui utilise une cl de 128 bits. AES192 Un algorithme de 128 bits qui utilise une cl de 192 bits. AES256 Un algorithme de 128 bits qui utilise une cl de 256 bits.
Clef de chiffrement
Si vous avez slectionn : DES, entrez un numro hexadcimal de 16 symboles (0-9, a-f).
307
Algorithme dauthentification
3DES, entrez un nombre hexadcimal de 48 symboles (09, a-f), spar en trois segments de 16 symboles. AES128, entrez un nombre hexadcimal de 32 symboles (0-9, a-f) , spar en deux segments de 16 symboles. AES192, entrez un nombre hexadcimal de 48 symboles (0-9, a-f) , spar en trois segments de 16 symboles. AES256, entrez un nombre hexadcimal de 64 symboles (0-9, a-f) , spar en quatre segments de 16 symboles.
Vous pouvez slectionner un des messages rcapitulatifs suivants: NULL Ne pas utiliser de message rcapitulatif. MD5 Message Digest 5, algorithme qui produit un message rcapitulatif de 128 bits. SHA1 Secure Hash Algorithm 1, qui produit un message rcapitulatif de 160 bits.
Clef dauthentification
Si vous slectionnez : MD5, entrez un nombre hexadcimal de 32 symboles (09, a-f) spar en deux segments de 16 symboles. SHA1, entrez un nombre hexadcimal de 40 symboles (09, a-f) , spar en un segment de 16 symboles et un second de 24 symboles.
IPSec Interface Mode
Crez une interface virtuelle pour la fin locale du tunnel VPN. Cette commande nest disponible quen mode NAT/Route.
Concentrateur
Dans une configuration hub-and-spoke , les connexions plusieurs paires distants partent dun seul botier FortiGate central. Les connexions site site entre les paires distance nexistent pas ; cependant, des tunnels VPN entre deux des paires distance peuvent tre tablis travers un hub FortiGate. Dans un rseau hub-and-spoke , tous les tunnels VPN se terminent au hub. Les paires qui se connectent au hub sont connus sous le nom de spokes . Le hub fonctionne comme un concentrateur sur le rseau, grant toutes les connexions VPN entre les spokes . Le trafic VPN passe dun tunnel un autre travers le hub. Vous dfinissez un concentrateur pour inclure des spokes dans la configuration hub-and-spoke . Pour dfinir un concentrateur, slectionnez VPN > IPSEC > Concentrateur.
308
Illustration 164 : Liste des concentrateurs
Crer Nouveau
Dfinissez un nouveau concentrateur pour une configuration IPSec hub-and-spoke. Voir Dfinition des options dun concentrateur ci-dessous. Les noms des concentrateurs VPN IPSec existants. Les tunnels qui sont associs aux concentrateurs. Permet de supprimer ou dditer un concentrateur.
Nom du concentrateur Membres Icnes Supprimer et Editer
Dfinition des options dun concentrateur

Une configuration de concentrateur spcifie quels spokes inclure dans une configuration hub-and-spoke IPSec. Pour spcifier les spokes dune configuration hub-and-spoke IPSec, slectionnez VPN > IPSEC > Concentrateur et cliquez sur Crer Nouveau.
Illustration 165 : Nouveau Concentrateur VPN
Nom du concentrateur Tunnels Disponibles
Entrez un nom pour le concentrateur. Une liste de tunnels VPN IPSec dfinis. Slectionnez un tunnel de la liste et cliquez ensuite sur la flche droite. Rptez cette tape jusqu ce que tous les tunnels associs aux spokes soient inclus dans le concentrateur. Une liste de tunnels membres du concentrateur. Pour enlever un tunnel du concentrateur, slectionnez le tunnel et cliquez sur la flche gauche.
Membres
309
Tunnels actifs
Cette page vous permet de visualiser lactivit des tunnels VPN IPSec, et galement de les dmarrer ou de les arrter. Saffichent lcran une liste dadresses, dID proxy et dinformations timeout pour tous les tunnels actifs, y compris les tunnels en mode tunnel et en mode route (mode interface). Pour visualiser les tunnels actifs, slectionnez VPN > IPSEC > Tunnels actifs.
Illustration 166 : Liste des tunnels actifs
La liste des tunnels dialup fournit des informations sur le statut des tunnels tablis pour les clients dialup. La liste reprend les adresses IP de clients dialup et les noms de tous les tunnels actifs. Le nombre de tunnels affichs dans la liste se modifie quand un client dialup se connecte ou se dconnecte.
Icne Flush dialup tunnels Permet darrter tous les tunnels dialup et le trafic passant travers tous les tunnels dialup. Les utilisateurs dialup auront peut-tre se reconnecter pour tablir des nouvelles sessions VPN. Icne Page suivante et Page prcdente Nom Passerelle distante Affiche la page suivante et prcdente de la liste des statuts des tunnels dialup. Les noms de tunnels configurs. Lorsquun client dialup FortiClient tablit un tunnel, le champ Passerelle Distante affiche soit ladresse IP publique et le port UDP de la machine de lhte distant (sur lequel lapplication FortiClient Host Security est installe), soit, dans le cas o un serveur NAT existe lavant de lhte distant, ladresse IP publique et le port UDP de lhte distant. Lorsquun client dialup FortiGate tablit un tunnel, le champ Passerelle Distante affiche ladresse IP publique et le port UDP du client dialup FortiGate. Compte utilisateur LID du paire, le nom du certificat ou le nom utilisateur XAuth du client dialup ( dans le cas o ces lments ont t affects au client dialup dans le but dune authentification). La priode de temps avant le prochain change de cls de la phase 2. Ce temps est calcul en soustrayant le temps pass depuis le dernier change de cls de la dure de vie de la cl. Lorsque la cl de la phase 2 expire, une nouvelle cl est gnre sans interruption de service. Les adresses IP des htes, serveurs ou rseaux privs situs derrire le botier FortiGate. Une plage de rseau saffiche si ladresse source de la rgle pare-feu de chiffrement a t exprime sous forme de plage dadresses IP. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Timeout
ID Proxy Source
310
ID Proxy Destination
Lorsquun client dialup FortiClient tablit un tunnel : Si les adresses VIP ne sont pas utilises et que lhte distant se connecte Internet directement, le champ Proxy ID Destination affiche ladresse IP publique de la NIC (Network Interface Card) dans lhte distant. Si les adresses VIP ne sont pas utilises et lhte distant est derrire un serveur NAT, le champ Proxy ID Destination affiche ladresse IP prive de la NIC dans lhte distant. Si les adresses VIP ont t configures (manuellement ou travers un relais FortiGate DHCP), le champ Proxy ID Destination affiche soit ladresse VIP appartenant un client dialup FortiClient, soit ladresse dun sous-rseau partir duquel les adresses VIP ont t affectes.
Lorsquun client dialup FortiGate tablit un tunnel, le champ Proxy ID Destination affiche ladresse IP du rseau priv distant. Icne Tunnel up et tunnel Une flche verte pointant vers le haut signifie que le down tunnel est en train de traiter du trafic. Une flche rouge pointant vers le bas signifie que le tunnel nest pas en train de traiter du trafic.
La liste de tunnels IP statiques et de tunnels DNS dynamiques fournit des informations propos des tunnels VPN aux paires distance qui ont des adresses IP statiques ou des noms de domaine. Cette liste permet de visualiser les statuts et informations sur les adressages IP pour chaque configuration de tunnel. Vous pouvez galement commencer ou arrter des tunnels individuels partir de cette liste.
Icne Page suivante et Page prcdente Nom Passerelle distante Affiche la page prcdente ou suivante de la liste des statuts des tunnels VPN. Les noms des tunnels configurs. Les adresses IP et les ports UDP des passerelles. Pour les tunnels DNS dynamiques, les adresses IP sont mises jour dynamiquement. La priode de temps avant le prochain change de cls de la phase 2. Ce temps est calcul en soustrayant le temps pass depuis le dernier change de cls de la dure de vie de la cl. Lorsque la cl de la phase 2 expire, une nouvelle cl est gnre sans interruption de service. Les adresses IP des htes, serveurs ou rseaux privs derrire le botier FortiGate. Une plage de rseaux saffiche si ladresse source de la rgle pare-feu de chiffrement a t exprime sous forme de plage dadresses IP. Les adresses IP des htes, serveurs et rseaux privs derrire le botier FortiGate distant.
Timeout
ID Proxy Source
ID Proxy Destination
Icne Tunnel up et tunnel Une flche verte pointant vers le haut signifie que le down tunnel est en train de traiter du trafic. Une flche rouge pointant vers le bas signifie quaucun traitement de trafic par le tunnel nest en cours.
311
VPN PPTP
Le botier FortiGate supporte PPTP pour crer un tunnel pour le trafic PPP entre deux paires VPN. Les clients Windows et Linux peuvent tablir un tunnel PPTP avec un botier FortiGate configur comme serveur PPTP. Comme alternative, vous pouvez configurer le botier FortiGate pour envoyer des paquets PPTP vers un serveur PPTP sur le rseau derrire le botier FortiGate. Le VPN PPTP est uniquement disponible en mode NAT/Route. Cette section explique comment utiliser linterface dadministration web pour spcifier une plage dadresses IP pour les clients PPTP. Pour toute information sur la mise en place du VPN PPTP, voir le FortiGate PPTP VPN User Guide. Cette section parcourt la plage PPTP.
Plage PPTP
Vous pouvez spcifier une plage dadresses PPTP sur la page Plage PPTP. La plage dadresses PPTP est une plage dadresses rserve aux clients PPTP distants. Lorsquun client PPTP distant se connecte, le botier FortiGate affecte une adresse IP dune plage dadresses IP rserves linterface PPTP du client. Le client PPTP utilise ladresse IP affecte comme adresse source pendant la dure de la connexion. Pour activer PPTP et spcifier la plage dadresses PPTP, slectionnez VPN > PPTP > Plage PPTP, slectionnez les options requises et cliquez ensuite sur Appliquer.
Illustration 167 : Editer la plage PPTP
Activer PPTP
Avant de pouvoir slectionner cette option, vous devez ajouter un groupe dutilisateurs. Voir Groupe dutilisateurs la page 330. Entrez ladresse de dpart de la plage dadresses IP rserves. Entrez ladresse de fin de la plage dadresses IP rserves. Slectionnez le nom du groupe dutilisateurs PPTP que vous avez dfini. Dsactive le support PPTP.
IP dbut de plage IP fin de plage Groupe Utilisateur Dsactiver PPTP
312
VPN SSL
Cette section fournit les informations sur les fonctionnalits de la page VPN > SSL dans linterface dadministration web. Le botier FortiGate supporte ces fonctionnalits en mode NAT/Route uniquement.
Remarque : Pour davantage dinstructions dtailles sur la configuration des oprations en mode web et mode tunnel, voir le FortiGate SSL VPN User Guide.
Cette section couvre les sujets suivants : Configuration Monitor
Configuration
La page Config comporte les paramtres de base VPN SSL y compris des valeurs timeout et des prfrences de cryptage SSL. Si ncessaire, vous pouvez galement activer lutilisation de certificats digitaux pour lauthentification des clients distants.
Remarque : Si ncessaire, vous pouvez activer le cryptage SSL version 2 (compatible avec des navigateurs plus anciens) partir de linterface de ligne de commande. Pour plus dinformations, voir SSL Settings dans le chapitre VPN du FortiGate CLI Reference.
Slectionnez VPN > SSL > Config pour un affichage des paramtres de configuration SSL en cours.
Illustration 168 : Paramtres VPN SSL
Activer SSL-VPN
Active les connexions VPN SSL.
313
Port de Login
Facultativement, entrez un numro de port HTTPS diffrent pour les navigateurs web des clients distants pour se connecter au botier FortiGate. Le numro de port par dfaut est 10443. Spcifiez la plage dadresses IP rserves pour les clients VPN SSL en mode tunnel. Entrez les adresses de dpart et de fin qui dfinissent la plage dadresses IP rserves. Slectionnez le certificat serveur sign utiliser pour le processus dauthentification. Si vous maintenez le paramtrage par dfaut (Self-Signed), le botier FortiGate propose son certificat install par dfaut par Fortinet aux clients distants lors de leurs connexions. Slectionnez cette option si vous dsirez permettre lutilisation de certificats de groupes pour lauthentification de clients distants. Par aprs, lorsque le client distant initie une connexion, le botier FortiGate gnre un message chez lui concernant sa partie du certificat, ceci faisant partie du processus dauthentification. Slectionnez lalgorithme pour la cration dune connexion scurise SSL entre le navigateur web du client distant et le botier FortiGate.
Plage IP du tunnel
Certificat Serveur
Ncessite un certificat client
Algorithme de la cl de cryptage
Ncessite une longueur Slectionnez cette option pour le navigateur web dun de cl>=128bit(dfaut) client distant capable de correspondre une suite de chiffres de 128 bits et plus. Ncessite une longueur Si le navigateur web dun client distant est capable de cl>128bit(haute) de correspondre un haut niveau de cryptage SSL, slectionnez cette option pour activer des suites de chiffres utilisant plus de 128 bits pour crypter les donnes. Ncessite une longueur Si vous ntes pas certain du niveau de cryptage SSL de cl>=64bit(basse) que supporte le navigateur web du client distant, slectionnez cette option pour activer une suite de chiffres de 64 bits et plus. Idle Timeout Timeout dinactivit : Entrez la priode de temps (en secondes) pendant laquelle la connexion peut rester inactive avant de forcer lutilisateur se reconnecter. Lintervalle varie entre 10 et 28800 secondes. Ce paramtre sapplique la session VPN SSL. La connexion ne se coupe pas tant que des sessions dapplication web ou des tunnels sont activs. Facultativement, entrez le message personnalis que vous dsirez voir apparatre sur le portail.
Message du portail
Avanc (Serveurs DNS et WINS) Serveur DNS #1 Serveur DNS #2 Serveur WINS #1 Serveur WINS #2 Entrez jusqu deux Serveurs DNS fournis pour une utilisation clients. Entrez jusqu deux Serveurs WINS fournis pour une utilisation clients.
314
Monitor
Vous pouvez afficher une liste de toutes les sessions actives VPN SSL. La liste affiche le nom utilisateur de lutilisateur distant, son adresse IP et lheure laquelle la connexion a t initie. La liste rpertorie galement quels services sont fournis. Pour visualiser la liste des sessions actives VPN SSL, slectionnez VPN > SSL > Monitor.
Illustration 169 : Liste Monitor
No. Utilisateur IP Source Heure de dbut Description
Lidentificateur de la connexion. Les noms utilisateurs de tous les utilisateurs distants connects. Les adresses IP des htes connects au botier FortiGate. Lheure de dbut de chaque connexion. Des informations sur les services fournis. Lorsquun utilisateur en mode tunnel est connect, le champ Description affiche ladresse IP que le botier FortiGate affecte au client distant. Supprime un tunnel.
Icne Supprimer
315
Certificats VPN
Cette section explique comment grer les certificats de scurit X.509 partir de linterface dadministration web FortiGate. Ce module vous apprend gnrer des requtes de certificat, installer des certificats signs, importer le certificat de lautorit de certification et des listes de rvocation, sauvegarder et restaurer des certificats et leurs cls prives associes. Pour plus dinformations, voir le FortiGate Certificate Management User Guide. Cette section parcourt les sujets suivants : Certificats locaux Certificats CA CRL
Certificat locaux
Les requtes de certificat et les certificats serveurs installs sont affichs dans la liste des Certificats Locaux. Aprs avoir soumis une requte une autorit de certification (AC), cette dernire vrifie les informations et enregistre les informations de contact sur un certificat digital qui contient un numro de srie, une date dexpiration et la cl publique de lautorit de certification. LAC va ensuite signer et vous envoyer le certificat installer sur votre botier FortiGate. Pour visualiser des requtes de certificat et/ou importer des certificats de serveur signs, slectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les dtails du certificat, slectionnez licne Voir les Dtails du Certificat du certificat concern. A la premire ligne de lillustration 170 saffiche une requte de certificat et la deuxime ligne, un certificat serveur sign.
Illustration 170 : Liste des Certificats Locaux
Gnrer Importer Nom Sujet Etat
Gnre une requte de certificat local. Voir Gnrer une requte de certificat la page 317. Importer un certificat local sign. Voir Importation dun certificat serveur sign la page 319. Les noms des certificats locaux existants et des requtes de certificat en suspens. Les DS (Distinguished Names) des certificats signs locaux. Le statut du certificat local. PENDING dsigne une requte de certificat ncessitant un tlchargement et une signature.
316
Icne Voir les Dtails du Certificat Icne Supprimer Icne Sauvegarder
Affiche les dtails du certificat tels que le nom du certificat, lmetteur, le sujet et les dates de validit. Voir Illustration 171. Supprime la requte de certificat slectionne ou le certificat serveur install lors de la configuration FortiGate. Sauvegarde une copie de la requte du certificat sur un ordinateur local. Envoyez la requte votre autorit de certification pour obtenir un certificat serveur sign pour le botier FortiGate.
Illustration 171 : Informations dtailles sur le certificat
Pour des informations dtailles et des procdures pas pas pour lobtention et linstallation des certificats digitaux, voir le FortiGate Certificate Management User Guide.
Gnrer une requte de certificat

Le botier FortiGate gnre une requte de certificat base sur les informations entres pour identifier le botier FortiGate. Les requtes gnres sont affiches dans la liste des Certificats Locaux avec le statut PENDING. Aprs avoir gnr une requte de certificat, vous pouvez tlcharger la requte sur un ordinateur qui possde un accs administratif au botier FortiGate et transfrer ensuite la requte une autorit de certification (AC). Pour complter une requte de certificat, slectionnez VPN > Certificats > Certificats Locaux et cliquez sur Gnrer. Pour tlcharger et transfrer une requte de certificat, voir Tlchargement et soumission dune requte de certificat la page 318.
Illustration 172 : Gnrer des Requtes de Signature de Certificat
317
Nom du certificat
Entrez un nom au certificat. En gnral, il sagit du nom du botier FortiGate. Pour activer lexportation dun certificat sign sous forme dun fichier PKCS12 si ncessaire, mme plus tard, ne pas inclure despace dans le nom. Entrez les informations requises pour identifier le botier FortiGate : Si le botier FortiGate possde une adresse IP statique, slectionnez Adresse IP de lhte et entrez ladresse IP publique du botier FortiGate. Si celui-ci ne possde pas dadresse IP publique, utilisez la place une adresse mail (ou un nom de domaine si disponible). Si le botier FortiGate possde une adresse IP statique et souscrit un service DNS dynamique, utilisez un nom de domaine si disponible pour identifier le botier FortiGate. Si vous slectionnez Nom de Domaine, entrez le FQDN du botier FortiGate. Ne pas inclure le protocole de spcification (http://) ni numro de port ni noms de chemin. Si un nom de domaine nest pas disponible et que le botier FortiGate souscrit un service dynamique DNS, un message de type Unable to verify certificate ( Impossibilit de vrifier le certificat ) peut safficher dans une fentre du navigateur chaque changement dadresse IP publique du botier FortiGate. Si vous slectionnez Mail, entrez ladresse mail du propritaire du botier FortiGate.
Information sur le sujet
Unit organisationnelle Organisation Localit (Ville) Etat/Province
Facultativement, entrez le nom de votre dpartement. Facultativement, entrez le nom lgal de votre entreprise ou organisation. Facultativement, entrez le nom de la ville o est situ le botier FortiGate. Facultativement, entrez le nom de ltat, de la province ou du dpartement o est situ le botier FortiGate. Facultativement, entrez le nom du pays o est situ le botier FortiGate. Facultativement, entrez ladresse mail de contact. Seul RSA est support. Choisissez entre 1024bit, 1536bit et 2048bit. Les plus grandes cls sont plus lentes gnrer mais procurent une scurit plus accrue.
Pays Mail Type de clef Longueur de la clef
Tlchargement et soumission dune requte de certificat

Vous devez complter une requte de certificat et gnrer la requte avant de pouvoir soumettre les rsultats lautorit de certification. Pour plus dinformations, voir Gnrer une requte de certificat la page 317. Tlcharger et soumettre une requte de certificat 1 2 Slectionnez VPN > Certificats > Certificats Locaux. Dans la liste des Certificats locaux, slectionnez licne Sauvegarder de la requte de certificat gnre.
318
3 4 5
Dans la bote de dialogue de Sauvegarde du Fichier, slectionnez Sauvegarder. Nommez le fichier et sauvegardez-le dans le systme de fichiers locaux. Soumettez votre requte votre autorit de certification de la manire suivante : A partir du navigateur web sur lordinateur dadministration, allez sur le site web de lautorit de certification. Suivez les instructions de lautorit de certification pour effectuer une requte de certificat au format PKCS#10 encod en base64 et tlchargez votre requte de certificat. Suivez les instructions de lautorit de certification pour tlcharger leur certificat et leur liste de rvocation (Certificate Revocation List), et installez-les ensuite sur chaque client distance (rfrez-vous la documentation du navigateur).
Lors de la rception du certificat sign de lAC, installez-le sur le botier FortiGate. Voir Importation dun certificat serveur sign ci-dessous.
Importation dun certificat serveur sign

Votre autorit de certification va vous fournir un certificat serveur sign installer sur le botier FortiGate. Lors de la rception de ce certificat, sauvegardez-le sur un ordinateur qui possde un accs administratif au botier FortiGate. Pour installer le certificat serveur sign, slectionnez VPN > Certificats > Certificats Locaux et cliquez sur Importer. Installez le certificat partir de la bote de dialogue de tlchargement du certificat local en haut de la page. Le fichier du certificat peut se trouver sous le format PEM ou DER. Les autres botes de dialogue servent importer des certificats exports prcdemment et leurs cls prives.
Illustration 173 : Tlcharger le certificat local
Tlcharger le fichier Browse
Entrez le chemin complet et le nom du fichier du certificat serveur sign. Alternativement, accdez au certificat sauvegard sur lordinateur dadministration, slectionnez alors le certificat et cliquez sur OK.
Importation dun certificat serveur export et de sa cl prive

Le certificat serveur et sa cl prive importer doivent avoir t export prcdemment sous forme dun fichier unique PKCS12 partir de la commande CLI execute vpn certificate key export. Ce fichier est associ un mot de passe ncessaire son importation. Avant de commencer, sauvegardez une copie du fichier sur un ordinateur qui possde un accs administratif au botier FortiGate. Pour plus dinformations, se rfrer au FortiGate Certificate Management User Guide.
319
Pour importer le fichier PKCS12 ; slectionnez VPN > Certificats > Certificats Locaux et cliquez sur Importer.
Illustration 174 : Tlcharger le certificat PKCS12
Certifier avec un fichier cl Entrez le chemin complet et le nom du fichier du fichier PKCS12 export prcdemment. Browse Mot de passe Alternativement, accdez au fichier PKCS12 sauvegard sur lordinateur dadministration, slectionnez-le et cliquez sur OK. Entrez le mot de passe requis pour tlcharger le fichier PKCS12.
Importation de fichiers spars de certificat serveur et leur cl prive

A partir de la bote de dialogue de tlchargement de certificat, importez les fichiers du certificat serveur et de sa cl prive associe lorsque la requte de certificat et la cl prive nont pas t gnres par le botier FortiGate. Les deux fichiers importer doivent tre disponibles sur lordinateur dadministration.
Illustration 175 : Tlcharger le certificat
fichier certificat Fichier cl Mot de passe
Entrez le chemin complet et le nom du fichier du certificat export prcdemment. Entrez le chemin complet et le nom du fichier de la cl export prcdemment Entrez, si requis, le mot de passe pour tlcharger et ouvrir les fichiers.
Certificats CA
Lorsque vous appliquez pour un certificat personnel (administratif) ou de groupe installer sur des clients distants, vous devez obtenir le certificat racine correspondant et la liste de rvocation (CRL) de votre autorit de certification. A la rception du certificat personnel ou de groupe, installez-le sur les clients distants en respectant les procdures dcrites dans la documentation du navigateur. Installez le certificat racine et le CRL de votre autorit de certification sur votre botier FortiGate. Les certificats CA installs sont affichs dans la liste de Certificats CA. Pour visualiser des certificats racines AC installs ou pour en importer,slectionnez VPN
320
> Certificats > Certificats CA. Pour visualiser les dtails du certificat racine, slectionnez licne Voir les dtails du certificat du certificat concern.
Illustration 176 : Liste des certificats CA
Importer Nom
Importez un certificat racine CA. Voir Importation de certificats de lautorit de certification ci-dessous. Les noms des certificats racines CA existants. Le botier FortiGate affecte des noms uniques (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.) aux certificats AC lors de leur importation. Informations sur l autorit de certification mettrice. Supprime un certificat racine CA de la configuration FortiGate.
Sujet Icne Supprimer
Icne Voir les Dtails du Certificat Affiche les dtails du certificat. Icne Sauvegarder Sauvegardez une copie du certificat racine CA sur un ordinateur local.
Pour des informations dtailles et des procdures pas pas pour lobtention et linstallation de certificats digitaux, se rfrer au FortiGate Certificate Management User Guide.
Importation de certificats de lautorit de certification

Aprs avoir tlcharg le certificat racine de l autorit de certification, sauvegardez le certificat sur un ordinateur qui possde un accs administratif au botier FortiGate. Pour importer un certificat racine CA, slectionnez VPN > Certificats > Certificats CA et cliquez sur Importer.
Illustration 177 : Tlcharger un certificat CA
Entrez le chemin complet et le nom de fichier du certificat racine CA. Alternativement, accdez au certificat sauvegard sur lordinateur dadministration, slectionnez-le et cliquez sur OK.
321
Le systme affecte un nom unique chaque certificat. Les noms sont numrots conscutivement (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.).
CRL
Une liste de Rvocation de Certificat (CRL) est une liste de souscripteurs de certificat CA et des informations sur le statut du certificat. Les CRL installs sont affichs dans la liste CRL. Le botier FortiGate utilise des CRL pour sassurer de la validit des certificats appartenant des AC et des clients distants. Pour visualiser des CRL installs ou un CRL import/mis jour, slectionnez VPN > Certificats > CRL.
Illustration 178 : Liste de rvocation de certificat
Importer Nom
Importe un CRL. Voir Importation dune liste de rvocation de certificat ci-dessous. Les noms des listes de rvocation de certificat existantes. Le botier FortiGate affecte des noms uniques (CRL_1, CRL_2, CRL_3, etc.) aux listes lors de leur importation. Informations sur les listes de rvocation de certificat. Supprime le CRL slectionn de la configuration FortiGate.
Sujet Icne Supprimer
Illustration 179 : Dtails dun certificat CA
Importation dune liste de rvocation de certificat

Il est conseill daccder rgulirement des listes de rvocation de certificat sur les sites web des AC et de mettre jour les informations correspondantes sur le botier FortiGate pour sassurer que les clients dont les certificats ont t rvoqus ne puissent plus tablir de connexions avec le botier FortiGate. Aprs avoir tlcharger un CRL dun site web dune AC, sauvegardez-le sur un ordinateur qui possde un accs administratif vers le botier FortiGate. Pour importer une liste de rvocation de certificat, slectionnez VPN > Certificats > CRL et cliquez sur Importer.
322
Illustration 180 : Tlcharger CRL
Entrez le chemin complet et le nom de fichier du CRL. Alternativement, accdez au CRL sauvegard sur lordinateur dadministration, slectionnez-le et cliquez sur OK.
Le systme affecte un nom unique chaque CRL. Les noms sont numrots conscutivement (CRL_1, CRL_2, CRL_3, etc.).
323
Utilisateur
Cette section explique comment installer des comptes utilisateurs, des groupes dutilisateurs et des serveurs dauthentification externes. Certains composants de lauthentification de lutilisateur permettent de contrler laccs aux ressources du rseau. Cette section couvre les sujets suivants : Configuration de lauthentification dun utilisateur Comptes utilisateurs locaux Serveurs RADIUS Serveurs LDAP Serveurs Windows AD Groupe dutilisateurs Configuration de paires et de groupes paires
Configuration de lauthentification dun utilisateur

Lauthentification FortiGate contrle laccs par les groupes utilisateurs. La cration de groupes dutilisateurs nest pas la premire tape de la configuration de lauthentification. Vous devez configurer lauthentification dun utilisateur en respectant lordre suivant : 1 Si une authentification externe utilisant des serveurs RADIUS ou LDAP est requise, configurez laccs ces serveurs. Voir Serveurs RADIUS la page 326 et Serveurs LDAP la page 327. Configurez des comptes utilisateurs locaux dans Utilisateur > Local. Pour chaque utilisateur, le mot de passe peut tre authentifi par le botier FortiGate, un serveur RADIUS ou un serveur LDAP. Voir Comptes utilisateurs locaux la page 325. En cas dutilisation dun serveur Microsoft Windows Active Directory pour lauthentification, configurez-en laccs. Voir Configuration dun serveur Windows AD la page 329. Les utilisateurs authentifis par un serveur Active Directory nont pas besoin de comptes utilisateurs locaux sur le botier FortiGate. Vous devez installer les Fortinet Server Authentication Extensions (FSAE) sur votre rseau Windows. Crez des groupes dutilisateurs dans Utilisateur > Groupe utilisateur et ajoutezy des membres. Il y a trois types de groupes dutilisateurs : Pare-feu, Active Directory et VPN SSL.
Paramtrage du timeout dauthentification

Les timeouts dauthentification contrlent combien de temps une connexion parefeu authentifie peut rester inactive avant que lutilisateur ne doive sauthentifier nouveau.
324
Dfinir un timeout dauthentification 1 2 Slectionnez Systme > Admin > Settings. Dans Paramtres de Timeout Utilisateur, entrez une priode de temps en minutes. Le timeout dauthentification par dfaut est de 15 minutes.
Comptes utilisateurs locaux

Slectionnez Utilisateur > Local pour ajouter des comptes utilisateurs locaux et configurer une authentification.
Illustration 181 : Liste des utilisateurs locaux
Crer Nouveau Nom des utilisateurs Type Icne Supprimer Icne Editer
Permet dajouter un nouveau compte utilisateur local. Le nom de lutilisateur local. Le type dauthentification mettre en place pour cet utilisateur. Supprimer lutilisateur. Cette icne napparat pas si lutilisateur appartient un groupe dutilisateurs. Permet dditer le compte utilisateur.
Remarque : Supprimer le nom utilisateur supprime galement lauthentification configure pour lutilisateur.
Edition dun compte utilisateur

Slectionnez Utilisateur > Local et cliquez sur Crer Nouveau pour crer un nouveau compte utilisateur. Vous pouvez galement slectionner licne Editer dun compte utilisateur existant pour visualiser ou modifier ses paramtres.
Illustration 182 : Options des utilisateurs locaux
Nom de compte Dsactiver Mot de passe
Entrez ou modifiez le nom du compte. Cochez cette case si vous voulez empcher cet utilisateur de sauthentifier. Slectionnez un mot de passe pour authentifier cet utilisateur partir dun mot de passe stock sur le botier FortiGate. Entrez un mot de passe dau moins 6 caractres de long. Cochez LDAP pour authentifier cet utilisateur partir dun mot de passe stock sur un serveur LDAP. Slectionnez le serveur LDAP. Vous pouvez seulement slectionner un serveur LDAP 325
LDAP
qui a t ajout la configuration LDAP FortiGate. Voir Serveurs LDAP la page 327. RADIUS Cochez RADIUS pour authentifier cet utilisateur partir dun mot de passe stock sur un serveur RADIUS. Slectionnez le serveur RADIUS. Vous pouvez seulement slectionner un serveur RADIUS qui a t ajout la configuration RADIUS FortiGate. Voir Serveurs RADIUS ci-dessous.
Serveurs RADIUS
Si vous avez configur un support RADIUS et quun utilisateur doit sauthentifier laide dun serveur RADIUS, le botier FortiGate contacte ce serveur pour authentification. Slectionnez Utilisateur > RADIUS pour configurer les serveurs RADIUS. Le port par dfaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS utilise le port 1645, vous pouvez modifier le port RADIUS par dfaut partir de linterface de ligne de commande. Pour plus dinformations,voir la commande config system global dans le FortiGate CLI Reference.
Illustration 183 : Liste des serveurs RADIUS
Crer Nouveau Nom Nom/Adresse IP Icne Supprimer
Permet dajouter un nouveau serveur RADIUS. Le nom du serveur RADIUS. Le nom de domaine ou ladresse IP du serveur RADIUS. Supprime une configuration de serveur RADIUS. Vous ne pouvez pas supprimer un serveur RADIUS qui a t ajout un groupe dutilisateurs. Editer une configuration de serveur RADIUS.
Icne Editer
Configuration dun serveur RADIUS

Slectionnez Utilisateur > RADIUS et cliquez sur Crer Nouveau pour crer une nouvelle configuration de serveur RADIUS. Vous pouvez galement cliquer sur licne Editer dun serveur RADIUS existant pour le modifier.
Illustration 184 : Configuration RADIUS
Nom Nom/Adresse IP Secret
Entrez un nom pour identifier le serveur RADIUS. Entrez un nom de domaine ou une adresse IP dun serveur RADIUS. Entrez le secret du serveur RADIUS.
326
Serveurs LDAP
Si vous avez configur un support LDAP et quun utilisateur doit sauthentifier laide dun serveur LDAP, le botier FortiGate contacte ce serveur pour authentification. Pour authentifier avec le botier FortiGate, lutilisateur entre un nom dutilisateur et un mot de passe. Le botier FortiGate envoie ces informations au serveur LDAP. Si ce serveur peut authentifier lutilisateur, celui-ci est connect avec succs au botier FortiGate. Si le serveur LDAP ne peut pas authentifier lutilisateur, la connexion au botier FortiGate lui est refuse. Le botier FortiGate supporte la fonctionnalit du protocole LDAP dfinie dans la RFC2251 pour la recherche et la validation des noms dutilisateurs et mots de passe. FortiGate LDAP supporte tous les serveurs LDAP compatibles avec LDAP v3. Le support FortiGate LDAP ne couvre pas les fonctionnalits prives , telle que la notification de la date dexpiration dun mot de passe, qui est parfois disponible sur certains serveurs LDAP. Le support FortiGate LDAP ne fournit pas dinformations lutilisateur sur les raisons de lchec de lauthentification. Slectionnez Utilisateur > LDAP pour configurer les serveurs LDAP.
Illustration 185 : Liste des serveurs LDAP
Crer Nouveau Nom Nom/Adresse IP Port Identifiant Nom Commun
Ajoute un nouveau serveur LDAP. Le nom didentification du serveur LDAP sur le botier FortiGate. Le nom de domaine ou ladresse IP du serveur LDAP. Le port utilis pour communiquer avec le serveur LDAP. Lidentifiant nom commun pour le serveur LDAP. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains serveurs utilisent un autre lidentifiant tel que uid. Le distinguished name utilis pour rechercher des entres dans le serveur LDAP. Le distinguished name reflte la hirarchie des classes dobjets des bases de donnes LDAP au-dessus de lIdentifiant Nom Commun. Supprime une configuration de serveur LDAP. Edite une configuration de serveur LDAP.
Distinguished Name
Icne Supprimer Icne Editer
327
Configuration dun serveur LDAP

Slectionnez Utilisateur > LDAP et cliquez sur Crer Nouveau pour crer une nouvelle configuration de serveur LDAP. Vous pouvez galement cliquez sur licne Editer dune configuration dun serveur LDAP existante.
Illustration 186 : Configuration dun serveur LDAP
Nom Nom/Adresse IP Port Identifiant Nom Commun
Entrez ou modifiez un nom didentification de ce serveur LDAP. Entrez un nom de domaine ou une adresse IP du serveur LDAP. Entrez le port utilis pour communiquer avec le serveur LDAP. Par dfaut, LDAP utilise port 389. Entrez lIdentifiant Nom Commun pour le serveur LDAP. Ce champ est limit 20 caractres. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains serveurs utilisent un autre lidentifiant tel que uid. Entrez le distinguished name utilis pour rechercher des entres sur le serveur LDAP. Entrez le distinguished name de base pour le serveur utilisant le X.500 correct ou le format LDAP. Le botier FortiGate transfre ce distinguished name inchang au serveur. Par exemple, vous pouvez utiliser le distinguished name de base suivant : ou=marketing,dc=fortinet,dc=com o ou est le dpartement dans lorganisation et dc, le composant du domaine. Vous pouvez galement spcifier des instances multiples du mme champ dans le distinguished name, par exemple, pour spcifier de multiples units organisationnelles : ou=account,ou=marketing,dc=fortinet,dc=com.
Distinguished Name
Serveurs Windows AD
Sur les rseaux utilisant des serveurs Windows Active Directory (AD) pour lauthentification, les botiers FortiGate peuvent authentifier les utilisateurs de manire transparente, sans avoir leur demander leur compte utilisateur et mot de passe. Vous devez pour cela installer le Fortinet Server Authentication Extensions (FSAE) sur le rseau et configurer le botier FortiGate pour retrouver les informations du serveur Windows AD. Pour plus dinformations sur le FSAE, voir la FSAE Technical Note. Slectionnez Utilisateur > Windows AD pour configurer les serveurs Windows AD.
328
Illustration 187 : Liste de serveurs Windows AD
Crer Nouveau FortiClient AD
Permet dajouter un nouveau serveur Windows AD. Le nom du serveur Windows AD avec FSAE. Vous pouvez tendre le nom du serveur pour afficher les informations du groupe et domaine Windows AD. Les adresses IP et les ports TCP dagents collecteurs (jusqu maximum 5) qui envoient des informations sur la connexion au serveur Windows AD au botier FortiGate. Supprime ce serveur Windows AD. Edite ce serveur Windows AD. Fournit des informations sur les groupes et domaines partir du serveur Windows AD.
Adresse IP
Icne Supprimer Icne Editer Icne Rafrachir
Configuration dun serveur Windows AD

Slectionnez Utilisateur > Windows AD et cliquez sur Crer Nouveau pour crer une nouvelle configuration de serveur Windows AD. Pour plus dinformations propos de FSAE, voir la FSAE Technical Note.
Illustration 188 : Configuration du serveur Windows AD
FortiClient AD
Entrez un nom pour le serveur Windows AD. Ce nom apparat dans la liste des serveurs Windows AD lorsque vous crez des groupes dutilisateurs. Entrez les informations suivantes des agents collecteurs (maximum 5 agents collecteurs). Entrez ladresse IP du serveur Windows AD o cet agent collecteur est install. Entrez le port TCP utilis pour Windows AD. Ce doit tre le mme que le port FortiGate spcifi dans la configuration de lagent collecteur FSAE. Entrez le mot de passe pour lagent collecteur. Ceci est requis uniquement si vous avez configur votre agent collecteur FSAE pour quil requiert un accs authentifi.
Server # 1 - # 5 Adresse IP Port
Mot de passe
329
Groupe dutilisateurs
Un groupe dutilisateurs est une liste didentits dutilisateurs. Une identit peut tre : un compte utilisateur local (compte utilisateur et mot de passe) stock sur le botier FortiGate un compte utilisateur local avec mot de passe stock sur un serveur RADIUS ou LDAP un serveur RADIUS ou LDAP (toutes les identits sur le serveur peuvent sauthentifier) un groupe dutilisateurs dfini sur un serveur Microsoft Active Directory (AD)
Dans la plupart des cas, le botier FortiGate authentifie les utilisateurs en requrant leur compte utilisateur et mot de passe. Le botier FortiGate vrifie dabord les comptes utilisateurs locaux. En absence de correspondance, le botier FortiGate vrifie les serveurs RADIUS et LDAP qui appartiennent au groupe dutilisateurs. Lauthentification russit lorsque la correspondance du compte utilisateur et du mot de passe a lieu. Pour un groupe dutilisateurs Active Directory, le serveur Active Directory authentifie les utilisateurs lorsquils se connectent au rseau. Le botier FortiGate reoit les noms et adresse IP des utilisateurs de lagent collecteur FSAE. Pour plus dinformations sur le FSAE, voir FSAE Technical Note. Vous pouvez configurer les groupes dutilisateurs pour fournir un accs authentifi : des rgles pare-feu qui requirent une authentification Voir Ajout dune authentification aux rgles pare-feu la page 238. des VPN SSL sur le botier FortiGate Voir Options des rgles pare-feu VPN SSL la page 243. des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup. Voir Cration dune nouvelle configuration phase 1 la page 296. de XAuth pour les configurations Phase 1 VNP IPSec Voir XAUTH dans Dfinition des paramtres avancs de la phase 1 la page 299. de la configuration PPTP FortiGate Voir Plage PPTP la page 312. de la configuration L2TP FortiGate Configurable uniquement partir de la commande CLI config vpn 12tp. Voir le FortiGate CLI Reference. dune connexion administrateur via une authentification RADIUS Voir Configuration dune authentification RADIUS des administrateurs la page 169. des groupes override du Filtrage Web FortiGuard Voir Filtrage Web FortiGuard la page 378.
330
Pour chaque ressource qui ncessite une authentification, vous devez spcifier quels groupes utilisateurs ont une permission daccs. Vous devez galement dterminer le nombre et ladhsion des groupes dutilisateurs membres concerns pour vos besoins dauthentification.
Types de groupe dutilisateurs

Il existe trois types de groupes dutilisateurs :
Groupe dutilisateurs pare-feu

Un groupe dutilisateurs pare-feu fournit un accs une rgle pare-feu qui requiert une authentification de type pare-feu et comprend le groupe dutilisateurs parmi les groupes autoriss. Le botier FortiGate requiert le compte utilisateur et mot de passe des membres du groupes lorsque lutilisateur tente daccder aux ressources protges par la rgle pare-feu. Pour plus dinformations, voir Ajout dune authentification aux rgles pare-feu la page 238. Un groupe dutilisateurs pare-feu peut galement fournir un accs un VPN IPSec aux utilisateurs dialup. Dans ce cas, la configuration de la phase 1 VPN IPSec utilise lID paire Accept dans loption paire groupe dialup. Le client VPN de lutilisateur est configur avec comme compte utilisateur lID du paire et comme mot de passe la cl partage. Lutilisateur arrive se connecter au VPN IPSec uniquement si son compte utilisateur est membre dun groupe dutilisateurs autoris et que le mot de passe corresponde celui stock sur le botier FortiGate. Un groupe dutilisateurs ne peut pas tre un groupe dialup si lun des membres est authentifi partir dun serveur RADIUS ou LDAP. Pour plus dinformations, voir Cration dune nouvelle configuration phase 1 la page 296. Un groupe dutilisateurs pare-feu peut tre utilis pour fournir des privilges doverride pour le filtrage web FortiGuard. Voir Configuration des options override FortiGuard pour un groupe dutilisateurs la page 334. Pour des informations dtailles sur FortiGuard Web Filter, voir Filtrage Web FortiGuard la page 378.
Groupe dutilisateurs Active Directory

Sur un rseau Microsoft Windows, le botier FortiGate peut permettre laccs aux membres de groupes utilisateurs dun serveur Active Directory qui ont t authentifis sur le rseau Windows. Le FSAE (Fortinet Server Authentication Extensions) doit tre install sur les contrleurs du domaine du rseau. Un groupe dutilisateurs Active Directory fournit un accs une rgle pare-feu qui requiert une authentification de type Active Directory et comprend le groupe dutilisateurs parmi les groupes autoriss. Les membres du groupe dutilisateurs sont des groupes Active Directory que vous slectionnez dans une liste que le botier FortiGate reoit des serveurs Windows AD que vous avez configurs. Voir Serveurs Windows AD la page 328. Un groupe dutilisateurs Active Directory ne peut pas bnficier des privilges override FortiGuard ou dun accs VPN SSL.
331
Groupe dutilisateurs VPN SSL

Un groupe dutilisateurs VPN SSL fournit un accs une rgle pare-feu qui requiert une authentification de type VPN SSL et comprend le groupe dutilisateurs parmi les groupes autoriss. Les comptes utilisateurs locaux, ainsi que les serveurs RADIUS et LDAP peuvent tre membres dun groupe dutilisateurs VPN SSL. Le botier FortiGate requiert le nom du compte utilisateur et son mot de passe lorsque lutilisateur accde au portail web VPN SSL. Les paramtres du groupe dutilisateurs comprennent des options pour les fonctionnalits VPN SSL. Voir Configuration des options dun groupe dutilisateurs VPN SSL la page 335. Un groupe dutilisateurs VPN SSL peut galement fournir un accs aux utilisateurs dialup VPN IPSec. Dans ce cas, la configuration phase 1 VPN IPSec utilise lidentifiant du paire accepter configur dans loption du groupe de paires. Le client VPN de lutilisateur est configur avec comme compte utilisateur lIP du paire et comme mot de passe, la cl partage. Lutilisateur arrive se connecter au VPN IPSec uniquement si le compte utilisateur est membre dun groupe dutilisateurs autoris et que le mot de passe corresponde un mot de passe stock sur le botier FortiGate. Un groupe dutilisateurs ne peut pas tre un groupe dialup si lun des membres est authentifi partir dun serveur RADIUS ou LDAP. Pour plus dinformations, voir Cration dune nouvelle configuration phase 1 la page 296.
Liste de groupes dutilisateurs

Slectionnez Utilisateur > Groupe utilisateur pour configurer des groupes dutilisateurs.
Illustration 189 : Liste des groupes dutilisateurs
Crer Nouveau Nom des groupes
Permet dajouter un nouveau groupe dutilisateurs. Le nom du groupe dutilisateurs. Les noms sont rpertoris par type de groupe dutilisateurs : Pare-feu, Active Directory et VPN SSL. Les utilisateurs et serveurs RADIUS ou LDAP du groupe dutilisateurs. Le profil de protection associ ce groupe dutilisateurs. Supprime le groupe dutilisateurs. Vous ne pouvez pas supprimer un groupe dutilisateurs repris dans une rgle parefeu, une configuration phase 1 dun utilisateur dialup ou une configuration PPTP ou L2TP. Edite ladhsion dun membre et les options du groupe.
Membres Profil de protection Icne Supprimer
Icne Editer
332
Configuration dun groupe dutilisateurs

Slectionnez Utilisateur > Groupe utilisateur et cliquez sur Crer Nouveau ou sur licne Editer dun groupe existant pour configurer ses membres et autres options.
Illustration 190 : Configuration dun groupe dutilisateurs
Nom Type
Entrez le nom du groupe dutilisateurs. Slectionnez le type du groupe dutilisateurs : Voir Types de groupe dutilisateurs la page 331. Firewall Vous pouvez slectionner ce groupe pour chaque rgle pare-feu requrant une authentification pare-feu. Voir Ajout dune authentification aux rgles parefeu la page 238. Vous pouvez slectionner ce groupe pour chaque rgle pare-feu requrant une authentification Active Directory. Voir Ajout dune authentification aux rgles pare-feu la page 238. Vous pouvez slectionner ce groupe pour chaque rgle pare-feu dont lAction est dfinie sur SSL-VPN. Voir Options des rgles pare-feu VPN SSL la page 243.
Active Directory
SSL-VPN
Profil de protection
Disponible uniquement si le type est Firewall ou Active Directory. Slectionnez un profil de protection pour ce groupe dutilisateurs. Vous pouvez slectionner Crer Nouveau pour crer un nouveau profil de protection. La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP qui peuvent tre ajouts un groupe dutilisateurs. La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP qui appartiennent un groupe dutilisateurs. Permet dajouter un utilisateur ou un serveur la liste des Membres. Slectionnez le nom dun utilisateur ou dun serveur dans la liste Utilisateurs Disponibles et cliquez sur la flche droite pour le transfrer dans la liste des Membres. Permet de supprimer un utilisateur ou un serveur de la liste des Membres. Slectionnez le nom dun utilisateur ou dun serveur dans la liste des Membres et cliquez sur la flche
Utilisateurs disponibles Membres Bouton Flche Droite
Bouton Flche Gauche
333
gauche pour le transfrer dans la liste des Utilisateurs Disponibles. Override du filtrage web FortiGuard Ceci est uniquement disponible si le Type est dfini sur Firewall. Permet de configurer les options override du filtrage web FortiGuard pour ce groupe. Voir Configuration des options override FortiGuard pour un groupe dutilisateurs cidessous. Ceci est uniquement disponible si le Type est dfini sur VPN SSL. Pour des instructions dtailles propos de la configuration du mode web ou du mode tunnel, voir le FortiGate SSL VPN User Guide.
Options de groupe dutilisateurs SSL-VPN
Remarque : Si vous tentez dajouter des serveurs LDAP ou des utilisateurs locaux un groupe configur pour une authentification dadministrateurs, un message derreur saffiche.
Configuration des options override FortiGuard pour un groupe dutilisateurs

Slectionnez Utilisateur > Groupe Utilisateur et cliquez sur licne Editer dun groupe dutilisateurs pare-feu. Afficher la section Override du filtrage Web FortiGuard.
Illustration 191 : Configuration de loverride du filtrage web FortiGuard
Permettre loverride du filtrage Web FortiGuard
Les membres de ce groupe peuvent solliciter loverride (lignorance) de la page de blocage du filtrage Web FortiGuard. Le profil de protection pare-feu grant la connexion doit avoir activ loverride de FortiGuard. Le profil de protection dsigne un groupe dutilisateurs comme groupe Override. Les membres de ce groupe Override peuvent authentifier sur la page FortiGuard Web Filter Block Override pour accder au site bloqu. Pour plus dinformations dtailles, voir Filtrage Web FortiGuard la page 378.
Override Scope Utilisateur Groupe dutilisateurs IP Profil Demander Type dOverride Directory Domaine Catgories
Loverride peut sappliquer au seul utilisateur qui sollicite loverride ou en comprendre dautres. Choisissez entre : Lutilisateur seul Le groupe dutilisateurs auquel appartient lutilisateur Nimporte quel utilisateur ladresse IP de lutilisateur Nimporte quel utilisateur sur le sous-rseau de lutilisateur Lutilisateur en cours dauthentification choisit loverride Choisissez pour permettre laccs : uniquement au niveau le plus bas du directory dans lURL lintgralit du domaine du site web la catgorie FortiGuard
334
Demander Off-site URLs Autoris Interdit Demander Override Time Constant Demander
Lutilisateur en cours dauthentification choisit le type doverride Choisissez si lutilisateur peut accder aux liens des sites extrieurs du site bloqu : Lutilisateur peut suivre les liens des autres sites. Lutilisateur peut uniquement suivre les liens vers les destinations dfinies par le type dOverride. Lutilisateur en cours dauthentification choisit de permettre laccs aux liens de sites extrieurs. Etablissez la dure de loverride. Dfinissez la dure de loverride en jours, heures, minutes. Lutilisateur en cours dauthentification dtermine la dure de loverride. La dure que vous dfinissez est la dure maximum.
Configuration des options des groupes dutilisateurs VPN SSL

Slectionnez Utilisateur > Groupe Utilisateur et cliquez sur licne Editer dun groupe dutilisateurs VPN SSL. Affichez la section Options de groupe dutilisateurs VPN SSL. Pour des instructions dtailles sur la configuration en mode web et mode tunnel, voir le FortiGate SSL VPN User Guide.
Illustration 192 : Options de groupe dutilisateurs VPN SSL
Activer le service tunnel SSL-VPN
Activer pour permettre aux utilisateurs de ce groupe de se connecter au rseau derrire le botier FortiGate utilisant le tunnel VPN SSL. Ceci nest pas disponible en mode Transparent. Permettre au client de se connecter seulement sil fonctionne avec le FortiClient Host Security Software. Pour plus dinformations propos de ce software, visitez le site de Documentation Technique Fortinet. Permettre au client de se connecter seulement si un logiciel antivirus Norton (Symantec) ou McAfee est install. Cette option nest pas disponible si vous slectionnez Vrifier si le FortiClient est install et fonctionne.
Vrifier si le FortiClient est install et fonctionne
Vrifier la prsence dun antivirus tiers
335
Vrifier la prsence dun firewall logiciel tiers
Permettre au client de se connecter seulement si un logiciel pare-feu Norton (Symantec) ou McAfee est install. Cette option nest pas disponible si vous slectionnez Vrifier si le FortiClient est install et fonctionne.
Restreindre la plage IP Entrez les adresses IP de dbut et de fin de la plage du tunnel pour ce groupe intervalle pour ce groupe si vous dsirez un override de la plage Tunnel IP dfinie dans VPN > SSL > Config. Activer Web Application Activez le portail web pour fournir un accs aux application web. Ceci nest pas disponible en mode Transparent. Si vous activez Web Application, activez chaque applications dont laccs est permis aux utilisateurs de ce groupe.
Proxy HTTP/HTTPS FTP Telnet (applet) Samba Activer Cache Clean
Enlve tous les fichiers temporaires Internet crs sur lordinateur client entre la connexion et la dconnexion. Ceci seffectue grce un contrle ActiveX tlcharg et fonctionne uniquement avec Internet Explorer sur Windows 2000 et Windows XP. Facultativement, ouvrez une deuxime fentre de navigation vers cette URL lorsque la page du portail VPN SSL souvre. Le serveur web de cette URL doit se trouver sur le rseau priv derrire le botier FortiGate. Vous pouvez galement modifier la page de connexion du portail web VPN SSL. Pour plus dinformations, voir Modification du message de connexion VPN SSL la page 165. Entrez le message personnalis afficher sur la page de garde du portail pour ce groupe.
Redirect URL
Personnaliser le message du portail pour ce groupe
Configuration de paires et de groupes de paires

Vous pouvez dfinir des paires et des groupes de paires utiliss pour lauthentification dans certaines configurations VPN. Pour ce faire, utilisez les commande CLI config user paire et config user peergrp. Pour davantage dinformations, voir le chapitre User du FortiGate CLI Reference.
336
Antivirus
Cette section dcrit comment configurer les options antivirus associes aux profils de protection pare-feu. Cette section couvre les sujets suivants : Antivirus Modles de Fichier Mise en Quarantaine Configuration Configuration de lAntivirus partir de linterface de ligne de commande
Antivirus
Le traitement Antivirus comprend des modules et des appliances varis excutant des tches spares. Le botier FortiGate procde aux traitements antivirus dans lordre dapparition des fonctionnalits dans le menu de linterface dadministration web : modle de fichier, analyse antivirus, et grayware, suivis par heuristique, configurable uniquement partir de linterface de ligne de commande. Les services FortiGuard-AntivirusTM constituent dexcellentes ressources offrant des mises jour automatiques des bases de donnes antivirus et IPS, de mme que de lantispam local DNSBL, et ce, partir du FortiGuard Distribution Network (FDN). Par ailleurs, le Centre FortiGuard fournit une encyclopdie FortiGuardAntivirus des virus et attaques, et publie le bulletin FortiGuard. Pour plus de dtails, visitez le site de la Base de Connaissance Fortinet o vous trouverez galement un lien vers le Centre FortiGuard. La connexion entre le botier FortiGate et le Centre FortiGuard se configure dans Systme > Maintenance > FortiGuard Center. Voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Alors que des paramtres antivirus sont configurs pour une utilisation globale, des paramtres spcifiques peuvent tre implments pour chaque profil. Le tableau 34 compare les options antivirus des profils de protection et les paramtres du menu antivirus.
337
Tableau 34 : Configuration antivirus des profils de protection et du menu Antivirus Options antivirus des Profils de Paramtres Antivirus Protection Analyse antivirus Activer ou dsactiver lanalyse antivirus pour chaque protocole (http, FTP, IMAP, POP3, SMTP, IM). Modle de fichier Activer ou dsactiver le traitement de modle de Fichier (File Pattern) pour chaque protocole. Mise en Quarantaine Activer ou dsactiver la mise en quarantaine pour chaque protocole. Cette option est disponible sur les botiers avec un disque local ou un FortiAnalyzer configur. Passer les emails fragments Activer ou dsactiver le passage demails fragments. Les emails fragments ne peuvent pas tre analyss contre les virus. Option Comfort Client Activer ou dsactiver cette option pour le trafic HTTP et FTP. Etablir un intervalle et un volume en octets pour dclencher loption de comfort client. Fichier/Mail surdimensionn Configurer le botier FortiGate pour bloquer ou autoriser les fichiers et mails surdimensionns pour chaque protocole. Etablir des seuils de taille pour les fichiers et mails pour chaque protocole dans Antivirus. Antivirus > Config > Grayware Activer ou dsactiver le blocage de grayware par catgorie. Ajouter une signature aux mails sortants. Crer et activer une signature ajouter aux mails sortants (SMTP seulement). Antivirus > Config > Liste de Virus Visualiser une liste (en lecture uniquement) des virus actuels. Antivirus > File Pattern Configurer des modles de fichier pour bloquer ou autoriser ces fichiers. Des modles peuvent aussi tre activs ou dsactivs individuellement. Antivirus > Mise en Quarantaine Visualiser et trier la liste des fichiers en quarantaine, configurer des modles de fichier pour tlchargement automatique vers Fortinet pour analyse et configurer les options de quarantaine dans Antivirus.
Modles de Fichier
La configuration de modles de fichier (File Pattern) permet de bloquer tous les fichiers potentiellement menaants et empcher les attaques et virus. Les fichiers peuvent tre bloqus sur base du nom, de lextension ou tout autre caractristique. Le blocage de modles de nom de fichier offre la flexibilit de bloquer des contenus potentiellement dangereux.
Remarque : Les entres de modles de fichier ne sont pas sensibles la casse des caractres (lettre majuscule/minuscule). Par exemple, ajouter *.exe une liste de modles de fichier entrane un blocage de tous les fichiers se terminant par .EXE.
338
En cas dopration standard, vous pouvez choisir de dsactiver File Pattern dans le Profil de Protection et de lactiver temporairement pour bloquer les menaces spcifiques quand elles apparaissent. Le botier FortiGate bloque les fichiers qui correspondent un modle de fichier spcifique et affiche un message de remplacement la place. Le botier FortiGate enregistre un message dans le Journal Virus et peut tre configur pour envoyer un message dalerte. Si File Pattern et Virus Scan sont tout deux activs, le botier FortiGate bloque les fichiers correspondants aux modles de fichier activs et ne procde pas une analyse des virus.
Visualisation du catalogue de la liste des modles de fichier (FortiGate-800 et plus uniquement)

Les modles FortiGate-800 et plus prvoient la possibilit dajouter des listes de modles de fichier et de slectionner ensuite la liste la plus approprie pour chaque profil de protection. Pour visualiser le catalogue des listes de modles de fichier, slectionnez Antivirus > File Pattern. Pour visualiser une liste de modles de fichier, cliquez sur licne Editer de la liste.
Illustration 193 : Echantillon dun catalogue de listes de modles de fichier
Remarque : Le catalogue des listes de Modles de Fichier par dfaut sappelle builtinpatterns. Crer Nouveau Nom # entres Profils Commentaire Icne Supprimer Permet dajouter une nouvelle liste de modles de fichier au catalogue. Les listes de modles de fichier disponibles. Le nombre de modles de fichier dans chaque liste. Les profils de protection auxquels la liste a t applique. Description facultative de chaque liste. Permet de retirer la liste du catalogue. Cette icne nest pas disponible lorsque la liste est reprise dans un profil de protection. Permet dditer des informations de la liste de modles de fichier telles que le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes de modles de fichier dans les profils de protection. Pour plus dinformations, voir Options Antivirus la page 282.
339
Cration dune nouvelle liste de modles de fichier ( FortiGate-800 et plus uniquement)

Pour ajouter une liste de modles de fichier dans le catalogue, slectionnez Antivirus > File Pattern et cliquez sur Crer Nouveau.
Illustration 194 : Nouvelle liste de modles de fichier
Nom Commentaire
Entrez un nom pour cette nouvelle liste. Entrez un commentaire pour dcrire cette liste si ncessaire.
Visualisation de la liste de modles de fichier

Pour visualiser la liste de modles de fichier sur les modles FortiGate-500 et moins, slectionnez Antivirus > File Pattern.
Illustration 195 : Liste des modles de fichier par dfaut pour les modles FortiGate500 et moins
Pour visualiser la liste des modles de fichier sur les modles FortiGate-800 et plus, slectionnez Antivirus > File Pattern et cliquez sur licne Editer de la liste visualiser.
340
Illustration 196 : Echantillon dune liste de modles de fichier pour les modlesFortiGate-800 et plus
Nom
Le nom de la liste. Pour modifier le nom, ditez le texte dans ce champ et cliquez sur OK. Le champ Nom apparat sur les modles FortiGate-800 et plus. Commentaire facultatif. Pour ajouter ou diter un commentaire, entrez le texte dans le champ commentaire et cliquez sur OK. Le champ commentaire apparat sur les modles FortiGate800 et plus. Permet dajouter un nouveau modle la liste. La liste actuelle des modles de fichier. Les fichiers correspondants aux modles de fichier peuvent tre dfinis sur Bloquer ou Autoriser. Dcochez la case pour dsactiver le modle de fichier. Permet de retirer le modle de fichier de la liste. Permet dditer le modle de fichier et son action. Permet de modifier la position du modle de fichier dans la liste.
Commentaire
Crer Nouveau Filtre Action Activer Icne Supprimer Icne Editer Icne Dplacer
Les fichiers sont compars aux modles de fichier activs, et ce dans leur ordre dapparition dans la liste, de haut en bas. Dans le cas o un fichier ne correspond pas lun de modles de fichier spcifis, il subit une analyse virale (si active). Les fichiers passent sils ne sont pas explicitement bloqus. Laction Autoriser permet de renverser la procdure, en bloquant tous les fichiers sauf ceux prciss explicitement. Entrez tous les modles de fichier que vous voulez laisser passer associs lattribut Autoriser. A la fin de la liste, ajoutez le mta-caractre (*.*) associ laction Autoriser. Les fichiers autoriss passent travers lanalyseur de virus (si activ) alors que les fichiers ne correspondant aucun modle de fichier sont bloqus grce au mta-caractre ajout la fin de la liste. Sur les modles FortiGate-500 et moins, la liste des modles de fichier est prconfigure avec les modles par dfaut suivants : Les fichiers excutables (*.bat, *.com, *.exe) Les fichiers compresss ou archivs (*.gz, *.rar, *.tar, *.tgz, *.zip) Les librairies dynamiques (*.dll) Les applications HTML (*.hta)
341
Les fichiers Microsoft Office (*.doc, *.ppt, *.xl) Les fichiers Microsoft Works (*.wps) Les fichiers Visual Basic (*.vb) Les fichiers Screen Saver (*.scr) Les fichiers dinformations de programmes (*.pif)
Les modles de fichier sont activs dans les profils de protection. Pour plus dinformation, voir Options Antivirus la page 282.
Configuration de la liste de modles de fichier

Les modles de fichier peuvent faire 80 caractres de long. Une liste peut contenir un maximum de 5000 modles de fichier. Pour ajouter un nouveau modle de fichier, cliquez sur Crer Nouveau. Pour diter un modle de fichier existant, cliquez sur licne Editer associe au modle.
Illustration 197 : Nouveau modle de fichier
Pattern Action Activer
Entrez le modle de fichier. Celui-ci peut correspondre au nom exacte dun fichier ou inclure des mta-caractres. Slectionnez un type de modle de la liste droulante : Wildcard ou Expression rgulire. Cochez pour activer le modle.
Mise en Quarantaine
Les botiers FortiGate munis dun disque local peuvent placer en quarantaine des fichiers bloqus ou infects. Vous pouvez visualiser le nom du fichier et ses statuts dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des fichiers spcifiques et dajouter des modles de fichier la liste de soumission automatique pour un tlchargement automatique vers Fortinet pour analyse. Les botiers FortiGate non munis dun disque local peuvent placer en quarantaine des fichiers bloqus ou infects sur un botier FortiAnalyzer. Les fichiers stocks sur un FortiAnalyzer peuvent tres rcuprs pour visualisation. Pour configurer un botier FortiAnalyzer, slectionnez Journaux/Alertes > Configuration > Configuration du Journal.
342
Visualisation de la liste des Fichiers mis en Quarantaine

La liste des fichiers mis en quarantaine affiche des informations propos de chaque fichier mis en quarantaine pour cause dinfection par virus ou de blocage de fichiers. Vous pouvez trier les fichiers par nom de fichier, date, service, tat, dcompte (DC) ou time to live (TTL). Il est galement possible de filtrer la liste selon ltat ou le service du fichier en quarantaine. Pour visualiser la liste des Fichiers mis en quarantaine, slectionnez Antivirus > Mise en Quarantaine > Fichiers en quarantaine.
Illustration 198 : Liste des fichiers mis en quarantaine
Cette liste comporte les fonctionnalits suivantes et affiche les informations suivantes pour chaque fichier mis en quarantaine :
Appliquer Classer par Permet dappliquer les slections de tri et de filtrage la liste. Trie la liste. Choisissez entre Etat, Service, Nom du Fichier, Date, TTL ou dcompte. Cliquez sur Appliquer pour lancer le tri. Filtre la liste. Choisissez entre Etat (contamins, heuristiques, filtrs) ou service (IMAP, POP3, SMTP, FTP ou HTTP). Cliquez sur Appliquer pour lancer le filtrage. Le mode heuristique est configurable partir de linterface de ligne de commande seulement. Voir Configuration de lAntivirus partir de linterface de ligne de commande la page 350. Le nom du fichier en quarantaine. Lorsquun fichier est mis en quarantaine, tous les espaces sont enlevs du nom du fichier et une somme de vrification de 32-bit est excut sur le fichier. La somme de vrification apparat dans le message de remplacement mais pas dans le fichier en quarantaine. Le fichier est stock sur le disque dur du FortiGate avec la convention suivante : <32bit_CRC>.<processed_filename> Par exemple, un fichier du nom de Over Size.exe est stock sous 3fc155d2.oversize.exe Date La date et lheure de la mise en quarantaine du fichier, sous le format jj/mm/aaaa hh:mm. Cette valeur indique le moment auquel le premier fichier a t mis en quarantaine si le dcompte augmente. Le service partir duquel le fichier a t mis en quarantaine (HTTP, FTP, IMAP, POP3, SMTP, IM). La raison pour laquelle le fichier a t mis en quarantaine : contamins, heuristiques ou filtrs. Informations spcifiques relatives ltat, par exemple File is infected with W32/Klez.h ou File was stopped by file block pattern .
Filtre
Nom du Fichier
Service Etat Description du statut
343
DC
Duplicate count - Dcompte. Le nombre de duplicata du mme fichier mis en quarantaine. Un nombre augmentant rapidement peut tre un signal de la prsence dun virus. Time to live sous le format hh:mm. Une fois le TTL coul, le botier FortiGate nomme le fichier EXP sous len-tte TTL. Dans le cas de duplicata de fichiers, chaque duplicata trouv rafrachit le TTL. Un Y indique que le fichier a t tlcharg vers Fortinet pour analyse. Un N signifie que ce fichier na pas t tlcharg. Permet de retirer un fichier de la liste. Permet de tlcharger le fichier correspondant dans son format original. Permet de soumettre un fichier suspect Fortinet pour analyse.
TTL
Statut du tlchargement Icne Supprimer Icne Tlcharger Icne Soumettre
Remarque : Les duplicatas de fichiers (bass sur la somme de vrification) ne sont pas stocks, seulement compts. La valeur TTL et le comptage de duplicata sont mis jour chaque fois quun fichier est trouv.
Visualisation de la liste de soumission automatique

Vous pouvez configurer le botier FortiGate pour tlcharger les fichiers suspects automatiquement vers Fortinet pour analyse. Vous pouvez galement ajouter des modles de fichier la liste de soumission automatique en utilisant les mtacaractres (* ou ?). Les modles de fichier sont appliqus lAutoSubmit, sans tenir compte des paramtres de blocage de fichier. Tlchargez les fichiers vers Fortinet selon ltat (filtr ou heuristique) ou soumettez des fichiers individuels directement partir de la liste des fichiers mis en quarantaine. Le botier FortiGate utilise des mails crypts pour soumettre les fichiers un serveur SMTP partir du port 25. Cette option est disponible uniquement sur les botiers FortiGate munis dun disque local. Pour visualiser la liste de soumission automatique, slectionnez Antivirus > Mise en Quarantaine > Soumission automatique.
Illustration 199 : Echantillon dune liste de soumission automatique
Crer Nouveau Nom de fichier
Permet dajouter un nouveau modle de fichier la liste de soumission automatique. La liste en cours de modles de fichier qui sera tlcharge automatiquement. Crez un modle en utilisant les mtacaractres ? ou *. Cochez la case pour activer tous les modles de fichier de la liste. Permet de retirer une entre de la liste. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Icne Supprimer 344
Icne Editer
Permet dditer les informations suivantes : Modle de Fichier et Activer.
Configuration de la liste de soumission automatique

Pour ajouter un modle de fichier une liste de soumission automatique, slectionnez Antivirus > Mise en Quarantaine > Soumission automatique.
Illustration 200 : Nouveau modle de fichier
Filtre Activer
Entrez le modle de fichier ou le nom de fichier tlcharger automatiquement vers Fortinet. Slectionnez pour activer le modle de fichier.
Remarque : Pour activer un tlchargement automatique des modles de fichier configurs, slectionnez Antivirus > Mise en Quarantaine > Config et cochez Activer le tlchargement automatique et slectionnez Utiliser les filtres de nom.
Configuration des options de mise en quarantaine

Slectionnez Antivirus > Mise en Quarantaine > Config pour dfinir des options de configuration de mise en quarantaine, notamment le choix de mettre en quarantaine ou pas les fichiers contamins ou filtrs et partir de quel service. Configurez le TTL et les valeurs de taille de fichiers et activez les paramtres AutoSubmit.
Illustration 201 : Configuration de la mise en Quarantaine (FortiGate avec disque local)
345
Illustration 202 : Configuration de la mise en Quarantaine (FortiAnalyzer dun FortiGate avec disque local)
Illustration 203 : Configuration de la mise en Quarantaine (FortiAnalyzer dun FortiGate sans disque local)
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout dans lavenir.
La configuration de la mise en quarantaine offre les options suivantes :

Options Mise en quarantaine des fichiers contamins: Slectionnez les protocoles partir desquels mettre en quarantaine les fichiers contamins identifis par lanalyseur antivirus. Mise en quarantaine des fichiers suspects: Slectionnez les protocoles partir desquels mettre en quarantaine les fichiers suspects identifis par heuristique. Mise en quarantaine des fichiers bloqus: Slectionnez les protocoles partir desquels mettre en quarantaine les fichiers bloqus identifis par un blocage de fichiers antivirus. Cette option nest pas disponible pour les protocoles HTTP, FTP et IM parce quun nom de fichier est bloqu avant tlchargement et ne peut pas tre mis en quarantaine.
ge limite
Le temps limite en heures pendant lequel les fichiers sont maintenus en quarantaine. Cette limite est utilise pour formuler la valeur dans le colonne TTL de la liste des fichiers mis en quarantaine. Lorsque la limite est atteinte, la colonne TTL affiche EXP. et le fichier est supprim (bien quun enregistrement est maintenu dans la liste des fichiers mis en
346
quarantaine). La valeur 0 (zro) permet un stockage indfini, dpendant de lespace libre sur le disque.
Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Une quarantaine taille maximum trop haute pourrait impacter la performance.
Espace disque faible
Slectionnez laction prendre lorsque le disque local est complet : Ecraser les plus vieux fichiers ou Ne pas mettre en quarantaine les nouveaux fichiers. Slectionnez pour activer le stockage des fichiers bloqus ou en quarantaine sur un botier FortiAnalyzer. Voir Journaux/Alertes la page 409 pour plus dinformations sur la configuration dun botier FortiAnalyzer.
FortiAnalyzer
Activer le tlchargement Active la fonctionnalit de soumission automatique. automatique Slectionnez une ou les deux options ci-dessous : Utiliser les filtres de nom : Active le tlchargement automatique des fichiers correspondants aux modles de fichier dans la liste de soumission automatique. Utiliser le statut des fichiers : Active le tlchargement automatique de fichiers en quarantaine selon leur statut. Slectionnez soit Heuristique, soit Nom filtr. Heuristique est configurable partir de linterface de ligne de commande uniquement. Voir Configuration de lAntivirus partir de linterface de ligne de commande la page 350. Appliquer Enregistre la configuration.
Configuration
La page Config affiche une liste des virus actuels bloqus par le botier FortiGate. Il est galement possible de configurer des limites de tailles de fichiers et de mails, et de bloquer des graywares.
Visualisation de la liste des virus

La liste des virus affiche une liste alphabtique FortiGuard des dfinitions actuelles des virus (appeles galement dfinitions AV) installe sur le botier FortiGate. Celui-ci utilise les dfinitions de virus pour dtecter ou enlever les virus, vers, troyens et autres menaces lorsquils passent travers le botier FortiGate. Visualiser la liste complte ou des parties de cette liste en slectionnant un intervalle numrique ou alphabtique. Pour visualiser la liste des virus, slectionnez Antivirus > Config. La liste FortiGuard des dfinitions de virus est mise jour chaque rception dune nouvelle version FortiGuard des dfinitions AV par le botier FortiGate. LEncyclopdie des Virus du Centre FortiGuard comprend des descriptions dtailles de virus, vers, troyens et autres menaces pouvant tre dtects et retirs par votre botier FortiGate grce aux informations des dfinitions des virus FortiGuard.
Illustration 204 : Liste (partielle) des virus
Les dfinitions AV FortiGuard sont gnralement mises jour automatiquement partir du rseau de distribution FortiGuard (FDN FortiGuard Distribution Network). Slectionnez Systme > Maintenance > FortiGuard Center pour configurer automatiquement les mises jour automatiques des dfinitions AV partir du FDN. Vous pouvez galement mettre jour manuellement les dfinitions AV partir du tableau de bord (slectionnez Systme > Statut).
Visualisation de la liste des Graywares

Les programmes Grayware sont des logiciels commerciaux non dsirs qui sinstallent sur les ordinateurs, en gnral sans lautorisation ni connaissance de lutilisateur. Ces programmes sont considrs comme dsagrments pouvant entraner des problmes de performance, voir tre utiliss des fins malveillantes. Le botier FortiGate procde une analyse en vue des programmes excutables grayware pour chaque catgorie active. La liste et les contenus des catgories sont ajouts ou mis jour chaque rception de mise jour de lantivirus par le botier FortiGate. De nouvelles catgories peuvent tre cres tout moment et seront tlcharges lors de la mise jour antivirus. Par dfaut, toutes les nouvelles catgories sont dsactives. Loption de recherche de Grayware est active dans un profil de protection lorsque Virus Scan est activ. Les catgories Grayware sont composes de fichiers excutables connus. A chaque rception des mises jour des dfinitions antivirus et IPS par le botier FortiGate, les catgories grayware sont mises jour.
Pour visualiser la liste Grayware, slectionnez Antivirus > Config > Grayware.
348
Illustration 205 : Echantillons des options grayware
Lactivation dune catgorie grayware entrane le blocage de tous les fichiers rpertoris dans cette catgorie. Les catgories peuvent tre modifies ou compltes lors des mises jour. Choisissez parmi les catgories suivantes, celles que vous voulez bloquer :
Adware Blocage des programmes adware. Les adwares sont gnralement ancrs dans des logiciels gratuits qui entranent lapparition de publicits chaque ouverture ou utilisation du programme. Blocage des Browser Helper Object. Les BHO sont des fichiers DDL souvent installs dans des logiciels de manire ce que ce logiciel puisse contrler le comportement de lInternet Explorer 4.x et plus. Certains BHO sont bienveillants, mais il y a toujours un risque potentiel de rassembler des informations sur les habitudes de navigation. Blocage des programmes dialer. Les dialers sont des petits programmes qui peuvent se crer une nouvelle connexion Internet des numros surtaxs ou longues distances via les modems dautres PC. Blocage des programmes de tlchargement. Les tlchargements ont gnralement lieu lors du dmarrage Windows et sont destins installer des logiciels, en particulier des publicits. Blocage de games. Les games sont en gnral des blagues ou jeux que vous voudrez probablement interdire aux utilisateurs du rseau. Blocage des outils des attaquants. Blocage des programmes des substitueurs de navigateur. Les substitueurs de navigateur entranent des modifications des paramtres du navigateur Internet, notamment dans les favoris, signets, page daccueil et options des menus. Blocage des programmes joke. Ces programmes peuvent comprendre des curseurs clients qui apparaissent pour affecter le systme. Blocage des programmes Enregistreurs de frappe. Ces programmes enregistrent la frappe des touches sur le clavier notamment les mots de passe, les messages instantans et les discussions sur forum. Blocage de nimporte quel programme compris dans la catgorie grayware miscellaneous . Blocage des Network Management Tools. Ces outils de gestion des rseaux peuvent tre installs et utiliss avec malveillance pour modifier les paramtres et perturber la scurit du rseau. 349
BHO
Dial
Download
Game HackerTool Hijacker
Joke Keylog
Misc NMT
P2P
Blocage des programmes de communication peer to peer. P2P, bien qutant un protocole lgitime, est souvent synonyme de programme de partage de fichiers utiliss pour changer de la musique, des films et autres fichiers, souvent en toute illgalit. Blocage des modules dextension. Ces modules dextension viennent se greffer un logiciel principal afin de lui apporter de nouvelles fonctionnalits. Ils sont souvent sans risque. Cependant, certaines barres doutils ou de modules dextensions peuvent tenter de contrler ou enregistrer et envoyer les prfrences de navigation de lutilisateur. Blocage de Remote Administration Tools. Ces outils de gestion distance permettent des utilisateurs extrieurs de modifier et contrler distance un ordinateur du rseau. Blocage des logiciels espions. Les logiciels espions tels que les adware, sont souvent compris dans les logiciels gratuits. Ils permettent de faire des rapports des activits de lutilisateur telles que les habitudes de navigation Internet et de les envoyer un site web de publicit qui les analysera. Blocage des barres doutils clients. Bien que certaines barres doutils sont sans risque, les dveloppeurs de logiciels espions utilisent des barres doutils pour contrler les habitudes de navigation et envoient ces informations au dveloppeur.
Plugin
RAT
Spy
Toolbar
Configuration de lAntivirus partir de linterface de ligne de commande

Cette section parcourt les commandes CLI offrant des fonctionnalits supplmentaires que celles de linterface dadministration web. Pour des descriptions et exemples complets sur lajout de fonctionnalits partir de linterface de ligne de commande, reportez-vous au FortiGate CLI Reference.
system global optimize

Cette fonctionnalit configure les paramtres CPU pour assurer un fonctionnement efficace de lanalyseur antivirus ou de passage direct du trafic travers le botier FortiGate. Lorsque cette fonction est dfinie sur antivirus, le botier FortiGate utilise un procd de traitement multiple symtrique pour tendre les tches antivirus divers CPU, rendant ainsi lanalyse plus rapide. Cette fonction est disponible sur les modles FortiGate-1000 et plus. Pour plus dinformations, voir larticle Antivirus failopen and optimization sur le site de la Base de Connaissance Fortinet.
config antivirus heuristic

Lengin antivirus heuristique FortiGate excute des tests sur les fichiers pour dtecter des comportements susceptibles dtre effectus par des virus ou des indicateurs de virus connus. Une analyse heuristique est lance en dernier, aprs que le filtrage des fichiers et lanalyse antivirus naient donn aucun rsultat. Lanalyseur heuristique peut donc trouver de nouveaux virus mais risquent galement de produire des rsultats errons. Lengin heuristique est activ par dfaut pour laisser passer les fichiers suspects vers le destinataire et envoyer une copie en quarantaine. Une fois configure dans linterface de ligne de commande, lanalyse heuristique est active dans un profil de protection lorsque le Virus Scan est activ.
350
Utilisez la commande heuristique pour modifier le mode danalyse heuristique.
config antivirus quarantine

La commande quarantaine donne galement lieu une configuration des paramtres lis lanalyse heuristique. Cette fonction est disponible sur les modles FortiGate-200 et plus.
config antivirus service <service_name>

Utilisez cette commande pour configurer le traitement de lanalyse antivirus de gros fichiers dans le trafic HTTP, FTP, IM, POP3, IMAP ou SMTP, ainsi que les ports que le botier FortiGate analyse pour le service.
351
Protection contre les Intrusions

Le systme de Prvention dIntrusion FortiGuard (IPS - Intrusion Prevention System) combine la dtection et la prvention des intrusions danomalies et de signatures, et ce avec la garantie dune haute fiabilit. Le systme IPS offre un accs de configuration des options IPS actives lors de la cration des profils de protection pare-feu. Cette section couvre les sujets suivants : A propos de la protection contre les intrusions Signatures prdfinies Signatures personnalises Dcodeurs de protocoles Anomalies Configuration de lIPS partir de linterface de ligne de commande
A propos de la protection contre les intrusions

Le botier FortiGate peut enregistrer le trafic suspect dans des journaux, envoyer des mails dalerte aux administrateurs et journaliser, passer, abandonner, rinitialiser ou supprimer les paquets ou sessions suspects. Il est important dajuster des seuils danomalies IPS pour un fonctionnement optimal du trafic sur les rseaux protgs. La cration de signatures personnalises permet de personnaliser le systme IPS FortiGate pour des environnements rseaux divers. LIPS FortiGate correspond au trafic rseau contre les modles contenus dans les signatures IPS. La fiabilit de ces signatures protge votre rseau des attaques connues. Linfrastructure du FortiGuard de Fortinet assure une identification rapide des nouvelles menaces et le dveloppement de nouvelles signatures IPS. Les services FortiGuard forment des ressources prcieuses et comprennent des mises jour automatiques des engins et dfinitions antivirus et IPS (attaques) grce au Rseau de Distribution FortiGuard (FDN FortiGuard Distribution Network). Le Centre FortiGuard offre galement une encyclopdie de virus et attaques et publie le bulletin de FortiGuard. Visitez le site de la Base de Connaissance Fortinet pour plus de dtails et un lien vers le Centre FortiGuard. La connexion entre le botier FortiGate et FortiGuard est configure dans Systme > Maintenance > FortiGuard Center. Voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186 pour plus dinformations. Vous pouvez configurer le botier FortiGate pour tlcharger automatiquement les fichiers de dfinitions des attaques mis jour qui contiennent les signatures les plus rcentes. Vous pouvez galement les tlcharger manuellement. Une alternative est de configurer le botier FortiGate de manire ce quil autorise les mises jour forces des fichiers de dfinitions des attaques ds que ceux-ci sont disponibles sur le FDN.
352
Lorsque le botier FortiGate installe un fichier de dfinition des attaques mis jour, il vrifie que la configuration par dfaut de chaque signature a t modifie. Si cest le cas, ces modifications seront maintenues. Vous pouvez crer des signatures IPS personnalises que le botier FortiGate utilisera en plus de sa vaste liste de signatures IPS prdfinies. A chaque dtection ou empchement dune attaque, un message dattaque est gnr. Vous pouvez configurer le botier FortiGate pour quil ajoute le message au Journal des Attaques et envoie un mail dalerte aux administrateurs. Dfinissez alors quel intervalle le botier FortiGate doit envoyer un mail dalerte. Vous pouvez rduire le nombre de messages journaliss et dalertes en dsactivant les signatures pour les attaques auxquelles le systme nest pas vulnrable, par exemple, les attaques web en labsence de fonctionnement du serveur web. La journalisation de paquets fournit aux administrateurs la possibilit danalyser les paquets pour une dtection de faux positifs. Pour plus dinformations sur la journalisation et les mails dalertes FortiGate, voir Journaux/Alertes la page 409. Configurez lIPS et activez ou dsactivez ensuite toutes les signatures ou toutes les anomalies dans les profils de protection pare-feu individuels.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Le tableau 35 dcrit les paramtres IPS et comment y accder pour les configurer.
Tableau 35 : IPS des profils de protection et configuration IPS Options IPS des profils de protection Paramtres IPS Signature IPS Activer ou dsactiver les signatures IPS par niveau de svrit. Intrusion Protection > Signature Visualiser et configurer une liste de signatures prdfinies. Crer des signatures personnalises bases sur les ncessits du rseau. Configurer des dcodeurs de protocoles. Intrusion Protection > Anomaly Visualiser et configurer une liste danomalies prdfinies. Intrusion Protection > Anomaly > [individual anomaly] Activer la journalisation pour chaque signature ou groupe de signatures. Activer la journalisation de paquets pour chaque signature ou anomalie.
Anomalie IPS Activer ou dsactiver les anomalies IPS par niveau de svrit. Journaux des Intrusions Activer la journalisation de toutes les signatures et intrusions danomalies.
Pour accder aux options IPS des profils de protection, slectionnez Pare-feu > Profil de protection, cliquez sur Editer ou Crer Nouveau et slectionnez IPS.
353
Signatures prdfinies
Les signatures prdfinies sont arranges en groupes bass sur le type des attaques. Par dfaut, toutes les signatures ne sont pas actives mais la journalisation de toutes les signatures est active. Veillez ce que le paramtrage par dfaut rpondent aux exigences du trafic du rseau. La dsactivation de signatures inutiles peut amliorer la performance du systme et rduire le nombre de messages journaliss et les mails dalertes gnrs par lIPS. Par exemple, lIPS dtecte un grand nombre dattaques du serveur web. Si laccs un serveur web derrire le botier FortiGate nest pas prvu, dsactivez toutes les signatures des attaques du serveur web. Les groupes de signatures comprennent des paramtres configurables dpendant du type de signature dans le groupe de signatures. Les paramtres configurs pour un groupe de signature sappliquent toutes les signatures de ce groupe.
Visualisation de la liste de signatures prdfinies

Vous pouvez activer ou dsactiver et configurer les paramtres pour les signatures prdfinies individuelles de la liste. Cette liste peut tre visualise par niveau de svrit de la signature.
Pour visualiser la liste des signatures prdfinies, slectionnez Intrusion Protection > Signature > Predefined.
Illustration 206 : Liste des signatures prdfinies
Voir les signatures prdfinies avec la svrit : Nom des signatures Activer
Slectionnez des filtres et cliquez ensuite sur Go pour visualiser les signatures rpondant aux critres des filtres. Les critres de tri peuvent tre <=, =, >=, Tout, Information, Low, Medium, High ou Critical. Le nom du groupe de signatures. Ltat des signatures du groupe. Un cercle vert indique que chaque signature dans le groupe est active. Un cercle gris Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
354
indique quaucune signature dans le groupe nest active. Un cercle mi-gris, mi-vert indique que certaines signatures sont actives et dautres pas. Journaliser Ltat de la journalisation pour les signatures du groupe. Par dfaut, la journalisation est active pour toutes les signatures. Lorsque la journalisation est active, laction apparat dans le champ Etat (Status ou Statut) du message journalis gnr par la signature. Laction dfinie pour les signatures individuelles. Cliquez sur le triangle bleu pour faire apparatre les membres du groupe de signatures. Laction peut tre Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session, ou Supprimer la session. En cas dactivation de la journalisation, laction apparat dans le champ Etat du message journalis gnr par la signature. Voir le Tableau 36 pour une description de ces actions. Le niveau de svrit dfini pour chacune de ces signatures. Ce niveau peut tre Information, Low, Medium, High ou Critical. Le niveau de svrit est dfini pour les signatures individuelles. Le nombre de rvision pour les signatures individuelles. Pour afficher les membres du groupe de signatures, cliquez sur le triangle bleu. Configurez les paramtres pour les signatures individuelles ou un groupe entier. Les modifications apportes aux paramtres dun groupe sappliquent tous les membres de ce groupe. De cette manire, cela permet dactiver ou de dsactiver tous les membres dun groupe en une seule opration.
Action
Svrit
Rvision
Icne Configurer
Icne Rinitialiser (Reset) Cette icne apparat uniquement lorsque le paramtrage par dfaut dune signature ou dun groupe a t modifi. Cliquez sur la flche bleue pour drouler le groupe de signatures pour visualiser les signatures qui ont t modifies. Slectionner cette icne pour une signature rtablit son paramtrage par dfaut. Slectionner cette icne pour un groupe rtablit le paramtrage par dfaut du groupe et de toutes les signatures membres du groupe.
355
Le tableau 36 dcrit chaque action possible pour les signatures prdfinies, personnalises ou les anomalies.
Tableau 36 : Actions slectionner pour chaque signature prdfinie Action Description Laisser passer Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et autorise le paquet travers le pare-feu sans action supplmentaire. Si la journalisation est dsactive et laction tablie sur Laisser passer, la signature est effectivement dsactive. Rejeter Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. La session pare-feu est intouche. Fortinet recommande lutilisation dune autre action que Rejeter pour les attaques bases sur des connexions TCP. Rinitialiser Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. Le botier FortiGate envoie une rinitialisation au client et au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne sapplique quaux connexions TCP. Les attaques non TCP dfinies avec ce paramtre verront leur session supprime. Dans le cas o laction Rinitialiser est enclenche avant que la connexion TCP soit entirement tablie, la session est supprime. Rinitialiser ct client Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. Le botier FortiGate envoie une rinitialisation au client et rejette la session pare-feu de la table de session pare-feu. Ceci ne sapplique quaux connexions TCP. Les attaques non TCP dfinies avec ce paramtre verront leur session supprime. Dans le cas o laction Rinitialiser ct client est enclenche avant que la connexion TCP soit entirement tablie, la session est supprime. Rinitialiser ct serveur Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. Le botier FortiGate envoie une rinitialisation au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne sapplique quaux connexions TCP. Les attaques non TCP dfinies avec ce paramtre verront leur session supprime. Dans le cas o laction Rinitialiser ct serveur est enclenche avant que la connexion TCP soit entirement tablie, la session est supprime. Rejeter tous les paquets Lorsquun paquet active une signature, le botier de la session FortiGate gnre une alerte et rejette le paquet. Les paquets suivants de cette session pare-feu sont galement rejets. Laisser passer la session Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et autorise le paquet travers le pare-feu. Les paquets suivants de cette session contournent lIPS. Supprimer la session Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et la session laquelle appartient ce paquet est immdiatement retire de
356
la table de session. Aucun rinitialisation nest envoye. Pour TCP, tous les paquets suivants sont rejets. Pour UDP, tous les paquets suivants peuvent enclencher une nouvelle session cre par le parefeu.
Configuration de groupes de signatures prdfinies

Pour modifier rapidement et facilement les attributs de toutes les signatures dun groupe, cliquez sur licne Configurer du groupe de signatures associ. Seuls les attributs modifis dans une fentre de configuration dun groupe sont appliques aux signatures de ce groupe.
Illustration 207 : Configuration de groupes de signatures IPS prdfinies
Signature Activer Journaliser Action
Le groupe de signatures auquel les changements seront appliqus. Active toutes les signatures du groupe. Active la journalisation pour toutes les signatures du groupe. Slectionnez une action de la liste appliquer toutes les signatures du groupe. Les diffrentes action sont : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles.
Packet Log Severity
Configuration des signatures prdfinies

Pour chaque signature, configurez laction que lIPS FortiGate doit prendre lors de la dtection dune attaque. LIPS FortiGate peut laisser passer, rejeter, rinitialiser ou supprimer les paquets ou les sessions. Activez ou dsactivez la journalisation de paquets. Slectionnez un niveau de svrit appliquer la signature. Pour configurer des groupes de signatures, slectionnez Intrusion Protection > Signature > Predefined.
357
Illustration 208 : Configuration des signatures IPS prdfinies.
Action
Slectionnez une des actions de la liste : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles.
Packet Log Svrit
Signatures personnalises
Les signatures personnalise offrent le pouvoir et la flexibilit de personnaliser lIPS FortiGate pour des environnements rseaux divers. Les signatures prdfinies FortiGate couvrent les attaques les plus courantes. Si une application inhabituelle ou spcialise ou encore une plateforme peu commune est utilise, vous pouvez ajouter des signatures personnalises en fonction des alertes de scurit publies par les vendeurs de lapplication ou de la plateforme.
Visualisation de la liste des signatures personnalises

Pour visualiser la liste des signatures personnalises, slectionnez Intrusion Protection > Signature > Custom.
Illustration 209 : Liste des signatures personnalises
Voir les signatures personnalises avec la svrit
Slectionnez les filtres et cliquez ensuite sur Go pour visualiser les signatures personnalises qui correspondent ces critres. Les diffrents critres sont <+, =, >= pour Tout, Information, Low, Medium, High ou Critical. Activez ou dsactivez le groupe de signatures personnalises Permet de crer un nouvelle signature personnalise. Supprime toutes les signatures personnalises du groupe. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Activer les signatures personnalises Crer nouveau Icne Supprimer toutes les
358
signatures personnalises Icne Rinitialiser aux valeurs par dfaut ? Nom des signatures Activer Journaliser Rinitialise les paramtres par dfaut toutes les signatures personnalises. Le nom des signatures. Ltat de chaque signature personnalise. Une case coche signifie que la signature est active. Le statut de la journalisation pour chaque signature personnalise. Une case coche signifie que la journalisation est active pour cette signature. Laction tablie pour chacune des signatures personnalises. Les diffrentes actions sont : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est active, laction apparat dans le champ Etat du message journalis gnr par la signature. Voir le tableau 36 pour une description des actions. Le niveau de svrit pour chaque signature personnalise. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles. Permet de supprimer une signature personnalise. Permet dditer les informations suivantes : Nom, Signature, Action, Packet Log et Svrit.
Action
Svrit
Cration de signatures personnalises

Lutilisation de signatures personnalises sert bloquer ou permettre des trafics spcifiques. Par exemple, pour bloquer le trafic comprenant un contenu pornographique, ajoutez des signatures personnalises similaires au modle suivant : F-SBID (--protocol tcp ; --flow established ; --content nude cheerleader ; -no_case) Lors de lajout de la signature, dfinissez laction sur Rejeter tous les paquets de la session. Pour plus dinformations sur la syntaxe des signatures personnalises, voir le FortiGate Intrusion Protection System (IPS) Guide.
Remarque : Les signatures personnalises consistent en une fonction avance. Ce document prsume que lutilisateur a lexprience ncessaire pour crer des signatures de dtection dintrusions.
Pour crer une signature personnalise, slectionnez Intrusion Protection > Signature > Custom.
359
Illustration 210 : Configurer une signature personnalise
Nom des signatures Signature
Le nom de la signature personnalise. Entrez la signature personnalise. Pour plus dinformations sur la syntaxe des signatures personnalises, voir le FortiGate Intrusion Protection System (IPS) Guide. Slectionnez une action de la liste : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles.
Action
Packet Log Svrit
Dcodeurs de protocoles
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau qui tente dexploiter des failles connues. Activez ou dsactivez la journalisation pour chaque anomalie de protocole, et configurez laction IPS prendre en cas de dtection danomalie. Utilisez les commandes CLI pour configurer le contrle de la session en fonction des adresses rseaux source et de destination. La liste de dtection des anomalies des protocoles peut uniquement tre mise jour lors de la mise jour de limage logicielle botier FortiGate.
360
Visualisation de la liste de dcodeurs de protocoles

Pour visualiser la liste de dcodeurs, slectionnez Intrusion Protection > Signature > Protocol Decoder.
Illustration 211 : Un chantillon de la liste des dcodeurs de protocoles
Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas tre dsactivs. Les fonctions IM et P2P ont besoin de ces dcodeurs pour fonctionner. Cependant, le dcodeur individuel peut tre dsactiv. Voir les protocol decoders Slectionnez les filtres et cliquez ensuite sur OK pour avec la svrit visualiser les seuls dcodeurs qui correspondent aux critres des filtres. Les diffrents filtres sont <=, =, >= pour Tous, Information, Low, Medium, High ou Critical. Nom Activer Journaliser Le nom du dcodeur de protocole. Ltat du dcodeur de protocole. Une case coche signifie que la signature du dcodeur est active. Le statut de la journalisation pour chaque dcodeur de protocole. Une case coche signifie que la journalisation est active pour le dcodeur. Les groupes de dcodeurs utilisent un indicateur graphique pour le statut de la signature dans le groupe. Un cercle vert signifie que toutes les signatures du groupe sont actives. Un cercle gris indique quaucune signature du groupe na t active. Un cercle mi-vert, mi-gris signifie que certaines signatures sont actives et dautres pas. Action Laction dfinie pour chaque dcodeur de protocoles : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est active, laction apparat dans le champ statut du message journalis gnr par le dcodeur. Voir le tableau 36 pour une description des actions. Le niveau de svrit pour chaque anomalie de protocole. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les dcodeurs individuels. Permet dditer les attributs du groupe de dcodeurs de protocoles. Cette icne saffiche uniquement lorsquun dcodeur a t modifi. Utilisez cette icne pour restaurer les valeurs initiales des paramtres recommands.
Svrit
Icne Configurer Icne Rinitialiser
361
Configuration des groupes de dcodeurs de protocoles IPS

De nombreux groupes danomalies de protocole ont des proprits spares des signatures du groupe. Slectionnez licne Configurer du groupe de dcodeurs de protocoles afin dditer les proprits de ce groupe. Ldition de la configuration du groupe ne modifiera pas les paramtres des anomalies individuelles du groupe. Chaque groupe danomalies de protocole possde ses proprits spcifiques. Modifier lune de ces proprits impacte le fonctionnement du groupe. La manire dont les changements affectent le groupe peuvent varier pour chaque groupe.
Illustration 212 : Editer un Groupe dAnomalies de Protocole : HTTP
Configuration des dcodeurs de protocoles IPS

Chaque anomalie de trafic IPS est prdfinie par une configuration recommande. Vous pouvez utiliser ces configurations recommandes ou les modifier pour rpondre aux besoins de votre rseau. Pour configurer les anomalies de trafic IPS, slectionnez Intrusion Protection > Signature > Protocol Decoder.
Illustration 213 : Editer une anomalie de protocole IPS : tcp_reassembler, stealth activity
Action
Slectionnez une action de la liste droulante : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Activer la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante : Information, Low, Medium, High, Critical.
Packet Log Svrit
Anomalies
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau ne correspondant pas aux modles de trafic connu ou prdfini. LIPS FortiGate identifie quatre types danomalies statistiques pour les protocoles TCP, UDP et ICMP.
Flooding Si le nombre de sessions ciblant une seule destination en une seconde dpasse un seuil spcifi, la destination est submerge (flooding). Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
362
Scan Limite de la session de la source
Si le nombre de sessions provenant dune seule source en une seconde dpasse un seuil spcifi, la source est analyse. Si le nombre de sessions en cours partir dune seule source dpasse un seuil spcifi, la limite de la session de la source est atteinte. Si le nombre de sessions en cours vers une seule destination dpasse un seuil spcifi, la limite de la session de la destination est atteinte.
Limite de la session de la destination
Il vous faut activer ou dsactiver la journalisation pour chaque anomalie de trafic, et configurer laction IPS enclencher en rponse la dtection dune anomalie. Dans de nombreux cas, les seuils utiliss par lanomalie pour dtecter des modles de trafic qui pourraient reprsenter une attaque sont configurables.
Remarque : Il est important de connatre le trafic rseau normal et attendu avant de modifier les seuils danomalie par dfaut. Etablir un seuil trop bas pourrait causer des faux positifs, et linverse, tablir un seuil trop lev pourrait laisser passer des attaques.
Pour configurer un contrle de la session bas sur les adresses rseau source et de destination, utilisez les commandes CLI. La mise jour de la liste de dtection des anomalies de trafic a lieu lors de la mise jour de limage logicielle sur le botier FortiGate.
Visualisation de la liste des anomalies de trafic

Pour visualiser la liste des anomalies, slectionnez Intrusion Protection > Anomaly.
Illustration 214 : Un chantillon de la liste des anomalies de trafic
Voir les anomalies de trafic avec la svrit
Slectionnez les filtres et cliquez ensuite sur Go pour afficher les anomalies qui correspondent aux critres des filtres : Les critres sont <=, =, >= pour Tous, Information, Low, Medium, High, Critical. Le nom de lanomalie de trafic. Ltat de lanomalie de trafic. Une case coche signifie que la signature de lanomalie est active. Ltat de la journalisation pour chaque anomalie de trafic. Une case coche signifie que la journalisation de lanomalie est active. 363
Nom Activer Journaliser
Action
Laction dfinie pour chaque anomalie de trafic : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est active, laction apparat dans le champ statut du message journalis gnr par lAnomalie. Voir le tableau 36 pour une description des actions. Le niveau de svrit dfini pour chaque anomalie de trafic. Il existe diffrents niveaux de svrit : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les anomalies individuelles. Permet dditer les informations suivantes : Action, Svrit et Seuil. Cette icne saffiche uniquement si lanomalie a t modifie. Elle permet de restaurer les valeurs par dfaut des paramtres modifis.
Svrit
Icne Editer Icne Rinitialiser
Configuration des anomalies de trafic IPS

Chaque anomalie de trafic IPS est prdfinie par une configuration recommande. Vous pouvez utiliser les configurations recommandes ou les modifier pour rpondre aux besoins de votre rseau. Pour configurer les anomalies de trafic IPS, slectionnez Intrusion Protection > Anomaly.
Illustration 215 : Editer lAnomalie de Trafic IPS : icmp_dst_session
Action
Slectionnez une action de la liste droulante : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Slectionnez un niveau de svrit de la liste droulante : Information, Low, Medium, High, Critical. Dans le cas des anomalies IPS comprenant le paramtre seuil, le trafic dpassant le seuil spcifi enclenche lanomalie.
Svrit Seuil
364
Configuration de lIPS partir de linterface de ligne de commande

Cette section reprend les commandes CLI qui largissent lventail des fonctionnalits disponibles partir de linterface dadministration web. Pour plus de descriptions et exemples complets sur lactivation des fonctionnalits supplmentaires partir de linterface de ligne de commande, voir le FortiGate CLI Reference.
system autoupdate ips

Lorsque lIPS est mis jour, les paramtres modifis par lutilisateur sont conservs. Dans le cas o les paramtres recommands des signatures IPS nont pas t modifis, et que les paramtres de mise jour sont diffrents, les paramtres de la signature seront dfinis en fonction de la commande acceptrecommended-settings.
ips global fail-open

Si, pour quelque raison que ce soit, lIPS devait arrter de fonctionner, par dfaut il laisse passer le trafic. Ce qui signifie que le trafic rseau crucial ne sera pas bloqu, et que les pare-feu continueront doprer jusqu ce que le problme soit rsolu.
ips global ip_protocol

Sauve les ressources du systme en restreignant le traitement IPS aux seuls services autoriss par les rgles pare-feu.
ips global socket-size

Dfinit la taille de la rserve IPS.
(config ips anomaly) config limit

Accdez la sous-commande config limit partir de la commande config ips anomaly <name_str>. Utilisez cette commande pour un contrle de la session bas sur les adresses rseau source et de destination. Cette commande est disponible pour tcp_src_session, tcp_dst_session, icmp_src_session, icmp_dst_session, udp_src_session, udp_dst_session.
365
Filtrage Web
Cette section dcrit comment configurer les options du Filtrage Web. Les fonctions du filtrage web doivent tre actives dans le profil de protection actif pour les paramtres correspondants. Cette section couvre les sujets suivants : Filtrage Web Filtrage par mots-cls Filtre URL Filtrage Web FortiGuard
Filtrage Web
Le filtrage web comprend des modules varis qui excutent des tches spares. Le botier FortiGate effectue le filtrage web dans lordre dapparition des filtres dans le menu de linterface dadministration web : filtrage par mots-cls, filtre URL et filtrage par catgorie (FortiGuard-Web). Le filtrage des scripts est effectu en dernier. Le Filtrage Web FortiGuard est dcrit en dtails dans la section Options du Filtrage Web FortiGuard la page 285. Les corrections dvaluation, ainsi que des suggestions dvaluation pour de nouvelles pages peuvent tre soumises via la page web du Centre FortiGuard. Visitez le site de la Base de Connaissance Fortinet : Fortinet Knowledge Center, pour plus de dtails et un lien vers le Centre FortiGuard. Les tableaux suivants comparent les options de filtrage web dans les profils de protection et le menu du filtrage web.
Tableau 37 : Filtrage Web et configuration du filtrage par mots-cls partir des profils de protection Paramtres du Filtrage Options de filtrage web des profils de protection Web Filtrage par mots-cls Filtrage Web > Filtrage par mots-cls Activer ou dsactiver le blocage de page Ajouter des mots et caractristiques pour web en fonction de mots-cls ou bloquer les pages web contenant ces mots caractristiques interdits dans la liste de ou caractristiques. filtrage par mots-cls pour le trafic HTTP. Tableau 38 : Filtrage Web et configuration du filtrage dURL dans les profils de protection Paramtres du Filtrage Options de filtrage web des profils de protection Web Filtrage dURL Filtrage Web > URL Filter Activer ou dsactiver le filtrage Ajouter les URL et caractristiques dURL pour de page web pour le trafic HTTP dispenser ou bloquer les pages web provenant de en fonction de la liste du filtre sources spcifiques. URL.
366
Tableau 39 : Filtrage Web et filtrage de script Web dans les profils de protection et configuration de tlchargement Paramtres du Filtrage Web Options de filtrage web des profils de protection n/a Filtrage des ActiveX, Filtrage des cookies, Filtrage des Applets Java Activer ou dsactiver le blocage scripts de page web pour le trafic HTTP. Blocage Web resume Download n/a Activez pour bloquer le tlchargement du reste dun fichier dj partiellement tlcharg. Cette option empche le tlchargement involontaire des virus, mais peut par contre entraner des interruptions dans le tlchargement. Tableau 40 : Filtrage Web et configuration du filtrage de catgories web dans les profils de protection Paramtres du Filtrage Web Options de filtrage web des profils de protection FortiGuard Web Filter > Configuration Activer le Filtrage Web FortiGuard (HTTP uniquement). FortiGuard Web Filter > Override Activer lOverride du Filtrage Web FortiGuard (HTTP uniquement). Fournit le dtail des erreurs HTTP 4xx et 5xx bloques (HTTP uniquement). Evalue les images par URL (les images bloques sont remplaces par des blancs) (HTTP uniquement). Autorise les sites web lorsquune erreur dvaluation a lieu (HTTP uniquement). Blocage strict (HTTP uniquement). Catgorie / Action Le service de Filtrage Web FortiGuard fournit de nombreuses catgories partir desquelles le trafic web peut tre filtr. Choisissez laction prendre pour chaque catgorie : autorise, bloque, journalise ou autorise loverride. Les catgories locales peuvent tre FortiGuard Web Filter > Catgories locales/Local configures pour convenir aux besoins locaux. Ratings Classification / Action Si slectionns, les utilisateurs peuvent accder aux sites web fournissant des contenus sauvegards et des moteurs de recherche de fichiers image, son et vido. Choisissez entre autorise, bloque, journalise ou autorise loverride.
Pour accder aux options de filtrage web des profils de protection, slectionnez Pare-feu > Profil de protection, cliquez sur Editer ou Crer Nouveau et slectionnez Filtrage Web ou Filtrage par Catgorie Web.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits de filtrage web sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
367
Filtrage par mots-cls

Vous pouvez contrler le contenu du web en bloquant des mots ou caractristiques spcifis. Si cette option est active dans le profil de protection, le botier FortiGate recherche ces mots et caractristiques sur les pages web demandes. Dans le cas o des correspondances sont trouves, les valeurs affectes ces mots sont additionnes. La page web est bloque lorsque la valeur seuil pour cet utilisateur est dpasse. Utilisez des expressions rgulires en Perl ou des mta-caractres (wildcard) pour ajouter des modles de mots interdits la liste.
Remarque : Les expressions rgulires en Perl sont sensibles la casse des caractres pour le filtrage par mots-cls. Pour modifier cela et rendre le mot ou la phrase insensible la casse des caractres, utilisez lexpression /i. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse. Les mta-caractres (wildcards) ne sont pas sensibles la casse des caractres.
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus)

Vous pouvez ajouter de multiples listes de blocage de contenu Web pour les modles FortiGate-800 et plus, et slectionnez ensuite la meilleure liste pour chaque profil de protection. Pour visualiser le catalogue des listes, slectionnez Filtrage Web > Filtrage par mots-clefs. Pour visualiser nimporte quelle liste de blocage de contenu web, cliquez sur licne Editer de la liste correspondante.
Illustration 216 : Echantillon dun catalogue de listes de blocage de contenu web
Crer Nouveau
Pour ajouter une nouvelle liste au catalogue, entrez un nom et slectionnez Ajouter. Les nouvelles listes sont vides par dfaut. Les listes de filtrage par mots-cls disponibles. Le nombre de mots-cls dans chaque liste. Le profil de protection auquel sapplique chacune des listes. Description facultative de chaque liste de filtrage par motscls. Slectionnez pour retirer la liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Slectionnez pour diter une liste, un nom de liste ou un commentaire.
Nom # dentres Profils Commentaire Icne Supprimer
Icne Editer
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour plus dinformations, voir Options du Filtrage Web la page 283.
368
Cration dune nouvelle liste de blocage de contenu Web (Modle botier FortiGate-800 et plus)
Pour ajouter une liste de blocage de contenu Web au catalogue, slectionnez Filtrage Web > Filtrage par mots-cls et cliquez sur Crer Nouveau.
Illustration 217 : Nouvelle liste de blocage de contenu web
Nom Commentaire
Entrez un nom la liste. Entrez un commentaire pour dcrire la liste, si ncessaire.
Visualisation de la liste de blocage de contenu Web

Grce lactivation de blocage de contenu Web, chaque page web demande est compare la liste de blocage de contenu. La valeur du score de chaque modle apparaissant sur la page est additionne. Si le total dpasse la valeur seuil dfinie dans le profil de protection, la page est bloque. Le score dun modle est calcul une seule fois mme sil apparat plusieurs reprises sur la page. Pour visualiser la liste de blocage du contenu Web sur les modles 500 et moins, slectionnez Filtrage Web > Filtrage par mots-clefs.
Illustration 218 : Echantillon dune liste de blocage de contenu Web pour les FortiGate-500 et moins
Pour visualiser la liste de blocage du contenu Web sur les modles 800 et plus, slectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur licne Editer dune liste que vous voulez visualiser.
369
Illustration 219 : Echantillon dune liste de blocage de contenu Web pour les FortiGate-800 et plus
Remarque : Activer Filtrage Web > Web Content Block dans un profil de protection pare-feu pour activer les paramtres de blocage de contenu. Nom Nom de la liste de blocage de contenu. Pour modifier le nom, diter le texte dans le champ et cliquez sur OK. Le champ Nom saffiche sur les modles FortiGate 800 et plus. Commentaire facultatif. Pour ajouter ou diter un commentaire, entrez un texte dans le champ Commentaire et cliquez sur OK. Le champ Commentaire saffiche sur les modles FortiGate800 et plus. Permet dajouter un modle la liste. Le nombre de modles dans la liste. Permet dafficher la page prcdente. Permet dafficher la page suivante. Permet de supprimer les entres de la table. La liste en cours des modles. Cochez la case pour activer tous les modles de la liste. Le type de modle utilis dans lentre de la liste de modles. Choisissez entre Wildcard (mta-caractre) ou Expression rgulire. Voir Utilisation des expressions rgulires en Perl la page 400. Le caractre du modle. Choisissez entre Chinois Simplifi, Chinois Traditionnel, Franais, Japonais, Coren, Tha ou Occidental. Une valeur numrique affecte au modle. Les valeurs des scores de tous les modles correspondants apparaissant sur la page sont additionnes. Si le total dpasse la valeur seuil dfinie dans le profil de protection, la page est bloque. Permet de supprimer une entre de la liste. Permet dditer les informations suivantes : Modles, Type de modles, Langage, Activer.
Commentaire
Crer Nouveau Total Icne Haut de page Icne Bas de page Icne Supprimer toutes les entres Modles Type de modles
Langage
Score
370
Configuration de la liste de blocage de contenu web

Les modles de contenu web peuvent tre entrs sous forme de mot ou de texte jusqu 80 caractres de long. Le nombre maximum de mots-cls dans la liste est de 5000. Pour ajouter ou diter un modle de blocage de contenu, slectionnez Filtrage Web > Content Block.
Illustration 220 : Nouveau modle banni
Modle
Entrez un modle de blocage de contenu. Si vous entrez un mot, le botier FortiGate recherche ce mot sur toutes les pages web. Si vous entrez une phrase, il recherche tous les mots de la phrase sur toutes les pages web. Si vous entrez une phrase entre guillemets, il recherche la phrase entire sur toutes les pages web. Slectionnez un type de format de la liste droulante : Wildcard ou Expression Rgulire. Slectionnez une langue de la liste droulante. Entrez un score pour le modle. Cochez cette case pour activer le modle.
Type de format Langage Score Activer
Visualisation du contenu de la liste dexemption des contenus Web (modles FortiGate-800 et plus)
Vous pouvez ajouter de multiples listes dexemption des contenus Web pour les modles FortiGate-800 et plus, et slectionner ensuite la meilleure liste pour chaque profil de protection. Pour visualiser le contenu de ces listes, slectionnez Filtrage Web > Filtrage par mots-cls > Web Content Exempt. Pour visualiser chaque liste dexemption des contenus Web individuellement, cliquez sur licne Editer de la liste correspondante.
Illustration 221 : Echantillon dun catalogue de liste dexemption des contenus Web
Crer Nouveau
Pour ajouter une nouvelle liste au catalogue, entrez un nom et slectionnez Ajouter. Les nouvelles listes sont vides par dfaut. Les listes dexemption des contenus Web disponibles. Le nombre de modles de contenu dans chaque liste de blocage de contenu web. 371
Nom # dentres
Profils Commentaire Icne Supprimer
Le profil de protection appliqu chaque liste. Description facultative de chaque liste. Permet de retirer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer une liste, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes dexemption des contenus Web dans les profils de protection. Pour plus dinformations, voir Options de filtrage web la page 283.
Cration dune nouvelle liste dexemption des contenus Web (modles FortiGate800 et plus)
Pour ajouter une liste dexemption des contenus Web au catalogue, slectionnez Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur Crer Nouveau.
Illustration 222 : Nouvelle liste dexemption des contenus Web
Nom Commentaire
Entrez un nom cette nouvelle liste. Entrez, si ncessaire, un commentaire qui dcrive cette liste.
Visualisation de la liste dexemption des contenus Web

Les exemptions autorisent loverriding de la fonction de blocage de contenu web. Si lun des modles dexemption dfini dans la liste dexemption des contenus Web (web content exempt list) apparat sur une page web, celle-ci ne sera pas bloque mme si elle aurait d ltre par la fonction de blocage de contenu web. Pour visualiser la liste dexemption des contenus Web sur les modles FortiGate500 et moins, slectionnez Filtrage Web > Blocage par mots-clefs > Web Content Exempt.
Illustration 223 : Echantillon dune liste dexemption des contenus Web pour les modles FortiGate-500 et moins
Pour visualiser la liste dexemption des contenus Web sur les modles FortiGate800 et plus, slectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt et cliquez sur licne Editer de la liste visualiser.
372
Illustration 224 : Echantillon dune liste dexemption des contenus Web pour les modles FortiGate-800 et plus
Remarque : Pour activer les paramtres des contenus exempts, activez Filtrage Web > Web Content Exempt dans un profil de protection pare-feu.
La liste dexemption des contenus Web offre les icnes et fonctionnalits suivantes :
Nom Le nom de la liste. Pour le modifier, entrez un nouveau nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Un commentaire facultatif. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez ensuite sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Permet dajouter un modle la liste. Le nombre de modles dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer la table. La liste des modles en cours. Cochez la case pour activer tous les modles de la liste. Le type de modle utilis par cette entre. Choisissez entre Wildcard ou Expression Rgulire. Voir Utilisation des expressions rgulires en Perl la page 400. Les caractres utiliss par le modle : Chinois simplifi, Chinois traditionnel, Franais, Japonais, Coren, Tha ou Occidental. Permet de supprimer lentre de la liste. Permet dditer les informations suivantes : Modle, Type de modle, Langage et lactivation.
Commentaire
Crer Nouveau Total Icne Haut de page Icne Bas de page Icne Supprimer toutes les entres Modle Type de modle
Langage
Configuration de la liste dexemption des contenus Web

Les modles de contenu web exempt se trouve sous la forme dun mot ou dune phrase longue de maximum 80 caractres. La liste peut contenir jusqu 5000 mots.
373
Pour ajouter ou diter un modle dexemption, slectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt.
Illustration 225 : Nouveau modle dexemption
Modle
Entrez le modle dexemption. Dans le cas dun mot unique, le botier FortiGate recherche le mot dans toutes les pages web. Dans le cas dune phrase, le botier FortiGate recherche chaque mot de la phrase dans toutes les pages web. Dans le cas dune phrase entre guillemets, le botier FortiGate recherche la phrase entire dans toutes les pages web. Slectionnez un type de modle dans la liste droulante : Wildcard ou Expression Rgulire. Slectionnez un type de caractres dans la liste droulante. Cochez pour activer le modle.
Type de modle Langage Activer
Filtre URL
Vous pouvez autoriser ou bloquer laccs certaines URL en les ajoutant la liste de filtre URL. Cela se fait par lajout de modles utilisant du texte et des expressions rgulires (ou des mta-caractres). Le botier FortiGate autorise ou bloque les pages web correspondantes aux URL ou modles spcifis et affiche un message de remplacement la place de la page.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL Filter dans un profil de protection pare-feu.
Remarque : Le blocage dURL nempche pas laccs aux autres services que les utilisateurs ont sur leur navigateur web. Par exemple, le blocage dURL ne bloque pas laccs ftp://ftp.exemple.com. A la place, utilisez des rgles pare-feu pour bloquer les connexions FTP.
Visualisation du catalogue des listes de filtres URL (Modles FortiGate-800 et plus)

Vous pouvez ajouter plusieurs listes de filtres URL pour les modles FortiGate-800 et plus, et slectionner ensuite la liste de filtres URL la plus approprie chaque profil de protection. Pour visualiser le catalogue de ces listes, slectionnez Filtrage Web > URL Filter. Pour visualiser une liste de filtres URL individuellement, cliquez sur licne Editer de la liste visualiser.
374
Illustration 226 : Echantillon du catalogue des listes de filtres URL
Crer Nouveau Nom # dentres Profils Commentaire Icne Supprimer
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont par dfaut vide. Les listes de filtres URL disponibles. Le nombre de modles URL dans chaque liste de filtres URL. Les profils de protection auxquels sapplique la liste. Description facultative pour chaque liste de filtres URL. Permet de supprimer une liste de filtres URL dun catalogue. Cette icne saffiche si la liste nest pas reprise dans un profil de protection. Permet dditer une liste de filtres URL, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez Listes de filtres URL (URL filter lists) dans les profils de protection. Pour plus dinformations, voir Options de filtrage web la page 283.
Cration dune nouvelle liste de filtres URL (Modles FortiGate-800 et plus)

Pour ajouter une liste de filtres URL au catalogue, slectionnez Filtrage Web > URL Filter et cliquez sur Crer Nouveau.
Illustration 227 : Nouvelle liste de filtres URL
Nom Commentaire
Entrez un nom la nouvelle liste. Entrez, si ncessaire, une description de la liste.
Visualisation de la liste des filtres URL

Il est possible dajouter des URL spcifiques bloquer ou exempter et dajouter les lments suivants la liste de filtres URL : URL compltes Adresses IP URL partielles qui permettent de bloquer ou dautoriser tous les sousdomaines.
375
Pour visualiser la liste des filtres URL sur les FortiGate-500 et moins, slectionnez Filtrage Web > URL Filter.
Illustration 228 : Liste de filtres URL sur les FortiGate-500 et moins
Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, slectionnez Filtrage Web > URL Filter et cliquez sur licne Editer de la liste visualiser.
Illustration 229 : Liste de filtres URL sur les FortiGate-800 et plus
La liste de filtres URL possde les icnes et fonctionnalits suivantes :

Nom Le nom de la liste de filtres URL. Pour le modifier, entrez un nouveau nom dans le champ Nom et cliquez sur OK. Ce champ saffiche sur les modles FortiGate-800 et plus. Un commentaire facultatif. Pour lajouter ou le modifier, entrez un commentaire dans ce champ et cliquez sur OK. Ce champ saffiche sur les modles FortiGate-800 et plus. Slectionnez pour ajouter une URL la liste de blocage des URL. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer toutes les entres de la table. La liste en cours des URL bloques ou exemptes. Cochez la case pour slectionner toutes les URL de la liste. Le type dURL : Simple ou Regex (expression rgulire). Laction prendre lors dune correspondance avec lURL : Bloquer, Autoriser ou Exempter. Permet de retirer une entre de la liste. Permet dditer les informations suivantes : URL, Type, Action et lactivation. Ouvre la bote de dialogue de dplacement dun filtre URL.
Commentaire
Crer Nouveau Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres URL Type Action Icne Supprimer Icne Editer Icne Dplacer
376
Configuration dune liste de filtres URL

Une liste de filtres URL peut compter jusqu 5000 entres.
Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, com ) pour bloquer laccs toutes les URL comprenant ce suffixe.
Pour ajouter une URL la liste de filtres URL, slectionnez Filtrage URL > URL Filter.
Illustration 230 : Nouveau filtre URL
URL Type Action Activer
Entrez une URL sans inclure http:// Slectionnez un type dans la liste droulante : Simple ou Regex (Expression Rgulire). Slectionnez une action dans la liste droulante : Autoriser, Bloquer, Exempter. Cochez cette case pour activer lURL.
Entrez une URL ou une adresse IP de haut niveau pour contrler laccs toutes les pages dun site web. Par exemple, www.exemple.com ou 192.168.144.155 contrle laccs toutes les pages de ce site web. Entrez une URL de haut niveau suivie dun chemin et dun nom de fichier pour contrler laccs une seule page dun site web. Par exemple, www.exemple.com/news.html ou 192.168.144.155/news.html contrle laccs la page News de ce site. Pour contrler laccs toutes les pages dont lURL se termine par exemple.com, ajoutez exemple.com la liste de filtres. Par exemple, lajout de exemple.com contrle laccs www.exemple.com, mail.exemple.com, www.finance.exemple.com, etc. Les filtres web FortiGate supportent les expressions rgulires standard.
Remarque : Les URL dont laction est dfinie sur Exempter ne sont pas soumises lanalyse de virus. Si les utilisateurs du rseau tlchargent des fichiers provenant de sites web de confiance, ajoutez lURL de ce site la liste de filtres URL avec laction dfinie sur Exempter pour que le botier FortiGate ne procde pas lanalyse de virus de ces fichiers.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL Filter dans un profil de protection pare-feu.
377
Dplacement dURL au sein de la liste de filtres URL

Pour simplifier lutilisation de la liste de filtres URL, les entres peuvent tre dplaces diffrents endroits de la liste. Pour dplacer une URL dans la liste, slectionnez licne Dplacer droite de lURL dplacer.
Illustration 231 : Dplacer un filtre URL
Dplacer vers (URL)
Choisissez une localisation dans la liste. Entrez lURL avant ou aprs laquelle la nouvelle URL doit tre place.
Filtrage Web FortiGuard

Le service FortiGuard-Web est une solution de filtrage Web gre par Fortinet. FortiGuard-Web trie des centaines de millions de pages web en une grande gamme de catgories que les utilisateurs peuvent autoriser, bloquer ou surveiller. Le botier FortiGate se connecte au Point de Service FortiGuard-Web le plus proche pour dterminer la catgorie dune page web sollicite et suit ensuite les directives de la rgle pare-feu configure pour cet utilisateur ou cette interface. FortiGuard-Web comprend plus de 60 millions dvaluation de sites web couvrant ainsi des centaines de millions de pages. Les pages sont tries et values en fonction de 56 catgories que les utilisateurs peuvent bloquer, autoriser ou surveiller. Les catgories peuvent tre ajoutes ou mises jour en fonction de lvolution dInternet. Pour simplifier une configuration, lutilisateur peut galement choisir de bloquer, autoriser ou surveiller des groupes entiers de catgories. Les pages bloques sont alors remplaces par un message indiquant que la page nest pas accessible tant donn le rglement en vigueur sur lutilisation de lInternet. Les valuations de FortiGuard-Web sont le rsultat dune combinaison de mthodes propres danalyse de texte, dexploitation de la structure du Web et dvaluations entreprises par une quipe de personnes analyseurs du web. Les utilisateurs peuvent faire part aux Points de Service FortiGuard-Web dune page qui est, leur avis, mal catgorise. Les nouveaux sites web sont rapidement valus si ncessaire. La procdure pour configurer le blocage de catgories FortiGuard dans un profil de protection est dcrite dans Options du filtrage FortiGuard-Web la page 285. Pour configurer le service FortiGuard-Web, voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186.
Configuration du filtrage FortiGuard-Web

Pour configurer un service FortiGuard-Web, slectionnez Systme > Maintenance > Centre FortiGuard. Pour plus dinformations, voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186.
378
Visualisation de la liste override

Les utilisateurs voudront probablement accder des sites web bloqus par une rgle. Dans ce cas, un administrateur peut donner cet utilisateur la possibilit dignorer le blocage pour un temps dtermin. Lorsquun utilisateur tente daccder un site bloqu alors que loverride est activ, un lien vers une page dauthentification apparat sur la page bloque. Lutilisateur doit fournir un nom dutilisateur et un mot de passe corrects sans quoi le site web reste bloqu. Lauthentification est base sur des groupes utilisateurs et peut tre effectue pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus dinformations sur lauthentification et la configuration de groupes utilisateurs, voir Groupe dutilisateurs la page 330. Pour visualiser la liste doverride, aussi appele liste des rgles dignorance, slectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 232 : Liste Override
Crer Nouveau # Icne Page prcdente Icne Page suivante Icne Supprimer tout URL/Catgorie Porte Off-site URLs
Permet dajouter une nouvelle rgle dignorance la liste. Le nombre de rgles dignorance dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Supprime toutes les entres de la table. LURL ou la catgorie laquelle sapplique la rgle dignorance. Lutilisateur ou le groupe dutilisateurs qui bnficient de la rgle dignorance. Lutilisateur se voit autoriser ou interdit daccder aux liens de la catgorie ou de lURL ignore. Une marque verte signifie un accs off-site permis. Une croix grise signifie une interdiction daccs. Le crateur de la rgle dignorance. La date dexpiration de la rgle dignorance. Permet de retirer une entre de la liste. Permet dditer les informations suivantes : Type, URL, Porte, Utilisateur, Off-site URLs et Dure de la rgle dignorance.
Initiateur Date dexpiration Icne Supprimer Icne Editer
379
Configuration de rgles dignorance

Les rgles dignorance peuvent tre configures pour permettre laccs aux sites web bloqus en fonction du rpertoire, nom de domaine ou de la catgorie. Pour crer une rgle dignorance pour un rpertoire ou un domaine, slectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 233 : Nouvelle rgle dignorance Rpertoire ou Domaine
Type URL Porte Utilisateur Groupe dutilisateurs
Slectionnez Rpertoire ou Domaine. Entrez lURL ou le nom de domaine du site web. Choisissez entre : Utilisateur, Groupe dutilisateurs, IP, Profil. En fonction de loption choisie, le champ qui suit varie. Entrez le nom de lutilisateur slectionn dans Porte. Slectionnez un groupe dutilisateurs dans la liste droulante. Ces groupes doivent tre configurs avant de commencer la configuration du FortiGuard-Web. Pour plus dinformations, voir Groupe dutilisateurs la page 330. Entrez ladresse IP de lordinateur initiant la rgle. Slectionnez un profil de protection dans la liste droulante. Choisissez entre Autorises ou Bloques. Cette fonction va permettre lutilisateur daccder ou non aux liens du site web ignor. Entrez la dure en jours, heures et minutes. La date dexpiration alors calcule saffiche dans la liste des rgles dignorance.
IP Profil Off-site URLs
Dure dignorance
380
Pour crer une rgle dignorance pour des catgories, slectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 234 : Nouvelle rgle dignorance Catgories
Type Catgories
Slectionnez Catgories. Choisissez les catgories auxquelles sapplique la rgle dignorance. Un groupe ou un sous-groupe de catgories peut tre slectionn. Les catgories locales sont galement affiches. Choisissez les classifications auxquelles sapplique la rgle dignorance. Si prvu, les utilisateurs peuvent accder aux sites web qui fournissent des contenus sauvegards et des moteurs de recherche de fichiers image, audio et vido. Choisissez entre : Utilisateur, Groupe dutilisateurs, IP, Profil. En fonction de loption choisie, le champ qui suit varie. Entrez le nom de lutilisateur slectionn dans Porte. Slectionnez un groupe dutilisateurs de la liste droulante. Entrez ladresse IP de lordinateur initiant la rgle. Slectionnez un profil de protection de la liste droulante. Choisissez entre Autorises ou Bloques. Cette fonction va permettre lutilisateur daccder ou non aux liens du site web ignor.
Classifications
Porte Utilisateur Groupe dutilisateurs IP Profil Off-site URLs
381
Dure dignorance
Entrez la dure en jours, heures et minutes. La date dexpiration alors calcule saffiche dans la liste des rgles dignorance.
Cration de catgories locales

Des catgories dfinies par des utilisateurs peuvent tre cres afin dautoriser aux utilisateurs de bloquer des groupes dURL sur base dun profil. Les catgories dfinies ici saffichent dans la liste des catgories URL globale lors de la configuration dun profil de protection. Les utilisateurs peuvent valuer les URL en fonction des catgories locales.
Illustration 235 : Liste des catgories locales
Add/Ajouter Icne Supprimer
Entrez le nom dune catgorie et cliquez ensuite sur le bouton Add. Permet de retirer une entre de la liste.
Visualisation de la liste des valuations locales

Pour visualiser la liste des valuations locales, slectionnez Filtrage Web > FortiGuard-Web Filter > Local Ratings.
Illustration 236 : Liste des valuations locales
Crer Nouveau Rechercher 1 3 of 3 Icne Page prcdente Icne Page suivante Icne Supprimer tout URL Catgorie
Permet dajouter une valuation la liste. Entrez un critre de recherche pour filtrer la liste. Le nombre total dvaluations locales dans la liste. Permet de visualiser la page prcdente. Permet de passer la page suivante. Permet de supprimer toutes les entres de la table. LURL value. Cliquez sur la flche verte pour trier la liste en fonction des URL. La catgorie ou classification dans laquelle lURL a t place. Si lURL a t classe dans plusieurs catgories ou classifications, des points de suspension (...) suivent la premire catgorie. En cliquant sur lentonnoir gris, la bote de dialogue Filtre de catgorie souvre. Une fois la liste filtre, lentonnoir apparat en vert. Permet de supprimer une entre de la liste.
Icne Supprimer
382
Icne Editer
Permet dditer les informations suivantes : URL, Evaluation de la catgorie et Evaluation de la Classification.
Illustration 237 : Filtre de catgorie
Clear Filter Nom de la catgorie Activer le filtre Nom de la classification (ou classe) Activer le filtre
Supprime tous les filtres. Cliquez sur la flche bleue pour afficher le contenu de la catgorie. Permet dactiver le filtre pour la catgorie ou la sous-catgorie individuelle. Les classifications qui peuvent tre filtres. Permet dactiver le filtre de classification.
Configuration dvaluations locales

Les utilisateurs peuvent crer des catgories et spcifier les URL qui entrent dans ces catgories. Cela permet aux utilisateurs de bloquer des groupes de sites web sur base dun profil. Les valuations sont comprises dans la liste dURL globale avec les catgories associes et elles sont compares de la mme faon que la liste dURL bloques. Lutilisateur peut galement spcifier si lvaluation locale est utilise en conjonction avec lvaluation FortiGuard ou utilise comme rgle dignorance. Pour crer une valuation locale, slectionnez Filtrage Web > FortiGuard-Web Filter > Local Ratings.
383
Illustration 238 : Nouvelle valuation locale
URL Nom de la catgorie Activer le filtre Nom de la classification Activer le filtre
Entrez lURL valuer. Cliquez sur la flche bleue pour afficher la catgorie. Cochez la case pour activer le filtre pour la catgorie ou souscatgorie individuelle. Les classifications pouvant tre filtres. Cochez la case pour activer le filtre de classification.
Configuration dun blocage de catgorie partir de linterface de ligne de commande

Utilisez le mot-cl hostname pour la commande webfilter fortiguard pour modifier le nom dhte par dfaut (URL) du Point de Service FortiGuard-Web. Ce nom ne peut tre modifi partir de linterface dadministration web. Configurez tous les paramtres FortiGuard-Web partir des commandes CLI. Pour plus dinformations, voir le FortiGate CLI Reference.
Rapports du Filtrage FortiGuard-Web
Remarque : Les rapports du filtrage FortiGuard-Web ne sont disponibles que sur les FortiGate munis dun disque dur.
Cette fonction permet de gnrer un tableau textuel et sous forme de diagramme du rapport du Filtrage FortiGuard-Web pour tous les profils de protection. Le botier FortiGate enregistre les statistiques pour les pages web de toutes les catgories, bloques, autorises ou sous surveillance. Les rapports portent sur des tranches dheures ou de jours. Vous pouvez aussi visualiser un rapport complet de toutes les activits.
384
Pour crer un rapport de filtrage web, slectionnez Filtrage Web > FortiGuardWeb Filter > Rapports.
Illustration 239 : Echantillon dun rapport de Filtrage FortiGuard-Web
Profil Type de rapport Plage
Slectionnez le profil de protection pour lequel un rapport doit tre gnr. Slectionnez un type de temps pour le rapport. Choisissez entre heure, jour ou tout. Slectionnez la plage horaire (24 heures) ou la plage de jour (des 6 derniers jours aujourdhui) pour le rapport. Par exemple, un rapport de type heure avec une plage 13 16, le rapport affiche les rsultats de la tranche horaire 13 16 heures aujourdhui (1 pm 4 pm). Pour un rapport de type jour avec une plage de 0 3, le rapport affiche les rsultats des trois derniers jours aujourdhui. Gnre un rapport.
Obtenir le rapport
Un rapport gnr comprend un diagramme et les informations suivantes :

Catgorie Autorises Bloques Contrles La catgorie pour laquelle les statistiques sont gnres. Le nombre dadresses web autorises accdes dans la tranche de temps dfini. La nombre dadresses web bloques sollicites dans la tranche de temps dfini. Le nombre dadresses web contrles accdes dans la tranche de temps dfini.
385
Antispam
Cette section explique comment configurer les options du filtrage antispam associ un profil de protection. Cette section parcourt les sujets suivants : Antispam Mots bannis Liste Noire et liste Blanche Configuration antispam avance Utilisation des expressions rgulires Perl
Antispam
LAntispam gre les mails commerciaux non sollicits en dtectant les messages mails spam et identifiant les transmissions spam provenant de serveurs spam connus ou suspects. Les filtres spams sont configurs pour une utilisation au niveau du systme, mais sont activs sur base des profils. FortiGuard-Antispam est une des fonctionnalits de la gestion des spams. FortiGuard est un systme antispam de Fortinet qui comprend une liste noire dadresses IP, une liste noire dURL et des outils de filtrage antispam. Le Centre FortiGuard reoit les soumissions de messages mails spams ainsi que les faux positifs. Visitez le site de la Base de Connaissance Fortinet, Fortinet Knowledge Center, pour plus de dtails et un lien vers le Centre FortiGuard.
Ordre du filtrage antispam

Lordre dans lequel les mails entrants passe travers les filtres Antispam FortiGate est dtermin par le protocole utilis pour le transfert des mails.
Pour le trafic SMTP

1 2 3 4 5 6 Vrification des adresses en listes blanches ou noires (prochain saut IP) Vrification RBL & ORDBL, vrification des adresses par FortiGuard, HELO DNS lookup Vrification des adresses Email en listes blanches ou noires Vrification des en-ttes MIME Vrification des adresses IP en listes blanches ou noires ( partir des adresses extraites des champs den-tte Received ) Vrification DNS de ladresse de retour, vrification antispam par Fortiguard ( partir des adresses extraites des champs den-tte Received et des URL extraites du contenu du message) Vrification des mots bannis
Pour le trafic POP3 et IMAP

1
386
Vrification des adresses Email en listes blanches ou noires

2 3 4
Vrification des en-ttes MIME et vrification des IP en listes blanches ou noires Vrification DNS de ladresse de retour, vrification antispam par FortiGuard, vrification RBL & ORDBL Vrification des mots bannis
Pour le trafic SMTP, POP3 et IMAP

Les filtres ncessitant une demande un serveur et une rponse (FortiGuard Antispam Service et DNSBL/ORDBL) fonctionnent simultanment. Pour viter les retards, les requtes sont envoyes pendant que dautres filtres fonctionnent. La premire rponse enclenchant une action spam prend effet ds la rception de cette rponse. Chaque filtre spam passe le mail au prochain filtre si aucune correspondance ou aucun problme nest trouv. Si laction du filtre Mark as spam (Marquer comme spam) senclenche, le botier FortiGate balisera (tag) ou rejettera le mail (SMTP seulement) suivant les paramtres configurs dans le profil de protection. Si laction enclenche est Mark as clear (Marquer comme non spam), le mail est dispens des autres filtres. Si laction est Mark as Reject (Rejeter), la session mail est abandonne. Les messages mails SMTP rejets sont substitus par un message de remplacement configurable.
Tableau 41 : Antispam et configuration du filtrage antispam dans les profils de protection Options du filtrage antispam des profils Paramtres Antispam de protection Vrification FortiGuard-Antispam de Systme > Maintenance > FortiGuard ladresse IP Center Activation ou dsactivation du service Activation FortiGuard-Antispam, antispam Fortinet appel FortiGuardvrification de ltat du serveur Antispam. FortiGuard-Antispam est le FortiGuard-Antispam, visualisation du serveur DNSBL propre Fortinet qui fournit type de licence et de la date dexpiration les listes noires des adresses IP et URL et configuration du cache. Pour plus de spams. Fortinet maintient ces listes jour. dtails, voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186. Vrification des adresses IP en listes Anti-spam > Black/White List > Adresse IP blanche ou noire Vrification des listes noire et blanche. Ajout et dition dadresses IP la liste. Activation ou dsactivation de la Vous pouvez configurer laction prendre comparaison des adresses IP entrantes la pour chaque adresse IP : spam, nonliste dadresses IP du filtre spam configur spam ou rejeter. Les adresses IP peuvent (SMTP uniquement). tre places un endroit prcis de la liste. Le filtre contrle chaque adresse IP successivement (SMTP uniquement). Contrle DNSBL & ORDBL A partir de linterface de ligne de commande uniquement Activation ou dsactivation de la Ajout ou suppression des serveurs comparaison du trafic mail au serveur des DNSBL et ORDBL de la liste. Vous listes Blackhole DNS configure (DNSBL) et pouvez configurer laction prendre pour Open Relay Database (ORDBL). les mails identifis comme spam pour chaque serveur : spam ou rejeter (SMTP uniquement). La configuration DNSBL et ORDBL ne peut tre modifie qu partir de linterface de ligne de commande. Pour plus dinformations, voir le FortiGate CLI Reference.
387
Recherche HELO DNS Activation ou dsactivation de la comparaison du nom de domaine source ladresse IP enregistre dans le Serveur des Noms de Domaine. Si le nom de domaine source ne correspond pas ladresse IP, le mail est marqu comme spam et laction slectionne dans le profil de protection est enclenche. Contrle des adresses mails en listes blanche ou noire Activation ou dsactivation de la comparaison des mails entrants la liste des adresses mails du filtre spam configur.
n/a
Vrification DNS de ladresse de retour Activation ou dsactivation de la comparaison du nom de domaine de ladresse de retour des mails entrants ladresse IP enregistre dans le Serveur des Noms de Domaine. Si le nom de domaine de ladresse de retour ne correspond pas ladresse IP, le mail est marqu comme spam et laction slectionne dans le profil de protection est enclenche. Vrification des en-ttes MIME Activation ou dsactivation de la comparaison de len-tte MIME de la source la liste den-ttes MIME du filtre spam configur.
Anti-spam > Black/White List > Adresse Mail Ajout et dition dadresses mails la liste, avec loption dutilisation de wildcards et dexpressions rgulires. Vous pouvez configurer pour chaque adresse mail laction prendre : spam ou rejeter. Les adresses IP peuvent tre places un endroit prcis de la liste. Le filtre contrle chaque adresse IP successivement. n/a
Filtrage par mots-clefs Activation ou dsactivation de la comparaison du mail source avec la liste des mots bannis du filtre antispam.
Action antispam Laction prendre pour un mail identifi comme spam. Les messages POP3 et IMAP sont baliss (tag). Choisissez entre Tag ou Rejeter pour les messages SMTP. Vous pouvez ajouter un mot ou phrase personnalis au sujet des en-tte MIME des mails baliss. Vous pouvez choisir de journaliser chaque action antispam dans le journal des vnements. Insertion : Choisissez dajouter la balise au sujet ou len-tte MIME du mail identifi comme spam.
A partir de linterface de ligne de commande uniquement Ajout et dition den-ttes MIME, avec loption dutiliser des wildcards ou des expressions rgulires. Vous pouvez configurer laction prendre pour chaque en-tte MIME: spam ou rejeter. La configuration DNSBL et ORDBL ne peut tre modifie qu partir de linterface de ligne de commande. Pour plus dinformations, voir le FortiGate CLI Reference. Anti-spam > Mots Clefs Ajout et dition des mots bannis de la liste, avec loption dutiliser des wildcards ou expressions rgulires. Vous pouvez configurer la langue et dcider de lancer la recherche dans le sujet ou le corps du mail, ou les deux. Vous pouvez configurer laction prendre pour chaque mot : spam ou rejeter. n/a
388
Insertion de : Entrez un mot ou une phrase (tag) ajouter au mail identifi comme spam. Longueur maximum du tag : 63 caractres. Ajouter lvnement dans le journal du systme. Activer ou dsactiver la journalisation des actions antispam dans la journal des vnements.
Pour accder aux options du profil de protection Antispam, slectionnez Pare-feu > Profil de protection, diter ou Crer Nouveau, Filtrage antispam.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits de filtrage antispam sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Mots bannis
Il vous est possible de contrler les mails spam contenant des mots ou expressions spcifiques. Lorsque cette option est active dans le profil de protection, le botier FortiGate recherche ces mots et expressions dans les mails. Si des correspondances sont trouves, les valeurs affectes aux mots sont totalises. Si une valeur de seuil dfinie pour un utilisateur est dpasse, le mail est marqu comme spam. Si aucune correspondance nest trouve, le mail passe jusquau prochain filtre. Pour ajouter des mots et expressions bannis dans la liste, utilisez des expressions rgulires en Perl ou des mta-caractres.
Remarque : Les expressions rgulires en Perl sont sensibles la casse des caractres pour le filtrage antispam par mots-cls. Pour modifier cela et rendre le mot ou la phrase insensible la casse des caractres, utilisez lexpression /i. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse. Les mta-caractres (wildcards) ne sont pas sensibles la casse des caractres.
Visualisation du catalogue de listes de mots bannis antispam (Modles FortiGate800 et plus)

Vous pouvez ajouter de multiples listes de mots bannis antispam sur les modles FortiGate-800 et plus, et slectionner ensuite la meilleure liste pour chaque profil de protection. Pour visualiser la catalogue des listes de mots bannis antispam, slectionnez Anti-spam > Mots clefs. Pour visualiser chaque liste individuellement, slectionnez licne Editer de la liste dsire.
Illustration 240 : Echantillon du catalogue de listes de filtrage par mots-cls
Crer Nouveau
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont vides par dfaut.
389
Nom # dentres Profils Commentaire Icne Supprimer
Les listes de mots bannis antispam disponibles. Le nombre dentres dans chaque liste. Les profils de protection appliqus chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour plus dinformations, voir Options du filtrage antispam la page 286.
Cration dune nouvelle liste de mots bannis antispam (modles FortiGate-800 et plus)
Pour ajouter une liste de mots bannis antispam au catalogue, slectionnez Antispam > Mots clefs et cliquez sur Crer Nouveau.
Illustration 241 : Bote de dialogue dune nouvelle liste de mots bannis antispam
Nom Commentaire
Entrez un nom la liste. Entrez une description de la liste, si ncessaire.
Visualisation de la liste de mots bannis antispam

Chaque mail est contrl par comparaison la liste des mots bannis antispam. Vous pouvez ajouter un ou plusieurs mots bannis pour filtrer les mails contenant ces mots dans leur sujet, corps du message ou les deux. La valeur accorde chaque mot apparaissant dans le message est ajoute au total des valeurs. Si celui-ci dpasse la valeur seuil dfinie dans le profil de protection, le message est trait selon lAction antispam configure dans le profil de protection. La valeur dun mot banni nest comptabilise quune seule fois mme si ce mot apparat plusieurs reprises dans le message. Pour visualiser la liste des mots bannis sur les modles FortiGate-500 et moins, slectionnez Anti-spam > Mots Clefs.
Illustration 242 : Echantillon dune liste de mots bannis pour les modles FortiGate500 et moins
390
Pour visualiser la liste de mots bannis sur les modles FortiGate-800 et plus, slectionnez Anti-spam > Mots clefs et cliquez sur licne Editer de la liste visualiser.
Illustration 243 : Echantillon dune liste de mots bannis pour les modles FortiGate800 et plus
Nom
Nom de la liste de mots bannis. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparat sur les modles FortiGate800 et plus. Permet dajouter un mot ou une phrase la liste des mots bannis. Le nombre dlments dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer toutes les entres de la table. La liste des mots bannis. Cochez la case pour activer tous les mots de la liste. Le type dexpression utilis par lentre de la liste. Choisissez entre Wildcard et Expression. Pour plus dinformations, voir Utilisation dexpressions rgulires en Perl la page 400. Les caractres du mot banni : Chinois simplifi, Chinois traditionnel, Franais, Japonais, Coren, Tha ou Occidental. La localisation du message dans laquelle le botier FortiGate va chercher le mot banni : sujet, corps ou tout. La valeur numrique affecte au mot banni. Les valeurs Score de tous les mots correspondants apparaissant dans un mail sont additionnes. Si le total dpasse la valeur dfinie dans spamwordthreshold du profil de protection, la page est traite selon laction antispam dfinie pour ce type de trafic dans le profil de protection (ex. smtp3-spamaction) : pass ou tag. Le Score dun mot banni est comptabilis une seule fois mme dans les cas o le mot apparat plusieurs reprises sur la page web. Permet de supprimer un mot de la liste. Permet dditer les informations suivantes : Expression Rgulire, Type dExpression, Langage, O, Action antispam et lactivation.
Commentaire
Crer Nouveau Total Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres Expression rgulire Type dexpression
Langage O Score
391
Configuration de la liste des mots bannis antispam

Les mots peuvent tre marqus comme spam ou rejeter. Les mots bannis peuvent tre un mot ou une phrase dune longueur maximum de 127 caractres. Dans le cas dun mot simple, le botier FortiGate bloque tous les mails contenant ce mot. Dans le cas dune phrase, le botier FortiGate bloque tous les mails contenant la phrase exacte. Pour entraner le blocage chaque apparition dun mot de la phrase, utilisez les expressions rgulires en Perl. Pour ajouter ou diter un mot banni, slectionnez Anti-spam > Mots Clefs.
Illustration 244 : Ajouter un mot-cl
Expression Type dexpression
Entrez le mot ou la phrase inclure dans la liste des mots bannis. Slectionnez le type dexpression du mot banni : Wilcard ou Expression rgulire. Voir Utilisation dexpressions rgulires en Perl la page 400. Les caractres du mot banni : Chinois simplifi, Chinois traditionnel, Franais, Japonais, Coren, Tha ou Occidental. La localisation du message dans laquelle le botier FortiGate va chercher le mot banni : sujet, corps ou tout. Cochez cette case pour activer le filtrage de ce mot banni.
Langage O Activer
Liste noire et liste blanche

Le botier FortiGate utilise aussi bien une liste dadresses IP quune liste dadresses mails pour filtrer les mails entrants condition que cette option ait t active dans le profil de protection. Lors dune vrification partir de la liste dadresses IP, le botier FortiGate compare successivement ladresse IP de lmetteur du message sa liste dadresses IP. Lorsquune correspondance est trouve, laction associe ladresse IP est enclenche. Dans le cas o aucun correspondance na t trouve, le mail est envoy vers le prochain filtre antispam activ. Lors dune vrification partir dune liste dadresses mails, le botier FortiGate compare successivement ladresse mail de lmetteur du message sa liste dadresses mails. Lorsquune correspondance est trouve, laction associe avec ladresse mail est enclenche. Dans le cas o aucun correspondance na t trouve, le mail est envoy vers le prochain filtre antispam activ.
392
Visualisation du catalogue de listes dadresses IP antispam (modles FortiGate800 et plus).

Vous pouvez ajouter plusieurs listes dadresses IP antispam pour les modles FortiGate-800 et plus et slectionner la meilleure liste pour chaque profil de protection. Pour visualiser le catalogue de listes dadresses IP antispam, slectionnez Anti-spam > Black/White List > Adresse IP. Pour visualiser une liste individuellement, cliquez sur licne Editer de la liste dsire.
Illustration 245 : Echantillon dun catalogue de listes dadresses IP antispam
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides. Les listes dadresses IP antispam disponibles. Le nombre dentres dans chaque liste. Les profils de protection appliqus chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Icne Editer
Cration dune nouvelle liste dadresses IP antispam (modles FortiGate-800 et plus)

Pour ajouter une liste dadresses IP antispam au catalogue, slectionnez Antispam > Black/White List > Adresse IP et cliquez sur Crer Nouveau.
Illustration 246 : Bote de dialogue dune nouvelle liste dadresses IP antispam
Nom Commentaire
Donnez un nom la liste. Entrez une description de la liste, si ncessaire.
393
Visualisation de la liste dadresses IP antispam

Il est possible de configurer le botier FortiGate pour quil filtre les mails provenant dadresses IP spcifiques. Le botier compare ladresse IP de lmetteur sa liste dadresses IP antispam, et ce successivement. Vous pouvez marquer chaque adresse IP de laction : non spam, spam ou rejeter. Les adresses IP simples ou des plages dadresses au niveau du rseau peuvent tre filtres en configurant ladresse et le masque. Pour visualiser la liste dadresses IP sur les modles FortiGate-500 et moins, slectionnez Anti-spam > Black/White List > Adresse IP
Illustration 247 : Echantillon dune liste dadresses IP pour les modles FortiGate-500 et moins
Pour visualiser la liste dadresses IP sur les modles FortiGate-800 et plus, slectionnez Anti-spam > Black/WhiteList > Adresses IP et cliquez sur licne Editer de la liste visualiser.
Illustration 248 : Echantillon dune liste dadresses IP pour les modles FortiGate-800 et plus
Nom
Nom de la liste dadresses IP antispam. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparat sur les modles FortiGate800 et plus. Permet dajouter une adresse IP la liste dadresses IP antispam. Le nombre dlments dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer toutes les entres de la table.
Commentaire
Crer Nouveau Total Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres
394
Adresse IP/Masque Action
La liste actuelle des adresses IP. Laction prendre pour un mail provenant dune adresse IP configure. Les actions sont : Marquer comme spam pour appliquer laction antispam configure, Marquer comme nonspam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer Rejeter (SMTP uniquement) pour supprimer la session. Si une adresse IP est dfinie sur Rejeter, mais que le mail provient dune adresse IP partir de POP3 ou IMAP, les messages mails seront marqus comme spam. Permet de supprimer une adresse de la liste. Permet dditer les informations suivantes :Ladresse IP/Masque, Insertion, Action antispam et lactivation.
Configuration de la liste des adresses IP antispam

Pour ajouter une adresse IP la liste dadresses IP, slectionnez Anti-spam > Black/White List > Adresse IP et cliquez sur Crer Nouveau. Entrez une adresse IP et un masque dans un de ces deux formats : x.x.x.x/x.x.x.x, par exemple, 62.128.69.100/255.255.255.0 x.x.x.x/x, par exemple, 62.128.69.100/24
Illustration 249 : Ajouter une adresse IP
Adresse IP/Masque Insrer Avant/Aprs Action
Entrez ladresse IP et le masque. Slectionnez une position dans la liste pour cette adresse IP. Slectionnez une action. Les actions sont : Marquer comme spam pour appliquer laction antispam configure dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer rejeter (SMTP uniquement) pour supprimer la session. Cochez cette case pour activer ladresse.
Activer
Visualisation du catalogue de listes dadresses mail antispam (modles FortiGate-800 et plus).

Vous pouvez ajouter plusieurs listes dadresses mail antispam pour les modles FortiGate-800 et plus et slectionner la meilleure liste pour chaque profil de protection. Pour visualiser le catalogue de listes dadresses mail antispam, slectionnez Anti-spam > Black/White List > Adresse Mail. Pour visualiser une liste individuellement, cliquez sur licne Editer de la liste dsire.
395
Illustration 250 : Echantillon dun catalogue de listes dadresses mail antispam
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides. Les listes dadresses mail antispam disponibles. Le nombre dentres dans chaque liste. Les profils de protection appliqus chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Icne Editer
Cration dune nouvelle liste dadresses mail antispam (modles FortiGate-800 et plus)
Pour ajouter une liste dadresses mail antispam au catalogue, slectionnez Antispam > Black/White List> Adresse Mail et cliquez sur Crer Nouveau.
Illustration 251 : Bote de dialogue dune nouvelle liste dadresses mail antispam
Nom Commentaire
Entrez un nom la liste. Entrez une description de la liste, si ncessaire.
Visualisation de la liste dadresses IP mail antispam

Le botier FortiGate peut filtrer les mails provenant dmetteurs spcifiques, ainsi que tous les mails provenant dun domaine (tel que exemple.net). Vous pouvez marquer chaque adresse mail de laction non spam ou spam. Pour visualiser la liste dadresses mail sur les modles FortiGate-500 et moins, slectionnez Anti-spam > Black/White List > Adresse Mail
396
Illustration 252 : Echantillon dune liste dadresses mail pour les modles FortiGate500 et moins
Pour visualiser la liste dadresses IP sur les modles FortiGate-800 et plus, slectionnez Anti-spam > Black/WhiteList > Adresse Mail et cliquez sur licne Editer de la liste visualiser.
Illustration 253 : Echantillon dune liste dadresses mail pour les modles FortiGate800 et plus
Nom
Nom de la liste dadresses mail antispam. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparat sur les modles FortiGate800 et plus. Permet dajouter une adresse mail la liste dadresses mail antispam. Le nombre dlments dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer toutes les entres de la table. La liste actuelle des adresses mail. Le type dexpression utilis dans lentre de ladresse mail. Choisissez entre Wildcard et Expression Rgulire. Pour plus dinformations, voir Utilisation dexpressions rgulires en Perl la page 400. Laction prendre pour un mail provenant dune adresse mail configure. Les actions sont : Marquer comme spam pour appliquer laction antispam configure dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, Permet de supprimer une adresse de la liste.
Commentaire
Crer Nouveau Total Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres Adresse Mail Type dexpression
Action
Icne Supprimer
397
Icne Editer
Permet dditer les informations suivantes :adresse mail, Type dExpression, Action antispam et lactivation.
Configuration de la liste des adresses mail antispam

Pour ajouter une adresse mail ou un domaine la liste, slectionnez Anti-spam > Black/White List > Adresse Mail.
Illustration 254: Ajouter une adresse mail
Adresse Mail Type dexpression Insrer Avant/Aprs Action
Entrez ladresse mail. Slectionnez un type dexpression : Wildcard ou Expression Rgulire. Slectionnez une position dans la liste pour cette adresse mail. Slectionnez une action. Les actions sont : Marquer comme spam pour appliquer laction antispam configure dans le profil de protection Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants
Activer
Cochez cette case pour activer ladresse.
1 2 3 4 5 6
Entrez une adresse mail ou une expression. Slectionnez un type dexpression pour lentre de la liste. Si ncessaire, choisissez dinsrer ladresse mail avant ou aprs une autre adresse dans la liste. Slectionnez laction prendre pour les mails provenant dadresses mail ou de domaines configurs. Cochez la case Activer. Cliquez sur OK.
Configuration antispam avance

La configuration antispam avance couvre uniquement des commandes CLI non reprsentes dans linterface dadministration web. Pour des descriptions et exemples complets sur lutilisation de commandes CLI, reportez-vous au FortiGate CLI Reference.
config spamfilter mheader

Cette commande permet de configurer le filtrage mail en fonction de len-tte MIME. Ce filtrage sactive dans les profils de protection.
Le botier FortiGate compare successivement la paire cl-valeur de len-tte MIME des mails entrants avec sa liste de paires. Lorsquune correspondance est trouve, laction spcifie est enclenche. Lorsque aucune correspondance nest trouve, le mail est envoy vers le prochain filtre antispam. Les en-ttes MIME (Multipurpose Internet Mail Extensions) sont ajouts aux mails pour dcrire le type et le codage de contenu, tels que le type de texte dans le corps du mail ou le programme qui a gnr le mail. Quelques exemples den-ttes MIME comprennent : X-mailer : outgluck X-Distribution : bulk Content_Type : text/html Content_Type : image/jpg
La premire partie de len-tte MIME sappelle la cl de len-tte, ou juste en-tte. La deuxime partie est appele valeur. Les spammeurs insrent souvent des commentaires dans les valeurs de len-tte ou les laissent vides. Ces en-ttes malforms peuvent duper certains filtres antispam et antivirus. Lutilisation de la liste den-ttes MIME permet de marquer les mails provenant de certains programmes mails les plus rpandus ou comprenant certains types de contenu communs des messages mails. Il est conseill de marquer le mail comme spam ou non-spam pour chaque en-tte configur.
config spamfilter rbl

Cette commande sutilise pour configurer le filtrage mail partir des serveurs de la liste DNS-based Blackhole List (DNSBL), appele galement Realtime Blackhole List et de la liste Open Relay Database List (ORDBL). Ces deux filtres sactivent pour chaque profil de protection. Le botier FortiGate compare ladresse IP et le nom de domaine de lmetteur toutes les listes de base de donnes configures, et ce, successivement. Lorsquune correspondance est trouve, laction spcifie est enclenche. Lorsque aucune correspondance nest trouve, le mail est envoy vers le prochain filtre antispam. Certains spammeurs utilisent des serveurs SMTP tiers inscuriss pour envoyer des mails non sollicits. Lutilisation de DNSBL et ORDBL est un moyen efficace de baliser (tag) ou rejeter les spams lors de leur entre sur le rseau. Ces listes agissent comme des serveurs de nom de domaine identique au domaine dun mail entrant dune liste dadresses IP connues pour envoyer des spams ou autoriser des spams passer au travers. Il existe plusieurs serveurs, dont la souscription est gratuite, qui fournissent un accs fiable pour des mises jour continues des DNSBL et ORDBL. Vrifiez avec le service utilis pour confirmer le nom de domaine correct pour une connexion au serveur.
Remarque : Etant donn que le botier FortiGate utilise le nom de domaine du serveur pour se connecter au serveur DNSBL ou ORDBL, il doit tre capable de chercher ce nom sur le
399
serveur DNS. Pour plus dinformations sur le configuration DNS, voir Options la page 76.
Utilisation des expressions rgulires en Perl

Les entres des listes dadresses mail, den-ttes MIME et de mots bannis peuvent comprendre des mta-caractres ou expressions rgulires en Perl.
Expression Rgulire vs Modle mta-caractre
Dans les expressions rgulires en Perl, le caractre . remplace nimporte quel caractre unique. Cest similaire au caractre ? des modles mta-caractre. Par exemple : fortinet.com correspond fortinet.com mais aussi fortinetacom, fortinetbcom, fortinetccom, etc. Pour que les caractres . et * ne rfrent aucun autre caractre, utilisez le caractre \ . Par exemple : Pour rfrer fortinet.com, lexpression rgulire utiliser est : fortinet\.com Dans les expressions rgulires, * est utilis pour correspondre au caractre situ avant lastrisque, et ce 0 ou plusieurs fois. Il ne remplace par contre pas nimporte quel caractre. Par exemple : forti*.com correspond fortiiii.com mais ne correspond pas fortinet.com Pour correspondre nimporte quel caractre, 0 ou plusieurs fois, utilisez .* o le . signifie nimporte quel caractre et * signifie 0 ou plusieurs fois. Par exemple : forti*.com doit scrire fort.*\.com.
Limite des mots

Dans les expressions Perl, lexpression na pas de limites implicites. Par exemple, lexpression rgulire test correspond aux mots test bien sr mais aussi tous les mots contenant test comme attester , mytest , atestb . Pour spcifier une limite au mot, utilisez la notation \b . Pour faire correspondre au mot exact test , lexpression doit tre \btest\b.
Sensibilit la casse des caractres

Certaines expressions rgulires sont sensibles la casse des caractres pour les filtrage par mots-cls et antispam. Pour modifier cela et rendre le mot ou la phrase insensible la casse des caractres, utilisez lexpression /i. Par exemple, /bad language/i bloque toutes les cas de bad language sans tenir compte de la casse.
Formats des expressions rgulires en Perl

Le tableau 42 rpertorie et dcrit quelques exemples de formats dexpressions rgulires en Perl.
400
Tableau 42 : Formats dexpressions rgulires en Perl Expression Correspondances abc âbc abc$ a|b âbc|abc$ ab{2,4}c ab{2,}c ab*c ab+c ab ?c a.c a\.c [abc] [Aa]bc [abc]+ [âbc]+ \d\d /i abc (la squence exacte de caractres tout endroit de la succession) abc au dbut de la succession abc la fin de la succession Soit a , soit b La succession abc au dbut ou la fin de la succession a suivi de deux, trois ou quatre b suivi par un c a suivi dau moins deux b suivi dun c a suivi dun nombre indfini (0 ou plus) de b suivi dun c a suivi dun ou plusieurs b suivi dun c a suivi dun b optionnel suivi dun c , donc soit abc , soit ac a suivi de nimporte quel caractre (sauf retour la ligne) suivi dun c a.c exactement nimporte lequel de a , b ou c soit Abc , soit abc Toute succession (sans espace) de a , b et c (telle que a , abba , acbabcacaa ) Toute succession (sans espace) qui ne contient pas de a , b et c (telle que defg ) Tout chiffre deux dcimales, tel que 42, pareil que \d{2} Rend la casse des caractres insensible. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse des caractres. Un mot : une squence sans espace de caractres alphanumriques et de tirets bas ( _ , underscore) telle que foo et 12bar8 et foo_1 La succession 100 et mk spares optionnellement par un nombre indfini despace blanc (espaces, tabulations, retour la ligne) abc suivi dune limite au mot ( par exemple, dans abc ! mais pas dans abcd ) perl sans tre suivi dune limite du mot (par exemple, dans perlert mais pas dans perl stuff ) Le parser dexpression rgulire ignore les espaces blancs qui ne sont ni prcds dun \ , ni dans une classe de caractres. Utilisez cette commande pour scinder une expression rgulire en plusieurs parties lisibles. Utilis pour ajouter des expressions rgulires dans dautres textes. Si le premier caractre dune expression est / , celui-ci est trait comme borne. Lexpression doit contenir un second / . Lexpression entre les deux / sera traite comme expression rgulire, et tout ce qui suit le / sera trait comme liste doptions dexpressions rgulires (i, x,etc). Une erreur apparat si le second / est absent. Dans les expressions rgulires, lespace lavant et lespace larrire sont traits comme sils
\w+
100\s*mk
abc\b perl\B \x
/x
401
faisaient partie de lexpression rgulire.
Exemples Bloquer chaque mot de la phrase

/block|any|word/
Bloquer expressment les mots mal orthographis

Les spammeurs insrent souvent dautres caractres entre les lettres dun mot pour duper les logiciels de blocage de spams. /^.*v.*i.*a.*g.*r.*o.*$/i /cr[e][\+\\*=<>\.\,;!\?%&@\^\$\{\}()\[\]\|\\_01]dit/i
Bloquer les phrases spam communes

Les phrases suivantes sont des exemples de phrases communes trouves dans les messages spam. /try it for free/i /student loans/i /youre already approved/i /special[\+\\*=<>\.\,;!\?%&~#@\^\$\{\}()\[\]\|\\_1]offer/i
402
IM/P2P
IM/P2P fournit lutilisateur IM les outils dadministration et les statistiques pour le rseau IM et lusage P2P. Les protocoles IM et P2P doivent tre activs dans le profil de protection actif pour que les paramtres de cette section prennent leurs effets. Cette section parcourt les sujets suivants : Statistiques Utilisateur Configuration IM/P2P partir de linterface de ligne de commande
Statistiques
Les administrateurs peuvent obtenir des statistiques sur les messageries instantanes et les communications point to point afin de connatre lutilisation de ces deux protocoles sur le rseau. Des statistiques densemble sont fournies pour tous les protocoles IM et P2P. Des statistiques dtailles et individuelles existent pour chaque protocole IM.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale dans le menu principal.
Visualisation des statistiques densemble

Longlet Overview reprend un rsum des statistiques pour tous les protocoles IM et P2P. Pour visualiser ces statistiques, slectionnez IM/P2P > Statistics > Overview.
Illustration 255 : Statistiques Overview IM/P2P
Intervalle de rafrachissement automatique Rafrachir
Slectionnez lintervalle dsir entre deux rafrachissements automatiques. Choisissez entre un intervalle de 0 (none) 30 secondes. Cliquez sur ce bouton pour rafrachir la page et faire apparatre les statistiques mises jour.
403
Rinitialiser les statistiques Utilisateurs
Cliquez sur ce bouton pour remettre les statistiques zro. Pour chaque protocole IM, les informations suivantes sur lutilisateur saffichent : utilisateurs connects, (utilisateurs) depuis la dernire rinitialisation, (utilisateurs) bloqus. Pour chaque protocole IM, les informations suivantes sur le chat saffichent : sessions de chat totales et total des messages. Pour chaque protocole IM, les informations suivantes sur les transferts de fichiers saffichent : (fichiers transfrs) depuis la dernire rinitialisation et (fichiers transfrs) bloqus. Pour chaque protocole IM, les informations suivantes sur les chats vocaux saffichent : (chats vocaux) depuis la dernire rinitialisation et (chats vocaux) bloqus. Pour chaque protocole P2P, les informations suivantes sur lutilisation saffichent : octets au total et moyenne de la bande passante.
Chat
Transferts de fichiers
Chats vocaux
Utilisation P2P
Visualisation des statistiques par protocole
Longlet Protocol fournit des statistiques dtailles individuellement pour chaque protocole IM. Pour visualiser ces statistiques, slectionnez IM/P2P > Statistics > Protocol.
Illustration 256 : Statistiques IM par protocole
Intervalle de rafrachissement automatique Protocole Utilisateurs
Slectionnez lintervalle dsir entre deux rafrachissements automatiques. Choisissez entre un intervalle de 0 (none) 30 secondes. Slectionnez le protocole dsir : AIM, ICQ, MSN ou Yahoo. Pour le protocole slectionn, les informations suivantes sur lutilisateur saffichent : utilisateurs connects,
404
(utilisateurs) depuis la dernire rinitialisation, (utilisateurs) bloqus. Chat Pour le protocole slectionn, les informations suivantes sur le chat saffichent : Sessions de chat totales, Chats bass sur un serveur, Groupe de chat et Chat direct/priv. Pour le protocole slectionn, les informations suivantes sur les messages saffichent : Total des messages, (messages) envoys et (messages) reus. Pour le protocole slectionn, les informations suivantes sur les transferts de fichiers saffichent : (fichiers transfrs) depuis la dernire rinitialisation, (fichiers transfrs) envoys, (fichiers transfrs) reus et (fichiers transfrs) bloqus. Pour le protocole slectionn, les informations suivantes sur les chats vocaux saffichent : (chats vocaux) depuis la dernire rinitialisation et (chats vocaux) bloqus.
Messages
Transferts de fichiers
Chats vocaux
Utilisateur
Aprs que les utilisateurs IM se soient connects travers le pare-feu, le botier FortiGate affiche les utilisateurs connects dans la liste Current Users. Les administrateurs rseaux peuvent alors analyser la liste et dcider quels utilisateurs accepter et quels utilisateurs rejeter. Une rgle peut tre configure pour traiter le cas des utilisateurs inconnus.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale dans le menu principal.
Visualisation de la liste des utilisateurs connects

La liste des utilisateurs connects reprend des informations sur les utilisateurs des messageries instantanes connects. La liste peut tre filtre par protocole. Pour visualiser les utilisateurs en cours, slectionnez IM/P2P > Users > Current Users.
Illustration 257 : Liste des utilisateurs connects
Protocole
Filtrez la liste en slectionnant le protocole pour lequel vous voulez avoir les utilisateurs : AIM, ICQ, MSN ou Yahoo. Tous les utilisateurs connects peuvent galement tre affichs. Le protocole en cours. Le nom slectionn par lutilisateur lors de son enregistrement un protocole IM. Le mme nom dutilisateur peut tre utilis pour plusieurs protocoles IM. Chaque nom dutilisateur / paire de protocole apparat sparment dans la liste. Ladresse partir de laquelle lutilisateur initie une session IM. La dernire fois que lutilisateur connect avait utilis ce protocole.
Protocole Nom dutilisateur
IP Source Dernier Login
405
Bloque
Slectionnez pour dconnecter lutilisateur et ajouter son nom la liste noire permanente. Chaque nom dutilisateur / paire de protocole doit faire lobjet dun blocage explicite par ladministrateur.
Visualisation de la liste des utilisateurs

La liste des utilisateurs reprend des informations propos des utilisateurs autoriss (liste blanche) et ceux bloqus (liste noire) des services des messageries instantanes. Des utilisateurs peuvent tre ajouts en cliquant sur Crer Nouveau ou partir de la liste temporaire dutilisateurs. Pour visualiser la liste des utilisateurs, slectionnez IM/P2P > Users > User List.
Illustration 258 : Liste des utilisateurs
Crer Nouveau Protocole Politique Protocole Nom dutilisateur
Slectionnez pour ajouter un nouvel utilisateur la liste. Filtrez la liste en slectionnant un protocole : AIM, ICQ, MSN, Yahoo ou All. Filtrez la liste en slectionnant une rgle : Autoriser, Bloquer ou Tout. Le protocole associ lutilisateur. Le nom slectionn par lutilisateur lors de son enregistrement un protocole IM. Le mme nom dutilisateur peut tre utilis pour plusieurs protocoles IM. Chaque nom dutilisateur / paire de protocole apparat sparment dans la liste. La rgle applique lutilisateur lors dune tentative dutilisation du protocole : Bloquer ou Autoriser. Permet de modifier les informations suivantes sur lutilisateur : Protocole, nom dutilisateur et Politique. Supprime dfinitivement un utilisateur de la liste.
Politique Icne Editer Icne Supprimer
Ajout dun nouvel utilisateur la liste des utilisateurs

Ajouter des utilisateurs la liste des utilisateurs leur permet daccder aux services de messageries instantanes ou de les bloquer de ces services. Slectionnez IM/P2P > User > User List et cliquez sur Crer Nouveau.
Illustration 259 : Editer lutilisateur
406
Protocole Nom dutilisateur Politique
Slectionnez un protocole dans la liste droulante : AIM, ICQ, MSN ou Yahoo. Entrez un nom pour cet utilisateur. Slectionnez une politique dans la liste droulante : Autoriser ou Bloquer.
Configuration dune politique utilisateur globale

La politique utilisateur globale dtermine laction prendre face des utilisateurs inconnus. Les utilisateurs inconnus peuvent tre soit autoriss utiliser certains ou tous les protocoles IM et sont alors ajouts la liste blanche, soit ils sont bloqus de certains ou tous les protocoles et alors ajouts la liste noire. Les administrateurs peuvent a posteriori visualiser les listes blanche et noire et ajouter des utilisateurs la liste des utilisateurs. Pour configurer une politique IM, slectionnez IM/P2P > User > Config.
Illustration 260 : Politique utilisateur IM
Autoriser automatiquement
Slectionnez les protocoles que les utilisateurs inconnus sont autoriss utiliser. Les utilisateurs inconnus sont ajouts une liste blanche dutilisateurs temporaires. Slectionnez les protocoles que les utilisateurs inconnus ne sont pas autoriss utiliser. Les utilisateurs inconnus sont ajouts une liste noire dutilisateurs temporaires. Reprend les nouveaux utilisateurs ajouts aux listes blanche et noire des utilisateurs temporaires. Les informations sur lutilisateur reprennent le protocole, le nom dutilisateur et la politique applique cet utilisateur. Remarque : Le contenu de la liste est effac chaque rinitialisation du FortiGate.
Bloquer automatiquement
Liste des utilisateurs temporaires
Protocole Nom dutilisateur
Filtrez la liste des utilisateurs temporaires en slectionnant un protocole. Le nom slectionn par lutilisateur lors de son enregistrement un protocole IM. Le mme nom dutilisateur peut tre utilis pour plusieurs protocoles IM. Chaque nom dutilisateur / paire de protocole apparat sparment dans la liste.
407
Politique Autoriser dfinitivement
La politique applique lutilisateur lors dune tentative dutilisation du protocole : Bloquer ou Autoriser. Slectionnez pour ajouter lutilisateur la liste blanche permanente. Lutilisateur reste en ligne et est rpertori dans IM/P2P > User > User List. Slectionnez pour ajouter lutilisateur la liste noire permanente. Lutilisateur est dconnect et est rpertori dans IM/P2P > User > User List. Cliquez pour faire appliquer la politique utilisateur globale.
Bloquer dfinitivement
Appliquer
Configuration IM/P2P partir de linterface de ligne de commande

Cette section dcrit les commandes CLI qui tendent des fonctions disponibles partir de linterface dadministration web. Pour des descriptions et exemples complets sur lactivation des fonctionnalits supplmentaires partir de linterface de ligne de commande, voir le FortiGate CLI Reference.
config imp2p old-version

Certaines versions plus anciennes des protocoles IM sont capable de passer travers le filtre car les types de messages ne sont pas reconnus. Cette commande fournit loption de dsactiver ces anciennes versions de protocole IM. Les protocoles IM supports comprennent : MSN 6.0 et plus ICQ 4.0 et plus AIM 5.0 et plus Yahoo 6.0 et plus
408
Journaux & Alertes

Cette section informe sur lactivation de la journalisation, la visualisation des fichiers journaux et laffichage des rapports disponibles partir de linterface dadministration web. Les botiers FortiGate fournissent des possibilits diverses de journalisation pour les fonctions de protection du trafic, du systme et du rseau. Des rapports et journaux dtaills offrent une analyse historique et actualise de lactivit rseau, afin de permettre lidentification de problmes ou faiblesses de la scurit et rduire les abus rseaux. Cette section couvre les sujets suivants : Journalisation FortiGate Niveaux de svrit des journaux Stockage de Journaux Journalisation dun cluster Haute Disponibilit Types de Journaux Journal Rapports Alerte Mail
Journalisation FortiGate
Les botiers FortiGate peuvent journaliser de nombreuses activits rseaux et trafic y compris : tout trafic rseau des vnements lis au systme dont les redmarrages systme, la Haute Disponibilit et lactivit VPN. infection et blocage antivirus filtrage web, blocage de contenu URL et HTTP signatures et prvention contre les attaques et anomalies filtrage antispam trafic de Messageries Instantanes et Peer-to-Peer
Vous pouvez fixer le niveau auquel le botier FortiGate journalise ces vnements et leur lieu de stockage. Le botier FortiGate peut journaliser des vnements du systme et des intrusions sur la mmoire du botier. Cependant, tant donn la nature limite de cette mmoire, les messages les plus anciens ne sont pas sauvegards et le trafic rseau nest pas journalis sur la mmoire en raison du gros volume des messages journaliss. Pour un meilleur stockage et une rcupration efficace, le botier FortiGate peut envoyer les messages journaliss vers un botier FortiAnalyzerTM. Les botiers FortiAnalyzer sont des appliances rseau fournissant une collection de journaux intgrs, des outils danalyse et des stockages de donnes. Des rapports
409
journaliss dtaills offrent une analyse historique et actualise des activits rseau et mail afin de permettre lidentification de problmes de scurit et de rduire les mauvais usages du rseau. Le botier FortiGate peut envoyer tous les types de messages journaliss, ainsi que des fichiers en quarantaine vers le botier FortiAnalyzer pour stockage. Le FortiAnalyzer peut tlcharger des journaux vers un serveur FTP dans le but de les archiver. Pour des informations dtailles sur la configuration du botier FortiGate pour lenvoi de journaux vers un botier FortiAnalyzer, voir Journalisation sur un botier FortiAnalyzer la page 411. Le botier FortiGate peut galement envoyer des journaux vers un serveur Syslog ou WebTrends dans un but de stockage et darchivage. Le botier FortiAnalyzer peut galement tre configur pour envoyer les messages journaliss vers son disque dur si disponible sur le botier. Afin de vous permettre de revenir sur les activits se produisant sur votre rseau et travers le botier FortiGate, ce dernier vous permet de visualiser les messages journaliss disponibles en mmoire, sur un botier FortiAnalyzer muni du microcode version 3.0 ou plus ou sur un disque dur si disponible sur le botier. Des filtres personnalisables vous permettent de localiser facilement des informations spcifiques dans les fichiers de journalisation.
Remarque : Pour plus de dtails sur la sauvegarde de journaux sur le disque dur du FortiGate, si disponible, voir le FortiGate CLI Reference.
Voir le FortiGate Log Message Reference pour plus de dtails sur les messages et formats des journaux.
Niveaux de svrit des journaux

Il est ncessaire de dfinir un niveau minimum de scurit des messages journaliss pour chaque destination utilise par le botier FortiGate pour sauver des fichiers journaux. Le botier FortiGate journalise tous les messages dpassant le niveau de scurit minimum dfini. Par exemple, si vous slectionnez Erreur, le botier journalise les messages des niveaux Erreur, Critique, Alerte et Urgent.
Tableau 43 : Niveaux de svrit de Journalisation Niveaux Description Gnr par 0 Urgent Messages durgence indisponibles. Le systme est devenu instable. 1 Alerte Une action immdiate est Messages journaliss dattaques requise. NIDS. 2 Critique DHCP Le fonctionnement est affect. 3 Erreur Une erreur est prsente et le Messages derreur indisponibles. fonctionnement pourrait en tre affect. 4- Avertissement Le fonctionnement pourrait Messages journaliss des tre affect. Antivirus, Filtrage Web, Filtrage Mail et vnements du systme. 5 Notification Informations propos des Messages journaliss des vnements normaux. Antivirus, Filtrage Web, Filtrage Mail. 6 - Information Information gnrale sur les Messages journaliss des oprations systme. Antivirus, Filtrage Web, Filtrage Mail, des contenus et autres vnements.
410
Stockage des Journaux

Il vous faut configurer les destinations de stockage des messages et fichiers journaux. Le type et la frquence des messages journaliss que vous avec lintention de sauvegarder dcideront du type de destination de stockage utilis. Par exemple, stocker des messages journaliss dans la mmoire ne fournit quune place trs limite. Seul un nombre limit de messages journaliss peut tre sauv sur la mmoire. Au fur et mesure que la mmoire se remplit, les plus vieux messages journaliss sont supprims. Par ailleurs, en raison du grand volume potentiel du Journal du Trafic et de la taille du Journal de Contenu, le botier FortiGate ne stockera pas les messages journaliss des trafics sur sa mmoire. Vous pouvez configurer le botier FortiGate pour quil stocke les messages journaliss sur une ou plusieurs destinations, telle quun botier FortiAnalyzer. Pour configurer les endroits de stockage, slectionnez Journaux/Alertes > Configuration > Configuration du Journal.
Journalisation sur un botier FortiAnalyzer

Les botiers FortiAnalyzer sont des appliances rseaux fournissant une collection intgre de journaux, des outils danalyse et des lieux de stockage de donnes. Des rapports de journaux dtaills offrent une analyse historique et actualise des activits du rseau et mail afin de permettre lidentification de problmes de scurit et de rduire les mauvais usages et abus du rseau.
Illustration 261 : Configuration dune connexion un FortiAnalyzer
Configurer un botier FortiGate pour quil envoie les journaux vers un botier FortiAnalyzer 1 2 3 4 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Slectionnez FortiAnalyzer. Cliquez sur la flche bleue pour faire apparatre les options FortiAnalyzer. Dfinissez le niveau des messages journaliss envoyer au botier FortiAnalyzer. Le botier FortiGate journalise tous les messages gaux ou suprieurs au niveau de svrit dfini. Pour plus de dtails sur les niveaux de la journalisation, voir le Tableau 43 la page 410. 5 6 Entrez ladresse IP du Serveur du botier FortiAnalyzer. Cliquez sur Appliquer.
Remarque : Le botier FortiGate peut se connecter jusqu trois botiers FortiAnalyzer. Il leur envoie tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une relle protection de sauvegarde en temps rel dans le cas o lun des trois FortiAnalyzer Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 411
devrait tomber en panne. Cette fonctionnalit nest disponible qu partir de linterface de ligne de commande. Pour plus dinformations, voir le FortiGate CLI Reference.
Remarque : Aprs avoir configur les paramtres de la journalisation sur le botier FortiGate, le FortiAnalyzer ncessite dtre configur pour recevoir les journaux envoys par le botier FortiGate. Il vous faut alors contacter ladministrateur FortiAnalyzer pour finaliser la configuration.
Se connecter un botier FortiAnalyzer au moyen de la dcouverte automatique

La dcouverte automatique est une mthode pour tablir une connexion un FortiAnalyzer. Une fois la dcouverte automatique slectionne, le botier FortiGate utilise des paquets HELLO pour localiser tout botier FortiAnalyzer disponible sur le rseau au sein du mme sous-rseau. Lorsquun FortiAnalyzer est trouv, le botier FortiGate permet automatiquement la connexion au botier FortiAnalyzer et commence lui envoyer des donnes journalises, dans le cas o la journalisation pour le trafic est configure. Activer la dcouverte automatique 1 2 3 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Cliquez sur la flche bleue de FortiAnalyzer pour en faire apparatre les options. Cochez Dcouverte Automatique. Le botier FortiGate cherche dans le mme sous-rseau la rponse dun FortiAnalyzer disponible. 4 5 Une fois dcouvert, slectionnez un botier FortiAnalyzer de la liste Connect . Cliquez sur Appliquer.
Test de la configuration dun botier FortiAnalyzer

Aprs avoir configur les paramtres FortiAnalyzer, vous pouvez tester la connexion entre le botier FortiGate et le botier FortiAnalyzer pour vous assurer que la connexion fonctionne correctement. Ceci vous permet de voir la connexion entre les deux quipements, y compris les paramtres spcifis pour la transmission et la rception des journaux, rapports, archives de contenu et fichiers en quarantaine. Tester la connexion 1 2 3 4 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Slectionnez FortiAnalyzer. Cliquez sur la flche bleue pour faire apparatre les options FortiAnalyzer. Cliquez sur Tester la connexion.
412
Illustration 262 : Test de connectivit avec le FortiAnalyzer
FortiAnalyzer (Nom)
Le nom du botier FortiAnalyzer. Le nom par dfaut dun botier FortiAnalyzer est le nom du produit, par exemple, FortiAnalyzer-400. Le numro de srie du botier FortiGate. Ltat de lenregistrement du botier FortiGate. Ltat de la connexion entre les botiers FortiGate et FortiAnalyzer. Une marque en V indique quil y a connexion, tandis quune croix signifie labsence de connexion. Espace allou les journaux. Espace utilis Espace libre total La quantit despace prvue pour La quantit despace utilis. La quantit despace inutilis.
FortiGate (Identifiant de lquipement) Etat denregistrement Etat de la connexion
Espace disque
Privilges
Affiche les permissions pour lenvoi et la visualisation de journaux et rapports. Tx indique que le botier FortiGate est configur pour transmettre des paquets journaliss au botier FortiAnalyzer. Rx indique que le botier FortiGate est autoris visualiser les rapports et journaux stocks sur le FortiAnalyzer. Une marque en V indique que le botier FortiGate possde les permissions denvoyer ou de visualiser les journaux et rapports. Une croix signifie que le botier FortiGate ne possde pas la permission denvoyer ou visualiser ces informations.
Journalisation sur la mmoire

La mmoire du systme FortiGate possde une capacit limite pour la journalisation des messages. Le botier FortiGate naffiche que les entres journalises les plus rcentes. Il ne stocke pas les journaux Trafic et Contenu dans la mmoire tant donne leur taille et frquence. Lorsque la mmoire est pleine, le botier FortiGate remplace les messages les plus anciens. Toutes les entres journalises sont effaces lors dun redmarrage du FortiGate.
413
Configurer le botier FortiGate pour que les journaux soient sauvegards en mmoire 1 2 3 4 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Cochez Mmoire. Cliquez sur la flche bleue pour faire apparatre les options de la Mmoire. Choisissez un niveau de svrit. Le botier FortiGate journalise tous les messages du niveaux de svrit slectionn et au-del. Pour plus de dtails sur les niveaux de la journalisation, voir le Tableau 43 la page 410.
Journalisation sur un serveur Syslog

Le Syslog est un ordinateur distant muni dun serveur Syslog. Syslog est un standard industriel utilis pour capturer les donnes journalises fournies par les quipements du rseau.
Illustration 263 : Journalisation sur un serveur Syslog
Configurer le botier FortiGate pour envoyer des journaux au serveur syslog 1 2 3 4 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Cochez Syslog. Cliquez sur la flche bleue pour faire apparatre les options Syslog. Dfinissez les options syslog suivantes et cliquez sur Appliquer :
Nom / Adresse IP Port Niveau (Log Level)
Le nom de domaine ou ladresse IP du serveur syslog. Le numro du port pour les communications avec le serveur syslog, en gnral le port 514. Le botier FortiGate journalise tous les messages du niveau de svrit dfini et des niveaux de svrit suprieurs. Pour plus de dtails sur les niveaux de la journalisation, voir le Tableau 43 la page 410. La facilit indique au serveur syslog la source dun message journalis. Par dfaut, il sagit du local7. Vous pouvez changer la valeur par dfaut pour distinguer les messages journaliss des diffrents botiers FortiGate. Si vous cochez cette option, le botier FortiGate produit le journal dans le format CSV (Comma Separated Value). Dans le cas o vous nactivez pas cette option, le botier FortiGate produit des fichiers de texte simples.
Facilit
Utiliser le format CSV
414
Journalisation sur WebTrends

Un ordinateur distant sur lequel le serveur NetIQ Web Trends fonctionne. Les formats des journaux FortiGate sont conformes WebTrends Enhanced Log Format (WELF) et compatibles avec NetIQ WebTrends Security Reporting Center and Firewall Suite 4.1. Pour configurer le botier FortiGate pour lenvoi de messages journaliss vers WebTrends, entrez la commande suivante partir de linterface de ligne de commande : config log webtrends setting set server <address_ipv4> set status {disable | enable} end
Mots-cls et variables server <address_ipv4> Description Entrez ladresse IP du serveur WebTrends qui stocke les journaux. Entrez enable pour activer la journalisation vers un serveur WebTrends. Par dfaut n/a
status {disable | enable}
disable
Exemple Cet exemple montre comment activer la journalisation vers un serveur WebTrends et comment en dfinir ladresse IP. config log webtrends setting set status enable set server 220.210.200.190 end Pour plus de dtails sur le paramtrage des options pour les types de journaux envoyer vers WebTrends, voir le chapitre sur les Journaux dans le FortiGate CLI Reference.
Journalisation dun cluster Haute Disponibilit

Lors de la configuration de la journalisation dans le cadre dun cluster Haute Disponibilit, il faut configurer le membre primaire pour que celui-ci envoie des journaux vers le FortiAnalyzer ou un serveur Syslog. Les paramtres sappliqueront aux membres subordonns. Ceux-ci envoient les messages journaliss au membre primaire qui lui envoie tous les journaux au FortiAnalyzer ou serveur Syslog. Une connexion scurise via un tunnel VPN IPSec entre un botier FortiAnalyzer et un cluster HA est en ralit une connexion entre ce botier et le membre primaire du cluster HA. Pour plus dinformations, voir le High Availability User Guide.
415
Types de Journaux
Le botier FortiGate offre une large gamme doptions de journalisation pour surveiller votre rseau. Cette section dcrit chaque type de journal et son activation.
Remarque : Vous devez avant tout commencer par configurer les destinations de sauvegarde des fichiers journaux. Pour plus de dtails, voir Stockage de Journaux la page 411.
Journal Trafic
Le journal Trafic enregistre tout le trafic vers et passant travers les interfaces du FortiGate. Vous pouvez configurer la journalisation du trafic contrl par des rgles pare-feu, ainsi que la journalisation du trafic entre toute adresse source et de destination. Vous pouvez appliquer les filtres suivants :
Trafic autoris Le botier FortiGate journalise tout le trafic autoris par les paramtres de la rgle pare-feu. Le botier FortiGate journalise tout le trafic violant les paramtres de la rgle pare-feu.
Trafic bloqu
Remarque : Afin denregistrer les messages journaliss du trafic, vous devez paramtrer le niveau de svrit sur Notification lors de la configuration de la destination de journalisation.
Activation de la journalisation du trafic

La journalisation du trafic enregistre tout le trafic vers et en provenance de linterface ou de la sous-interface VLAN. Pour enregistrer des journaux, vous devez paramtrer le niveau de svrit sur Notification ou un niveau moindre. Activer la journalisation du trafic pour une interface ou sous-interface VLAN 1 2 3 4 Slectionnez Systme > Rseau > Interface. Cliquez sur licne Editer dune interface. Cochez la case Journaliser. Cliquez sur OK.
Activation de la journalisation du trafic dune rgle pare-feu

La journalisation du trafic dune rgle pare-feu enregistre le trafic permis et bloqu par la rgle pare-feu, en fonction du profil de protection. Activer la journalisation du trafic dune rgle pare-feu 1 2 3 Slectionnez Pare-feu > Rgle. Cliquez sur la flche bleue de la direction du trafic souhait pour afficher la liste de rgles. Cliquez sur licne Editer dune rgle ou crez une nouvelle rgle pare-feu.
416
Cochez Log Allowed Traffic et cliquez ensuite sur OK.
Journal Evnement
Le journal Evnement enregistre les vnements dadministration et dactivits, tels que lors dun changement de configuration ou de lapparition dun vnement VPN ou Haute Disponibilit. Activer les journaux Evnement 1 2 Slectionnez Journaux/Alertes > Configuration > Event Log. Slectionnez parmi les journaux suivants :
Evnement systme
Le botier FortiGate journalise tous les vnements lis au systme tels que lchec dun serveur ping et le statut de la passerelle. Le botier FortiGate journalise tous les vnements lis la ngociation tels que les rapports sur les progrs et les erreurs. Le botier FortiGate journalise tous les vnements lis au DHCP tels que les journaux de requtes et de rponses. Le botier FortiGate journalise tous les vnements lis aux protocoles tels que les processus dadministration. Le botier FortiGate journalise tous les vnements administratifs tels que les connexions utilisateurs, les rinitialisations et mises jours de la configuration. Le botier FortiGate journalise tous les vnements lis la Haute Disponibilit tels que les informations relatives aux liens, aux membres et ltat du cluster. Le botier FortiGate journalise tous les vnements lis au pare-feu tels que lauthentification des utilisateurs. Le botier FortiGate journalise tous les vnements de mises jour des signatures tels que les mises jour des signatures antivirus et IPS et les checs de mises jour. Le botier FortiGate journalise tous les vnements dauthentification des utilisateurs pour les connexions VPN SSL tels que connexions, dconnexions et timeout dinactivit. Le botier FortiGate journalise tous les vnements dadministration des VPN SSL tels que les configurations SSL et le tlchargement de certificats CA. Le botier FortiGate journalise toutes les activits de la session telles que les lancements et blocage dapplications, les timeouts, les vrifications etc.
Ngociation IPSec
DHCP L2TP/PPTP/PPPoE Administration
HA
Authentification pare-feu Mise jour des signatures
SSL VPN user authentication
SSL VPN administration
SSL VPN session
417
Journal Antivirus
Le Journal Antivirus enregistre les incidents lis aux virus pour les trafics Web, FTP et mail. Par exemple, lorsque le botier FortiGate dtecte un fichier infect, bloque un type de fichier ou bloque un fichier ou mail surdimensionn. Vous pouvez appliquer les filtres suivants :
Virus Fichiers Bloqus Fichiers/Mails surdimensionns AV Monitor Le botier FortiGate journalise toutes les infections virales. Le botier FortiGate journalise tous les cas de fichiers bloqus. Le botier FortiGate journalise tous les cas de fichiers ou mails dpassant un seuil dfini. Le botier FortiGate journalise tous les cas des virus, fichiers bloqus et fichiers et mails surdimensionns. Cela sapplique aux trafics HTTP, FTP, IMAP, POP3, SMTP et IM.
Activer les journaux antivirus 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez les vnements antivirus journaliser et cliquez ensuite sur OK.
Journal Filtrage Web

Le Journal Filtrage Web enregistre les erreurs dvaluation de journalisation FortiGuard HTTP ainsi que les actions de blocage de contenu web effectues par le botier FortiGate. Activer les journaux Filtrage Web 1 2 3 4 5 6 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Sous Filtrage Web, cochez les vnements de filtrage web journaliser. Cochez FortiGuard Web Filtering Erreurs dvaluation (HTTP uniquement) pour journaliser le filtrageFortiGuard. Cliquez ensuite sur OK.
Journal des Attaques

Le Journal Attaques enregistre les intrusions dtectes et bloques par le botier FortiGate. Le botier FortiGate journalise les vnements suivants :
Signature des attaques Le botier FortiGate journalise toutes les intrusions dtectes et bloques bases sur la signature de lattaque, ainsi que les actions prises par le botier FortiGate.
418
Anomalies
Le botier FortiGate journalise toutes les intrusions dtectes et bloques bases sur des signatures inconnues ou suspectes, ainsi que les actions prises par le botier FortiGate.
Activer les journaux Attaques 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez IPS Journaliser les intrusions et cliquez ensuite sur OK.
Remarque : Vous devez vous assurer de lactivation des paramtres de journalisation des signatures des attaques et anomalies. Les options de journalisation pour les signatures prsentes sur le botier FortiGate sont dfinies par dfaut. Veillez ce que toutes les signatures personnalises aient loption de journalisation active. Pour plus de dtails, voir Protection contre les intrusions la page 352.
Journal Antispam
Le Journal Antispam enregistre les blocages dadresses mails et de contenu des trafics SMTP, IMAP et POP3. Activer les journaux antispam 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez Filtrage antispam Log Spam et cliquez ensuite sur OK.
Journal IM / P2P
Le Journal des Messageries Instantanes et Peer-to-Peer enregistre les textes des messages instantans, les communications audio, les tentatives de transferts de fichiers par les utilisateurs, le temps dessai de la transmission, le type dapplication IM utilis et le contenu de la transmission. Activer les journaux IM / P2P 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez les deux journalisations des activits IM et P2P et cliquez ensuite sur OK.
419
Accs aux Journaux

Le botier FortiGate vous permet de visualiser les journaux stocks en mmoire, sur le disque dur ou sur un FortiAnalyzer muni du microcode version 3.0. Au sein de lafficheur de journaux, vous pouvez lancer une recherche et filtrer des messages journaliss. Pour les journaux stocks sur un FortiAnalyzer, vous pouvez galement supprimer des fichiers journaux, retirer des messages journaliss des fichiers et tlcharger le fichier journal soit en format texte, soit en format CSV.
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du microcode version 3.0 ou plus.
Accs aux messages journaliss stocks en mmoire

Visualiser les messages journaliss stocks dans le FortiAnalyzer 1 2 3 Slectionnez Journaux/Alertes > Journal. Slectionnez Memory. Slectionnez le type de journal dsir. Les journaux trafic ne sont pas stocks en mmoire, tant donn leur volume. Les messages journaliss saffichent dans la fentre.
Accs aux journaux stocks sur un botier FortiAnalyzer

Dans la cas o vous avez configur votre botier FortiGate pour quil envoie des paquets messages journaliss vers un FortiAnalyzer, vous pourrez visualiser, naviguer et tlcharger des journaux sauvegards sur ce FortiAnalyzer. Pour plus de dtails sur la configuration du FortiGate pour lenvoi de journaux vers un FortiAnalyzer, voir Journalisation sur un FortiAnalyzer la page 411.
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du microcode version 3.0 ou plus.
Accder aux fichiers journaux dun FortiAnalyzer 1 2 3 Slectionnez Journaux/Alertes > Journal. Slectionnez FortiAnalyzer. Slectionnez le type de journal dsir.
420
Illustration 264 : Fichiers journaux sur un FortiAnalyzer
Type de journal
Slectionnez le type de journal que vous voulez visualiser. Certains fichiers journaux, tels que le journal Trafic, ne peut pas tre sauvegard sur la mmoire en raison du volume des informations journalises. Les noms des fichiers du type slectionn stock sur le disque dur du FortiAnalyzer. Lorsquun fichier journal atteint sa taille maximum, le FortiAnalyzer sauve ce fichier avec un numro et commence un nouveau fichier avec le mme nom. Par exemple, le journal Attaques en cours est alog.log. Tout journal supplmentaire sauv aura comme nom alog.n, o n est le nombre de journaux rpertoris.
Nom de fichier
Taille Date du dernier accs Icne Vider
La taille du fichier journal en octets. Le jour, le mois, lanne et lheure auxquels le dernier paquet journalis a t envoy par le botier FortiGate. Permet de vider le fichier en cours. Vider un fichier en cours efface tous les messages journaliss du fichier actif. Il est seulement possible de vider le journal actif. Permet de supprimer le fichier journal entier. Vous ne pouvez pas supprimer le fichier actif. Permet de tlcharger le journal sous format texte ou fichier CSV. Permet dafficher le fichier journal partir de linterface dadministration web.
Icne Supprimer Icne Tlcharger Icne Visualiser
Visualisation des informations journalises

Lafficheur de journaux reprend les informations des messages journaliss. Les colonnes reprennent le contenu des fichiers journaux. La partie suprieure de la page comprend des fonctionnalits de navigation qui vous aideront vous dplacer parmi les messages et localiser des informations spcifiques.
421
Illustration 265 : Visualisation des messages journaliss
Type de journal Icne Page prcdente Icne Page suivante Visualiser lignes par page Ligne
Slectionnez le type de journal visualiser. Affiche la page prcdente du fichier journal. Affiche la page suivante du fichier journal. Choisissez le nombre de messages journaliss affichs sur chaque page. Entrez le numro de la ligne de la premire ligne afficher. Le nombre suivant le slash ( / ) est le nombre total de ligne dans le journal. Slectionnez pour ajouter ou supprimer des colonnes. Slectionnez Colonnes pour passer en affichage non format des messages journaliss. Slectionnez Formatage pour passer en affichage organis en colonnes. Supprimer tous les filtres. Permet de supprimer les options de filtrage en cours pour le fichier journal.
Formatage des colonnes Colonnes/Formatage
Clear All Filters
Paramtres des colonnes

Le formatage des colonnes permet de personnaliser laffichage des messages journaliss lors de laffichage Formatage des messages.
Illustration 266 : Paramtres des colonnes pour laffichage des messages journaliss
Personnaliser les colonnes 1 2

422
Slectionnez Journaux/Alertes > Journal. Choisissez le Type de Journal que vous dsirez accder.
3 4 5 6
Choisissez entre Memory ou FortiAnalyzer. Si vous visualisez un fichier journal sur un FortiAnalyzer, slectionnez View pour le fichier. Cliquez sur Formatage des colonnes. Slectionnez un nom de colonne. Pour modifier laffichage des informations des journaux, slectionnez soit : -> la flche droite pour dplacer les champs slectionns de la liste Champs Disponibles vers la liste Visualiser les champs dans cet ordre. la flche gauche pour dplacer les champs slectionns de la liste Visualiser les champs dans cet ordre vers la liste Champs Disponibles. Dplace le champ slectionn dune place vers le haut dans la liste Visualiser les champs dans cet ordre. Dplace le champ slectionn dune place vers le bas dans la liste Visualiser les champs dans cet ordre.
<-
Monter Descendre 7 Cliquez sur OK.
Filtrage des messages journaliss

Il est possible de filtrer les contenus des journaux pour trouver des informations spcifiques dans un large fichier ou dans plusieurs fichiers. Le filtrage offre une forme de recherche avance pour chaque colonne dinformation du journal.
Illustration 267 : Filtrages des journaux
Les paramtres de filtrage appliqus se maintiennent pendant la dure de votre connexion au botier FortiGate. Les filtres des journaux sont rinitialiss chaque dconnexion du botier FortiGate.
Remarque : Vous devez tre en affichage Formatage pour accder aux filtres.
Filtrer des messages journaliss 1 2 3 4 5 6 7 8 Slectionnez Journaux/Alertes > Journal. Slectionnez le type de journal auquel vous voulez accder. Choisissez entre Memory ou FortiAnalyzer. Si vous visualisez un fichier journal sur un FortiAnalyzer, slectionnez View pour le fichier. Slectionnez licne Filtre de la colonne trier. Entrez un critre de filtrage dans le champ Texte. Slectionnez si le critre entr est gal ce que vous filtrez ou sil est prsent dans les donnes. Si vous dsirez exclure les contenus, cochez NOT.
423
Les icnes Filtres apparaissent en gris dans len-tte de la colonne. Un filtre utilis apparat en vert. Pour annuler un filtre, slectionnez licne Filtre et cliquez ensuite sur Rinitialiser Filtre.
Rapports
Le botier FortiGate offre deux formes de rapports, vous permettant de visualiser les informations sur le trafic circulant sur votre rseau : Rapports de base sur le trafic Le botier FortiGate utilise les informations des journaux stocks en mmoire pour soumettre, sous format graphique, des informations de base sur le trafic. Les rapports comprennent la bande passante par service et les protocoles par volume. Rapports FortiAnalyzer lorsquil est connect un FortiAnalyzer, le botier FortiGate peut accder tous les rapports gnrs par le FortiAnalyzer partir de ses journaux. Vous pouvez galement personnaliser un rapport par dfaut pour le botier FortiGate.
Rapports de base sur le trafic

Le botier FortiGate utilise des informations sur les journaux rassembles et les prsente sous format graphique pour tablir lusage rseau pour un nombre de services. Les graphiques montrent le volume doctets utilis par le trafic.
Remarque : Les donnes utilises pour les graphiques sont stockes en mmoire. Lors dun redmarrage ou dune rinitialisation du botier FortiGate, les donnes sont effaces.
Pour visualiser les rapports des journaux, slectionnez Journaux/Alertes > Report Access et choisissez Memory.
Illustration 268 : Visualisation de la Bande Passante par service
424
Source des donnes
La localisation partir de laquelle le botier FortiGate obtient les donnes sur la journalisation pour ses rapports. Choisissez Memory pour visualiser les journaux de base sur le trafic. Pour obtenir des rapports plus dtaills, slectionnez FortiAnalyzer. Pour plus dinformations sur les rapports du FortiAnalyzer, voir Rapports FortiAnalyzer la page 426.
Time Period FortiAnalyzer Link
Slectionnez un intervalle de temps pour les analyses de graphiques. Le lien en haut du rapport varie selon que vous ayez configur le botier FortiGate pour lenvoi de journaux vers un FortiAnalyzer. Le lien peut tre : To access a complete set of 1000+ reports, please configure a FortiAnalyzer appliance cliquez sur ce lien pour configurer un FortiAnalyzer. Pour plus de dtails, voir Journalisation sur un FortiAnalyzer la page 411. Access full set of reports on FortiAnalyzer cliquez sur ce lien pour lancer une nouvelle fentre de navigation accdant linterface dadministration web du FortiAnalyzer.
Le rapport nest pas mis jour en temps rel. Pour rafrachir le rapport, slectionnez Journaux/Alertes > Report Access.
Configuration de laffichage des graphiques

Les rapports FortiGate comprennent une large gamme de services que vous pouvez contrler avec le rapport de base graphique. Pour vous aider visualiser des informations spcifiques, vous pouvez personnaliser ce que vous voyez sur le graphe Bande Passante par Service ( Bandwidth Per Service). Modifier les informations des graphiques 1 2 3 Slectionnez Journaux/Alertes > Report Access. Choisissez Memory comme Source de donnes. Slectionnez le service que vous dsirez voir apparatre sur le graphe et cliquez ensuite sur Appliquer. Le graphe se met jour avec le contenu slectionn. Le Top Protocols Ordered by Total Volume ne change pas.
Remarque : Il sagit de rapports simplifis. Un botier FortiAnalyzer peut fournir des rapports plus dtaills ou spcifiques. La fonction dun FortiAnalyzer est de rassembler des messages journaliss et de gnrer des rapports. Il peut gnrer plus de 140 rapports diffrents, vous offrant ainsi des informations historiques et mises jour, des tendances sur votre rseau pour les activits mail, IM et gnrales. Ceci vous aide dans lidentification de problmes de scurit et dans la rduction des mauvais usages et abus du rseau.
425
Rapports FortiAnalyzer
Dans le cas o le botier FortiGate est connect un FortiAnalyzer muni du microcode version 3.0 ou plus, il vous est possible daccder tous les rapports gnrs pour le botier FortiGate. Vous pouvez galement configurer un profil de rapport par dfaut configurable pour gnrer des rapports spcifiques pour le botier FortiGate. Lorsque le botier FortiGate se connecte pour la premire fois un FortiAnalyzer, ce dernier cre un profil de rapport par dfaut personnalisable. Seul ce profil peut tre personnalis partir du botier FortiGate. Le FortiAnalyzer peut crer plusieurs profils de rapport pour un botier FortiGate afin de rpondre une gamme dexigences et des options personnalisables additionnelles. Pour plus de dtails sur lajout et la configuration de profils de rapport, voir le FortiAnalyzer Administration Guide.
Remarque : Les rapports FortiAnalyzer napparaissent pas tant que vous ne configurez pas le botier FortiGate pour quil se connecte un FortiAnalyzer, ou si le FortiAnalyzer nest pas muni du microcode version 3.0 ou plus.
Visualisation des rapports FortiAnalyzer

Le FortiAnalyzer peut gnrer un nombre de rapports spcifiques pour un botier FortiGate et faire fonctionner ces rapports selon des horaires prcis, ou sur demande. Si vous utilisez un FortiAnalyzer, vous pouvez accder tout rapport gnr pour le botier FortiGate partir de linterface dadministration web FortiGate. Visualiser les rapports FortiAnalyzer 1 2 3 4 Slectionnez Journaux/Alertes > Report. Choisissez FortiAnalyzer comme Source de donnes. Cliquez sur la flche bleue pour afficher la slection des rapports visualiser. Slectionnez un nom de rapport pour visualiser une version HTML du rapport. Si le rapport a t configur pour inclure des formats alterns, vous pouvez slectionner licne dans la colonne Autres Formats.
426
Illustration 269 : Visualisation des rapports FortiAnalyzer pour le botier FortiGate
Configuration
Slectionnez pour configurer le rapport par dfaut pour le botier FortiGate. Ce rapport apparaissant en haut de la liste des rapports FortiAnalyzer, est le seul rapport personnalisable partir du botier FortiGate. Pour plus de dtails, voir le FortiAnalyzer Administration Guide. Les noms des fichiers HTML pour chaque rapport gnr dans le profil de rapport. La date et lheure auxquelles le FortiAnalyzer a gnr les rapports. La taille des fichiers rapports. Dans le cas o cela a t configur par ladministrateur FortiAnalyzer, des formats de fichiers supplmentaires de rapports apparatront. Ces formats comprennent Adobe PDF, Microsoft Word RTF ou ASCII Text.
Fichiers de rapport Date Taille (octets) Autres Formats
Configuration du rapport par dfaut du FortiAnalyzer

Il est possible de mettre jour ou de modifier un profil de configuration de rapport pour y inclure les informations paratre sur le rapport. Choisissez le type de rapport et un intervalle de temps pour fournir des rapports spcialiss. Configurer le profil de rapport par dfaut du FortiAnalyzer 1 2 3 4 5 Slectionnez Journaux/Alertes > Report Config. Choisissez FortiAnalyzer comme Source de donnes. Slectionnez Configuration. Entrez un titre pour le rapport et une description de ce quil contient. Ces deux champs sont facultatifs. Cliquez sur la flche bleue ct des options configurer :
Priode de temps Porte du rapport Report Types Filtre Choisissez un intervalle de temps pour le rapport. Choisissez le type de rsultat inclure dans le rapport. Slectionnez les rapports inclure. Filtrez les donnes des journaux pour crer des rapports sur des contenus ou informations spcifiques. 427
Planifi Format/Sortie
Configurez le moment auquel le FortiAnalyzer gnre ses rapports, par exemple, chaque semaine ou chaque mois. Choisissez un format pour les rapports.
Cliquez sur OK.
Configuration des options temporelles

Les rapports reprennent les informations pour un laps de temps donn. Vous devez spcifier cet intervalle de temps souhait. Lorsque le FortiAnalyzer gnre un rapport, il utilise les donnes journalises pour cette priode de temps spcifi uniquement.
Illustration 270 : Configuration des options temporelles des rapports
Priode de temps Date de dbut : Date de fin :
Slectionnez un intervalle de temps pour le rapport. Choisissez la date et lheure de dpart. Choisissez la date et lheure de fin.
Configuration du contenu des rapports

Slectionnez le type de rsultats que vous voulez inclure dans les rapports.
Illustration 271 : Configuration du contenu des rapports
Rsoudre les noms dhtes
Permet laffichage des noms dhtes par un nom reconnaissable la place des adresses IP. Pour toute information sur la configuration dadresse IP de noms dhtes, voir le FortiAnalyzer Administration Guide. Permet laffichage des noms des services rseaux la place des numros de port. Par exemple, HTTP au lieu de port 80. Pour certains types de rapports, vous pouvez dfinir les lments suprieurs. Ces rapports ont le mot Top dans leur nom et afficheront uniquement les n entres suprieures. Par exemple, le rapport des clients mail les plus actifs dans lorganisation (au lieu de tous les clients mail). Les rapports qui ne comprennent pas le mot Top dans leur nom afficheront quant eux toutes les informations. Les rapports ne seront pas affects par un changement des valeurs du champ Top .
Rsoudre les noms de services Dans les rapports classs montrer le top
428
Configuration de la slection des rapports

Slectionnez le type dinformations que vous voulez inclure dans les rapports : Basic offre les types de rapports les plus communs. All offre tous les types de rapports. Si les donnes pour un type de rapport sont inexistantes, ce rapport affichera un message prcisant que les donnes journalises pour ce rapport nont pas t trouves. Custom permet de slectionner les rapports que vous voulez inclure. Cliquez sur la flche bleue pour afficher les catgories de rapports et slectionnez des rapports individuels.
Configuration de filtres pour les journaux

Le filtrage vous permet de visualiser ou retirer des informations dun rapport pour obtenir un rapport plus concis. Cela sert dans le cas, par exemple, o vous ne dsirez que des rapports sur des messages derreurs spcifiques ou encore si vous ne voulez pas inclure certaines adresses IP de destination.
Illustration 272 : Configuration de filtres pour les journaux
Filtres
Choisissez None pour ne pas appliquer de filtres aux journaux dun rapport. Choisissez Custom pour appliquer des filtres aux journaux dun rapport.
Include logs that match
Slectionnez le critre voulu pour le filtre. Slectionnez All pour inclure dans le rapport les journaux qui correspondent tous les paramtres des filtres. Si le contenu dun journal ne correspond pas tous les critres, le FortiAnalyzer ne reprendra pas ce journal dans son rapport. Slectionnez Any pour inclure dans le rapport les journaux qui correspondent au moins un critre des filtres. Si un contenu de filtre, mme sil est le seul, correspond au contenu dun journal, celui-ci sera repris dans le rapport gnr par le FortiAnalyzer.
Priorit
Cochez cette case pour activer les options de filtrage en fonction du niveau de priorit. Slectionnez ensuite le niveau de priorit rechercher dans les journaux et prcisez si vous dsirez que le contenu soit gal, plus grand ou plus petit que ce niveau de priorit.
429
Source(s)
Entrez ladresse IP source comme critre de correspondance. Utilisez une virgule pour sparer plusieurs adresses. Cochez Not pour exclure ladresse IP source du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dune adresse IP source prcise dans le rapport.
Destination(s)
Entrez ladresse IP de destination comme critre de correspondance. Utilisez une virgule pour sparer plusieurs adresses. Cochez Not pour exclure ladresse IP de destination du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dune adresse IP de destination prcise dans le rapport.
Vous pouvez galement organiser le filtre en fonction de plages dadresses IP, y compris des sous-rseaux pour crer des rapports sur des groupes de lorganisation. Par exemple : 172.20.110.0-255 filtre toutes les adresses IP du sous-rseau 172.20.110.0/255.255.255.0 ou 172.20.110.0/24 172.20.110.0-140.255 filtre toutes les adresses IP de 172.20.110.0 172.20.140.255 172.16.0.0-20.255.255 filtre toutes les adresses IP de 172.16.0.0 172.20.255.255 Interface(s) Entrez linterface que vous voulez inclure dans le rapport. Sparez plusieurs interfaces par une virgule. Cochez Not pour exclure les informations de cette interface du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dune interface prcise dans le rapport. Domaine(s) Virtuel(s) Entrez les domaines virtuels inclure dans le rapport. Sparez plusieurs domaines virtuels par une virgule. Cochez Not pour exclure le VDOM du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dun VDOM prcis dans le rapport. Service(s) Entrez les services spcifiques inclure dans le rapport. Sparez plusieurs services par une virgule. Cochez Not pour exclure le service du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dun service prcis dans le rapport. URL(s) Entrez les URL spcifiques inclure dans le rapport. Sparez plusieurs URL par une virgule. Cochez Not pour exclure lURL du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dun URL prcis dans le rapport. Priode Jours de la semaine Slectionnez un intervalle de temps inclure dans le rapport. Choisissez les jours de la semaine pour lesquels les informations tires des fichiers journaux sont insres dans les rapports.
430
Configuration dun planning pour les rapports

Le FortiAnalyzer gnre des rapports selon un planning que vous dfinissez. Choisissez un horaire rcurrent pour que, par exemple, chaque semaine des rapports sur le trafic mail soient gnrs.
Illustration 273 : Configuration dun planning pour les rapports
Non planifi
Permet de ne pas gnrer de rapport quotidien. Utilisez ce paramtre lorsque vous voulez obtenir des rapports seulement lorsque ncessaire. Si vous slectionnez cette option, vous devez solliciter linitiation du rapport partir de linterface dadministration web du FortiAnalyzer. Permet de gnrer un rapport tous les jours la mme heure. Permet de gnrer un rapport certains jours de la semaine. Permet de gnrer un rapport certains jours du mois. Par exemple, pour gnrer un rapport tous les premiers et quinzimes jours du mois, entrez 1, 15. Permet de dfinir lheure laquelle le rapport sera gnr.
Quotidiennement Ces jours Des dates
Heure
Configuration de la sortie des rapports

Vous pouvez choisir la destination et le format des rapports. Configurez pour cela le botier FortiAnalyzer pour soit sauvegarder les rapports sur son disque dur, soit les envoyer par mail tous les destinataires prvus, soit encore les deux options. Lors de la configuration du FortiAnalyzer pour lenvoi par mail des rapports, vous devez configurer le serveur mail sur le FortiAnalyzer. Pour toute information ce sujet, voir le FortiAnalyzer Administration Guide.
Remarque : Si vous envoyez par mail des rapports HTML un utilisateur et que son client email ne supporte pas HTML, il verra le code HTML de chaque rapport dans le corps du message.
431
Illustration 274 : Configuration de la sortie des rapports
Fichier de sortie Email de sortie
Slectionnez le format de fichier pour les rapports gnrs sauvs sur le disque dur du FortiAnalyzer. Slectionnez le format de fichier pour les rapports gnrs envoys par le FortiAnalyzer en pice jointe de courriers lectroniques. Entrez les adresses mail des destinataires des rapports. Tapez la touche Enter pour ajouter une adresse mail supplmentaire. Slectionnez pour tlcharger des fichiers de rapports termins sur un serveur FTP. Entrez ladresse IP du serveur FTP. Entrez le nom dutilisateur pour vous connecter sur le serveur FTP. Entrez le mot de passe pour vous connecter sur le serveur FTP. Permet de compresser les fichiers des rapports en fichiers gzip avant de les tlcharger sur un serveur FTP. Permet de supprimer les fichiers des rapports du disque dur du FortiAnalyzer une fois que celui-ci a termin le tlchargement sur le serveur FTP.
Liste dadresses Email Charger le rapport sur un serveur FTP Adresse IP Nom dutilisateur Mot de passe Charger le(s) rapport(s) au format gzip Supprimer le(s) fichier(s) aprs chargement
Mail dalerte
La fonctionnalit de mail dalerte permet au botier FortiGate de surveiller les journaux de messages journaliss ayant un certain niveau de svrit. Si le message apparat dans les journaux, le botier FortiGate envoie un mail aux destinataires prdfinis du message journalis en question. Lenvoi de mails dalerte fournit une notification immdiate de problmes apparaissant sur le botier FortiGate, tels que des erreurs systme ou des attaques rseaux.
432
Illustration 275 : Options des mails dalerte
Configuration des mails dalerte

Lors de la configuration de mails dalerte, vous devez configurer au moins un serveur DNS. Le botier FortiGate utilise le nom du serveur SMTP pour se connecter au serveur mail et doit chercher ce nom sur votre serveur DNS. Configurer les mails dalerte 1 2 Slectionnez Journaux/Alertes > Configuration > Alerte Mail. Dfinissez les options suivantes et cliquez ensuite sur Appliquer :
Serveur SMTP Email from Destinataire Authentification Activer Compte de messagerie SMTP Le nom/adresse du serveur mail SMTP. Le nom dutilisateur SMTP. Entrez jusqu trois destinataires des mails dalerte. Cochez cette case pour activer lauthentification SMTP. Entrez un nom dutilisateur pour vous connecter au serveur SMTP pour lenvoi de mails dalerte. Cette manoeuvre nest ncessaire que si vous avez activ lauthentification SMTP. Entrez un mot de passe pour vous connecter au serveur SMTP pour lenvoi de mails dalerte. Cette manoeuvre nest ncessaire que si vous avez activ lauthentification SMTP. Le botier FortiGate envoie des mails dalerte pour tous les messages du niveau de svrit slectionn ainsi que des niveaux suprieurs. Entrez un intervalle de temps dattente avant lenvoi du mail dalerte du niveau additionnel des messages journaliss.
Mot de passe
Log Level
Urgent Alerte Critique Erreur Avertissement Notification Information
433
Remarque : Dans le cas o le botier FortiGate runit plus dun message journalis avant que lintervalle de temps soit atteint, le botier FortiGate combine ces messages et nenvoie quun mail dalerte.
434
Index
A
accs au mode console, 33 administrateur authentification RADIUS, 169 configuration dun compte, 170 contrle, 180 liste, 169 modifier le mot de passe, 170 administration comptes administrateurs, 168 FortiManager, 17778 groupe dutilisateurs, 169 profils dadministration, 174 adresse pare-feu, 245 configuration, 247 configuration des groupes dadresses, 248 introduction, 245 liste des adresses pare-feu, 246 liste des groupes dadresses, 247 ajout d'un serveur ping une interface, 7677 antispam, 386 configuration cli, 398 expressions rgulires en Perl, 400 liste noire et liste blanche, 392 modle mta-caractre, 400 mots bannis, 389 trafic POP3 et IMAP, 386 trafic SMTP, 386 antivirus, 337 configuration CLI, 350 liste de soumission automatique, 344 liste des graywares, 348 liste des virus, 347 mise en quarantaine, 342 modles de fichier, 338 options de mise en quarantaine, 345 archives de contenu, 58 authentification RADIUS, 169 authentification dun utilisateur, 324 authentification paramtrage du timeout, 324 auto key, 295
C
Centre FortiGuard, 184 configuration du botier, 186 problmes de connexion, 188 service Antispam, 185 service de filtrage web, 185 certificats VPN, 316 certificats CA, 320 certificats locaux, 316 gnrer une requte de certificat, 317 importation dun certificat serveur sign, 319 liste de rvocation de certificat, 322 chssis FortiGate srie 5000, 15 cluster administration, 133 administration individuelle des membres, 135 configuration, 124 connexion au rseau, 147 dconnexion dun membre, 136 liste des membres, 11920 radjoindre un membre dconnect, 137 rplication, 135 cluster virtuel administration, 141 clustering virtuel activation, 131 configuration, 127 exemple de configuration, 139 configuration des paramtres du modem, 79 configuration de l'interface modem, 79 configuration du systme sauvegarde et restauration, 181 Configuration Globale paramtres, 42 configuration par dfaut des profils de protection, 280 console de message d'alerte, 50 conventions du document, 26
D
date et heure, paramtrage, 51 dtection de l'chec d'une passerelle, 76 DHCP baux dadresses, 103 configuration dun serveur, 101 configuration dune interface, 69 configuration dune interface comme relais DHCP, 101 configuration des services DHCP, 100 serveurs et relais, 99 DNS configuration dynamique d'une interface, 72 domaines virtuels 435
B
bande passante garantie, 239 bande passante maximum, 239 BGP, 219 paramtres, 220
affectation dun administrateur, 46 ajout dinterfaces un vdom, 45 cration et dition, 44 introduction, 40 mode Multiple VDOM, 43 paramtres de configuration, 41 paramtres de la Configuration Globale, 42 domaines virtuels et cluster configuration, 130
E
chec d'une passerelle dtection, 76 enregistrement d'un FortiGate, 37 expressions rgulires en Perl, 400
groupe dutilisateurs, 32930 configuration, 333 groupe dutilisateurs Active Directory, 331 groupe dutilisateurs pare-feu, 331 groupe dutilisateurs VPN SSL, 332 liste de groupe, 332 options override FortiGuard, 334 types de groupe, 331 groupe dutilisateurs VPN SSL, 335 groupes dadresses configuration, 248
H
HA, high availability voir haute disponibilit, 104 haute disponibilit exemple de configuration en maillage intgral, 143 haute disponibilit, 104 clustering virtuel, 108 interface de Heartbeat, 117 maillage intgral HA, 109 modes HA (actif-actif et actif-passif, 107 options HA, 114 priorit de lquipement, 115 protocole de clustering FortiGate (FGCP), 106 statistiques, 122 haute disponibilit interfaces agrges 802.3ad, 150 haute disponibilit journalisation dun cluster, 415 heartbeat adresses IP des interfaces, 119 interface, 117 interfaces par dfaut, 118 historique oprationnel, 55 htes de confiance, 17273
F
filtrage web, 366 filtre url, 374 liste dexemption des contenus web, 371 liste de blocage de contenu, 368 par mots cls, 368 filtrage web FortiGuard, 378 liste override, 379 filtre MAC, 96 FortiAnalyzer, 411 accs aux journaux, 420 dcouverte automatique, 412 rapports, 42526 FortiGate documentation, 2627 FortiGate IPv6, 91 commande CLI, 91 FortiGate srie 5000 chssis, 15 modules, 16 FortiGuard configuration des options override, 334 mise jour manuelle des dfinitions AV et IPS, 55 Fortinet Base de Connaissance, 28 Service clientle et support technique, 28 Fortinet, gamme de produits FortiAnalyser, 22 FortiBridge, 23 FortiClient, 22 FortiGuard, 22 FortiMail, 23 FortiManager, 23 FortiReporter, 23
I
icnes, description, 36 IM, 403 configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques densemble, 403 statistiques par protocole, 404 information sur la licence, 48 interface ajout d'un serveur ping, 7677 configuration additionelle, 74 configuration DHCP, 69 configuration DNS dynamique, 72 configuration PPPoE, 70 contrler un accs administratif, 74 introduction, 61 paramtres, 63 paramtres DHCP, 70
G
gamme de produits FortiGate, 15 gamme de produits Fortinet, 2122 groupe dadresses pare-feu, 247
436
Guide dinstallation FortiGate-3000 et FortiGate-3600 Version 3.0 01-30000-0270-20051212
paramtres PPPoE, 71 interface agrge 802.3ad, 66 interface d'administration web, 29 aide en ligne, 30 barre de boutons, 30 barre de statuts, 37 dconnexion, 34 cran, 29 icnes, 36 menu, 35 moteur de recherche, 32 pages, 34 interface IPSec virtuelle configuration, 72 interface modem configuration, 79 interface redondante, 67 interface sans fil, 68 interfaces statuts, 50 IP virtuelles, 260 ajout dIP virtuelles dynamiques, 276 ajout dun relayage de port, 269 ajout dune IP virtuelle dquilibrage de charge, 272 ajouter une adresse IP virtuelle de translation, 265 66 configuration des adresses, 264 liste, 264 ips, 352 anomalies, 362 configuration cli, 36465 dcodeurs de protocoles, 360 signatures personnalises, 358 signatures prdfinies, 35354 IPSec virtuelle configuration d'une interface, 72 paramtres, 73
sur Web Trends, 415 types de journaux, 41516
L
licence, 19293 liste des sessions, 57 logiciel FortiGate, 53 mise jour logicielle, 53 retour une version antrieure, 54
M
MAC adresses MAC virtuelles, 138 mail dalerte, 432 maillage intgral exemple de configuration, 143 message de connexion VPN SSL modification, 16465 messages de remplacement, 16061 mta-caractre, 400 MIB champs MIB Fortinet, 158 MIB FortiGate, 156 mise jour des signatures antivirus et IPS, 189 mise jour force, 191 via un serveur proxy, 190 mise jour logicielle, 53 partir de linterface dadministration web, 53 mise en quarantaine, 342 configuration des options, 345 mode Transparent table de routage, 78 modles de fichier, 338 modem configuration des paramtres, 79 connexion et dconnexion, 83 statut, 84 modules FortiGate srie 5000, 16 Multicast, 221 paramtres, 222
J
journal des Attaques, 59 journalisation, 409 accs aux journaux, 41920 botier FortiAnalyzer, 411 dun cluster haute disponibilit, 415 filtres et colonnes, 422 journal antispam, 419 journal antivirus, 41718 journal des attaques, 418 journal vnement, 417 journal filtrage web, 418 journal im/p2p, 419 journal Trafic, 416 niveaux de svrit, 410 stockage des journaux, 411 sur la mmoire, 413 sur un serveur Syslog, 414
N
nom dhte dun membre, 123 nom d'hte du FortiGate, modification, 52 numro de squence, 195
O
options du rseau configuration, 77 OSPF, 211 dfinitions daires, 216 options avances, 214
437
paramtres de base, 212 spcification de rseaux, 217 systme autonome, 211
P
P2P, 403 configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques densemble, 403 statistiques par protocole, 404 page dignorance du filtrage web FortiGuard modification, 164 page dinformation dauthentification modification, 165 page de connexion et authentification modification, 163 paires et groupes de paires, 336 par dfaut route et passerelle, 198 paramtrage, date et heure du systme, 51 paramtres d'une route en mode Transparent, 78 paramtres du modem mode redondant, 79, 81 mode stand alone, 79, 82 pare-feu groupe de service, 255 service personnalis ICMP, 254 service personnalis IP, 254 service personnalis TCP ou UDP, 253 pare-feu, 249 configuration des services personnaliss, 253 liste des services personnaliss, 253 liste des services prdfinis, 249 rgle, 228 pare-feu plage horaire voir plage horaire, 257 passerelle dtection de l'chec d'une passerelle, 76 plage horaire dun pare-feu, 257 configuration des plages ponctuelles, 258 configuration des plages rcurrentes, 259 liste des plages ponctuelles, 257 liste des plages rcurrentes, 258 Plages IP, 277 configuration, 278 Plages IP et NAT dynamique, 277 PPPoE configuration dune interface, 70 prfrence des routes, 195 priorit dun membre, 123 priorit de lquipement, 115 priorit du trafic, 240 produits de la gamme Fortinet, 2122 profil de protection, 279
ajout dun profil une rgle, 292 configuration, 281 configuration CLI, 293 introduction, 279 liste, 280 options antivirus, 28182 options de filtrage antispam, 286 options de filtrage web, 283 options de la journalisation, 291 options des archives de contenu, 289 options du filtrage FortiGuard-Web, 28485 options IM et P2P, 290 options IPS, 28889 par dfaut, 280 profils dadministration, 174 configuration, 176 liste, 176 protection contre les intrusions, 352 anomalies, 362 configuration cli, 36465 dcodeurs de protocoles, 360 signatures personnalises, 358 signatures prdfinies, 35354
R
RADIUS authentification des administrateurs, 169 rapports, 424 configuration dun planning, 43031 configuration de la sortie des rapports, 431 configuration des filtres, 429 configuration des graphiques, 425 configuration du contenu, 428 FortiAnalyzer, 42526 options temporelles, 428 sur le trafic, 424 rgle de routage, 201 ajout, 202 dplacement, 203 rgle pare-feu, 228 ajout dune authentification, 238 ajout dune priorit de trafic, 239 ajout dune rgle, 231 configuration, 232 corresondance de rgles, 229 dplacement, 231 liste, 230 options, 234 rgle pare-feu IPSec, 242 rgle pare-feu VPN SSL, 243 rseau options du rseau, 76 options, configuration, 77 retour une version logicielle antrieure, 54 RIP, 205 ignorer les paramtres, 209 options avances, 208
438
paramtres de base, 206 routage ajout dune route statique, 200 concepts, 194 construction dune table de routage, 195 numro de squence, 195 prfrence des routes, 195 prendre les dcisions, 195 rgle, 201 route paramtres, en mode Transparent, 78 route et passerelle par dfaut, 198 routes statiques cration et dition, 197 routeur dynamique, 205 BGP, 219 Multicast, 221 OSPF, 211 RIP, 205
en mode Transparent, 78 recherche, 227 traps FortiGate, 156
U
utilisateur, 324 authentification dun utilisateur, 324 comptes utilisateurs locaux, 325 configuration dun groupe dutilisateurs, 333 groupe dutilisateurs, 32930 groupe dutilisateurs Active Directory, 331 groupe dutilisateurs pare-feu, 331 groupe dutilisateurs VPN SSL, 332 liste de groupe dutilisateurs, 332 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 types de groupe dutilisateurs, 331
S
serveur override ajout, 190 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 service clientle et support technique, 28 snmp configuration, 153 SNMP, 152 configuration dune communaut, 154 statistiques visualisation, 57 statuts du systme, 47 informations, 48 page des statuts, 47 ressources, 49 statistiques, 50 Syslog journalisation, 414 systme sans fil domaines rgulatoires, 92 filtrage des MAC, 96 interface LAN sans fil FortiWiFi, 92 numros des canaux IEEE 802.11x, 92 paramtres du systme, 94 surveillance du module, 97
V
VLAN en mode NAT/Route, 85 en mode Transparent, 88 introduction, 84 VPN IPSec, 294 auto key, 295 cl manuelle, 305 concentrateur, 308 cration dune phase 1, 296 cration dune phase 2 \r, 302 tunnels actifs, 30910 VPN PPTP, 312 plage PPTP, 312 VPN SSL, 313 configuration, 313 monitor, 31415
W
Web Trends journalisation, 415 wireless voir Systme sans fil, 92
Z
zone, 75 liste des zones, 75 paramtres d'une zone, 76
T
table de routage, 225 affichage des informations, 225
439

Guide Dad Ministration FortiGate v30MR1 FR

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Guide Dad Ministration FortiGate v30MR1 FR

Hochgeladen von

Copyright:

Verfügbare Formate

GUIDE DADMINISTRATION

FortiGate Version 3.0

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Table des Matires

Interface dadministration web ........................................................................29

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Utilisation de domaines virtuels ......................................................................40

Systme > Rseau ............................................................................................61

Systme Sans Fil ..............................................................................................92

Systme DHCP ..................................................................................................99

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Configuration du Systme .............................................................................104

Administration du Systme ...........................................................................168

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Maintenance du Systme ...............................................................................181

Routeur Statique .............................................................................................194

Routeur dynamique ........................................................................................205

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Table de Routage ............................................................................................225

Adresse Pare-Feu ...........................................................................................245

Plage horaire dun Pare-feu ...........................................................................257

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Tunnels actifs ........................................................................................................................ 310

VPN PPTP ........................................................................................................312

VPN SSL ..........................................................................................................313

Certificats VPN ................................................................................................316

Protection contre les Intrusions ....................................................................352

Filtrage Web ....................................................................................................366

Journaux & Alertes .........................................................................................409

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Mail dalerte............................................................................................................................ 432 Configuration des mails dalerte ......................................................................................... 433

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Prsentation des quipements FortiGate

Chssis FortiGate srie 5000

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

A propos des modules FortiGate srie 5000

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Gamme de Produits Fortinet

Services de souscription FortiGuard

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Conventions utilises dans ce document

Les remarques vous apportent de linformation additionnelle utile.

Syntaxe CLI (Interface de ligne de commande)

Noms des documents Contenu de fichier

Affichage du rsultat dun programme Variables

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

CD doutils et de documentation Fortinet

Base de Connaissance Fortinet (Fortinet Knowledge Center)

Remarques sur la documentation technique Fortinet

Service clientle et support technique

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Interface dadministration web

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424

Fonctionnalits de la barre de boutons

Contacter le Support Technique

Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424