Beruflich Dokumente
Kultur Dokumente
www.fortinet.com
Guide dadministration FortiGate Version 3.0 24 avril 2006 01-30001-0203-20060424 Droit dauteur 2006 Fortinet, Inc. Tous droits rservs. En aucun cas, tout ou partie de cette publication, y compris les textes, exemples, diagrammes ou illustrations, ne peuvent tre reproduits, transmis ou traduits, sous aucune forme et daucune faon, que ce soit lectronique, mcanique, manuelle, optique ou autre, quelquen soit lobjectif, sans autorisation pralable de Fortinet, Inc. Marques dposes Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et FortiWiFi sont des marques dposes de Fortinet, Inc. aux tats-Unis et/ou dans dautres pays. Les noms des socits et produits mentionns ici peuvent tre des marques dposes par leurs propritaires respectifs.
Pages de linterface dadministration web ........................................................................... 34 Menu de linterface dadministration web.............................................................................. 35 Listes..................................................................................................................................... 36 Icnes.................................................................................................................................... 36 Barre de statuts..................................................................................................................... 37 Enregistrement dun quipement FortiGate......................................................................... 37
Statuts du Systme...........................................................................................47
Page des statuts...................................................................................................................... 47 Visualisation des statuts du systme.................................................................................... 47 Modification des informations du systme .......................................................................... 51 Paramtrage des date et heure ............................................................................................ 51 Modification du nom dhte du botier FortiGate................................................................... 52 Modification du logiciel FortiGate ......................................................................................... 53 Mise jour logicielle.............................................................................................................. 53 Retour une version logicielle antrieure ............................................................................ 54 Visualisation de lhistorique oprationnel............................................................................ 55 Mise jour manuelle des dfinitions FortiGuard................................................................. 55 Mise jour manuelle des dfinitions AV FortiGuard ............................................................ 56 Mise jour manuelle des dfinitions IPS FortiGuard ........................................................... 56 Visualisation des Statistiques ............................................................................................... 57 Visualisation de la liste des sessions.................................................................................... 57 Visualisation des Archives de Contenu ................................................................................ 58 Visualisation du Journal des Attaques.................................................................................. 59
Configuration additionnelle des interfaces............................................................................ 74 Zone .......................................................................................................................................... 75 Paramtres dune zone......................................................................................................... 76 Options..................................................................................................................................... 76 Dtection de lchec dune passerelle .................................................................................. 76 Configuration des Options du Rseau.................................................................................. 77 Table de Routage (en mode Transparent) ............................................................................ 78 Paramtres dune route en mode Transparent..................................................................... 78 Configuration de linterface modem...................................................................................... 79 Configuration des paramtres du modem ............................................................................ 79 Configuration du mode Redondant....................................................................................... 81 Configuration du mode stand alone...................................................................................... 82 Ajout de rgles pare-feu pour les connexions modem ......................................................... 83 Connexion et dconnexion du modem ................................................................................. 83 Vrification du statut du modem ........................................................................................... 84 Aperu sur les VLAN............................................................................................................... 84 Equipements FortiGate et VLAN .......................................................................................... 85 VLAN en mode NAT/Route ..................................................................................................... 85 Consignes sur les identificateurs VLAN................................................................................ 86 Consignes sur les adresses IP VLAN................................................................................... 86 Ajout de sous-interfaces VLAN............................................................................................. 87 VLAN en mode Transparent................................................................................................... 88 Consignes sur les identificateurs VLAN................................................................................ 90 Domaines virtuels et VLAN en mode Transparent ............................................................... 90 Support FortiGate IPv6 ........................................................................................................... 91
Rgle Pare-feu.................................................................................................228
A propos des rgles pare-feu .............................................................................................. 228 Comment fonctionne la correspondance de rgles ? ......................................................... 229 Visualisation de la liste des rgles pare-feu ...................................................................... 230 Ajout dune rgle pare-feu................................................................................................... 231 Dplacement dune rgle dans la liste................................................................................ 231 Configuration des rgles pare-feu....................................................................................... 232 Options des rgles pare-feu ............................................................................................... 234 Ajout dune authentification aux rgles pare-feu ................................................................ 238 Ajout dune priorit de trafic aux rgles pare-feu ................................................................ 239 Options des rgles pare-feu IPSec..................................................................................... 242 Options des rgles pare-feu VPN SSL ............................................................................... 243
Service Pare-feu..............................................................................................249
Visualisation de la liste des services prdfinis................................................................ 249 Visualisation de la liste des services personnaliss......................................................... 253 Configuration des services personnaliss......................................................................... 253 Visualisation de la liste des groupes de services ............................................................. 255 Configuration des groupes de services.............................................................................. 255
IP virtuelles......................................................................................................260
IP virtuelles ............................................................................................................................ 260 Comment les adresses IP virtuelles grent-elles leurs connexions travers le botier FortiGate ? .......................................................................................................................... 260
8 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation de la liste dIP virtuelles ................................................................................ 264 Configuration des adresses IP virtuelles ........................................................................... 264 Ajout dune adresse IP virtuelle de translation une seule adresse IP ............................. 265 Ajout dune adresse IP virtuelle de translation une plage dadresses IP......................... 267 Ajout dun relayage de port de translation une seule adresse IP et un seul port ............ 269 Ajout dun relayage de port de translation une plage dadresses IP et une plage de ports ............................................................................................................................................ 270 Ajout dune IP virtuelle dquilibrage de charge une plage dadresses IP....................... 272 Ajout dune IP virtuelle relayage de port quilibrage de charge une plage dadresses IP et une plage de ports .............................................................................................................. 274 Ajout dIP virtuelles dynamiques......................................................................................... 276 Plages IP ................................................................................................................................ 277 Plages IP et NAT dynamique.............................................................................................. 277 Plages IP pour les rgles pare-feu utilisant des ports fixes................................................ 277 Visualisation des plages IP .................................................................................................. 278 Configuration des plages IP................................................................................................. 278
Profil de Protection.........................................................................................279
Quest-ce quun profil de protection? ................................................................................. 279 Profils de protection par dfaut........................................................................................... 280 Visualisation de la liste des profils de protection ............................................................. 280 Configuration dun profil de protection .............................................................................. 281 Options Antivirus................................................................................................................. 282 Options du filtrage Web ...................................................................................................... 283 Options du filtrage FortiGuard-Web.................................................................................... 285 Options du filtrage antispam ............................................................................................... 286 Options IPS......................................................................................................................... 289 Options des archives de contenu ....................................................................................... 289 Options IM et P2P............................................................................................................... 290 Options de la journalisation ................................................................................................ 291 Ajout dun profil de protection une rgle ........................................................................ 292 Configuration CLI dun profil de protection ....................................................................... 293 Config firewall profile........................................................................................................... 293
VPN IPSEC.......................................................................................................294
Aperu du mode interface IPSec ......................................................................................... 294 Auto Key................................................................................................................................. 295 Cration dune nouvelle configuration phase 1 .................................................................. 296 Dfinition des paramtres avancs de la phase 1.............................................................. 299 Cration dune nouvelle configuration phase 2 .................................................................. 302 Dfinition des paramtres avancs de la phase 2.............................................................. 303 Cl Manuelle .......................................................................................................................... 305 Cration dune nouvelle configuration cl manuelle ........................................................ 306 Concentrateur........................................................................................................................ 308 Dfinition des options dun concentrateur........................................................................... 309
Utilisateur ........................................................................................................324
Configuration de lauthentification dun utilisateur........................................................... 324 Paramtrage du timeout dauthentification ......................................................................... 324 Comptes utilisateurs locaux ................................................................................................ 325 Edition dun compte utilisateur............................................................................................ 325 Serveurs RADIUS .................................................................................................................. 326 Configuration dun serveur RADIUS ................................................................................... 326 Serveurs LDAP ...................................................................................................................... 327 Configuration dun serveur LDAP ....................................................................................... 328 Serveurs Windows AD .......................................................................................................... 328 Configuration dun serveur Windows AD ............................................................................ 329 Groupe dutilisateurs ............................................................................................................ 330 Types de groupe dutilisateurs............................................................................................ 331 Liste de groupes dutilisateurs ............................................................................................ 332 Configuration dun groupe dutilisateurs ............................................................................. 333 Configuration des options override FortiGuard pour un groupe dutilisateurs .................... 334 Configuration des options des groupes dutilisateurs VPN SSL......................................... 335 Configuration de paires et de groupes de paires .............................................................. 336
Antivirus ..........................................................................................................337
Antivirus................................................................................................................................. 337
10 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Modles de Fichier ................................................................................................................ 338 Visualisation du catalogue de la liste des modles de fichier (FortiGate-800 et plus uniquement) ........................................................................................................................ 339 Cration dune nouvelle liste de modles de fichier ( FortiGate-800 et plus uniquement). 340 Visualisation de la liste de modles de fichier .................................................................... 340 Configuration de la liste de modles de fichier ................................................................... 342 Mise en Quarantaine ............................................................................................................. 342 Visualisation de la liste des Fichiers mis en Quarantaine .................................................. 343 Visualisation de la liste de soumission automatique .......................................................... 344 Configuration de la liste de soumission automatique ......................................................... 345 Configuration des options de mise en quarantaine ............................................................ 345 Configuration......................................................................................................................... 347 Visualisation de la liste des virus ........................................................................................ 347 Visualisation de la liste des Graywares .............................................................................. 348 Configuration de lAntivirus partir de linterface de ligne de commande .................... 350 system global optimize........................................................................................................ 350 config antivirus heuristic...................................................................................................... 350 config antivirus quarantine .................................................................................................. 351 config antivirus service <service_name>............................................................................ 351
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus) ............................................................................................................................................ 368 Cration dune nouvelle liste de blocage de contenu Web (Modle botier FortiGate-800 et plus) .................................................................................................................................... 369 Visualisation de la liste de blocage de contenu Web ......................................................... 369 Configuration de la liste de blocage de contenu web ......................................................... 371 Visualisation du contenu de la liste dexemption des contenus Web (modles FortiGate-800 et plus) ................................................................................................................................ 371 Cration dune nouvelle liste dexemption des contenus Web (modles FortiGate-800 et plus) .................................................................................................................................... 372 Visualisation de la liste dexemption des contenus Web .................................................... 372 Configuration de la liste dexemption des contenus Web................................................... 373 Filtre URL ............................................................................................................................... 374 Visualisation du catalogue des listes de filtres URL (Modles FortiGate-800 et plus) ....... 374 Cration dune nouvelle liste de filtres URL (Modles FortiGate-800 et plus).................... 375 Visualisation de la liste des filtres URL............................................................................... 375 Configuration dune liste de filtres URL .............................................................................. 377 Dplacement dURL au sein de la liste de filtres URL........................................................ 378 Filtrage Web FortiGuard ....................................................................................................... 378 Configuration du filtrage FortiGuard-Web........................................................................... 378 Visualisation de la liste override ......................................................................................... 379 Configuration de rgles dignorance ................................................................................... 380 Cration de catgories locales ........................................................................................... 382 Visualisation de la liste des valuations locales ................................................................. 382 Configuration dvaluations locales .................................................................................... 383 Configuration dun blocage de catgorie partir de linterface de ligne de commande..... 384 Rapports du Filtrage FortiGuard-Web ................................................................................ 384
Antispam .........................................................................................................386
Antispam ................................................................................................................................ 386 Ordre du filtrage antispam .................................................................................................. 386 Mots bannis ........................................................................................................................... 389 Visualisation du catalogue de listes de mots bannis antispam (Modles FortiGate-800 et plus) .................................................................................................................................... 389 Cration dune nouvelle liste de mots bannis antispam (modles FortiGate-800 et plus) . 390 Visualisation de la liste de mots bannis antispam .............................................................. 390 Configuration de la liste des mots bannis antispam ........................................................... 392 Liste noire et liste blanche ................................................................................................... 392 Visualisation du catalogue de listes dadresses IP antispam (modles FortiGate-800 et plus). ................................................................................................................................... 393 Cration dune nouvelle liste dadresses IP antispam (modles FortiGate-800 et plus) .... 393 Visualisation de la liste dadresses IP antispam ................................................................. 394 Configuration de la liste des adresses IP antispam............................................................ 395 Visualisation du catalogue de listes dadresses mail antispam (modles FortiGate-800 et plus). ................................................................................................................................... 395 Cration dune nouvelle liste dadresses mail antispam (modles FortiGate-800 et plus). 396 Visualisation de la liste dadresses IP mail antispam ......................................................... 396 Configuration de la liste des adresses mail antispam ........................................................ 398 Configuration antispam avance......................................................................................... 398 config spamfilter mheader................................................................................................... 398 config spamfilter rbl............................................................................................................. 399
12 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Utilisation des expressions rgulires en Perl .................................................................. 400 Expression Rgulire vs Modle mta-caractre ........................................................... 400 Limite des mots................................................................................................................... 400 Sensibilit la casse des caractres.................................................................................. 400 Formats des expressions rgulires en Perl ...................................................................... 400 Exemples ............................................................................................................................ 402
IM/P2P ..............................................................................................................403
Statistiques ............................................................................................................................ 403 Visualisation des statistiques densemble .......................................................................... 403 Visualisation des statistiques par protocole........................................................................ 404 Utilisateur............................................................................................................................... 405 Visualisation de la liste des utilisateurs connects............................................................. 405 Visualisation de la liste des utilisateurs .............................................................................. 406 Ajout dun nouvel utilisateur la liste des utilisateurs ........................................................ 406 Configuration dune politique utilisateur globale ................................................................. 407 Configuration IM/P2P partir de linterface de ligne de commande ............................... 408
13
Index ................................................................................................................435
14
Introduction
Bienvenue et merci davoir choisi les produits Fortinet pour la protection en temps rel de votre rseau. Les botiers FortiGateTM Unified Threat Management System (Systme de Gestion Unifie des Attaques) scurisent les rseaux, rduisent les mauvais usages et abus rseaux et contribuent une utilisation plus efficace des ressources de communication, sans compromettre la performance de votre rseau. La gamme a reu les certifications ICSA pare-feu, VPN IPSec et antivirus. Lappliance FortiGate est un botier entirement ddi la scurit. Il est convivial et fournit une gamme complte de services, que ce soit: au niveau des applications (comme le filtrage antivirus, la protection contre les intrusions, les filtrages antispam, de contenu web et IM/P2P). au niveau du rseau (comme le pare-feu, la dtection et prvention dintrusion, les VPN IPSec et VPN SSL et la qualit de service). Au niveau de ladministration (comme lauthentification dun utilisateur, la journalisation, les rapports du FortiAnalyzer, les profils dadministration, laccs scuris au web et laccs administratif CLI et SNMP). Le systme FortiGate utilise la technologie de Dynamic Threat Prevention System (Systme Dynamique de Prvention des Attaques) (DTPSTM). Celle-ci sappuie sur les dernires avances technologiques en matire de conception de microcircuits, de gestion de rseaux, de scurit et danalyse de contenu. Cette architecture unique base sur un Asic permet d'analyser en temps rel les contenus applicatifs et les comportements du rseau. Ce chapitre parcourt les sections suivantes : Introduction aux quipements FortiGate Gamme de produits Fortinet A propos de ce document Documentation FortiGate Service clientle et support technique
15
modules FortiGate srie 5000 ainsi que des sources dalimentation changeables chaud. Cette approche modulaire offre aux entreprises et utilisateurs des FAI (Fournisseurs daccs Internet) une solution adaptable, hautement performante et tolrante aux pannes.
Chssis FortiGate-5140
Le chssis FortiGate-5140 comprend quatorze slots (logements) permettant dinstaller jusqu quatorze modules pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 12U comprenant deux modules redondants et changeables chaud dalimentation de courant continu qui se connectent une alimentation -48 VDC des salles dhbergement. Ce chssis possde galement trois plateaux de ventilateurs changeables chaud.
Chssis FortiGate-5050
Le chssis FortiGate-5050 comprend cinq slots permettant dinstaller jusqu cinq modules pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 5U comprenant deux connexions redondantes dalimentation de courant continu qui se connectent une alimentation -48 VDC des salles dhbergement. Ce chssis possde galement un plateau de ventilateurs changeable chaud.
Chssis FortiGate-5020
Le chssis FortiGate-5020 comprend deux slots permettant linstallation dun ou de deux module(s) pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 4U comprenant deux entres dalimentation de courant AC vers DC redondantes qui se connectent une alimentation AC. Ce chssis possde galement un plateau interne de ventilateurs.
16
performance possdant de multiples interfaces gigabits, des capacits de domaines virtuels et dautres fonctionnalits FortiGate de grande qualit.
Module FortiGate-5001SX
Le module FortiGate-5001SX est un systme de scurit hautement performant et autonome possdant huit interfaces Ethernet gigabits. Il supporte les fonctionnalits de haut niveau notamment les VLAN 802.1Q ainsi que de multiples domaines virtuels.
Module FortiGate-5001FA2
Le module FortiGate-5001FA2 est un systme de scurit hautement performant et autonome possdant six interfaces Ethernet gigabits. Il est similaire au module FortiGate-5001SX lexception de deux interfaces qui, intgrant la technologie Fortinet, offrent une acclration de la performance du traitement des petits paquets.
Module FortiGate-5002FB2
Le module FortiGate-5002FB2 est un systme de scurit hautement performant et autonome possdant un total de six interfaces Ethernet gigabits. Deux de ces interfaces intgrant la technologie Fortinet offrent une acclration de la performance du traitement des petits paquets.
FortiGate-3600
La fiabilit et les performances du FortiGate-3600 sont levs un niveau de type oprateur et rpondent aux exigences des grandes entreprises et fournisseurs de services. Son architecture multiprocesseur et Asic fournit un dbit de 4Gbit/s, rpondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend des blocs dalimentation redondants et un partage de charge, avec un secours assur sans interruption de service. La grande capacit du FortiGate-3600, sa fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de services de scurit manags.
FortiGate-3000
La fiabilit et les performances du FortiGate-3000 sont levs un niveau de type oprateur et rpondent aux exigences des grandes entreprises et fournisseurs de services. Son architecture multiprocesseur et Asic fournit un dbit de 3Gbit/s, rpondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend des blocs dalimentation redondants et un partage de charge, avec un secours assur sans interruption de service. La grande capacit du FortiGate-3000, sa fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de services de scurit manags.
17
FortiGate-1000A
Le botier FortiGate-1000A est une solution hautement performante rpondant aux exigences des grandes entreprises et fournisseurs de services. Grce son rseau de distribution (FortiGuard Distribution Network), les services FortiGuard permettent au FortiGate-1000A de disposer des informations les plus rcentes, assurant une protection continue contre les virus, vers, troyens et autres menaces, mme les plus rcentes. Son architecture flexible lui permet de sadapter aux technologies mergeantes telles que IM, P2P ou VOIP mais aussi de contrer les mthodes frauduleuses de collectes dinformations prives utilises par les spyware, phishing et pharming.
FortiGate-1000AFA2
Le botier FortiGate-1000AFA2 est une solution hautement performante rpondant aux exigences des grandes entreprises et fournisseurs de services. Ses deux ports de fibres optiques supplmentaires, bnficiant de la technologie FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses fonctions de scurit critique sur une plateforme hautement scurise garantissent fiabilit, rentabilit, rapidit de dploiement, cots oprationnels bas et un taux suprieur de dtection des anomalies connues et inconnues.
FortiGate-1000
Le botier FortiGate-1000 est conu pour les grandes entreprises. Son architecture multiprocesseur et Asic fournit un dbit de 2Gbit/s, rpondant ainsi aux besoins des applications les plus exigeantes. Le botier FortiGate-1000 comprend des blocs dalimentation redondants minimisant les points uniques de panne, ainsi que des supports pour un partage de charge et un secours assur sans interruption de service.
FortiGate-800
Le botier FortiGate-800 fournit en plus dun haut dbit, un total de huit connexions rseau (quatre tant personnalisables), un support des VLAN et des domaines virtuels. Lors dune configuration de cluster FortiGate, il fournit une redondance matrielle stateful en haute disponibilit. Ses fonctionnalits hautement performantes en font un choix naturel pour les grandes entreprises qui exigent une scurit optimum de leurs rseaux.
18
FortiGate-800F
Le botier FortiGate-800F offre les mmes fonctionnalits que le botier FortiGate-800, mais avec quatre interfaces de fibre optique : Internal, External, DMZ et HA. Ce botier fournit galement une redondance matrielle stateful en haute disponibilit et un support aux protocoles de routage RIP et OSPF. Il garantit la flexibilit, fiabilit et gestion aise que les grandes entreprises recherchent.
FortiGate-500A
Le botier FortiGate-500A offre un niveau de performance et de fiabilit de classe oprateur, rpondant aux exigences des fournisseurs de services et des grandes entreprises. Ses 10 connexions rseaux (dont un commutateur 4 ports LAN) et ses fonctions haute disponibilit avec rplication automatique sans coupure de rseau font du FortiGate-500A une solution performante aux applications les plus critiques. Sa flexibilit, fiabilit et sa gestion aise en font un choix naturel pour les oprateurs de services de scurit manags.
FortiGate-500
Le botier FortiGate-500 est conu pour les grandes entreprises. Sa flexibilit, sa fiabilit et sa gestion aise en font un choix naturel pour les oprateurs de services de scurit manags. Le botier FortiGate-500 supporte la haute disponibilit.
FortiGate-400A
Le botier FortiGate-400A rpond aux exigences des grandes entreprises en terme de performance, disponibilit et fiabilit. Il supporte la haute disponibilit et prsente une rplication automatique sans coupure de rseau. Ses caractristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-400
Le botier FortiGate-400 est conu pour les grandes entreprises. Il fournit un dbit jusqu 500Mbit/s et supporte la haute disponibilit, qui comprend une rplication automatique sans coupure de rseau.
19
FortiGate-300A
Le botier FortiGate-300 rpond aux exigences des grandes entreprises en terme de performance, disponibilit et fiabilit. Il supporte la haute disponibilit et comprend une rplication automatique sans coupure de rseau. Ses caractristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-300
Le botier FortiGate-300 est conu pour les grandes entreprises. Il supporte la haute disponibilit, qui comprend une rplication automatique sans coupure de rseau. Ses caractristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-200A
Le botier FortiGate-200A est une solution conviviale et facile grer garantissant un haut niveau de performance, idal pour rpondre aux applications dentreprises domicile ou de petites entreprises ou succursales. Lassistant dinstallation FortiGate guide les utilisateurs travers des procdures simples dinstallation qui permettent au botier dtre oprationnel en quelques minutes.
FortiGate-200
Le botier FortiGate-200 est conu pour rpondre aux applications dentreprises domicile ou de petites entreprises ou succursales. Il offre une solution conviviale, facile grer. Le botier FortiGate-200 supporte la haute disponibilit.
FortiGate-100A
Le botier FortiGate-100A est une solution pratique et facile grer qui rpond parfaitement aux applications des petites entreprises, bureaux domicile et succursales. Ce botier supporte des fonctions avances telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.
20
FortiGate-100
Le botier FortiGate-100 est conu pour rpondre aux applications dentreprises domicile ou de petites entreprises ou succursales. Il supporte les fonctions avances telles que VLAN 802.1Q, domaines virtuels, haute disponibilit et protocoles de routage RIP et OSPF.
FortiGate-60/60M/ADSL
Le botier FortiGate-60 est conu pour les bureaux de personnel itinrant et les magasins. Il comprend un port modem extrieur qui peut servir de connexion Internet redondante ou stand alone. Le botier FortiGate-60M comprend quant lui un modem interne qui peut galement servir de connexion Internet redondante ou stand alone. Le botier FortiGate-60ADSL est pour sa part muni dun modem ADSL interne.
FortiWiFi-60
Le modle FortiWiFi est une solution intgre qui assure des connexions sans fil scurises. Il combine mobilit et flexibilit grce ses fonctions FortiWiFi Antivirus Firewall. De plus, il sadapte aux avances technologiques radiophoniques. Il peut faire office de point de connexion entre rseaux sans fil et rseaux cbls ou tenir lieu de point central dun rseau sans fil stand alone.
FortiGate-50A
Le botier FortiGate-50A est conu pour les tltravailleurs, les utilisateurs mobiles, les petites entreprises et les succursales comptant 10 employs ou moins. Il comprend un port modem extrieur qui peut servir de connexion autonome Internet ou de service de sauvegarde.
21
FortiAnalyser
FortiAnalyserTM fournit aux administrateurs rseaux les informations ncessaires qui leur permettent dassurer une meilleure protection du rseau, une plus grande scurit contre attaques et vulnrabilits. FortiAnalyser permet entre autres: de centraliser les journaux des botiers FortiGate, des serveurs syslog et du FortiClient de gnrer des centaines de rapports partir des donnes collectes de scanner le rseau et gnrer des rapports de vulnrabilits de stocker les fichiers mis en quarantaine par FortiGate FortiAnalyser peut galement tre configur en sniffer rseau et capturer en temps rel le trafic intercept. Vous pouvez en outre utiliser FortiAnalyser comme lieu de stockage o les utilisateurs peuvent accder et partager des donnes, telles que des rapports et journaux conservs sur son disque dur.
FortiClient
Le logiciel FortiClientTM offre un environnement informatique scuris et fiable aux utilisateurs dordinateurs de bureau et dordinateurs portables munis des systmes
22
dexploitation les plus rpandus de Microsoft Windows. FortiClient offre de nombreuses fonctionnalits, y compris: un accs VPN pour se connecter aux rseaux distants un antivirus temps rel une protection contre des modifications du registre Windows une recherche des virus sur tout ou partie du disque dur FortiClient peut sinstaller de faon silencieuse et se dployer aisment sur un parc dordinateurs selon un paramtrage pr-tabli.
FortiManager
FortiManagerTM est conu pour rpondre aux besoins des grandes entreprises (y compris les fournisseurs de services de gestion de scurit) responsables du dploiement et du maintien de dispositifs de scurit travers un parc dquipements FortiGate. FortiManager vous permet de configurer et de contrler les statuts de plusieurs botiers FortiGate. Vous pouvez galement consulter leurs journaux en temps rel et leurs historiques. FortiManager est facile utiliser et sintgre aisment des systmes tiers.
FortiBridge
FortiBridgeTM permet dassurer une continuit de connexion rseau mme en cas de panne lectrique dun systme FortiGate. Le FortiBridge connect en parallle au FortiGate dvie le flux rseau lorsqu'il dtecte une panne sur le botier et reoit alors le trafic pour viter toute coupure rseau. FortiBridge est facile utiliser et dployer. Vous pouvez programmer lavance les actions que FortiBridge mettra en place en cas de panne de courant ou de panne dans le systme FortiGate.
FortiMail
FortiMailTM fournit une analyse heuristique puissante et flexible, de mme que des rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement performantes pour dtecter et bloquer les mails non dsirs, tels que les signatures SHASH (Spam Hash) ou les filtres bayesians. Construit sur base des technologies primes FortiOS et FortiASIC, FortiMail utilise ses pleines capacits dinspection de contenu afin de dtecter les menaces les plus avances dans les courriers lectroniques.
FortiReporter
Le logiciel FortiReporterTM Security Analyzer gnre des rapports explicites. Il peut centraliser des journaux de nimporte quel botier FortiGate, ainsi que de plus de 30 botiers de rseau et de scurit provenant de constructeurs tiers. FortiReporter offre une visibilit sur les abus rseau, lutilisation de la bande passante et lusage du web afin de sassurer que le rseau est utilis de faon approprie. FortiReporter permet aux administrateurs didentifier les attaques et dy rpondre. Il permet galement de dfinir des actions proactives de protection des rseaux avant que ceux-ci ne soient confronts une augmentation des menaces.
23
A propos de ce document
Ce Guide dAdministration FortiGate FortiOS v3.0 fournit des informations dtailles sur les fonctionnalits de linterface dadministration web FortiGate et celles ne pouvant tre configures qu partir de linterface de ligne de commande (CLI). Ce Guide dAdministration parcourt les fonctions de linterface graphique dans le mme ordre que le menu de cette interface. Le document commence avec une description gnrale de linterface dadministration web FortiGate et une description des domaines virtuels FortiGate. Les chapitres suivants couvrent toutes les options des menus Systme, Routeur, Pare-Feu et VPN. Enfin, les menus Utilisateur, Antivirus, Protection Anti-Intrusion, Filtrage Web, Antispam, IM/P2P et Journaux/Alertes sont dcrits sparment. Un index se trouve la fin du document. La dernire version de ce document se trouve sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation). Les informations contenues dans ce document sont galement disponibles, sous une forme quelque peu diffrente, dans laide en ligne de linterface dadministration web FortiGate. De la documentation technique complmentaire sur FortiOS v3.0 est disponible sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation) et dans la Base de Connaissance Fortinet (Fortinet Knowledge Center), ladresse http://kc.forticare.com. Ce Guide dAdministration contient les chapitres suivants : Interface dadministration web : fournit une introduction aux fonctionnalits de linterface graphique, explique comment enregistrer un quipement FortiGate et comment utiliser laide en ligne de linterface. Utilisation de domaines virtuels : dcrit comment dfinir et administrer les domaines virtuels dun quipement FortiGate. Statut du Systme : dtaille les informations statuts visibles, y compris le statut du systme, les informations sur lquipement, les ressources du systme, la console de message dalerte, ainsi que les statistiques des sessions, de larchive de contenu et du journal des attaques. Les changements de statuts sont galement parcourus dans ce chapitre, tels que les modifications apportes au microcode, au nom dhte et lheure du systme. Rseau du Systme : retrace la configuration des interfaces physiques et virtuelles, ainsi que les paramtres DNS sur le botier FortiGate. Systme Sans Fil : dcrit la configuration dune interface LAN Wireless sur un quipement FortiWiFi-60. Systme DHCP : explique comment configurer une interface FortiGate comme serveur DHCP ou Relais DHCP. Configuration du Systme : dveloppe les procdures de configuration dun clustering HA et virtuel, de configuration SNMP, de remplacement de messages et de modification du mode de fonctionnement. Administration du Systme : vous guide dans lajout et ldition de comptes administrateurs, dans la dfinition de profils daccs administrateurs, dans la configuration daccs au FortiManager et dans la dfinition des paramtres
24
gnraux des administrateurs tels que les langues, les timeouts et les ports dadministration web. Maintenance du Systme : dtaille comment sauvegarder et restaurer la configuration du systme, activer les mises jour FortiProtectTM Distribution Network (FDN), enregistrer lquipement FortiGate, crer des rapports sur les bogues et entrer une cl de licence pour augmenter le nombre maximum de domaines virtuels. Routeur Statique : explicite comment dfinir des routes statiques et crer des rgles pour celles-ci. Une route statique permet aux paquets dtre transfrs vers une destination autre que celle de la passerelle par dfaut. Routeur Dynamique : dfinit la configuration de protocoles dynamiques pour guider le trafic travers de larges rseaux complexes. Table de Routage: permet dinterprter la liste et les entres de la Table de routage. Rgle Pare-Feu : dcrit comment ajouter des rgles pare-feu qui contrlent les connexions et le trafic entre les interfaces FortiGate, les zones et les sousinterfaces VLAN. Adresse Pare-Feu : retrace la configuration dadresses et de groupes dadresses pour les rgles pare-feu. Service Pare-Feu : rpertorie les services disponibles et explique comment configurer des groupes de services pour les rgles pare-feu. Plage horaire dun Pare-Feu : permet de configurer des plages horaire parefeu ponctuelles et rcurrentes. IP Virtuelles : dcrit comment configurer et utiliser les adresses IP virtuelles et les plages dadresses IP. Profil de Protection : explique comment configurer des profils de protection pour les rgles pare-feu. VPN IPSEC : offre des informations pour le mode tunnel et le mode route (mode interface) sur les options VPN IPSec (Internet Protocol Security) disponibles partir de linterface dadministration web. VPN PPTP : explique comment utiliser linterface dadministration web pour spcifier une plage dadresses IP pour des clients PPTP. VPN SSL : informe sur les paramtres de base VPN SSL. Certificats VPN : dcrit comment grer les certificats de scurit X.509. Utilisateur : dtaille comment contrler laccs aux ressources du rseau via une authentification de lutilisateur. Antivirus : explique comment activer les options antivirus lors de la cration de profils de protection pare-feu. Protection contre les Intrusions : parcourt la configuration doptions IPS lors de la cration de profils de protection pare-feu. Filtrage Web : parcourt la configuration doptions de filtrage du contenu web lors de la cration de profils de protection pare-feu. Antispam : parcourt la configuration doptions de filtrage de spams lors de la cration de profils de protection pare-feu.
25
IM / P2P : parcourt la configuration doptions IM et P2P lors de la cration de profils de protection pare-feu. Les statistiques IM et P2P permettent davoir un aperu de lutilisation des protocoles dans le rseau. Journaux et Alertes : dcrit comment activer la journalisation, visualiser les journaux et rapports de base disponibles partir de linterface dadministration web.
Les attentions vous mettent en garde contre des commandes et procdures qui pourraient avoir des rsultats inattendus ou indsirables tels que perte de donnes ou dtrioration de lquipement.
Conventions typographiques
La documentation du FortiGate utilise les conventions typographiques suivantes :
Convention Commandes de Menus Entre clavier Exemple de code Exemple Allez dans VPN > IPSEC et slectionnez Crer Phase 1. Dans le champ Nom de Passerelle, tapez un nom pour le client VPN distant (par exemple, Central_Office_1). config sys global set ips-open enable end config firewall policy edit id_integer set http_retry_count <retry_integer> set natip <address_ipv4mask> end Guide dAdministration FortiGate <HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this service.</H4> Welcome! <address_ipv4>
26
Documentation FortiGate
Les versions les plus rcentes de la documentation Fortinet, de mme que les prcdentes parutions, sont disponibles sur le site de documentation technique Fortinet ladresse http://docs.forticare.com. Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront aussi disponibles en franais : FortiGate QuickStartGuide - Guide de dmarrage rapide FortiGate Fournit les informations de base sur la connexion et linstallation dun FortiGate FortiGate Install Guide - Guide dInstallation FortiGate Dcrit comment installer un FortiGate. Il comprend des informations sur le matriel, des informations sur la configuration par dfaut, ainsi que des procdures dinstallation, de connexion et de configuration de base. Slectionnez le guide en fonction du numro du modle du produit. FortiGate Administration Guide - Guide dAdministration FortiGate Fournit les informations de base sur la manire de configurer un FortiGate, y compris la dfinition des profils de protection FortiGate et des rgles pare-feu. Explique comment appliquer les services de prvention dintrusion, protection antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt galement la manire de configurer un VPN. FortiGate online help - Aide en ligne FortiGate Fournit le Guide dAdministration au format HTML avec des outils de recherche. Vous pouvez accder laide en ligne partir de linterface dadministration web. FortiGate CLI Reference - Guide de Rfrence CLI Dcrit comment utiliser linterface de ligne de commande FortiGate et rpertorie toutes ses commandes. FortiGate Log Message Reference - Guide de rfrence des messages journaliss dun FortiGate Disponible uniquement partir de la base de connaissance (Fortinet Knowledge Center), ce mode demploi dcrit la structure et le contenu des messages prsents dans les journaux FortiGate. FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate Fournit une description dtaille des fonctions de haute disponibilit et du protocole de clustering FortiGate. FortiGate IPS User Guide - Guide utilisateur de lIPS FortiGate (Systme de Prvention dIntrusion) Dcrit la configuration des paramtres IPS FortiGate et le traitement des attaques les plus courantes. FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate Fournit des instructions pas pas sur la configuration VPN IPSec via linterface dadministration web. FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate Compare les technologies FortiGate VPN IPSec et VPN SSL et dcrit comment configurer partir de l'interface graphique les modes VPN SSL web et VPN SSL tunnel pour les connexions distance des utilisateurs.
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 27
FortiGate PPTP VPN User Guide - Guide utilisateur du VPN PPTP FortiGate Explique comment configurer un VPN PPTP via linterface dadministration web. FortiGate Certificate Management User Guide - Guide utilisateur de gestion des certificats FortiGate Indique comment grer les certificats digitaux, et notamment comment gnrer des requtes de certificat, installer des certificats, importer le certificat de l'autorit de certification et des listes de rvocation, sauvegarder et restaurer des certificats et leurs cls prives associes. FortiGate VLANs and VDOMs User Guide - Guide utilisateur des VLANs et VDOMs FortiGate Dcrit comment configurer des VLAN et VDOM en mode NAT/Route et Transparent. Des exemples dtaills y sont repris.
28
Linterface dadministration web permet de configurer la plupart des paramtres FortiGate et de contrler son statut. Les changements de configuration apports partir de linterface dadministration web sont instantanment pris en compte, sans quil soit ncessaire de rinitialiser le pare-feu et sans interruption de service. Une fois votre configuration souhaite accomplie, il est conseill de la sauvegarder. Elle pourra alors tre restaure ds que ncessaire. Pour plus dinformations sur la connexion linterface dadministration web, voir Accs linterface dadministration web dans le Guide dInstallation de votre FortiGate. Les sujets suivants sont parcourus dans cette section : Fonctionnalits de la barre de boutons Pages de linterface dadministration web Enregistrement dun quipement FortiGate
29
Aide en Ligne
Les boutons de laide en ligne (Online Help) activent laffichage de laide en ligne pour la page ouverte de linterface dadministration web. La page daide en ligne affiche contient les informations et procdures relatives aux commandes de la page ouverte. La plupart des pages daide contiennent galement des hyperliens sur certains sujets dont il est question. Le systme daide en ligne comprend galement plusieurs commandes offrant de linformation additionnelle.
30
Show Navigation
Ouvre le panneau de navigation de laide en ligne. A partir de l, vous pouvez utiliser la table des matires de laide en ligne, lindex et le moteur de recherche. Laide en ligne est organise de la mme manire que linterface dadministration web et que le Guide dAdministration FortiGate. Retourne la page prcdente de laide en ligne. Passe la page suivante de laide en ligne. Envoie un courrier lectronique au centre de Documentation Technique Fortinet techdoc@fortinet.com. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut tre envoy cette adresse. Imprime la page ouverte de laide en ligne. Ajoute une entre cette page daide en ligne dans les marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages daide en ligne.
Print Bookmark
Contents
Affiche la table des matires de laide en ligne. Vous pouvez naviguer travers la table des matires pour trouver des informations dans laide en ligne. Laide en ligne est organise de la mme manire que linterface dadministration web et que le Guide dAdministration FortiGate. Affiche lindex de laide en ligne. Vous pouvez utiliser lindex pour trouver de linformation dans laide en ligne.
Index
31
Search
Affiche le moteur de recherche de laide en ligne. Voir A propos de la recherche de laide en ligne la page 32 pour tout renseignement sur le moteur de recherche de laide en ligne. Si vous avez utilis lindex, le moteur de recherche ou les hyperliens pour trouver linformation recherche dans laide en ligne, la table des matires a probablement disparu de votre cran. Slectionnez Show in Contents pour afficher la table des matires vous indiquant la localisation de la page daide ouverte.
Show in Contents
Chercher dans laide en ligne 1 2 3 4 A partir de nimporte quelle page de linterface dadministration web, slectionnez le bouton daide en ligne. Slectionnez Show Navigation pour afficher le panneau de navigation de laide en ligne. Slectionnez Search. Tapez un ou plusieurs mots rechercher dans le champ Search et tapez ensuite sur Enter ou cliquez sur Go. Le panneau de recherche rpertorie le nom de toutes les pages daide en ligne qui contiennent le(s) mot(s) entr(s). Slectionnez un des noms de la liste pour afficher la page daide.
32
Alt+8 Alt+9
33
Se connecte au botier FortiGate partir de linterface de ligne de commande. Se dconnecte au botier FortiGate. Efface lcran.
Dconnexion
Le bouton Dconnecter (Logout) vous dconnecte immdiatement de linterface dadministration web. Noubliez pas de vous dconnecter avant de fermer la fentre du navigateur. Si vous fermez la fentre ou quittez linterface dadministration web sans vous dconnecter, vous restez connect jusqu lexpiration du timeout dinactivit (par dfaut 5 minutes).
34
Routeur Pare-Feu
Configure le routeur. Configure les rgles pare-feu et les profils de protection qui sappliquent aux fonctionnalits de protection du rseau. Configure galement les adresses IP virtuelles et les plages IP. Configure les rseaux privs virtuels. Configure les comptes utilisateurs utiliss dans les rgles pare-feu requrant une authentification des utilisateurs. Configure galement les serveurs externes dauthentification. Configure une protection antivirus. Configure le systme de prvention anti-intrusion. Configure le filtrage de contenu web. Configure le filtrage des spams dans les emails Configure le contrle des services de messageries Internet et peer-to-peer. Configure les modalits de la journalisation. Affiche des messages journaliss.
VPN Utilisateur
35
Listes
De nombreuses pages de linterface dadministration web se prsentent sous forme de liste. On trouve par exemple des listes des interfaces rseaux, des rgles pare-feu, des administrateurs, des utilisateurs, etc.
Illustration 7 : Exemple dune liste de linterface dadministration web
La liste offre des informations sur chaque lment. Les icnes de la dernire colonne permettent de modifier le statut de ces lments. Dans cet exemple, il est possible de slectionner Delete (Supprimer) pour supprimer llment ou Edit (Editer) pour lditer. Pour ajouter un nouvel lment une liste, cliquez sur Crer Nouveau. Une bote de dialogue souvre pour crer et dfinir le nouvel lment. Cette bote de dialogue est similaire celle dEdition dun lment existant.
Icnes
Les icnes, galement prsentes dans linterface dadministration web, permettent dinteragir avec le systme. Des conseils sur les outils sont disponibles pour vous aider comprendre la fonction de chacune de ces icnes. Placez le curseur de la souris sur licne pour visualiser le commentaire de loutil. Le tableau suivant reprend la description des icnes de linterface dadministration web.
Icne Nom Changer le Mot de Passe Description Modifie le mot de passe administrateur. Cette icne apparat dans la liste des Administrateurs seulement si votre profil daccs vous donne la permission dattribuer des droits en criture aux administrateurs. Supprime une ou plusieurs entres.
Supprimer
Drouler
Cette icne est utilise dans certaines botes de dialogues et listes pour cacher certains champs. Cliquer sur cette icne fait apparatre les champs cachs. Slectionne les colonnes afficher.
Supprime un lment. Cette icne apparat dans des listes o llment peut tre supprim et seulement lorsque vous en avez les droits en criture. Affiche la description de lentre du tableau slectionne.
Description
Tlcharge un fichier journalis ou sauvegarde un fichier de configuration. Tlcharge une requte de signature dun certificat.
36
Edite une configuration. Cette icne apparat dans les listes pour lesquelles vous avez les droits en criture requis. Droule une section qui rvle des champs supplmentaires. Cette icne est utilise dans certaines botes de dialogues et listes. Insre un filtre sur une ou plusieurs colonnes dun tableau. Une bote de dialogue souvre dans laquelle vous pouvez spcifier les filtres dsirs. Licne est verte dans les colonnes o un filtre est activ. Dans le cas contraire, elle est grise. Lance une recherche.
Filtre
Go
Cre une nouvelle rgle qui prcde la rgle courante. Dplace un lment de la liste.
Page Suivante
Restaurer
Visualiser
Visualise une configuration. Cette icne apparat dans les listes la place de licne dEdition dans le cas o vous navez pas les droits en criture requis.
Barre de statuts
La barre de statuts se trouve en bas de lcran de linterface dadministration web.
Illustration 8 : Barre de statuts
Cette barre affiche : le nombre dadministrateurs connects au botier FortiGate. Voir Contrle des administrateurs la page 180. depuis combien de temps le botier FortiGate est actif depuis son dernier redmarrage.
37
Lenregistrement consiste entrer vos coordonnes et le(s) numro(s) de srie de(s) nouveau(x) quipement(s) acquis. Plusieurs enregistrements peuvent tre introduits lors dune seule session. Une fois lenregistrement accompli, Fortinet vous envoie un compte utilisateur et un mot de passe Support Login votre compte de messagerie. Ces donnes sont ncessaires pour se connecter au site de support Fortinet afin de : visualiser la liste des quipements que vous avez enregistrs enregistrer des quipements additionnels ajouter ou modifier les numros du Contrat de Support FortiCare (FortiCare Support Contract) pour chaque quipement visualiser et modifier les informations entres lors de lenregistrement tlcharger les mises jour des bases de connaissances antivirus et IPS tlcharger les mises jour logicielles modifier les informations entres lors de lenregistrement aprs un RMA.
Toutes les informations sur les enregistrements sont sauves dans la base de donnes du Support aux Clients Fortinet (Fortinet Customer Support). Ces informations sont utiles pour assurer une mise jour rgulire de vos quipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais ces informations avec des organisations tiers. Les propritaires de nouveaux quipements FortiGate bnficient dun support technique pendant 90 jours. Pour continuer bnficier de ce service de support, des Contrats de Support FortiCare sont en vente chez vos revendeurs et distributeurs autoriss Fortinet. Afin de correspondre vos besoins, diffrents niveaux de support sont disponibles. Pour garantir une protection rseau maximum, Fortinet recommande tous ses clients dacheter un contrat de service qui comprenne les mises jour des bases de connaissances antivirus et IPS. Pour plus dinformations sur les formules et prix, veuillez vous adresser votre revendeur ou distributeur Fortinet. Pour activer un Contrat de Support FortiCare, il est indispensable denregistrer lquipement FortiGate et dajouter le numro de Contrat de Support FortiCare aux informations sur lenregistrement. Il est galement possible denregistrer un FortiGate sans acheter un Contrat de Support FortiCare. Dans ce cas, lors dun lachat ultrieur dun Contrat de Support FortiCare, les informations sur lenregistrement doivent tre mises jour et le numro du contrat de support ajout. Un seul Contrat de Support FortiCare peut couvrir plusieurs quipements FortiGate. Vous devez alors entrer le mme numro de contrat de service pour tous les modles couverts par ce contrat. Enregistrer un quipement FortiGate Les informations suivantes sont indispensables lenregistrement dun FortiGate : Vos coordonnes, y compris :
38
Adresse email (votre compte utilisateur et le mot de passe Support Login vous seront envoys cette adresse.) Adresse Numro de tlphone de contact
Une question de scurit et sa rponse. Cette information servira en cas de perte du mot de passe. La question de scurit doit tre simple et vous seul devez en connatre la rponse. La rponse cette question ne doit pas tre facile deviner. Le modle du produit et son numro de srie, et ce pour chaque quipement FortiGate que vous dsirez enregistrer. Le numro de srie est situ sur une tiquette au bas du FortiGate. Vous pouvez galement visualiser le numro de srie dans linterface dadministration web, dans Systme > Statut ou via la commande CLI get system status. Les numros de Contrats de Support FortiCare achets pour les quipements que vous voulez enregistrer.
1 2 3 4 5 6 7 8
Slectionnez Systme > Statut. Dans la section Information Licence, slectionnez Enregistrer cte de Contrat de Support. Entrez vos informations de contact sur le formulaire denregistrement du produit. Introduisez une question de scurit et sa rponse. Slectionnez le modle du produit enregistrer. Entrez le numro de srie de votre FortiGate. Entrez le numro de Contrat de Support FortiCare de lquipement si vous en avez achet un. Cliquez sur Suivant . Si vous avez entr un numro de contrat de support, une validation en temps rel a lieu pour vrifier que les informations SCN correspondent lquipement FortiGate. Si ce nest pas le cas, tentez nouveau dentrer le numro de contrat. Saffiche alors une page web qui contient les informations dtailles sur le service de support technique de Fortinet disponible pour lquipement enregistr. Vos compte utilisateur et mot de passe vous sont envoys par email ladresse entre avec vos coordonnes.
39
Domaines virtuels
Les domaines virtuels permettent un botier FortiGate de fonctionner comme de multiples units indpendantes. Il peut fournir des rgles pare-feu, des routages et des configurations VPN spars pour chaque niveau dorganisation. Lutilisation de VDOM peut galement simplifier ladministration de configurations complexes. Il est ncessaire dactiver la configuration de domaines virtuels pour configurer et utiliser les VDOM. Voir ce propos Activation du mode multiple VDOM la page 43. Lors de la cration et de la configuration dun domaine virtuel, vous devez lui attribuer des interfaces ou des sous-interfaces VLAN. Eventuellement, vous pouvez aussi lui assigner un compte administrateur qui pourra uniquement se connecter ce VDOM. Si un VDOM est cr pour servir une organisation, cela permet lorganisation de grer sa configuration de manire autonome. Chaque VDOM contient ses propres zones, rgles pare-feu, routage, authentification dutilisateurs et configuration VPN. Chaque domaine virtuel fonctionne de manire similaire un quipement FortiGate en matire de configuration du paramtrage. Cette sparation simplifie la configuration parce quelle vite de grer de nombreuses rgles pare-feu et routes la fois. Lorsquun paquet entre dans un domaine virtuel sur lquipement FortiGate, il reste limit ce domaine virtuel. Dans un domaine donn, vous pouvez seulement crer des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou des zones de ce domaine virtuel. Les paquets ne passent jamais la frontire dun domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut galement tre slectionn sparment sur chaque VDOM. Les autres fonctions du FortiGate sont gnrales. Elles sappliquent tous les domaines virtuels. Cela signifie quil existe une seule configuration de prvention anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage de contenu web, une seule configuration de profils de protection etc. Dans le mme ordre dide, les domaines virtuels partagent les mmes versions logicielles et bases de connaissances antivirus et IPS. Pour une liste complte des paramtres de configurations partags, voir Paramtres de la configuration gnrale la page 42. Votre quipement FortiGate supporte par dfaut un maximum de 10 VDOM pour toutes combinaisons des modes NAT/Route et Transparent.
40
Des cls de licence sont vendues pour tous les modles FortiGate 3000 et plus (3600, srie 5000...) afin daugmenter le nombre maximum de VDOM jusqu 25, 50, 100 ou 250. Pour connatre le nombre maximum de domaines virtuels support par votre botier FortiGate, veillez ce que la configuration des domaines virtuels vous le permettent et connectez-vous en tant quadministrateur admin. Allez ensuite dans Systme > Statut et regarder sous Domaine Virtuel dans les Informations sur la Licence. Chaque FortiGate fonctionne par dfaut avec un domaine virtuel appel root. Ce domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN, zones, rgles pare-feu, paramtres de routage et paramtres VPN du FortiGate. Les outils dadministration tels que les SNMP, journalisation, emails dalerte, mises jour via le FDN ou encore paramtrage du temps via un serveur NTP utilisent des adresses et routage dans le domaine virtuel root pour communiquer avec le rseau. Ils ne peuvent se connecter quaux ressources du rseau qui communiquent avec le domaine virtuel dadministration, qui est configur sur root par dfaut. Une fois un nouveau domaine virtuel cr, vous pouvez le configurer en ajoutant des sous-interfaces VLAN, des zones, des rgles pare-feu, des paramtres de routage et des paramtres VPN. Vous pouvez galement dplacer des interfaces physiques du domaine virtuel root vers dautres domaines virtuels et dplacer les sous-interfaces VLAN dun domaine virtuel vers un autre.
Configuration du routeur Paramtres des pare-feu Rgles Adresses Services prdfinis, personnaliss et groups Plage horaire IP Virtuelle Plages IP
Configuration VPN
41
Paramtres de lutilisateur Utilisateurs Groupes dutilisateurs Serveurs RADIUS et LDAP Serveurs Microsoft Windows Active Directory
42
Profils de protection Certificats VPN Configuration antivirus Configuration de la Prvention Anti-Intrusion Configuration du filtrage Web Configuration Antispam Configuration IM Statistiques Listes et rgles utilisateurs
Un VDOM nest pas utile sil ne possde pas au moins deux interfaces physiques ou sous-interfaces VLAN. Seul ladministrateur admin peut attribuer des interfaces physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur rgulier peut crer une sous-interface VLAN dans son propre VDOM sur une interface physique de son propre VDOM. Seul ladministrateur admin peut configurer un VDOM moins quun administrateur rgulier soit cr et assign ce VDOM. Seul ladministrateur admin peut assigner un administrateur un VDOM. Un compte administrateur rgulier dont le profil daccs contient les droits en lecture et en criture des utilisateurs Admin est autoris crer des administrateurs supplmentaires pour son propre VDOM.
Configuration Gnrale
Configure les paramtres gnraux. Linterface dadministration web affiche un cran similaire celui dcrit dans la section sur linterface dadministration web (voir Interface dadministration web la page 29.) la diffrence que seuls les paramtres gnraux sont repris. Cliquez sur << Main Menu pour retourner la liste des domaines virtuels. Cre un nouveau domaine virtuel. Tapez un nom et slectionnez OK. Le VDOM ne doit pas porter le mme nom quun VLAN ou quune zone. Le nom du VDOM ne doit pas dpasser 11 caractres. Le Management des Domaines Virtuels est associ au VDOM slectionn. Le Management est indiqu ct du VDOM choisi. Par dfaut il sagit du root. Si plusieurs VDOM sont slectionns comme Management, cest le premier de la liste qui associera le Management des Domaines Virtuels. Le trafic de ce VDOM comprend SNMP, la journalisation, lenvoi demails dalerte, les mises jour partir du FDN et le paramtrage de lheure partir dun serveur NTP. Supprime le VDOM slectionn. Le VDOM root ne peut pas tre supprim.
Crer un nouveau
Associer le Management
Supprimer
44
Permettent de slectionner un VDOM soit pour le supprimer soit pour le configurer comme Management des Domaines Virtuels. Le nom du domaine virtuel. Slectionnez le nom pour configurer le domaine virtuel. Cliquez sur << Main Menu pour retourner la liste des domaines virtuels. Linterface dadministration web affiche un cran similaire celui dcrit dans la section sur linterface dadministration web (voir Interface dadministration web la page 29.) la diffrence que seuls les paramtres spcifiques un VDOM sont repris. La barre de statuts au bas de lcran affiche le VDOM activ. Le mode de fonctionnement dun VDOM : NAT (NAT/Route) ou Transparent
Name (Nom)
Il est ncessaire de supprimer ou modifier ces lments avant de pouvoir changer linterface de domaine virtuel. Affecter une interface un domaine virtuel 1 2 3 4 5 6 Connectez-vous en tant quadmin. Slectionnez Configuration Globale. Slectionnez Systme > Rseau > Interface. Cliquez sur le bouton Editer de linterface raffecter. Slectionnez le Domaine Virtuel auquel linterface doit tre raffecte. Configurez les autres paramtres comme requis et cliquez sur OK. Voir Paramtres de linterface la page 63.
45
Linterface est affecte au domaine virtuel. Les pare-feu, plages IP et adresses virtuelles IP ajouts cette interface sont supprims. Il est conseill de supprimer manuellement toutes les routes comprenant cette interface.
5 6
46
Statuts du Systme
Cette section dcrit la page Statut du Systme, le tableau de bord de votre FortiGate. On y retrouve les statuts en cours du botier FortiGate, y compris le numro de srie, lusage des ressources du systme, les informations sur la licence FortiGuard, les messages dalerte et les informations sur la session. Cette section couvre les sujets suivants: Page des statuts Modification des informations du systme Visualisation de lhistorique oprationnel Mise jour manuelle des dfinitions FortiGuard Visualisation des Statistiques
47
Informations du systme
Numro de Srie Le numro de srie de lquipement FortiGate. Ce numro est unique pour chaque quipement et ne change pas avec les mises jour logicielles. Le temps en jours, heures et minutes depuis le dernier redmarrage de lquipement FortiGate. La date et lheure en cours selon lhorloge prprogramme. Cliquez sur Changer pour modifier lheure ou configurez le botier FortiGate pour quil se synchronise avec un serveur NTP. Voir Paramtrage des date et heure la page 51. Le nom dhte actuel de lquipement FortiGate. Cliquez sur Changer pour le modifier. Voir Modification du nom dhte du botier FortiGate la page 52. La version du microcode install sur votre FortiGate. Cliquez sur Update (Mettre jour) pour changer le logiciel. Voir Mise jour logicielle la page 53. Le mode de fonctionnement du domaine virtuel est soit NAT, soit Transparent. Cliquez sur Changer pour passer du mode NAT au mode Transparent et vice-versa. Voir Modification du mode de fonctionnement la page 166.
Nom dhte
Version de Code
Mode de fonctionnement
48
Souscriptions FortiGuard AntiVirus Dfinitions AV La version du contrat, la date dmission et les statuts du service. La version installe des Dfinitions AntiVirus FortiGate. Pour mettre jour ces dfinitions manuellement, cliquez sur Update (Mettre jour). Pour plus dinformations, voir Mise jour manuelle des Dfinitions AV FortiGuard la page 56. La version du contrat, la date dmission et les statuts du service. La version installe des Dfinitions des attaques IPS. Pour mettre jour ces dfinitions manuellement, cliquez sur Update (Mettre jour). Pour plus dinformations, voir Mise jour manuelle des Dfinitions IPS FortiGuard la page 56. Type de la licence, date dexpiration et statuts du service. Type de la licence, date dexpiration et statuts du service. Le nombre de domaines virtuels supports par le botier FortiGate. Il est possible dacheter une cl de licence chez Fortinet pour augmenter le nombre maximum de VDOM pour les FortiGate 3000 et plus. Voir Licence la page 193. Seul ladministrateur admin peut accder cette information si la Configuration de Domaine Virtuel est active.
Ressources
Les ressources du systme napparaissant pas sur la page Statut sont accessibles sous forme de graphiques partir de licne Historique.
Icne Historique Affiche des reprsentations graphiques du taux CPU, du taux mmoire, des sessions et du taux dutilisation rseau les plus rcents. Cette page reprend galement les dtections des virus et attaques de ces 20 dernires heures. Pour plus dinformations, voir Visualisation de lhistorique oprationnel la page 55. Le statut du taux CPU en cours saffiche sous la forme dun compteur de vitesse et en pourcentage. Linterface dadministration web reprend les taux CPU pour les processus majeurs uniquement. Les taux CPU pour les processus administratifs (par exemple pour les connexions HTTPS vers linterface graphique) sont exclus. Le statut du taux de la mmoire en cours saffiche sous la forme dun compteur de vitesse et en pourcentage. Linterface dadministration web reprend les taux mmoire pour les processus majeurs uniquement. Les taux mmoire pour les processus administratifs (par exemple pour les connexions HTTPS vers linterface graphique) sont exclus. Le statut en cours du quota du disque du FortiAnalyzer saffiche sous la forme dun diagramme circulaire et en pourcentage. Ceci est uniquement disponible si vous avez configur la journalisation sur un botier FortiAnalyzer.
Taux CPU
Taux Mmoire
49
FortiGate has reached connection Le moteur Antivirus disposait de peu de mmoire limit for <n> seconds pendant la dure du temps indiqu. Dans ces conditions et selon les modles et configurations, le contenu peut avoir t bloqu ou tre pass sans avoir t analys.
Pour chaque message, la date et lheure de sa parution sont indiques. Sil ny a pas assez despace pour visualiser tous les messages, cliquez sur Tout Voir afin que souvre une nouvelle fentre avec la liste complte des messages. Pour effacer les messages dalerte, cliquez sur Tout Voir, ensuite sur licne Supprimer les messages dalerte, en haut de la nouvelle fentre.
Statistiques
Depuis La date et lheure de la relance des compteurs. Les compteurs sont relancs lors dune rinitialisation du systme FortiGate. Remet zro les compteurs du Journal des Archives et des Attaques. Le nombre de sessions de communication FortiGate en cours. Slectionnez Dtails pour visualiser des
50
informations plus compltes. Voir Visualisation de la liste de session la page 57. Archive de contenu Un rsume du trafic archiv par le botier FortiGate. Les pages Dtails rpertorient les 64 derniers lments et fournissent un lien vers le FortiAnalyzer o le trafic archiv est mmoris. Si vous navez pas configur de connexion au FortiAnalyzer, les pages Dtails prvoient un lien vers Journaux / Alertes > Configuration > Configuration du Journal. Un rsum des virus, attaques, messages emails spams et URL que le botier FortiGate a intercept. Les pages Dtails rpertorient les 10 derniers lments, fournissant lheure, la source, la destination et autres informations.
Opration Systme
Les oprations suivantes peuvent tre accomplies par les administrateurs dont le profil daccs comprend les droits en criture de configuration du systme.
Reboot Shutdown Redmarre le botier FortiGate. Eteint le botier FortiGate, stoppant le flux du trafic. Pour redmarrer le botier FortiGate, couper et rebrancher ensuite le courant. Redmarre le botier FortiGate avec sa configuration initiale. Cette procdure supprime tous les changements apports la configuration. Seules la version logicielle et les dfinitions dantivirus et dattaques sont maintenues.
Slectionnez dans la liste Opration Systme lopration dsire et cliquez ensuite sur Go.
51
Date et heure du systme Actualiser Fuseau horaire Ajuster automatiquement lors du passage lheure dt/lheure dhiver Rglage
La date et lheure actuelle du systme FortiGate Mise jour instantane de la date et lheure du systme. Slectionnez le fuseau horaire applicable. Ajuste automatiquement lhorloge du FortiGate lors du passage lheure dt.
Remplissez les champs heure, minute, seconde, jour, mois, anne. Slectionnez cette option si vous dsirez utiliser un serveur NTP pour paramtrer les date et heure automatiquement. Spcifiez le serveur et lintervalle de synchronisation dsirs. Entrez ladresse IP ou un nom de domaine dun serveur NTP. Pour trouver le bon serveur NTP, voir http://www.ntp.org Spcifiez le nombre de fois que le botier FortiGate synchronise ses paramtres date et heure avec le serveur NTP. Par exemple, dfinir un intervalle de 1440 minutes entrane un synchronisation quotidienne.
Serveur
Intervalle de Sync
Remarque : Si votre FortiGate fait partie dun cluster HA, il est conseill de lui attribuer un nom unique pour le distinguer des autres quipements du cluster.
52
1 2 3 4 5
Slectionnez Systme > Statut > Statut. Dans le champ Nom dHte de la section Informations sur le Systme, slectionnez Changer. Dans le champ Nouveau Nom, entrez un nouveau nom dhte. Cliquez sur OK. Le nouveau nom dhte saffiche dans le champ Nom dHte et sur lcran lors dune connexion en CLI. Il est galement ajout au Nom de Systme SNMP.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces bases de connaissance sont jour.
Mettre le logiciel jour partir de linterface dadministration web 1 2 Copiez le fichier de limage logicielle sur votre poste dadministration. Connectez-vous linterface dadministration web en tant quadministrateur admin ou sous un compte administrateur qui possde les droits en lecture et en criture de configuration systme. Slectionnez Systme > Statut. Dans la section Informations sur le Systme (ou Statut), slectionnez Update (Mettre jour) dans la ligne Version du Code. Tapez le chemin et le nom de fichier de limage logicielle ou slectionnez Browse (Parcourir) pour localiser ce fichier. Cliquez sur OK. Le botier FortiGate tlcharge le fichier de limage logicielle, installe la nouvelle version logicielle, ferme toutes les sessions, redmarre et affiche la page douverture dune session FortiGate. Cette procdure prend quelques minutes. 7 Connectez-vous linterface dadministration web.
3 4 5 6
53
8 9
Slectionnez Systme > Statut et vrifiez la version du code pour vous assurer du succs de linstallation de la mise jour. Mettez les bases de connaissance antivirus et IPS jour. Pour plus dinformations sur ce sujet, voir Centre FortiGuard la page 183.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces bases de connaissance sont jour.
Retourner une version logicielle antrieure partir de linterface dadministration web 1 2 Copiez le fichier de limage logicielle sur votre poste dadministration. Connectez-vous linterface dadministration web du FortiGate.
Remarque : La procdure suivante ncessite que vous vous connectiez partir du compte administrateur admin ou dun compte administrateur qui possde tous les droits daccs en lecture et criture de la configuration du systme.
1 2 3 4
Slectionnez Systme > Statut. Dans la section Informations sur le Systme (ou Statut), slectionnez Update (Mettre jour) dans la ligne Version du Code. Tapez le chemin et le nom du fichier de limage logicielle, ou slectionnez Browse (Parcourir) pour localiser ce fichier. Cliquez sur OK. Le botier FortiGate tlcharge le fichier de limage logicielle, retourne la version antrieure du logiciel, redmarre et affiche la page douverture dune session FortiGate. Cette procdure prend quelques minutes.
5 6 7
Connectez-vous linterface dadministration web. Slectionnez Systme > Statut et vrifiez la version du code pour vous assurer du succs de linstallation du logiciel. Restaurez votre configuration.
54
Pour plus dinformations sur la restauration de votre configuration, voir Sauvegarde et Restauration la page 181. 8 Mettez jour les bases de connaissance antivirus et IPS. Pour plus dinformations sur les dfinitions des antivirus et attaques, voir Mettre
jour les bases de connaissances antivirus et IPS la page 189.
Time Interval Historique du taux CPU Historique du taux mmoire Historique des sessions Historique du taux dutilisation rseau Historique des virus Historique des attaques
Slectionnez lintervalle de temps que vous voulez voir illustrer dans les graphiques. Usage CPU pendant lintervalle prcdent. Usage Mmoire pendant lintervalle prcdent. Nombre de sessions pendant lintervalle prcdent. Utilisation du rseau pendant lintervalle prcdent. Nombre de virus dtect(s) pendant lintervalle prcdent. Nombre de tentatives dintrusions dtecte(s) pendant lintervalle prcdent.
55
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises jour des dfinitions antivirus, voir Centre FortiGuard la page 183.
Tlchargez le fichier de mise jour des dfinitions des derniers antivirus sur le site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration web. Dmarrez linterface dadministration web et slectionnez Systme > Statut > Statut. Dans la section Information sur la Licence, dans le champ Dfinitions AV des souscriptions FortiGuard, slectionnez Update (Mettre jour). La bote de dialogue Mettre jour les dfinitions antivirus souvre.
2 3
Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise jour des dfinitions antivirus. Vous pouvez galement slectionnez Browse (Parcourir) et localisez le fichier. Cliquez sur OK pour copier le fichier de mise jour des dfinitions antivirus sur le botier FortiGate. Le botier FortiGate met jour les dfinitions AV. Cela prend environ 1 minute.
Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour de la version du FortiGuard Antivirus.
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises jour des dfinitions IPS (attaque), voir Centre FortiGuard la page 183.
Tlchargez le fichier de mise jour des dfinitions des dernires attaques sur le site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration web. Dmarrez linterface dadministration web et slectionnez Systme > Statut > Statut. Dans la section Information sur la Licence, dans le champ Dfinitions IPS des souscriptions FortiGuard, slectionnez Update (Mettre jour). La bote de dialogue Mettre jour les dfinitions dattaque souvre.
2 3
Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise jour des dfinitions des attaques. Vous pouvez galement slectionnez Browse (Parcourir) et localisez le fichier. Cliquez sur OK pour copier le fichier de mise jour des dfinitions des attaques sur le botier FortiGate. Le botier FortiGate met jour les dfinitions IPS. Cela prend environ 1 minute.
Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour de la version du FortiGuard IPS.
56
Virtual Domain
Slectionnez un domaine virtuel pour en rpertorier les sessions en cours. Slectionnez Tous pour visualiser les sessions utilises par tous les domaines virtuels. Ceci nest possible que si de multiples domaines virtuels sont activs. Met jour la liste des sessions. Affiche la page prcdente de la liste des sessions. Affiche la page suivante de la liste des sessions. Entrez le numro de la ligne de la session marquant le dbut de la liste des sessions affiches. Par exemple, dans le cas o il y a 5 sessions et vous entrez le numro 3, seules les sessions 3, 4 et 5 seront affiches. Le nombre suivant le / est le nombre de sessions actives sur le botier FortiGate. Annule tous les filtres daffichage installs. Toutes les icnes en haut des colonnes lexception de # et Expiration. Slectionnez une de ces icnes pour ouvrir la bote de dialogue dEdition de Filtres vous permettant dinstaller des filtres daffichage par colonne. Le protocole de service sur la connexion, par exemple, udp, tcp ou icmp. Ladresse IP source de la connexion. Le port source de la connexion. Ladresse IP de destination de la connexion. Le port de destination de la connexion. Le nombre de rgles pare-feu permettant cette session. Le champ reste vide si la session implique une seule interface FortiGate (session admin par exemple). Le temps, en secondes, avant que la connexion expire.
Protocole Adresse Source Port Source Adresse Destination Port Destination Identifiant de rgle
Expire (sec)
57
Icne de suppression
Met fin une session de communication active. Votre profil daccs doit comprendre les droits en lecture et en criture de la configuration du systme.
La date et lheure de laccs lURL. Ladresse IP partir de laquelle lURL a t accde. LURL accde.
La date et lheure du passage de lemail travers le botier FortiGate. Ladresse email de lmetteur. Ladresse email du destinataire. Le sujet de lemail.
58
La date et lheure de laccs. Ladresse IP du serveur FTP accd. LID de lutilisateur stant connect au serveur FTP. Les noms des fichiers tlchargs.
Envoie vers un serveur Les noms des fichiers envoys vers un serveur.
La date et lheure de laccs. Le protocole utilis lors de la session IM. Le type de trafic IM constituant la transaction. Ladresse locale de la transaction. Ladresse distante de la transaction. Indique si le fichier a t envoy ou reu.
59
La date et lheure de la dtection du virus. Ladresse email ou ladresse IP de lmetteur. Ladresse email ou ladresse IP du destinataire vis. Le type de service, tel que POP ou HTTP. Le nom du virus dtect.
La date et lheure de la dtection de lattaque. La source de lattaque. Lhte cible de lattaque. Le type de service. Le type dattaque dtecte et bloque.
Date & heure De -> IP De -> A comptes email Service Type de SPAM
La date et lheure de la dtection du spam. Les adresses IP de lmetteur et du destinataire vis. Les adresses email de lmetteur et du destinataire vis. Le type de service, tel que SMTP, POP ou IMAP. Le type de spam dtect.
La date et lheure de la dtection de la tentative daccs de lURL. Lhte qui a tent daccder lURL. LURL bloque.
60
Remarque : Certains champs permettent dentrer ladresse IP et le masque de rseau en une fois. Dans ce cas, vous pouvez utiliser la forme courte du masque de rseau. Par exemple, 192.168.1.100/255.255.255.0 peut galement tre entr sous 192.168.1.100/24.
Interface
En mode NAT/Route, slectionnez Systme > Rseau > Interface pour configurer les interfaces FortiGate. Il vous est possible de : agrger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour les modles 800 et plus). combiner des interfaces physiques en une interface redondante ajouter et configurer des sous-interfaces VLAN modifier la configuration dune interface physique ajouter des interfaces sans fil (pour les modles WiFi-60 et WiFi-60 AM uniquement).
Remarque : A moins dune directive contraire, dans cette section, le mot interface rfre aussi bien une interface FortiGate physique qu une sous-interface FortiGate VLAN.
Pour toute information sur les VLAN en mode NAT/Route, voir VLAN en mode NAT/Route la page 85. Pour toute information sur les VLAN en mode Transparent, voir VLAN en mode Transparent la page 88.
61
Illustration 15 : Liste des interfaces pour un administrateur admin avec la Configuration de Domaine Virtuel active
Crer Nouveau
Cre une sous-interface VLAN. Possibilit de crer une interface agrge IEEE 802.3ad pour les modles 800 et plus.
Laide en ligne de cette icne affiche le champ de Description pour cette interface. Les noms des interfaces physiques de votre botier FortiGate. Les nombre et noms de ces interfaces dpendent du modle. Certains noms indiquent la fonction par dfaut de linterface : Internal, External, DMZ par exemple. Dautres noms sont gnriques : port1 par exemple. Les modles FortiGate 50 et 60 fournissent une interface modem. Voir Configuration de linterface modem la page 79. Linterface oob/ha est linterface de gestion hors bande du modle FortiGate 4000. Vous pouvez vous connecter cette interface pour grer votre quipement FortiGate. Cette interface est galement disponible comme interface de heartbeat HA. Sur les modles 800 et plus, si plusieurs interfaces sont combines en une interface agrge, seule celle-ci sera rpertorie (et non pas les interfaces composantes). La mme chose sapplique pour les interfaces redondantes. Voir Cration dune interface agrge 802.3ad la page 66 ou Cration dune interface redondante la page 67. Si vous avez ajout des sous-interfaces VLAN, celles-ci apparaissent aussi dans la liste des noms, juste en dessous de linterface physique ou agrge laquelle elles ont t ajoutes. Voir Aperu sur les VLAN la page 84. A moins dtre ladministrateur admin, et si la Configuration de Domaine Virtuel est active, les informations disponibles concernent uniquement les interfaces de votre domaine virtuel.
IP / masque Accs
Ladresse IP et le masque de rseau actuels de cette interface. La configuration de laccs administratif de linterface.
62
Pour toute information sur les options de laccs administratif, voir Contrler laccs administratif dune interface la page 74. Domaine Virtuel Le domaine virtuel auquel linterface appartient. Cette colonne nest visible que par ladministrateur admin et ce, uniquement lorsque la Configuration de Domaine Virtuel est active. Ltat administratif de linterface. Une flche verte indique que linterface est active et peut accepter le trafic rseau. Une flche rouge indique que linterface est inactive et ne peut pas accepter le trafic rseau. Pour modifier ltat administratif, slectionnez Activer ou Dsactiver. Supprime, dite ou visualise une entre.
Etat
Paramtres de linterface
Pour configurer une interface, slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau pour crer une nouvelle interface. Pour diter une interface existante, slectionnez licne Editer de cette interface. Il est impossible de crer une interface virtuelle IPSec ici. Mais vous pouvez en spcifier les adresses de terminaison, activer laccs administratif et fournir une description. Voir Configuration dune interface IPSec virtuelle la page 72.
Illustration 16 : Paramtres dune interface
Entrez un nom pour linterface. Il nest pas possible de modifier le nom dune interface existante. Sur les modles 800 et plus, vous pouvez crer des interfaces VLAN, agrges 802.3ad et redondantes. Sur les modles WiFi-60A et WiFi-60AM, vous pouvez crer des interfaces sans fil. Certains modles ne supportent que la cration dinterface VLAN et naffichent alors pas le champ Type.
63
Si vous dsirez crer une interface agrge, voir Cration dune interface agrge 802.3ad la page 66. Si vous dsirez crer une interface redondante, voir Cration dune interface redondante la page 67. Si vous dsirez crer une interface sans fil, voir Cration dune interface sans fil la page 68. Il est impossible de modifier le type dune interface existante. Interface Slectionnez le nom de linterface physique laquelle vous voulez adjoindre une sous-interface VLAN. Une fois cr, le VLAN est repris dans la liste des interfaces, en dessous de son interface physique. Il est impossible de modifier linterface dune sous-interface VLAN existante. Entrez lID du VLAN qui correspond lID du VLAN des paquets destins cette sous-interface VLAN. Il est impossible de modifier lID dune sous-interface VLAN existante. LID VLAN, se situant entre 1 et 4096, doit correspondre lID VLAN ajoute par le routeur IEEE 802.1Qcompliant ou connect la sous-interface VLAN. Pour plus dinformations sur les VLAN, voir Aperu sur les VLAN la page 84. Domaine Virtuel Slectionnez le domaine virtuel auquel la sous-interface VLAN appartient. Seul ladministrateur admin peut effectuer cette commande lorsque la Configuration de Domaine Virtuel est active. Pour plus dinformations sur les domaines virtuels, voir Utilisation des domaines virtuels la page 40. Pour configurer une adresse IP statique dune interface, slectionnez Manuel et entrez adresse IP/masque de rseau dans le champ prvu cet effet. Ladresse IP doit tre sous le mme sous-rseau que le rseau auquel linterface se connecte. Deux interfaces ne peuvent pas avoir leurs adresses IP sur le mme sousrseau. Pour plus dinformations sur la configuration dun adressage dynamique, voir Configuration DHCP dune interface la page 69 ou Configuration PPPoE dune interface la page 70. DDNS Cochez la case Activer ct de DDNS pour configurer un service DNS Dynamique pour cette interface. Des champs additionnels sont affichs. Pour plus dinformations sur la configuration DDNS, voir Configuration dun service DNS Dynamique dune interface la page 72. Pour activer la dtection de lchec dune passerelle, entrez ladresse IP du routeur du prochain saut sur le rseau connect linterface et cochez la case Activer. Pour plus dinformations sur la dtection de lchec
ID VLAN
Mode dadressage
Ping Serveur
64
dune passerelle, voir Dtection de lchec dune passerelle la page 76. Administration HTTPS PING Slectionnez les types daccs administratifs permis sur cette interface. Permet des connexions HTTPS scurises vers linterface dadministration web travers cette interface. Linterface rpond aux requtes Ping. Cette fonctionnalit vous permet de vrifier votre installation et de la tester. Permet des connexions HTTP vers linterface dadministration web travers cette interface. Les connexions HTTP ne sont pas scurises et peuvent tre interceptes par des tiers. Permet des connexions SSH vers linterface de commande en ligne travers cette interface. Permet un superviseur SNMP distant de solliciter des informations SNMP en se connectant cette interface. Voir Configuration SNMP la page 153. Permet des connexions Telnet vers le CLI travers cette interface. Les connexions Telnet ne sont pas scurises et peuvent tre interceptes par des tiers. Ce champ nest disponible que sur les interfaces physiques. Pour amliorer la performance rseau, vous pouvez modifier lunit maximum de transmission (MTU) des paquets que le botier FortiGate transmet. Idalement le MTU devrait tre identique au plus petit MTU de tous les rseaux entre le botier FortiGate et les destinations des paquets. Les plus grands paquets envoys seront fragments, ce qui ralentit la transmission. Procdez des tests en diminuant le MTU jusqu trouver la taille du MTU qui fournit la meilleure performance rseau. Pour modifier le MTU, slectionnez Remplacer la valeur MTU par dfaut (1500) et entrez une nouvelle taille du MTU. La taille du MTU varie entre 68 et 1500 octets en mode manuel, entre 576 et 1500 octets en mode DHCP et entre 576 et 1492 octets en mode PPPoE. En mode Transparent, si vous modifiez le MTU dune interface, vous devez modifier le MTU de toutes les interfaces pour correspondre la nouvelle. Journaliser Slectionnez Journaliser pour enregistrer les journaux pour tout trafic partir ou vers linterface. Pour enregistrer des journaux, vous devez activer la journalisation du trafic vers une destination et fixer le niveau de svrit de la journalisation Notification ou plus bas. Slectionnez Journaux/Alertes > Journal pour configurer les types et destinations de journalisation. Pour plus dinformations sur les journalisations, voir Journaux et Alertes la page 409. Facultativement, entrez une description de 63 caractres maximum.
65
HTTP
SSH SNMP
TELNET
MTU
Description
Lorsquune interface fait partie dune agrgation, elle nest plus reprise dans la liste de la page Systme > Rseau > Interface. Elle nest plus configurable individuellement et ne peut plus tre incluse dans les rgles pare-feu, VIP, IP pools ou de routage.
Illustration 17 : Paramtres pour une interface agrge 802.3ad
Crer une interface agrge 802.3ad 1 2 3 4 5 Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau. Dans le champ Nom, entrez un nom pour linterface agrge. Le nom de linterface doit diffrer des noms des autres interfaces, zones ou VDOM. Slectionnez dans la liste Type droulante 802.3ad Aggregate. Slectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface que vous voulez inclure dans linterface agrge et cliquez sur la flche droite pour la dplacer vers la liste des Interfaces Slectionnes.
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
66
Si cette interface opre en mode NAT/Route, il est ncessaire de lui configurer un adressage. Pour plus dinformations sur ladressage dynamique, voir : Configuration DHCP dune interface la page 69. Configuration PPPoE dune interface la page 70.
7 8
Configurez les autres options tel que requis. Cliquez sur OK.
Lorsquune interface fait partir dune interface redondante, elle nest plus reprise dans la liste de la page Systme > Rseau > Interface. Elle nest plus configurable individuellement et ne peut plus tre incluse dans les rgles pare-feu, VIP, IP pools ou de routage.
67
Crer une interface redondante 1 2 3 4 5 Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau. Dans le champ Nom, entrez un nom pour linterface redondante. Le nom de linterface doit diffrer des noms des autres interfaces, zones ou VDOM. Slectionnez dans la liste Type droulante Interface Redondante. Slectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface physique que vous voulez inclure dans linterface redondante et cliquez sur la flche droite pour la dplacer vers la liste des Interfaces Slectionnes. Si cette interface opre en mode NAT/Route, il est ncessaire de lui configurer un adressage. Pour plus dinformations sur ladressage dynamique, voir : 7 8 Configuration DHCP dune interface la page 69. Configuration PPPoE dune interface la page70.
Configurez les autres options tel que requis. Cliquez sur OK.
68
SSID
Entrez le nom du rseau sans fil que le FortiWiFi-60 doit mettre. Les utilisateurs dsireux dutiliser le rseau sans fil doivent configurer leurs ordinateurs pour se connecter au rseau qui met ce nom de rseau. A slectionner si vous voulez que le botier mette son SSID. (En mode Point dAccs uniquement). Pour une utilisation du WEP, slectionnez WEP64 ou WEP128. Pour une utilisation WPA (disponible en mode Point dAccs uniquement), slectionnez WPA Pre-shared Key ou WPA_Radius. Les utilisateurs du rseau sans fil FortiWiFi-60 doivent configurer leurs ordinateurs avec les mmes paramtres. Pour une cl WEP de 64 bits, entrez 10 symboles hexadcimaux (0-9 a-f). Pour une cl WEP de 128 bits, entrez 26 symboles hexadcimaux (0-9 a-f). Les utilisateurs du rseau sans fil doivent configurer leurs ordinateurs avec les mmes cls. Pour le mode scuris WPA Pre-Shared Key, entrez la cl partage. Les utilisateurs dun rseau sans fil doivent configurer leurs ordinateurs avec la mme cl. Pour le mode scuris WPA Radius, slectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit tre configur dans Utilisateur > Radius. Pour plus dinformations, voir Serveurs RADIUS la page 326. En mode WPA uniquement. Choisissez entre les protocoles de cryptage TKIP ou AES (WPA2). Le seuil RTS (Request to Send) dtermine le temps dattente du botier pour la reconnaissance CTS (Clear to Send) dun autre quipement sans fil.
Cl
Pre-shared Key
Fragmentation Threshold Le seuil de fragmentation dtermine la taille maximum dun paquet de donnes avant que celui-ci ne soit fragment en deux ou plusieurs paquets. La rduction de ce seuil peut amliorer la performance dans des environnements soumis de hautes interfrences.
6 7
Configurez les options des autres interfaces tel que requis. Cliquez sur OK.
69
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou slectionnez licne Editer dune interface existante. Dans la section de Mode dAdressage, slectionnez DHCP.
Illustration 20 : Paramtres DHCP de linterface
Distance
Entrez la distance administrative de la passerelle par dfaut retrouve par le serveur DHCP. La distance administrative, entre 1 et 255, indique la priorit relative dune route lorsquil en existe plusieurs vers une mme destination. Au plus la distance administrative est basse, au plus est elle considre comme prioritaire. La distance par dfaut de la passerelle par dfaut est de 1. Activez cette option pour retrouver ladresse IP dune passerelle par dfaut partir dun serveur DHCP. La passerelle par dfaut est ajoute la table de routage statique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par des adresses DNS retrouves par le serveur DHCP. Sur les modles 100 et moins, lactivation de Obtenir dynamiquement les adresses des serveurs DNS dans Systme > Rseau > Options est conseille. Voir Configuration des Options du Rseau la page 77.
Connecter
Permet linterface de tenter automatiquement de se connecter un serveur DHCP. Dsactiver cette option si vous configurez linterface hors ligne. Affiche les messages sur les statuts DHCP lorsque le botier FortiGate se connecte au serveur DHCP et reoit des informations sur ladressage. Slectionnez cette option pour rafrachir le message de statut du mode dadressage.
Statut
Aucune activit. Linterface tente de se connecter au serveur DHCP. Linterface retrouve une adresse IP, un masque de rseau et dautres paramtres du serveur DHCP. Linterface a chou dans sa tentative de retrouver une adresse IP et dautres informations partir du serveur DHCP.
70
Le botier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y compris les IP non numrotes, les timeouts de dcouverte initiale et les PPPoE Active Discovery Terminate (PADT). Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou sur licne Editer dune interface existante. Slectionnez PPPoE dans la section Mode dAdressage.
Illustration 21 : Paramtres PPPoE de linterface
Le nom dutilisateur du compte PPPoE. Le mot de passe du compte PPPoE. Spcifiez ladresse IP de linterface. Dans le cas o votre FAI (Fournisseur dAccs Internet) vous en a affectes plusieurs, choisissez-en une parmi celles-ci. Par ailleurs, cette adresse IP peut tre identique celle dune autre interface ou peut galement tre nimporte quelle adresse IP. Initial Discovery Timeout. Il sagit du temps dattente avant quune nouvelle tentative de dcouverte PPPoE soit lance. Pour dsactiver cette option, affectez-lui 0. Initial PPPoE Active Discovery Terminate (PADT) timeout. Se dfinit en secondes. Sert fermer la session PPPoE aprs un laps de secondes dinactivit dfini dans cette option. PADT doit tre support par votre FAI. Pour dsactiver cette option, affectez-lui 0. Entrez la distance administrative de la passerelle par dfaut retrouve par le serveur PPPoE. La distance administrative, entre 1 et 255, indique la priorit relative dune route lorsquil en existe plusieurs vers une mme destination. Au plus la distance administrative est basse, au plus elle est considre comme prioritaire. La distance par dfaut de la passerelle par dfaut est de 1. Permet de retrouver une adresse IP dune passerelle par dfaut partir dun serveur PPPoE. La passerelle par dfaut est ajoute la table de routage statique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par les adresses DNS retrouves par le serveur PPPoE ou PPPoA. Permet linterface de tenter automatiquement de se connecter un serveur PPPoE ou PPPoA. Dsactiver cette option si vous configurez linterface hors ligne. Affiche les messages sur les statuts PPPoE lorsque le botier FortiGate se connecte au serveur PPPoE et reoit 71
Distance
Etat
des informations sur ladressage. Slectionnez cette option pour rafrachir le message de statut du mode dadressage. initialisation se connecte connect chec Aucune activit. Linterface tente de se connecter au serveur PPPoE. Linterface retrouve une adresse IP, un masque de rseau et dautres paramtres du serveur PPPoE. Linterface a chou dans sa tentative de retrouver une adresse IP et dautres informations partir du serveur PPPoE.
Serveur
Slectionnez un serveur DDNS. Les logiciels clients pour ces services sont inclus dans le microcode FortiGate. Le botier FortiGate ne peut se connecter qu un de ces services. Le nom de domaine pour le service DDNS. Le nom dutilisateur ncessaire une connexion un serveur DDNS. Le mot de passe ncessaire une connexion un serveur DDNS.
72
Slectionnez Systme > Rseau > Interface et cliquez sur licne Editer dune interface IPSec pour : configurer des adresses IP de terminaison locales et distantes de linterface IPSec de manire activer un routage dynamique sur linterface ou lancer une requte ping pour tester le tunnel. permettre laccs administratif travers linterface IPSec permettre la journalisation sur linterface entrer une description de linterface
Le nom de linterface IPSec Slectionnez le VDOM de linterface IPSec Si vous voulez utiliser un routage dynamique avec le tunnel ou pouvoir pinger linterface du tunnel, entrez les adresses IP des points finaux locaux et distants du tunnel. Ces deux adresses ne peuvent pas apparatre ailleurs sur le rseau. Slectionnez les types daccs administratifs permis sur cette interface. Permet des connexions HTTPS scurises vers linterface dadministration web travers cette interface. Linterface rpond aux requtes Ping. Cette fonctionnalit vous permet de tester votre installation. Permet des connexions HTTP vers linterface dadministration web travers cette interface. Les connexions HTTP ne sont pas scurises et sont susceptibles dtre interceptes par des tiers. Permet des connexions SSH vers linterface de ligne de commande travers cette interface. Permet un superviseur SNMP distant de solliciter des informations SNMP en se connectant cette interface. Voir Configuration SNMP la page 153. Permet des connexions Telnet vers le CLI travers cette interface. Les connexions Telnet ne sont pas scurises et sont susceptibles dtre interceptes par des tiers.
SSH SNMP
TELNET
73
Journaliser
Slectionnez Journaliser pour enregistrer les journaux de tout trafic partir ou vers linterface. Pour enregistrer des journaux, vous devez activer la journalisation du trafic vers une destination et fixer le niveau de svrit de la journalisation Notification ou plus bas. Slectionnez Journaux/Alertes > Journal pour configurer des types et destinations de journalisation. Pour plus dinformations sur la journalisation, voir Journaux et Alertes la page 409. Facultativement, entrez une description de 63 caractres maximum.
Description
Pour configurer un accs administratif en mode Transparent, voir Mode de fonctionnement des VDOM et accs administratif la page 166. 1 2 3 4 Slectionnez Systme > Rseau > Interface. Cliquez sur licne Editer de linterface choisie. Slectionnez les protocoles dAdministration pour cette interface. Cliquez sur OK pour enregistrer les changements. Modifier la taille MTU des paquets qui quittent une interface 1 Slectionnez Systme > Rseau > Interface.
74
2 3 4
Cliquez sur licne Editer de linterface choisie. Slectionnez la valeur de Remplacer la valeur MTU par dfaut (1500). Dfinissez une nouvelle valeur MTU.
Remarque : Un redmarrage du FortiGate est ncessaire pour mettre jour la nouvelle valeur du MTU des sous-interfaces VLAN sur cette interface.
Configurer la journalisation du trafic pour les connexions vers une interface 1 2 3 4 Slectionnez Systme > Rseau > Interface. Cliquez sur licne Editer de linterface choisie. Activez la case Journaliser pour enregistrer les messages journaliss lorsquune rgle pare-feu accepte une connexion cette interface. Cliquez sur OK pour enregistrer les changements.
Zone
Les zones permettent de grouper des interfaces et des sous-interfaces VLAN. Ces zones simplifient la cration de rgles. Dans le cas de regroupement dinterfaces et de sous-interfaces VLAN en zones, vous pouvez configurer des rgles pour des connexions de et partir dune zone. Cependant il nest pas possible de configurer des rgles de et partir de chaque interface de cette zone. A partir de la liste Zone, il est possible dajouter des zones, de les renommer, les diter ou encore les supprimer. Pour ajouter une zone, vous devez slectionner les noms des interfaces et sous-interfaces VLAN ajouter cette zone. Les zones sont ajoutes aux domaines virtuels. Si de multiples domaines virtuels ont t ajouts la configuration FortiGate, veillez configurer le domaine virtuel correct avant dajouter ou dditer des zones.
Illustration 24 : Liste des zones
Permet de crer une zone. Les noms des zones ajoutes. Le mot Yes saffiche si le trafic entre les interfaces dune mme zone est bloqu. Le mot No saffiche si le trafic entre les interfaces dune mme zone nest pas bloqu. Les noms des interfaces ajoutes cette zone. Les noms des interfaces varient dun modle FortiGate un autre. Permet dditer ou de visualiser une zone. Permet de supprimer une zone.
75
Entrez un nom pour identifier la zone. Slectionnez cette option pour bloquer le trafic entre les interfaces ou sous-interfaces VLAN au sein de cette zone. Slectionnez les interfaces faisant partie de cette zone. Cette liste comprend les VLAN configurs.
Options
Les options du rseau comprennent les paramtres du serveur DNS et de la dtection dchec dune passerelle. Plusieurs fonctions du FortiGate, notamment les emails dalertes et le blocage dURL, utilisent le DNS. Pour cela, spcifiez les adresses IP des serveurs DNS auxquels le botier FortiGate doit se connecter. Ces adresses IP sont gnralement fournies par votre FAI (Fournisseur dAccs Internet). Les modles FortiGate 100 et moins peuvent tre configurs pour obtenir des adresses de serveur DNS automatiquement. Pour ce faire, au moins une des interfaces doit utiliser le mode dadressage DHCP ou PPPoE. Voir Configuration DHCP dune interface la page 69. Voir Configuration PPPoE dune interface la page 70. Les modles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs interfaces. Les htes du rseau attach utilisent ladresse IP de linterface comme leur serveur DNS. Les requtes DNS envoyes linterface sont transmises aux adresses du serveur DNS configures ou fournies automatiquement au botier FortiGate.
76
Ajouter un serveur ping une interface 1 2 3 4 5 Slectionnez Systme > Rseau > Interface. Choisissez une interface et cliquez sur Editer. Affectez au Serveur Ping ladresse IP du routeur du prochain saut sur le rseau connect linterface. Cochez la case Activer. Cliquez sur OK pour enregistrer les changements.
Cette option est uniquement disponible sur les modles 100 et moins. Lorsque le service DHCP est utilis par une interface, il permet galement dobtenir ladresse IP dun serveur DNS. Ceci est uniquement valable en mode NAT/Route. Il est conseill dactiver Remplacer le serveur DNS prconfigur dans les paramtres DHCP de linterface. Voir Configuration DHCP dune interface la page 69.
77
Cette option est uniquement disponible sur les modles 100 et moins. Utilisez les adresses des serveurs DNS primaire et secondaire spcifies.
Serveur DNS primaire Serveur DNS secondaire Local Domain Name Activer le DNS forwarding sur les interfaces :
Entrez ladresse IP du serveur DNS primaire. Entrez ladresse IP du serveur DNS secondaire. Entrez le nom de domaine ajouter aux adresses sans portion de domaine lors des recherches DNS. Cette option est uniquement disponible sur les modles 100 et moins en mode NAT/Route. Slectionnez les interfaces qui transfrent les requtes DNS reues vers les serveurs DNS configurs.
Cette option permet la confirmation de la connectivit grce lutilisation dun serveur ping ajout la configuration dune interface. Pour toute information propos de lajout dun serveur ping une interface, voir Ajouter un serveur ping une interface la page 77. Entrez lintervalle de temps souhait (en secondes) entre chaque lancement dun ping vers sa cible. Entrez le nombre dchec de tentatives de ping partir duquel le botier FortiGate considra que la passerelle nest plus en fonction.
Crer Nouveau # IP Masque Passerelle Distance Icne Supprimer Icnes Visualiser/Editer Icne Dplacer
Permet de crer une nouvelle route. Le numro de la route. Ladresse IP de destination de cette route. Le masque de rseau de cette route. Ladresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. La prfrence relative de cette route. La route prfre porte le n1. Supprime une route. Edite ou visualise une route. Modifie la position de la route dans la liste.
Entrez ladresse IP de destination et le masque de rseau de cette route. Pour crer une route par dfaut, configurez lIP de destination et le Masque sur 0.0.0.0. Entrez ladresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. Pour une connexion Internet, la passerelle de routage du prochain saut dirige le trafic vers Internet. La prfrence relative de cette route. La route prfre
Distance
porte le n1.
Dans les deux modes, lorsque le modem se connecte un FAI, il peut automatiquement composer trois comptes tlphoniques jusqu ce que la connexion soit tablie. Les modles FortiGate 50AM et 60M sont conus avec un modem intgr. Il est ds lors possible de configurer des oprations modem partir de linterface dadministration web. Voir Configuration des paramtres du modem . Les modles FortiGate 50A et 60 peuvent se connecter un modem extrieur via un convertisseur USB vers srie. Ces modles demandent une configuration des oprations modem partir de linterface de ligne de commande. Voir la commande system modem dans le FortiGate CLI Reference.
Remarque : Ne pas confondre linterface modem avec le port AUX, utilis pour des connexions distance vers la console il na pas dinterface associe. Le port AUX est uniquement disponible sur les modles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus dinformations, voir la commande config system aux dans le FortiGate CLI Reference.
Cochez cette case pour activer le modem FortiGate. Les diffrents statuts du modem sont : inactif , en cours de connexion , connect , en cours de dconnexion ou dconnect (pour le mode Stand alone uniquement). (Pour le mode Stand alone uniquement.) Slectionnez Appeler pour vous connecter manuellement un compte tlphonique. Lorsque le modem est connect, slectionnez Raccrocher pour dconnecter le modem manuellement. Slectionnez le mode dsir : Standalone ou Redondant. En mode stand alone, le modem est une interface autonome. En mode Redondant, le modem est un outil de sauvegarde, un actif en secours dune interface Ethernet slectionne.
Appeler/Raccrocher
Mode
80
Connexion automatique
(Pour le mode Stand alone uniquement). Appelle le modem automatiquement si la connexion est perdue ou si le botier FortiGate redmarre. Cette option nest pas compatible avec loption Connexion la demande . (Pour le mode Redondant uniquement). Slectionnez linterface Ethernet pour laquelle le modem assure le service de secours. (Pour le mode Stand alone uniquement). Appelle le modem lorsque les paquets sont dirigs vers linterface modem. Le modem se dconnecte aprs une priode dinactivit dfinie dans Timeout dinactivit. Cette option nest pas compatible avec loption Connexion automatique. (Pour le mode Stand alone uniquement). Dfinissez le laps de temps pass (1-60 minutes) avant quune connexion modem inactive soit dconnecte. (Pour le mode Redondant uniquement). Etablissez le laps de temps pass (1-60 secondes) avant que le botier FortiGate repasse de linterface modem linterface initiale, une fois la connexion de celle-ci restaure. Par dfaut ce laps de temps est de 1 seconde. Dterminez un temps plus long dans le cas o le botier FortiGate passe trop frquemment dune interface lautre. Slectionnez le nombre de fois (1 10) que le modem du botier FortiGate doit tenter de se reconnecter au FAI en cas dchec de connexion. Par dfaut, le nombre dessais est de 1. Slectionnez None pour ne pas limiter le nombre de tentatives dappel. Configurez jusqu trois comptes tlphoniques. Le botier FortiGate tente de se connecter chaque compte alternativement jusqu ce que la connexion soit tablie. Entrez le numro de tlphone requis pour la connexion au compte tlphonique. Ne pas inclure despace dans les numros de tlphone. Assurez-vous cependant dinclure les caractres standard pour les pauses, prfixes de pays et autres fonctions requises par votre modem pour vous connecter au compte tlphonique. Le compte utilisateur (maximum 63 caractres) envoy au FAI. Le mot de passe envoy au FAI.
Actif en secours de
Connexion la demande
Timeout dinactivit
Temps dattente
Nombre dessais
Compte tlphonique
Numro de Tlphone
Pour configurer le modem en mode Redondant, voir Configuration du mode Redondant la page 81. Pour configurer le modem en mode Standalone, voir Configuration du mode Stand alone la page 82.
81
Afin de permettre au botier FortiGate de passer de linterface Ethernet au modem, il est ncessaire, lors de la configuration du modem, de slectionner cette interface et de lui configurer un serveur ping. De plus, il est important de configurer des rgles pare-feu pour les connexions entre linterface modem et les autres interfaces du botier FortiGate.
Remarque : Ne pas ajouter de rgles pour les connexions entre linterface modem et linterface secourue par le modem.
Configurer un mode redondant 1 2 3 Slectionnez Systme > Rseau > Modem. Slectionnez Mode Redondant. Entrez les informations suivantes :
Mode Actif en secours de Temps dattente Redondant Slectionnez dans la liste linterface secourir. Entrez le laps de temps pass (1-60 secondes) avant que le botier FortiGate repasse de linterface modem linterface initiale, une fois la connexion de celle-ci restaure. Entrez le nombre maximum de tentatives de connexion dans le cas o le FAI ne rpond pas. Entrez le numro de tlphone de votre FAI ainsi que vos comptes utilisateurs et mots de passe pour les comptes tlphoniques dsirs (entre 1 et 3).
4 5 6
Cliquez sur Appliquer. Configurez un serveur ping pour linterface Ethernet que le modem doit secourir. Voir Ajouter un serveur ping une interface la page 77. Configurez des rgles pare-feu pour les connexions de linterface modem. Voir Ajout de rgles pare-feu pour les connexions modem la page 83.
82
Slectionnez cette option pour que le modem se connecte au FAI chaque dmarrage du FortiGate. Slectionnez cette option pour que le modem se connecte au FAI lors de la prsence de paquets non chemins. Entrez la dure dinactivit en minutes aprs laquelle le modem se dconnecte. Entrez le nombre maximum de tentatives de connexion dans le cas o le FAI ne rpond pas. Entrez le numro de tlphone de votre FAI ainsi que vos comptes utilisateurs et mots de passe pour les comptes tlphoniques dsirs (entre 1 et 3).
Timeout dinactivit Nombre dessais Compte tlphonique 1 Compte tlphonique 2 Compte tlphonique 3
3 4
Cliquez sur Appliquer. Configurez des rgles pare-feu pour les connexions de linterface modem. Voir Ajout de rgles pare-feu pour les connexions modem la page 83.
83
Un indicateur vert dsigne le compte tlphonique activ. Ladresse IP et le masque de rseau affects linterface modem apparaissent sur la page Systme > Rseau > Interface de linterface dadministration web.
84
85
un tronon VLAN sur un commutateur interne, tandis que linterface externe se connecte en amont vers un routeur Internet non balis. Le botier FortiGate peut alors appliquer diffrentes rgles pour les trafics sur chaque VLAN connect linterface interne. A partir de cette configuration, vous pouvez ajouter linterface interne du botier FortiGate des sous-interfaces VLAN qui possdent les identificateurs VLAN correspondants aux identificateurs des paquets du tronon VLAN. Le botier FortiGate dirige alors les paquets avec les identificateurs VLAN vers les sousinterfaces avec les identificateurs correspondants. Vous pouvez galement dfinir des sous-interfaces VLAN sur toutes les interfaces du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant une sous-interface VLAN ou peut retirer des balises des paquets entrants et ajouter une balise diffrente aux paquets sortants.
Remarque : Sil vous est impossible de modifier vos configurations existantes et dempcher un chevauchement dadresses IP, entrez les commandes CLI config system global et set allow-interface-subnet-overlap enable pour permettre un chevauchement dadresses IP. En entrant cette commande, vous permettez plusieurs interfaces VLAN davoir une adresse IP qui fait dj partie dun sous-rseau utilis par une autre interface. Cette commande nest recommande quaux utilisateurs avancs.
Lillustration 33 reprsente une configuration VLAN simplifie en mode NAT/Route. Dans cet exemple, linterface interne du FortiGate se connecte un commutateur VLAN via un tronon 802.1Q et est configure avec deux sous-interfaces VLAN (VLAN 100 et VLAN 200). Linterface externe se connecte Internet et nest pas configure avec des sous-interfaces VLAN. Lorsque le commutateur VLAN reoit des paquets de VLAN 100 et VLAN 200, il leurs applique des balises VLAN et les transfre vers les ports locaux et travers le tronon vers le botier FortiGate. Des rgles sont configures dans le botier FortiGate pour permettre aux trafics de circuler entre les VLAN et partir des VLAN vers le rseau externe.
86
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.
Il est ncessaire dajouter des sous-interfaces VLAN linterface physique qui reoit les paquets baliss VLAN. Ajouter une sous-interface VLAN en mode NAT/Route 1 2 3 4 5 6 Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau pour ajouter une sous-interface VLAN. Entrez un nom pour identifier cette nouvelle sous-interface. Slectionnez linterface physique qui doit recevoir les paquets VLAN lattention de cette sous-interface VLAN. Entrez lidentificateur (ID) qui correspond lidentificateur des paquets recevoir par cette sous-interface VLAN. Ladministrateur admin devra slectionner le domaine virtuel auquel cette sousinterface VLAN devra tre ajoute. Les autres administrateurs ne peuvent crer des sous-interfaces VLAN que dans leur VDOM. Voir Utilisation de domaines virtuels la page 40 pour plus dinformations sur les domaines virtuels.
87
7 8
Configurez les paramtres de la sous-interface VLAN tel que pour les autres interfaces FortiGate. Voir Paramtres de linterface la page 63. Cliquez sur OK pour enregistrer les changements. Le botier FortiGate ajoute la nouvelle sous-interface VLAN cre linterface choisie au point 4. Ajouter des rgles pare-feu aux sous-interfaces VLAN Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de leur appliquer des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou dune sous-interface vers une interface physique.
1 2
Slectionnez Pare-Feu > Adresse. Cliquez sur Crer Nouveau pour crer des adresses pare-feu qui correspondent aux adresses IP source et de destination des paquets VLAN. Voir A propos des adresses pare-feu la page 245. Slectionnez Pare-Feu > Rgle. Crer ou ajouter des rgles pare-feu tel que requis.
3 4
sappliquent au paquet. Si celui-ci est accept par le pare-feu, le botier FortiGate le transfre vers la sous-interface VLAN de destination. Lidentificateur du VLAN de destination est ajout au paquet par le botier FortiGate et il est envoy au tronon VLAN.
Illustration 34 : Equipement FortiGate avec deux domaines virtuels en mode Transparent
Lillustration 35 reprsente un quipement FortiGate oprant en mode Transparent et configur avec trois sous-interfaces VLAN. Dans cette configuration un quipement FortiGate peut tre ajout ce rseau pour fournir chaque VLAN une analyse antivirus, un filtrage de contenu web ainsi que des services supplmentaires.
Illustration 35 : Equipement FortiGate en mode Transparent
89
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.
1 2 3 4 5 6
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau pour ajouter une sous-interface VLAN. Entrez un nom pour identifier cette nouvelle sous-interface. Slectionnez linterface physique qui doit recevoir les paquets VLAN lattention de cette sous-interface VLAN. Entrez lidentificateur correspondant lidentificateur des paquets recevoir par cette sous-interface VLAN. Slectionnez les domaines virtuels ajouter cette sous-interface VLAN. Voir Utilisation de domaines virtuels la page 40 pour plus dinformations sur les domaines virtuels. Configurez laccs administratif et les paramtres log tels que pour les autres interfaces FortiGate. Voir Paramtres de linterface la page 63 pour une description de ces paramtres. Cliquez sur OK pour enregistrer les changements. Le botier FortiGate ajoute la nouvelle sous-interface VLAN cre linterface slectionne.
90
Ajouter des rgles pare-feu aux sous-interfaces VLAN Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de leurs appliquer des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou dune sous-interface vers une interface physique. 1 2 Slectionnez Pare-Feu > Adresse. Cliquez sur Crer Nouveau pour crer des adresses pare-feu correspondantes aux adresses IP source et de destination des paquets VLAN. Voir A propos des adresses pare-feu la page 245. Slectionnez Pare-Feu > Rgle. Crer ou ajouter des rgles pare-feu tel que requis.
3 4
Commande CLI config system interface Voir les mots-cls commenant par ip6. config ip6-prefix-list config router static6 config system ipv6_tunnel
91
Le mode Point dAccs est activ par dfaut. Les botiers FortiWiFi-60A et 60AM peuvent fournir de multiples WLAN. Les botiers FortiWiFi supportent les standard rseau sans fil suivants : IEEE 802.11a (Bande des 5-GHz) IEEE 802.11b (Bande des 2.4-GHz) IEEE 802.11g (Bande des 2.4-GHz) WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) utilisant des cls partages ou un serveur RADIUS (en mode Point dAccs uniquement).
Domaines rgulatoires
Les tableaux suivants reprennent les canaux et domaines rgulatoires pour les LAN sans fil.
Tableau 3 : Numros des canaux IEEE 802.11a (Bande des 5-GHz) Numro Frquence Domaines rgulatoires de (MHz) Amrique Europe Taiwan Singapour canal
Japon
34 36 38 40
92
X X
X X X X
X X
X X -
5210 X X 42 5220 X X X 44 5230 X X 46 5240 X X X 48 5260 X X X 52 5280 X X X 56 5300 X X X 60 5320 X X X 64 5745 149 5765 153 5785 157 5805 161 Tous les canaux sont limits un usage intrieur except pour les continents amricains, qui permettent un usage interne et externe des canaux 52 64 aux Etats-Unis.
Tableau 4 : Numros des canaux IEEE 802.11b (Bande des 2.4-GHz) Numro Frquence Domaines rgulatoires de canal (MHz) Amrique EMEA Isral
Japon
2412 X X X 1 2417 X X X 2 2422 X X X 3 2427 X X X X 4 2432 X X X X 5 2437 X X X X 6 2442 X X X X 7 2447 X X X X 8 2452 X X X X 9 2457 X X X X 10 2462 X X X 11 2467 X X 12 2472 X X 13 2484 X 14 Le Mexique est compris dans le domaine rgulatoire amricain. Les canaux 1 8 sont usage intrieur uniquement. Les canaux 9 11 sont usage intrieur et extrieur. Il est de la responsabilit de lutilisateur de sassurer que la configuration du canal sans fil est compatible avec la rglementation en vigueur au Mexique.
Tableau 5 : Numros des canaux IEEE 802.11g (Bande des 2.4-GHz) Numro Frquence Domaines rgulatoires de (MHz) Amrique EMEA Isral canal CC OFDM CCK OFDM CCK OFDM
K
Japon
CCK OFDM
1 2 3 4 5 6 7 8 9 10 11 12 13 14
2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 2467 2472 2484
X X X X X X X X X X X -
X X X X X X X X X X X -
X X X X X X X X X X X X X -
X X X X X X X X X X X X X -
X X X X -
X X X X -
X X X X X X X X X X X X X X
X X X X X X X X X X X X X -
93
Ladresse MAC de linterface Wireless. Le mode dopration en cours. Cliquez sur Changer pour le modifier. En mode Point dAccs, le FortiWiFi-60 agit comme un point daccs sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le botier est configur pour se connecter un autre rseau sans fil en tant que client. Slectionnez votre rgion pour dterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents amricains), EMEA (Europe, Moyen Orient, Afrique), Isral ou Japon. Pour toute autre rgion du monde, choisissez World. Slectionnez un canal pour votre rseau sans fil FortiWiFi-60. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour utiliser le mme canal. Le choix des canaux dpend de la rgion slectionne dans Gographie. Voir Domaines rgulatoires la page 92 pour toute information sur laffectation des canaux. Entrez le nom du rseau sans fil mis par le FortiWiFi-60. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour se connecter au rseau qui met ce nom de rseau. Slectionnez Activer pour que le FortiWiFi-60 mette son SSID. (En mode Point dAccs uniquement). Slectionnez WEP64 ou WEP128 pour une utilisation WEP. Slectionnez WPA Pre-shared Key ou WPA Radius pour une utilisation WPA (en mode Point dAccs uniquement). Les utilisateurs du rseau sans fil du FortiWiFi-60 doivent configurer leurs ordinateurs avec les mmes paramtres.
Gographie
Canal
SSID
94
Cl
Pour une cl WEP de 64 bits, entrez 10 symboles hexadcimaux (0-9 a-f). Pour une cl WEP de 128 bits, entrez 26 symboles hexadcimaux (0-9 a-f). Les utilisateurs du rseau sans fil doivent configurer leurs ordinateurs avec la mme cl. Pour le mode scuris WPA Pre-Shared Key, entrez la cl partage. Les utilisateurs de ce rseau sans fil doivent configurer leurs ordinateurs avec la mme cl. Pour le mode scuris WPA Radius, slectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit tre configur dans Utilisateur > RADIUS. Pour plus dinformations, voir Serveurs RADIUS la page 326. Cliquez sur Avancs pour ouvrir et fermer la section des paramtres avancs du Wireless. Les valeurs par dfaut fonctionnent trs bien dans la plupart des situations. Si ncessaire, modifiez les paramtres pour rsoudre des problmes de performance. Les paramtres avancs sont dcrits ci-dessous. (En mode Point dAccs uniquement). Dfinit le niveau de puissance de lmetteur. La valeur par dfaut est positionne sur la puissance maximum, 31 dBm. Dfinit lintervalle entre les paquets beacon. Les Points dAccs mettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les rseaux sans fil. Si de grandes interfrences sont prsentes, il est utile de diminuer le Beacon Interval pour amliorer la performance du rseau. Dans le cas contraire, vous pouvez augmenter cette valeur. Le seuil RTS (Request to Send) dtermine le temps dattente du botier pour la reconnaissance CTS (Clear to Send) dun autre quipement sans fil.
Pre-Shared Key
Avancs
RTS Threshold
Fragmentation Threshold Dtermine la taille maximum dun paquet de donnes avant que celui-ci ne soit fragment en deux ou plusieurs paquets. La rduction de ce seuil amliore la performance dans des environnements soumis de hautes interfrences.
Mode dOpration
Le mode dopration en cours. Cliquez sur Changer pour le modifier. En mode Point dAccs, le FortiWiFi agit comme un 95
point daccs sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le botier est configur pour se connecter un autre rseau sans fil en tant que client. Gographie Slectionnez votre rgion pour dterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents amricains), EMEA (Europe, Moyen Orient, Afrique), Isral ou Japon. Pour toute autre rgion du monde, choisissez World. Slectionnez un canal pour votre rseau sans fil FortiWiFi. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour utiliser le mme canal. Le choix des canaux dpend de la rgion slectionne dans Gographie. Voir Domaines rgulatoires la page 92 pour toute information sur laffectation des canaux. Dfinit le niveau de puissance de lmetteur. La valeur par dfaut est positionne sur la puissance maximum, 31 dBm. Dfinit lintervalle entre les paquets beacon. Les Points dAccs mettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les rseaux sans fil. Si de grandes interfrences sont prsentes, il est utile de diminuer le Beacon Interval pour amliorer la performance du rseau. Dans le cas contraire, vous pouvez augmenter cette valeur.
Canal
Liste des Interfaces Wireless Interface Adresse MAC SSID Le nom de linterface WLAN. Slectionnez le nom pour diter linterface. Ladresse MAC de linterface Wireless. Entrez le nom du rseau sans fil mis par le FortiWiFi. Les utilisateurs de ce rseau doivent configurer leurs ordinateurs pour se connecter au rseau qui met ce nom de rseau. Un signal vert indique que le FortiWiFi met son SSID. (En mode Point dAccs uniquement). WEP64, WEP128, WPA Pre-shared Key, WPA Radius ou none. Lutilisation WPA est disponible en mode Point dAccs uniquement. Les utilisateurs du rseau sans fil doivent configurer leurs ordinateurs avec les mmes paramtres.
96
Filtrage des MAC Accs des PCs non lists ci-dessous Adresses MAC Autoriser ou Rejeter Ajouter Liste dAutorisation Liste de Rejet Les boutons Flches Supprimer (sous la Liste dAutorisation) Supprimer (sous la Liste de Rejet)
Pour activer le filtrage, cochez la case Activer. Permet dautoriser ou de rejeter laccs aux adresses MAC non rpertories. Entrez ladresse MAC filtrer. Permet dautoriser ou de rejeter laccs cette adresse MAC. Ajoute ladresse MAC dans la Liste dAutorisation ou dans la Liste de Rejet en fonction du choix mis. Liste des adresses MAC autorises accder au rseau sans fil. Liste des adresses MAC rejetes de laccs au rseau sans fil. Dplace une adresse MAC dune liste lautre. Supprime les adresses MAC slectionnes de la Liste dAutorisation. Supprime les adresses MAC slectionnes de la Liste de Rejet.
97
Statistiques
Informations statistiques sur les performances sans fil pour chaque WLAN. Uniquement disponible sur les FortiWiFi-60A et FortiWiFi-60AM. Le SSID de linterface WLAN. Lintensit du signal du client. Le niveau de bruit reu. Le ratio signal/bruit, exprim en dcibels, est calcul partir de lintensit du signal et du niveau de bruit. Le montant de donnes en KiloOctets reus pendant la session. Le montant de donnes en KiloOctets envoys pendant la session. Le nombre de clients connects au WLAN et des informations leur propos. Ladresse MAC du client sans fil connect. Ladresse IP affecte au client sans fil connect. Le nom du WLAN auquel le client est connect. Disponible uniquement sur les FortiWiFi-60A et FortiWiFi-60AM. LID du client connect utilisant le mode scuris WPA RADIUS. Ce champ reste blanc si le client utilise les modes scuriss WPA Pre-Shared Key ou WEP. Disponible uniquement sur le FortiWiFi-60.
AP Name Signal Strength (dBm) Noise (dBm) S/N (dB) Rx (KBytes) Tx (KBytes) Clients Adresse MAC Adresse IP AP Name
ID
98
Systme DHCP
Cette section dcrit lutilisation du protocole DHCP fournissant une configuration rseau automatique pratique pour vos clients. Cette section couvre les sujets suivants: Serveurs et relais FortiGate DHCP Configuration des services DHCP Visualisation des baux dadresses
Une interface ne peut pas fournir en mme temps un serveur et un relais pour des connexions du mme type (rgulier ou IPSec).
Remarque : Vous pouvez configurer un serveur DHCP rgulier sur une interface seulement si celle-ci possde une adresse IP statique. Vous pouvez configurer un serveur DHCP IPSec sur une interface qui possde une adresse IP statique ou dynamique.
Vous pouvez configurer un ou plusieurs serveurs DHCP sur nimporte quelle interface FortiGate. Un serveur DHCP affecte dynamiquement des adresses IP aux htes du rseau connects cette interface. Les ordinateurs htes doivent tre configurs de manire obtenir leurs adresses IP via DHCP. Dans le cas o une interface est connecte de multiples rseaux via des routeurs, vous pouvez ajouter un serveur DHCP pour chaque rseau. La plage dadresses IP pour chaque serveur DHCP doit correspondre la plage dadresses du rseau. Les routeurs doivent tre configurs pour les relais DHCP. Pour configurer un serveur DHCP, voir Configuration dun serveur DHCP la page 101. Vous pouvez configurer une interface FortiGate comme relais DHCP. Linterface transfre alors les requtes DHCP des clients DHCP vers un serveur externe DHCP, et renvoient ensuite les rponses aux clients. Le serveur DHCP doit avoir un routage appropri de manire ce que ses paquets-rponses aux clients DHCP arrivent au botier FortiGate. Pour en savoir plus sur la configuration dun relais DHCP, voir Configuration dune interface comme relais DHCP la page 101.
99
Vous pouvez dsactiver ou modifier cette configuration du serveur DHCP par dfaut. Ces paramtres sont appropris pour ladresse IP par dfaut 192.168.1.99 de linterface Interne. Si vous changez cette adresse vers un rseau diffrent, il faut galement modifier les paramtres du serveur DHCP pour que ceux-ci correspondent la nouvelle adresse.
Illustration 41 : Liste des services DHCP Exemple dun FortiGate-200A
Interface
Liste des interfaces FortiGate. Cliquez sur la flche bleue ct de chacune des interfaces pour visualiser les relais et serveurs. Nom dun serveur FortiGate DHCP ou adresse IP dun serveur DHCP accd via un relais. Type de relais ou serveur DHCP : Rgulier ou IPSec. Une icne V verte indique que le serveur ou relais est activ. Permet de configurer et dajouter un serveur DHCP sur cette interface. Permet dditer la configuration dun relais ou serveur DHCP. Permet de supprimer un serveur DHCP. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Nom du serveur/IP du relais Type Activer Icne dajout dun serveur DHCP Icne Editer Icne de Suppression 100
Le nom de linterface slectionne. Active lagent relais DHCP sur cette interface. Slectionnez le type de service DHCP requis. Configurez linterface comme relais DHCP pour les ordinateurs du rseau connects cette interface. Configurez linterface comme relais DHCP seulement pour les clients distants VPN avec une connexion VPN IPSec cette interface. Entrez ladresse IP du serveur DHCP qui rpondra aux requtes DHCP des ordinateurs du rseau connects linterface.
101
Entrez un nom pour le serveur DHCP. Active le serveur DHCP. Slectionnez Rgulier ou IPSEC. Il nest pas possible de configurer un serveur DHCP Rgulier sur une interface qui possde une adresse IP dynamique.
Entrez le dbut et la fin de la plage dadresses IP que ce serveur DHCP affecte aux clients DHCP. Entrez le masque de rseau que le serveur DHCP affecte aux clients DHCP. Entrez ladresse IP de la passerelle par dfaut que le serveur DHCP affecte aux clients DHCP. Entrez le domaine que le serveur DHCP affecte aux clients DHCP. Slectionnez Illimite pour une dure de bail illimite ou entrez le temps, en jours, heures, minutes, aprs lequel un client DHCP devra demander au serveur DHCP de nouveaux paramtres. La dure du bail peut varier entre 5 minutes et 100 jours. Cliquez sur Avancs pour configurer les options avances. Entrez les adresses IP de 1 3 serveurs DNS que le serveur DHCP affecte aux clients DHCP.
Avancs Serveur DNS 1 Serveur DNS 2 Serveur DNS 3 Serveur WINS 1 102
Ajoutez les adresses IP dun ou deux serveurs WINS que le Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
serveur DHCP affecte aux clients DHCP. Entrez jusqu trois options personnalises DHCP qui peuvent tre envoyes par le serveur DHCP. Code est le code option DHCP compris entre 1 et 255. Loption est un chiffre pair hexadcimal et nest pas requis pour certains codes option. Pour plus dinformations dtailles propos des options DHCP, voir la RFC 2132, Options DHCP et BOOTP Vendor Extensions.
Exclure les plages IP Ajouter Permet dajouter une plage dadresses IP exclure. Vous pouvez ajouter jusqu 16 plages dadresses IP exclure, que le serveur DHCP naffectera donc pas aux clients DHCP. Les plages ne peuvent pas dpasser 65536 adresses IP. Entrez la premire adresse IP de la plage exclure. Entrez la dernire adresse IP de la plage exclure. Supprime la plage exclure.
Slectionnez linterface pour laquelle vous voulez voir la liste des baux. Slectionnez Rafrachir pour mettre jour la liste des baux dadresses. Ladresse IP affecte. Ladresse MAC de lquipement auquel ladresse IP est affecte. Date et heure dexpiration du bail DHCP.
103
Configuration du Systme
Cette section dcrit la configuration de plusieurs fonctionnalits non lies au rseau, telles que cluster HA, messages de remplacement personnaliss, timeouts et langue de linterface dadministration web. Cette section couvre les sujets suivants : Haute Disponibilit SNMP Messages de remplacement Mode de fonctionnement des VDOM et accs administratif
Les HA, SNMP et messages de remplacement font partie de la configuration globale du FortiGate. La modification du mode de fonctionnement sapplique indpendamment chaque VDOM.
Haute Disponibilit
Cette section fournit une description gnrale de la Haute Disponibilit FortiGate et du clustering virtuel HA FortiGate. Les options de configuration et quelques procdures de configuration et de maintenance de base de la Haute Disponibilit sont galement dtailles dans cette section.
Remarque : Pour vous informer sur la manire de configurer et doprer un cluster HA FortiGate, reportez-vous au Guide utilisateur des fonctions de haute disponibilit FortiGate et la Base de Connaissance de Fortinet.
Cette section couvre les sujets suivants : Aperu sur la Haute Disponibilit Protocole de Clustering FortiGate (FGCP) Modes HA (actif-actif et actif-passif) Compatibilit de la HA FortiGate avec DHCP et PPPoE Aperu sur le clustering virtuel Aperu sur le maillage intgral HA Configuration doptions HA (clustering virtuel inactiv) Configuration doptions HA pour clustering virtuel Options HA Liste des membres dun cluster Visualisation des statistiques HA Modification du nom dhte et de la priorit du membre subordonn Configuration dun cluster HA Configuration dun clustering virtuel
104
Administration dun cluster Dconnexion dun membre du cluster de son cluster Adresses MAC dun cluster virtuel Exemple de configuration dun clustering virtuel Administration de clusters virtuels Exemple de configuration en maillage intgral HA Maillage intgral HA pour un clustering virtuel HA et interfaces redondantes HA et interfaces agrges 802.3ad
Au sein dun cluster, les quipements individuels FortiGate sont appels membres. Ces membres partagent les informations sur leur tat et configuration. Dans le cas dune dfaillance de lun des membres, les autres membres du cluster prennent en charge lactivit du membre en panne. Aprs la panne, le cluster continue de traiter le trafic rseau et de fournir les services FortiGate sans interruption du service.
105
Chaque cluster FortiGate est form dun membre primaire (aussi appel matre) et dun ou plusieurs membres subordonns (aussi appels esclave ou redondants). Le membre primaire contrle le fonctionnement du cluster. Les rles jous par les membres primaire et subordonn(s) dans le cluster dpendent du mode dans lequel le cluster opre. Voir Modes HA (actif-actif et actif-passif) la page 107. Lavantage quoffre le cluster de fournir continuellement un service pare-feu, mme dans le cas dune dfaillance, est appel la redondance. La redondance HA FortiGate signifie que votre rseau ne doit pas sappuyer sur un FortiGate pour continuer de fonctionner. Vous pouvez installer des membres additionnels et former un cluster HA. Les autres membres du cluster prendront le relais en cas de dfaillance dun des membres. Une deuxime fonctionnalit HA, appele lquilibrage de charge, sert augmenter les performances pare-feu. Un cluster de membres FortiGate peut augmenter la performance du rseau grce un partage de la charge que reprsentent le traitement du trafic et la fourniture des services de scurit. Le cluster saffiche sur le rseau comme un seul quipement, ce qui augmente ses performances sans apporter de modifications votre configuration rseau. Un clustering virtuel tend les fonctionnalits HA pour fournir une redondance et un quilibrage de charge pour chaque domaine virtuel activ dans le cadre dun cluster de FortiGate. Un cluster virtuel se compose dun cluster de deux membres FortiGate oprant avec des domaines virtuels. Le trafic sur diffrents domaines virtuels est rparti entre les membres du cluster.
La Haute Disponibilit ne fournit pas de rplication de sessions pour les services PPPoE, DHCP, PPTP et P2TP.
106 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Rplication matrielle
Si un des membres FortiGate dun cluster HA est dfaillant, toutes les fonctions, connexions pare-feu tablies et sessions VPN IPSec sont maintenues par les autres membres FortiGate du cluster HA. Vous pouvez configurer de multiples interfaces comme interfaces heartbeat HA. Si une interface heartbeat HA choue, le heartbeat HA est transfr vers une autre interface.
Rplication du heartbeat HA
Le mode HA actif-actif (A-A) quilibre la charge du traitement du trafic vers tous les membres du cluster. Un cluster HA actif-actif se compose dun membre primaire et dun ou plusieurs membre(s) subordonn(s) qui traitent ensemble tout le trafic. Le membre primaire utilise un algorithme dquilibrage de charge pour distribuer le traitement tous les membres du cluster. Par dfaut un cluster actif-actif HA FortiGate quilibre la charge des sessions danalyse des virus entre tous les membres du cluster. Tous les autres trafics sont traits par le membre primaire. Vous pouvez configurer un cluster pour quil quilibre la charge du trafic TCP et lanalyse de virus parmi tous les membres et ce, laide de linterface de ligne de commande. Lorsquun cluster opre en mode actif-actif, la mention (a-a) apparat sur les crans LCD de tous les membres (pour les modles qui en possdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary saffiche sur lcran LCD du membre primaire. Les membres subordonns affichent sur leur cran LCD la mention slave <priority_id> o <priority_id> est la place prioritaire du membre subordonn dans le cluster. Dans lexemple dun cluster compos de trois membres, les crans afficheront : primary (a-a) slave 1 (a-a)
107
slave 2 (a-a)
Pour plus dinformations sur le FGCP reportez-vous au Guide utilisateur des fonctions de haute disponibilit FortiGate et la Base de Connaissance de Fortinet.
108
109
Illustration 46 : Points uniques de panne dans une configuration stand alone et une configuration de rseau HA
Le cluster HA amliore la fiabilit du rseau car un commutateur ntant pas un composant aussi complexe quun botier FortiGate, il est moins enclin tomber en panne. Cependant, une meilleure fiabilit est possible, si la configuration inclut des connexions redondantes entre le cluster et les rseaux auxquels il est connect. Cette configuration redondante est ralisable grce des interfaces redondantes et une configuration en maillage intgral HA. Dans ce type de configuration un cluster HA compos de deux ou plusieurs membres FortiGate est connect au rseau laide dinterfaces et de commutateurs redondants. Chaque interface redondante est connecte deux commutateurs, tout deux connects au rseau. La configuration en maillage intgral qui en rsulte assure des connexions redondantes entre tous les composants du rseau. Un exemple est donn dans lillustration 47. Si un seul composant ou une seule connexion tombe en panne, le trafic est aiguill vers le composant et la connexion redondants.
110
111
peut augmenter la protection et la capacit de la bande passante dans le cas dune utilisation dinterfaces agrges 802.3ad.
Pour modifier le nom dhte et la priorit des membres subordonns dans un cluster en fonction, slectionnez Systme > Configuration > HA pour afficher la liste des membres du cluster. Cliquez sur licne Editer dun membre subordonn pour le configurer. Voir Modification du nom dhte et de la priorit dun membre subordonn la page 123 pour plus dinformations sur la configuration de membres subordonns.
Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mmes que les options classiques HA. Toutefois, les clusters virtuels comprennent les options de partitionnement de domaines virtuels. Les diffrences entre les options de configuration pour un HA rgulier et pour un clustering virtuel HA sont parcourues ci-dessous.
112
Pour configurer les options HA dun quipement FortiGate avec des domaines virtuels activs, connectez-vous en tant quadministrateur admin, slectionnez Configuration Globale et allez dans Systme > Configuration > HA. Pour modifier les paramtres de configuration du membre primaire dans un cluster en fonction avec des domaines virtuels activs, connectez-vous en tant quadministrateur admin, slectionnez Configuration Globale et allez dans Systme > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur licne Editer du membre matre (ou primaire). Voir Liste des membres dun cluster la page 120.
Illustration 49 : Configuration dun cluster virtuel HA dun FortiGate 5001
Pour modifier le nom dhte et la priorit des membres subordonns dun cluster en fonction avec des domaines virtuels activs, connectez-vous en tant quadministrateur admin, slectionnez Configuration Globale et allez dans Systme > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur licne Editer dun membre subordonn (ou redondant) pour le configurer. Voir Modification du nom dhte et de la priorit dun membre subordonn la page 123.
113
Options HA
La configuration doptions HA permet dadjoindre un botier FortiGate un cluster ou de modifier la configuration dun cluster oprationnel et dun de ses membres. Les options HA suivantes peuvent tre configures : Mode Priorit du membre Nom du Groupe Mot de Passe Activer le maintien de la session Surveillance des ports Interface de Heartbeat Partitionnement de domaines virtuels
Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate reprend des procdures de configuration globales HA et donne des exemples dtaills de configuration.
Mode
Slectionnez un mode HA pour le cluster ou repasser les quipements FortiGate du cluster au mode stand alone. Lors de la configuration dun cluster, il est ncessaire de dfinir le mme mode HA pour tous les membres du cluster HA.
Mode Stand alone Le mode de fonctionnement par dfaut. Dans ce mode, le botier FortiGate nopre pas en mode HA. Slectionnez le mode Standalone si vous dsirez que ce membre du cluster ne fonctionne plus en mode HA. Slectionnez ce mode pour configurer lquilibrage de charge ou la rplication HA sur un cluster. En mode actif-actif chaque cluster traite le trafic activement et contrle le statut des autres membres du cluster. Le membre primaire contrle lquilibrage de charge parmi tous les membres du cluster. Vous ne pouvez pas slectionner actif-actif si vous configurez un cluster virtuel. Slectionnez ce mode pour configurer une rplication HA sur un cluster. En mode actif-passif le membre primaire traite toutes les connexions. Les autres membres du cluster contrlent passivement le statut du cluster et reste synchroniss avec le membre primaire. Les clusters virtuels doivent oprer en mode actif-passif.
Actif-actif
Actif-passif
114
La modification du mode HA dun cluster en fonction entrane la rengociation de lopration dans un nouveau mode et la probabilit de devoir slectionner un nouveau membre primaire.
Priorit de lquipement
Facultativement, il est possible de donner chaque membre du cluster un ordre de priorit. De cette manire chaque membre peut tre dot dune priorit diffrente. Pendant la ngociation HA, le membre avec la plus haute priorit devient le membre primaire. La priorit nest pas synchronise parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorit de lquipement pour modifier la priorit de chaque membre du cluster. A chaque modification de la priorit dun membre du cluster, le cluster rengocie et le membre avec la priorit la plus leve devient le membre primaire. La plage de priorit stend de 0 255. La priorit par dfaut est de 128. Lors de la configuration dun cluster virtuel et dans le cas o vous avez ajout des domaines virtuels aux deux clusters virtuels, vous pouvez dfinir la priorit dun membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet un membre dtre par exemple le membre primaire du cluster virtuel 1 et le membre subordonn du cluster virtuel 2. Pour plus dinformations, voir Exemple de configuration dun clustering virtuel la page 139 et Administration de clusters virtuels la page 141.
Nom du groupe
Donnez un nom au cluster. Tous les membres du cluster doivent avoir le mme nom de groupe.
Mot de passe
Entrez un mot de passe pour le cluster. Le mot de passe doit tre le mme pour tous les membres du cluster. La longueur maximum du mot de passe est de 15 caractres. Dans le cas dun rseau avec plusieurs clusters HA FortiGate, chaque cluster doit avoir un mot de passe diffrent.
Pour assurer une rplication, et donc une protection, performante, il est conseill dactiver le maintien de session. Si une telle protection nest pas ncessaire, linactivation de cette option peut rduire dune part lusage CPU HA et dautre part rduire lusage de la bande passante du rseau heartbeat HA.
Si vous configurez un cluster virtuel, il est ncessaire de crer une configuration diffrente de la surveillance des interfaces pour chaque cluster virtuel. Gnralement pour chaque cluster virtuel, seules sont places sous surveillance les interfaces ajoutes aux domaines virtuels de chaque cluster virtuel.
116
Interface de Heartbeat
Il est possible dactiver ou de dsactiver la communication heartbeat HA pour chaque interface du cluster. Vous devez slectionner au moins une interface de heartbeat. Si la communication heartbeat est interrompue, le cluster arrte le traitement du trafic. La communication heartbeat est dfinie par dfaut sur deux interfaces (voir tableau 6). Vous pouvez dsactiver le heartbeat HA pour chacune de ces interfaces ou activer le heartbeat HA pour dautres interfaces. Dans la plupart des cas, vous pouvez maintenir la configuration de linterface de heartbeat par dfaut tant que vous pouvez connecter les interfaces de heartbeat ensemble. Linterface dadministration web FortiGate rpertorie les interfaces de heartbeat par ordre alphabtique. La premire interface heartbeat slectionne dans la liste traite tout le trafic heartbeat HA. Si cette interface tombe en panne ou se dconnecte, linterface suivante dans la liste prend le relais. Le heartbeat HA communique des informations sur les sessions du cluster, synchronise la configuration et la table de routage du cluster et engendre des rapports individuels sur les statuts des membres du cluster. Le heartbeat HA communique constamment des informations sur le statut HA pour assurer un bon fonctionnement du cluster. Vous pouvez activer des communications heartbeat pour des interfaces physiques, mais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des interfaces redondantes ou des interfaces agrges 802.3ad. Ces types dinterfaces napparaissent pas dans la liste des interfaces de heartbeat. Activer le heartbeat HA pour plusieurs interfaces augmente la fiabilit. Si une interface tombe en panne, le heartbeat HA est repris par une autre interface. Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans la mesure du possible, il est conseill dactiver le trafic heartbeat HA sur les interfaces utilises uniquement pour le trafic heartbeat HA ou sur des interfaces connectes des rseaux moins occups. Les interfaces FortiGate qui comprennent un commutateur interne supportent la configuration heartbeat HA. Cependant cette configuration est dconseille pour deux raisons : Pour des raisons de scurit et pour conomiser de la bande passante du rseau, il est conseill de maintenir le trafic heartbeat HA en dehors de votre rseau interne. Des paquets heartbeat risquent dtre perdus si linterface commutateur traite de gros volumes de trafic. La perte de paquets heartbeat risquent dentraner des rplications rptes inutiles.
Les modles FortiGate avec des interfaces commutateur comprennent : Linterface interne de tous les modles FortiGate-60 et FortiWiFi-60 Linterface interne des FortiGate-100A et 200A Linterface LAN du FortiGate-500A
117
Tableau 6 : Configuration par dfaut des interfaces de heartbeat pour tous les modles FortiGate Modle FortiGate Interfaces de heartbeat par dfaut Modles FortiGate-60 et FortiWiFi-60 FortiGate-100 FortiGate-100A FortiGate-200 FortiGate-200A FortiGate-300 FortiGate-300A FortiGate-400 FortiGate-400A FortiGate-500 FortiGate-500A FortiGate-800 et FortiGate-800F FortiGate-1000A et FortiGate-1000AFA2 FortiGate-3000 FortiGate-3600 FortiGate-4000 FortiGate-5001 et FortiGate-5001FA2 FortiGate-5002FB2 DMZ WAN1 DMZ External DMZ 2 External DMZ External DMZ 2 External DMZ/HA External Port 3 Port 4 Port 3 Port 4/HA Port 3 Port 4 HA Port 1 Port 3 Port 4 HA Port 1 Port 3 Port 4 Port 3 Port 4/HA Port 4 Port 5/HA External oobm Port 9 Port 10 Port 5 Port 6
Les ports 9 et 10 connectent les quipements FortiGate-5001 et FortiGate5001FA2 via le fond de panier du chssis FortiGate srie 5000. Ces interfaces sont uniquement utilises pour le trafic heartbeat HA.
118
119
Voir le botier FortiGate High Availability Guide - Guide des fonctions de haute disponibilit FortiGate pour obtenir des exemples de procdures HA et de configurations dtailles. Pour afficher la liste des membres du cluster, slectionnez Systme > Configuration > HA.
Illustration 51 : Exemple dune liste des membres dun cluster pour un FortiGate-5001
120
Illustration 52 : Exemple dune liste de membres dun cluster virtuel pour un FortiGate-5001
Permettent de modifier lordre dans lequel apparaissent les membres du cluster. Cela naffecte pas le fonctionnement du cluster et de ses membres. Seul lordre dapparition est modifi. Illustrations des panneaux avant des membres du cluster. Si le port rseau dune interface apparat en vert, cela signifie que linterface est connecte. Maintenez le curseur de la souris sur chaque illustration pour visualiser le nom dhte, le numro de srie et le temps depuis lequel le membre est en fonction (up time). La liste des interfaces sous surveillance est galement affiche. Le nom dhte du FortiGate. Pour modifier le nom dhte du membre primaire, slectionnez Systme > Statut et cliquez sur Changer cte du nom dhte actuel. Pour modifier le nom dhte dun membre subordonn, cliquez sur licne Editer du membre subordonn.
Membre du cluster
Nom dhte
Rle
Le statut ou le rle du membre dans le cluster. Le rle est MASTER pour le membre primaire (ou matre) Le rle est SLAVE pour tous les membres subordonns (ou redondants) du cluster
Priorit de lquipement
La priorit du membre du cluster. Chaque membre peut avoir une priorit diffrente. Durant la ngociation HA, le membre avec la priorit la plus haute devient le membre primaire. Lintervalle de la priorit est de 0 255. La priorit par dfaut est 128. Dconnecte le membre du cluster. Voir Dconnexion dun membre du cluster la page 136.
Dconnexion du cluster
121
Editer
Slectionnez Editer pour modifier la configuration dun membre du cluster HA. Pour le membre primaire, cliquez sur licne Editer pour modifier la configuration du membre primaire et du cluster HA. Voir Options HA la page 114. Pour un membre primaire dun cluster virtuel, cliquez sur licne Editer pour modifier la configuration du cluster virtuel HA et pour modifier la priorit du membre dans les cluster virtuel 1 et cluster virtuel 2. Pour un membre subordonn, cliquez sur licne Editer pour modifier le nom dhte et la priorit. Voir Modification du nom dhte et de la priorit dun membre subordonn la page 123. Pour un membre subordonn dun cluster virtuel, cliquez sur licne Editer pour modifier son nom dhte. Vous pouvez galement modifier la priorit du membre subordonn dans le cluster virtuel slectionn. Dfinir une priorit plus haute peut avoir pour effet de faire passer le rle du membre de subordonn primaire dans le cluster virtuel.
Tlcharger un journal de dboguage crypt dans un fichier. Vous pouvez ensuite lenvoyer au Service Technique de Fortinet qui vous aidera diagnostiquer les problmes ventuels rencontrs sur votre FortiGate.
Entrez lintervalle de temps souhait entre deux mises jour des statistiques par linterface graphique du FortiGate. Ferme la liste des statistiques HA et retourne la liste des membres du cluster.
122
N de srie
Le numro de srie vous permet didentifier chaque FortiGate dans le cluster. LID du cluster correspond au numro de srie du FortiGate. Indique le statut de chaque membre du cluster. Une marque en V verte indique un fonctionnement normal du cluster. Une croix rouge signifie que le membre du cluster narrive pas communiquer avec le membre primaire. Le temps en jours, heures, minutes et secondes depuis le dernier redmarrage du systme. Affiche les informations sur les statuts du systme pour chaque membre du cluster. Le statut CPU en cours de chaque membre du cluster. Linterface dadministration web affiche le taux CPU des processus majeurs uniquement. Le taux CPU des processus dadministration (tels que les connexions HTTPS linterface dadministration web) est exclu. Le statut du taux mmoire en cours de chaque membre du cluster. Linterface dadministration web affiche le taux mmoire des processus majeurs uniquement. Le taux mmoire des processus dadministration (tels que les connexions HTTPS linterface dadministration web) est exclu. Le nombre de sessions de communication en cours de traitement par le membre du cluster. Le nombre de paquets traits par le membre du cluster depuis son dernier redmarrage. Le nombre de virus dtects par le membre du cluster. Le total de la bande passante du rseau utilise par toutes les interfaces du membre du cluster. Le nombre doctets traits par le membre du cluster depuis son dernier redmarrage. Le nombre dintrusions ou dattaques dtectes par lIPS en fonction sur le membre du cluster.
Statut
Taux Mmoire
Sessions actives Paquets totaux Virus dtects Utilisation rseau Total doctets Intrusion dtectes
123
Paire Priorit
Affiche et permet de modifier le nom dhte du membre subordonn. Affiche et permet de modifier la priorit du membre subordonn. La priorit nest pas synchronise parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorit dun quipement pour modifier la priorit de chaque membre du cluster. A chaque modification de la priorit dun membre du cluster, le cluster rengocie et le membre avec la priorit la plus leve devient le membre primaire. La plage de priorit stend de 0 255. La priorit par dfaut est de 128.
Configurer un botier FortiGate pour oprer en HA Connecter un cluster HA FortiGate Ajouter un nouveau membre un cluster oprationnel
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
4 5 6 7
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK, la connexion du FortiGate risque dtre perdue pendant un moment car le cluster HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez la commande CLI similaire arp d. 8 9 Mettre le botier FortiGate hors tension. Rptez cette procdure pour tous les membres FortiGate du cluster. Une fois tous les membres configurs, rendez-vous la section Connecter un cluster HA FortiGate .
125
Linsertion dun cluster HA dans votre rseau entrane une interruption temporaire des communications rseau puisque de nouvelles connexions physiques sont cres pour diriger le trafic travers le cluster. Le dmarrage du cluster occasionne galement une interruption du trafic rseau jusqu ce que tous les membres du cluster fonctionnent et que le cluster termine la ngociation. La ngociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le dmarrage et la ngociation du systme, tout le trafic rseau est arrt. 1 2 3 4 Connectez les interfaces internes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau interne. Connectez les interfaces externes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau externe. Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le cluster puisse oprer. Vous pouvez galement connecter les interfaces de heartbeat un rseau. Si le cluster ne comporte que deux membres FortiGate, vous pouvez connecter les interfaces de heartbeat directement laide du cble crois. Pour davantage dinformations sur les interfaces de heartbeat, voir Interface de Heartbeat la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate 5 Facultativement, connectez les autres interfaces de chaque membre du cluster un concentrateur ou commutateur connect aux rseaux. Lillustration 55 reprend lexemple dune configuration rseau pour un cluster HA comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et externes sont connectes aux rseaux. Les interfaces HA sont connectes pour une communication heartbeat HA.
Illustration 55 : Configuration rseau HA
126
Mettez sous tension tous les membres du cluster. Lors du dmarrage des membres du cluster, ceux-ci ngocient pour slectionner parmi eux un membre primaire et les membres subordonns. Cette ngociation a lieu sans intervention de lutilisateur et ne dure que quelques secondes. Vous pouvez maintenant configurer le cluster comme sil sagissait dun seul quipement FortiGate.
127
4 5 6 7
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK, la connexion du FortiGate risque dtre perdue pendant un moment car le cluster HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre jour la table ARP de votre PC dadministration en effaant lentre ARP de votre FortiGate (ou simplement en effaant toutes les entres de la table ARP). Pour ce faire, utilisez la commande CLI similaire arp d. 8 Rptez cette procdure pour tous les membres FortiGate du cluster virtuel. Une fois les deux membres configurs, procdez avec la section Connecter un cluster virtuel HA FortiGate .
128
Pour une meilleure performance, Fortinet recommande lutilisation de commutateurs pour toutes les connexions du cluster. Linsertion dun cluster HA dans votre rseau entrane une interruption temporaire des communications rseau puisque de nouvelles connexions physiques sont cres pour diriger le trafic travers le cluster. Le dmarrage du cluster occasionne galement une interruption du trafic rseau jusqu ce que tous les membres du cluster fonctionnent et que le cluster termine la ngociation. La ngociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le dmarrage et la ngociation du systme, tout le trafic rseau est arrt. 1 2 3 4 Connectez les interfaces internes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau interne. Connectez les interfaces externes de chaque membre du cluster un commutateur ou concentrateur connect votre rseau externe. Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur. Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le cluster puisse oprer. Vous pouvez galement connecter les interfaces de heartbeat un rseau. Vous pouvez connecter les interfaces de heartbeat directement laide du cble crois. Pour davantage dinformations sur les interfaces de heartbeat, voir Interface de Heartbeat la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate. 5 Facultativement, connectez les autres interfaces de chaque membre du cluster un concentrateur ou commutateur connect aux rseaux. Lillustration 56 reprend lexemple dune configuration rseau pour un cluster virtuel comprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtuel possde deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans le domaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuel appel vdom_1. Le Site 1 est connect au domaine virtuel root et Site 2 est connect au domaine virtuel vdom_2. Lexemple comprend les connexions rseaux suivantes : Les interfaces du port 5 sont connectes ensemble et au rseau Site 1. Les interfaces du port 6 sont connectes ensemble et au routeur externe. Les interfaces du port 7 sont connectes ensemble et au rseau Site 2. Les interfaces du port 8 sont connectes ensemble et au routeur externe.
Les communications heartbeat HA travers le fond de panier du chssis FortiGate-5000 ne sont pas illustres.
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 129
Mettez sous tension tous les membres du cluster. Lors du dmarrage des membres du cluster, ceux-ci ngocient pour slectionner parmi eux un membre primaire et les membres subordonns. Cette ngociation a lieu sans intervention de lutilisateur et ne dure que quelques secondes. Vous pouvez maintenant configurer le cluster virtuel comme sil sagissait dun seul quipement FortiGate.
130
Remarque : Les tapes suivantes ne sont pas requises si vous utilisez le clustering virtuel uniquement comme systme de rplication. De cette procdure rsulte une distribution du trafic entre les deux membres du cluster dans le cluster virtuel.
1 2 3
Connectez-vous en tant quadministrateur admin linterface dadministration web du cluster. La page de Configuration des Domaines Virtuels saffiche. Cliquez sur Configuration Globale. Slectionnez Systme > Configuration > HA. La liste des membres du cluster saffiche reprenant uniquement le Cluster Virtuel 1. Tous les domaines virtuels ainsi que les deux membres du cluster sont repris dans le Cluster Virtuel 1.
131
Illustration 57 : Exemple dune liste des membres dun cluster avec deux domaines virtuels dans le Cluster Virtuel 1
4 5
Cliquez sur licne Editer du membre primaire (matre) du Cluster Virtuel 1. Sous le partitionnement VDOM, distribuez les domaines virtuels entre les cluster virtuel 1 et cluster virtuel 2. Au dpart, tous les domaines virtuels sont ajouts au cluster virtuel 1. En gnral, la distribution des domaines virtuels entre les deux membres du cluster virtuel se fait de manire ce que chacun des membres traite la mme quantit de trafic rseau. Cela permet dassurer que le trafic est distribu de manire quivalente entre les membres du cluster. Cependant, vous pouvez distribuez les domaines virtuels comme vous le dsirez. La distribution peut par ailleurs tre modifie tout moment.
Cliquez sur OK. Le cluster rengocie. Aprs quelques secondes, la liste des membres du cluster reprend les deux clusters virtuels. Si vous navez modifi aucun paramtre de priorit, cest le mme membre qui devient membre primaire (matre) pour les deux domaines virtuels.
Illustration 58 : Exemple dune liste des membres dun cluster avec domaines virtuels distribus entre les deux clusters virtuels.
Cliquez sur licne Editer du membre primaire du cluster virtuel 1 et cluster virtuel 2.
132
Les options HA du clustering virtuel sont affiches. Vous pouvez modifier la priorit du membre primaire dans les deux clusters virtuels. 8 Affectez la priorit 200 pour ce membre du cluster dans le cluster virtuel 1 et la priorit 50 dans le cluster virtuel 2. Cliquez ensuite sur OK. Vous pouvez slectionner diffrentes valeurs de priorit. Si aucune autre valeur de priorit na t modifie, le membre du cluster slectionn devient le membre primaire dans le cluster virtuel 1 et le membre subordonn dans le cluster virtuel 2.
Illustration 59 : Exemple dune liste des membres dun cluster avec domaines virtuels distribus entre les deux clusters virtuels et les priorits modifies.
Dautres paramtres HA des clusters virtuels peuvent tre configurs. Voir Exemple de configuration dun clustering virtuel la page 139 et Administration de clusters virtuels la page 141 pour plus dinformations sur la configuration et ladministration de clusters virtuels.
133
Les seuls changements qui ne sont pas synchroniss sont le nom dhte et la priorit du HA. Chaque membre du cluster peut avoir un nom dhte qui lui est propre de manire pouvoir distinguer les membres dans le cluster. Il est aussi possible de les distinguer partir de leur numro de srie. La priorit peut tre modifie individuellement pour contrler quel membre du cluster devient le membre primaire. Le rle du membre dans le cluster saffiche sur lcran LCD (pour les FortiGate qui en possdent). La mention primary saffiche sur lcran LCD du membre primaire. Les membres subordonns affichent sur leur cran LCD la mention slave <priority_id> o <priority_id> est la place prioritaire du membre subordonn dans le cluster. Dans lexemple dun cluster compos de trois membres et en mode actif-actif, les crans afficheront : primary (a-a) slave 1 (a-a) slave 2 (a-a)
Linterface dadministration web permet de contrler les statuts et les journaux de chaque membre du cluster individuellement. Voir Liste des membres dun cluster la page 120 et Visualiser et administrer les journaux pour les membres individuels dun cluster la page 134 Les membres du cluster peuvent tre administrs individuellement laide dune connexion SSH en CLI au cluster. La commande CLI execute ha manage permet de vous connecter en CLI chaque membre du cluster. Ladministration individuelle des membres peut aussi se faire via un cble null-modem connect au membre primaire. A partir de l, la commande CLI execute ha manage vous permet de vous connecter en CLI chaque membre du cluster. Voir Administrer individuellement les membres dun cluster la page 135 pour plus dinformations. En cas dutilisation dun cble null-modem pour vous connecter un membre subordonn, seule une connexion en CLI ce membre subordonn est possible. Visualiser et administrer les journaux pour les membres individuels dun cluster Contrler les membres pour la rplication Administrer individuellement les membres dun cluster
Visualiser et administrer les journaux pour les membres individuels dun cluster
1 2 Connectez-vous au cluster et linterface dadministration web. Slectionnez Journaux/Alertes > Journal. La liste du Cluster HA reprend le numro de srie du FortiGate dont les journaux sont affichs. 3 Slectionnez le numro de srie dun des membres du cluster dont vous voulez voir les journaux. Vous pouvez voir, chercher et administrer les journaux sauvegards sur la mmoire, dpendant de la configuration du membre du cluster.
134
135
Appuyez sur la touche Enter pour vous connecter en CLI au membre subordonn choisi. Lcran du CLI affiche le nom dhte du membre. Les commandes CLI vous permettent dadministrer ce membre subordonn. 4 Pour retourner au CLI du membre primaire, entrez : exit Vous pouvez utiliser la commande execute ha manage pour vous connecter en CLI nimporte quel membre subordonn du cluster.
Le numro de srie du membre du cluster dconnecter. Slectionnez linterface que vous voulez configurer. Vous devez en spcifier ladresse IP et le masque de rseau. Une
136
fois le membre dconnect, toutes les options daccs administratifs sont actives sur cette interface. IP/Masque de rseau Spcifiez ladresse IP et le masque de rseau de linterface. Vous pouvez utiliser cette adresse IP pour vous connecter cette interface et configurer le membre dconnect.
Cliquez sur OK. Le membre FortiGate est dconnect du cluster et celui-ci peut rengocier et slectionner un nouveau membre primaire. Linterface slectionne est configure avec ladresse IP et le masque de rseau spcifis.
Remarque : Il nest pas ncessaire de modifier le mot de passe HA du membre dconnect moins que la HA ait t modifi aprs la dconnexion. Dconnecter un membre dun cluster naffecte pas le mot de passe HA.
Attention : Assurez-vous que la priorit du membre dconnect est bien infrieure la priorit du membre primaire. Si tel nest pas le cas, lors de la reconnexion du membre au cluster, celui-ci va rengocier et le membre r-adjoint deviendra le membre primaire. Ceci entrane une synchronisation de la configuration de ce membre tous les autres membres du cluster et pourrait causer une perturbation au sein du cluster.
La procdure suivante part des principes suivants : Le botier FortiGate dconnect du cluster est physiquement et correctement connect votre rseau et au hardware du cluster. Il nest pas en train doprer en mode HA. Il ne fait pas partie du cluster.
Avant de commencer cette procdure, il est conseill de prendre connaissance de la priorit du membre primaire. 1 Connectez-vous au membre FortiGate dconnect. Si les domaines virtuels sont activs, connectez-vous en tant quadministrateur admin et cliquez sur Configuration Globale. Slectionnez Systme > Configuration > HA. Modifiez le mode pour quil corresponde celui du cluster. Si ncessaire, modifiez le mot de passe HA pour quil corresponde celui du cluster. Affectez une priorit plus basse que la priorit du membre primaire. Cliquez sur OK. Le membre FortiGate dconnect r-adjoint le cluster.
2 3 4 5 6
137
138
MAC virtuelle de linterface port2: 00-09-0f-06-00-05 MAC virtuelle de linterface port3: 00-09-0f-06-00-06 MAC virtuelle de linterface port4: 00-09-0f-06-00-07 MAC virtuelle de linterface port5: 00-09-0f-06-00-08 MAC virtuelle de linterface port6: 00-09-0f-06-00-09 MAC virtuelle de linterface port7: 00-09-0f-06-00-0a MAC virtuelle de linterface port8: 00-09-0f-06-00-0b
Un FortiGate-5001, oprant en mode HA, avec domaines virtuels activs, dont lID groupe HA a t dfini sur 23, les ports 5 et 6 tant dans le vdom root (qui se trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes : MAC virtuelle de linterface port5: 00-09-0f-06-23-05 MAC virtuelle de linterface port6: 00-09-0f-06-23-06 MAC virtuelle de linterface port7: 00-09-0f-06-23-27 MAC virtuelle de linterface port8: 00-09-0f-06-23-28
par les deux membres du cluster. La configuration du domaine virtuel est dcrite dans le tableau 7.
Tableau 7 : Exemple dune configuration dun domaine virtuel Domaine Virtuel root Description Comprend les interfaces port5 et port6. port5 est connect un rseau interne appel Site 1. port6 est connect un routeur externe et Internet. Tout le trafic du Site 1 est reu par le port5 et tout le trafic autoris est envoy vers Internet travers le port6. Comprend les interfaces port 7 et port8. port7 est connect un rseau interne appel Site 2. port8 est connect un routeur externe et Internet. Tout le trafic du Site 2 est reu par le port7 et tout le trafic autoris est envoy vers Internet travers le port8.
vdom_1
Ce cluster virtuel comprend deux FortiGate-5001 avec les noms dhte FortiGate_A et FortiGate_B. Le clustering virtuel est configur de manire ce que tout le trafic reu par le domaine virtuel root est trait par le botier FortiGate_A et tout le trafic reu par le domaine virtuel vdom_1 est trait par le botier FortiGate_B. La configuration du clustering est illustre dans les tableaux 8 et 9. Le cluster virtuel et la circulation du trafic travers le cluster est reprsent dans lillustration 61.
Tableau 8 : Configuration du Cluster Virtuel 1 Domaines Virtuels FortiGate_A root Priorit 200 Rle Primaire Tableau 9 : Configuration du Cluster Virtuel 2 Domaines Virtuels FortiGate_A vdom_1 Priorit 100 Rle Subordonn
140
Illustration 61 : Partie dune configuration dun clustering virtuel avec deux membres FortiGate-5001
Pour connecter le domaine virtuel root, les interfaces des port5 des deux membres du cluster sont connectes un commutateur qui est aussi connect au rseau du Site 1. Les interfaces port6 des deux membres du cluster sont connectes un commutateur qui est aussi connect au routeur externe et Internet. Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux membres du cluster sont connectes un commutateur qui est aussi connect au rseau du Site 2. Les interfaces port8 des deux membres du cluster sont connectes un commutateur qui est aussi connect au routeur externe et Internet. Les clusters virtuels ont t configurs de manire ce que FortiGate_A soit le membre primaire du domaine virtuel root. Ds lors, tout le trafic destin au domaine virtuel root est reu et trait par le botier FortiGate_A. FortiGate_B est le membre primaire de vdom_1. Ds lors, tout le trafic destin vdom_1 est reu et trait par le botier FortiGate_B. Un des avantages dune telle configuration est lquilibrage de charge entre les membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de vdom_1. De cette manire la charge de tout le trafic est partage entre les membres du cluster. Dans le cas o FortiGate_A tombe en panne, FortiGate_B devient le membre primaire des deux clusters virtuels.
141
Illustration 62 : Visualisation de messages journaliss dun domaine virtuel dans un cluster virtuel
Si vous vous connectez un cluster en tant quadministrateur admin, vous vous connectez la page de linterface graphique Configuration des Domaines Virtuels ou au CLI gnral. Vous vous connectez galement une interface et au domaine virtuel auquel cette interface a t ajoute. Le domaine virtuel auquel vous vous connectez ne diffre pas beaucoup quant ses oprations de configuration et de maintenance. Il existe cependant certaines exceptions. Vous vous connectez au FortiGate qui opre en tant que membre primaire pour le domaine virtuel. Ds lors le nom dhte affich est le nom dhte du membre primaire. La liste des membres du cluster diffre selon le membre du cluster. Dans lexemple dcrit la page 139 Exemple de configuration dun clustering virtuel , si vous connectez le port5, vous vous connectez au FortiGate_A (FortiGate_A saffiche dans la barre de titres de linterface graphique). Slectionnez Configuration Globale et ensuite Systme > Configuration > HA. A partir de chaque liste de membres, vous pouvez slectionner Editer pour le botier FortiGate_A pour modifier la configuration HA du cluster virtuel et dfinir les priorits du FortiGate_A dans le cluster virtuel 1 et dans le cluster virtuel 2. En slectionnant Editer pour le botier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom dhte du FortiGate_B, ainsi que la priorit de FortiGate_B dans le cluster virtuel 1. En slectionnant Editer pour le botier FortiGate_B dans le cluster virtuel 2, vous pouvez modifier le nom dhte du FortiGate_B, ainsi que la priorit de FortiGate_B dans le cluster virtuel 2.
Illustration 63 : Exemple dun cluster virtuel affichant la liste des membres du cluster FortiGate_A
Connectez-vous au port7 pour vous connecter au FortiGate_B (FortiGate_B saffiche dans la barre de titre de linterface graphique). Slectionnez Configuration Globale et ensuite Systme > Configuration > HA. A partir de chaque liste de membres, vous pouvez slectionner Editer pour le botier FortiGate_B pour modifier la configuration HA du cluster virtuel et dfinir les
142 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
priorits du FortiGate_B dans le cluster virtuel 1 et dans le cluster virtuel 2. En slectionnant Editer pour le botier FortiGate_A dans le cluster virtuel 1, vous pouvez modifier le nom dhte du FortiGate_A, ainsi que la priorit de FortiGate_A dans le cluster virtuel 1. En slectionnant Editer pour le botier FortiGate_A dans le cluster virtuel 2, vous pouvez modifier le nom dhte du FortiGate_A, ainsi que la priorit de FortiGate_A dans le cluster virtuel 2.
Illustration 64 : Exemple dun cluster virtuel affichant la liste des membres du cluster FortiGate_B
143
Circulation des paquets du rseau interne travers le cluster en maillage intgral et vers lInternet Configurer les FortiGate-5001 pour oprer en HA Ajouter des interfaces redondantes au cluster Connecter le cluster votre rseau
Une configuration en maillage intgral HA comprend galement des interfaces de heartbeat HA. Lorsque les FortiGate-5001 sont installs dans un chssis
144 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
FortiGate-5020, les interfaces redondantes port9 et port10 de heartbeat HA sont connectes via le fond de panier du chssis. Par contre, dans le cas o les FortiGate-5001 sont installs dans un chssis FortiGate-5050 ou FortiGate-5140, il est ncessaire dinstaller des cartes de commutation FortiSwitch redondantes (par exemple deux FortiGate-5003).
Crez les connexions rseau physiques suivantes pour le botier FortiGate 2 : Port1 au commutateur 2 (actif) Port2 au commutateur 1 (inactif) Port3 au commutateur 4 (actif) Port4 au commutateur 3 (inactif)
Circulation des paquets du rseau interne travers le cluster en maillage intgral et vers lInternet
Dans le cas o le cluster opre en mode actif-passif et que le botier FortiGate 2 est le membre primaire, tous les paquets prennent le chemin suivant, du rseau interne vers Internet : 1 Du rseau interne au commutateur 2. (Le commutateur 2 est la connexion active au FortiGate 2, le membre primaire dans notre exemple. Cest donc le membre primaire qui reoit tous les paquets). Du commutateur 2 linterface port1 du FortiGate 2. (Connexion active entre le commutateur 2 et le botier FortiGate 2. Port1 est le membre actif de linterface redondante). Du port1 du FortiGate 2 au port3 du FortiGate 2 (Connexion active entre le commutateur 4 et le botier FortiGate 2. Port1 est le membre actif de linterface redondante). Du commutateur 4 au routeur externe et vers Internet.
145
4 5 6 7
Remarque : Vous pouvez maintenir la configuration par dfaut des options HA restantes et les modifier plus tard, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK, la connexion du FortiGate risque dtre perdue pendant un moment car le cluster HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez la commande CLI similaire arp d. 8 Rptez cette procdure pour lautre membre FortiGate-5001 du cluster. Les membres FortiGate-5001 ngocient pour former un cluster.
146
interface diffrente (par exemple port5) avec une adresse IP et un accs administratif. 1 2 3 4 5 6 Connectez-vous linterface dadministration web du cluster. Slectionnez Systme > Rseau > Interface. Editer le port1 et affectez lui lIP/Masque de rseau 0.0.0.0/0.0.0.0 Editer le port2 et affectez lui lIP/Masque de rseau 0.0.0.0/0.0.0.0 Slectionnez Routeur > Static > Route Statique. Supprimez la route par dfaut, ainsi que toutes les routes ventuellement ajoutes aux port1, port2, port3 et port4. Vous pouvez galement diter des routes statiques pour configurer le dispositif sur un nom dinterface diffrent. Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau et ajoutez la premire interface redondante.
Nom Type Membres de linterface physique Mode dAdressage R_Int_1_2 Interface Redondante Ajouter port1 et port2 la liste des Interfaces Slectionnes. Slectionnez le mode dadressage requis pour votre rseau et ajoutez un IP/Masque de rseau si ncessaire.
7 8
Etablissez les connexions rseau physiques suivantes pour le botier FortiGate 2 : Connectez le port1 du FortiGate-5001 au commutateur 2. Connectez le port2 du FortiGate-5001 au commutateur 1. Connectez le port3 du FortiGate-5001 au commutateur 4.
147
3 4 5
Connectez les commutateurs 1 et 2 au rseau interne. Connectez les commutateurs 3 et 4 au routeur externe. Activez la communication ESL entre les commutateurs 1 et 2 et entre les commutateurs 3 et 4. La configuration en maillage intgral HA de base est prsent termine. Vous pouvez configurer le cluster de la mme manire quun quipement FortiGate autonome. Vous pouvez mettre le cluster en service et modifier les paramtres HA de la mme manire quun cluster HA standard.
Le domaine virtuel vdom_1 peut comprendre les interfaces suivantes : Interface redondante R_Int_5_6 comprenant les interfaces physiques port5 et port5. R_Int_5_6 peut tre connecte des commutateurs redondants euxmmes connects un rseau interne. Interface redondante R_Int_7_8 comprenant les interfaces physiques port7 et port8. R_Int_7_8 peut tre connecte des commutateurs redondants euxmmes connects Internet.
Les domaines virtuels supportent des configurations mixtes maillage intgral et HA classique. Par exemple, vous pouvez configurer en maillage intgral HA le domaine virtuel root et procder une configuration HA classique pour le domaine virtuel vdom_1.
Remarque : Les interfaces physiques ajoutes une interface redondante doivent tre ajoutes au mme domaine virtuel que linterface redondante avant mme dtre ajoutes linterface redondante.
148
HA et interfaces redondantes
Sur les modles FortiGate-800 et plus, vous pouvez utiliser des interfaces redondantes pour combiner deux ou plusieurs interfaces en une seule interface redondante. Pour plus dinformations sur lajout dinterfaces redondantes, voir Cration dune interface redondante la page 67. Ladresse MAC de linterface redondante est celle de la premire interface rpertorie dans la liste des interfaces ajoutes la configuration de linterface redondante. La liste de ces interfaces apparat dans lordre alphabtique. Ds lors, dans lexemple o linterface redondante comprend les port1 et port2, linterface redondante apparat seule sur le rseau avec ladresse MAC du port1. Un cluster HA avec une interface redondante peut par exemple comprendre deux botiers FortiGate-800 oprant en mode HA et installs entre un serveur rseau et Internet. La connexion entre le cluster et le serveur rseau consiste en une connexion de linterface redondante vers port1 et port2 des botiers FortiGate-800 dans le cluster. Linterface redondante est configure comme une interface HA contrle. Le commutateur est galement connect au serveur rseau. Le cluster est connect Internet via une connexion gigabyte un commutateur. Le commutateur se connecte aux ports4 des deux membres FortiGate-800 dans le cluster.
Illustration 66 : Exemple dun cluster avec une interface redondante
149
150
agrgation comprend les port1 et port2, linterface agrge apparat sur le rseau comme une interface unique avec ladresse MAC du port1. Un cluster HA avec une interface agrge peut comprendre deux FortiGate-800 oprant en mode HA. Ces deux membres FortiGate-800 sont connects Internet via une connexion gigabyte un commutateur. Le commutateur se connecte au port4 des deux membres FortiGate-800 du cluster. Les domaines virtuels ne sont pas configurs. Un serveur rseau est connect un commutateur via deux connexions 100 Mbit/s. Le commutateur utilise des connexions dagrgation de liens (2 x 100Mbit/s) pour se connecter aux port1 et port2 des membres FortiGate-800 du cluster. Linterface agrge est configure comme une interface HA sous contrle.
Illustration 67 : Exemple dun cluster avec interfaces agrges
151
SNMP
Vous pouvez configurer lagent SNMP FortiGate pour transmettre des rapports sur les informations du systme et envoyer des traps (alarmes et messages sur les vnements) aux superviseurs SNMP. A laide de lun de ces superviseurs, vous pouvez accder aux traps et donnes SNMP partir de nimporte quelle interface FortiGate ou sous-interface VLAN configure pour un accs administratif SNMP. Limplmentation FortiGate SNMP est autorise en lecture uniquement. Les superviseurs compatibles SNMP v1 et v2c ne possdent que les droits en lecture des informations sur le systme FortiGate et reoivent des traps FortiGate. Pour contrler les informations sur le systme FortiGate et recevoir les traps FortiGate, vous devez compiler les MIB prives Fortinet ainsi que les MIB standard supportes par votre superviseur SNMP. Le support des RFC intgre le support de la majorit des informations de la RFC 2665 (MIB type Ethernet) ainsi que de celle de la RFC 1213 (MIB II) (Pour plus dinformations, voir MIB FortiGate la page 156).
152
Configuration SNMP
Pour configurer lagent SNMP, slectionnez Systme > Configuration > SNMP v1/v2c.
Illustration 68 : Configuration SNMP
Active lagent SNMP FortiGate. Entrez une information descriptive propos du FortiGate. Cette information ne doit pas dpasser 35 caractres. Entrez la localisation physique du botier FortiGate. Cette information ne doit pas dpasser 35 caractres. Entrez les informations de contact de la personne responsable de ce botier FortiGate. Cette information ne doit pas dpasser 35 caractres. Enregistre les modifications apportes la description, la localisation et au contact. Cliquez sur Crer Nouveau pour ajouter une nouvelle communaut SNMP. Voir Configuration dune communaut SNMP la page 154. La liste des communauts SNMP ajoutes la configuration FortiGate. Vous pouvez ajouter jusqu trois communauts. Le nom de la communaut. Le statut des requtes SNMP de chaque communaut SNMP. Ce statut peut tre activ ou dsactiv. Le statut des traps SNMP de chaque communaut SNMP. Ce statut peut tre activ ou dsactiv. Active une communaut. Supprime une communaut SNMP. Permet de modifier ou visualiser une communaut SNMP.
Localisation Contact
Communauts
153
Entrez un nom didentification de la communaut. Entrez ladresse IP et identifiez les superviseurs SNMP qui peuvent utiliser les paramtres de cette communaut SNMP pour surveiller lquipement FortiGate. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
154
Adresse IP
Entrez ladresse IP dun superviseur SNMP qui peut utiliser les paramtres de la communaut pour surveiller lquipement FortiGate. Vous pouvez galement dfinir ladresse IP sur 0.0.0.0 pour que tout superviseur SNMP puisse utiliser cette communaut. Facultativement, slectionnez le nom de linterface que ce superviseur SNMP utilise pour se connecter lquipement FortiGate. Cette dmarche est ncessaire que si le superviseur SNMP nest pas sur le mme sous-rseau que lquipement FortiGate. Cest le cas par exemple dun superviseur passant par Internet ou plac derrire un routeur. Cliquez sur licne supprimer du superviseur que vous dsirez supprimer. Crer une nouvelle ligne dans la liste Serveur SNMP. Il est possible dajouter jusqu 8 superviseurs SNMP une communaut. Entrez le numro du port (161 par dfaut) utilis par les superviseurs de cette communaut pour les requtes SNMP v1 et SNMP v2c pour recevoir des informations sur la configuration de la part du botier FortiGate. Cochez les cases Activer pour activer les requtes de chaque version SNMP. Entrez les numros de ports local et distant (port 162 par dfaut pour chacun) que le botier FortiGate utilise pour envoyer des traps SNMP v1 et SNMP v2c vers les superviseurs SNMP de cette communaut. Cochez les cases Activer pour activer les traps pour chaque version SNMP. Cochez les cases Activer des vnements SNMP dont les traps doivent tre envoys aux superviseurs SNMP de cette communaut par le botier FortiGate.
Interface
Supprimer Ajouter
Requtes
Traps
Evnements SNMP
155
Vous devez configurer une ou plusieurs interfaces dans votre VDOM pour accepter laccs SNMP.
MIB FortiGate
Lagent SNMP FortiGate supporte les MIB prives FortiGate, ainsi que les MIB standard des RFC 1213 et RFC 2665. Le support RFC comprend un support pour les parties de la RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB II) qui sappliquent la configuration du FortiGate. Les MIB FortiGate, ainsi que les deux MIB RFC sont rpertories dans le tableau 10. Ces fichiers MIB sont disponibles au Support Technique Fortinet. Pour pouvoir communiquer avec lagent SNMP, vous devez compiler toutes ces MIB dans votre superviseur SNMP. Il est probable que votre superviseur SNMP contiennent dj des MIB standard et prives dans une base de donnes prte lemploi. Il est cependant ncessaire dajouter les MIB prives Fortinet cette base de donnes. Dans le cas o les MIB standard utilises par lagent SNMP Fortinet sont dj compiles dans votre superviseur SNMP, il nest pas ncessaire de les recompiler.
Tableau 10 : MIB FortiGate Nom de ficher MIB ou RFC fortinet.3.00.mib
Description La MIB prive Fortinet comprend des informations dtailles sur la configuration du systme et sur les traps. Votre superviseur SNMP requiert ces informations pour surveiller les paramtres de configuration FortiGate et recevoir les traps de lagent SNMP FortiGate. Voir Traps FortiGate ci-dessous et Champs MIB Fortinet la page 158. Lagent SNMP FortiGate supporte les groupes MIB II avec les exceptions suivantes : Pas de support pour le groupe EGP de MIB II (RFC 1213, section 3.11 et .10). Les statistiques sur le protocole renvoyes pour les groupes MIB II (IP/ICMP/TCP/UDP/etc.) ne capturent pas prcisment toute lactivit du trafic FortiGate. Des informations plus prcises peuvent tre obtenue par les informations reportes par la MIB Fortinet. Lagent SNMP FortiGate supporte les informations MIB type Ethernet lexception de : Pas de support pour les groupes dot3Tests et dot3Errors.
Traps FortiGate
Lagent FortiGate peut envoyer des traps aux superviseurs SNMP des communauts SNMP. La rception des traps ne peut se faire quaprs avoir charg et compil la MIB Fortinet 3.0 sur le superviseur SNMP. Tous les traps comprennent le message trap ainsi que le numro de srie du botier FortiGate.
156
Tableau 11 : Traps FortiGate gnriques Message trap Description ColdStart WarmStart LinkUp LinkDown Traps standard tels que dcrits dans la RFC 1215.
Tableau 12 : Traps Systme FortiGate Message trap Description CPU usage high (fnTrapCpuHigh) Memory low (fnTrapMemLow) Interface IP change (fnTrapIfChange) Le taux CPU dpasse 90%. Le taux mmoire dpasse 90% Modification dune adresse IP sur une interface FortiGate. Le message trap comprend le nom de linterface, la nouvelle adresse IP et le numro de srie du botier FortiGate. Vous pouvez utiliser ce trap pour trouver les modifications dadresse IP des interfaces dont les adresses IP dynamiques sont dfinies via DHCP ou PPPoE. Pas de message. Linterface change dIP. Envoy uniquement pour contrler le FortiManager. Tout changement apport au FortiGate, lexception des changements apports par un FortiManager connect.
(fnFMTrapIfChange) (fnFMTrapConfChange)
Tableau 13 : Traps VPN FortiGate Message trap Description VPN tunnel is up (fnTrapVpnTunUp) VPN tunnel down (fnTrapVpnTunDown) Un tunnel VPN IPSec commence. Un tunnel VPN IPSec se ferme.
Tableau 14 : Traps IPS FortiGate Message trap Description IPS Anomaly (fnTrapIpsAnomaly) IPS Signature (fnTrapIpsSignature) Anomalie IPS dtecte. Signature IPS dtecte.
Tableau 15 : Traps antivirus FortiGate Message trap Description Virus detected (fnTrapAvEvent) Le botier FortiGate dtecte un virus et le supprime du fichier infect du tlchargement HTTP ou FTP ou du message email.
Tableau 16 : Traps logging FortiGate Message trap Description Log full (fnTrapLogFull) Sur un quipement FortiGate muni dun disque dur, lutilisation du disque dpasse 90%. Sur un quipement FortiGate non muni dun disque dur, lutilisation de la journalisation en mmoire dpasse 90%.
157
Tableau 17 : Traps HA FortiGate Message trap Description HA switch (fnTrapHaSwitch) Le membre primaire dun cluster tombe en panne et est remplac par un nouveau membre primaire.
Tableau 18 : Traps FortiBridge Message trap Description FortiBridge detects fail (fnTrapBridge) Un quipement FortiBridge dtecte une panne dun quipement FortiGate.
Tableau 20 : Champs MIB HA Champ MIB Description fnHaSchedule fnHaStatsTable Horaire pour lquilibrage de charge en mode A-A. Statistiques pour les membres individuels FortiGate dun cluster HA. fnHaStatsIndex fnHaStatsSerial fnHaStatsCpuUsage fnHaStatsMemUsage fnHaStatsNetUsage fnHaStatsSesCount fnHaStatsPktCount Le numro de lindex du membre dans le cluster. Le numro de srie du membre FortiGate. Le taux CPU du membre FortiGate (%). Le taux usage de la mmoire du membre FortiGate. Lutilisation rseau en cours (Kbit/s). Le nombre de sessions actives. Le nombre de paquets traits.
158
Le nombre doctets traits par le membre FortiGate. Le nombre dattaques dtectes par lIPS les dernires 20 heures. Le nombre de virus dtects par lantivirus les dernires 20 heures.
Tableau 21 : Comptes Administrateurs Champ MIB Description fnAdminNumber fnAdminTable Le nombre dadministrateurs sur lquipement FortiGate. Le tableau des administrateurs. fnAdminIndex fnAdminName fnAdminAddr Le numro de lindex du compte administrateur. Le nom du compte administrateur. Une adresse dun hte ou sous-rseau de confiance partir duquel ce compte administrateur peut tre utilis. Le masque de rseau de fnAdminAddr.
Le nombre de comptes utilisateurs locaux sur lquipement FortiGate. Le tableau des utilisateurs locaux. fnUserIndex fnUserName fnUserAuth Le numro de lindex du compte de lutilisateur local. Le nom du compte de lutilisateur local. Le type dauthentification pour lutilisateur local : local un mot de passe sauvegard sur lquipement FortiGate. radius-single un mot de passe sauvegard sur un serveur RADIUS. radius-multiple tous les utilisateurs qui peuvent sauthentifier sur un serveur RADIUS peuvent se connecter. ldap un mot de passe sauvegard sur un serveur LDAP. Etat de lutilisateur local : activ ou dsactiv.
fnUserState
Description La priode dinactivit en minutes aprs laquelle un administrateur doit se rauthentifier. La priode dinactivit en minutes aprs laquelle un utilisateur doit se rauthentifier avec un pare-feu. La langue de linterface dadministration web. Dans le cas o un PIN LCD a t envoy.
159
Tableau 24 : Journalisation Champ MIB Description fnLogOption Les prfrences en matire de journalisation.
Tableau 25 : Messages personnaliss Champ MIB Description fnMessages Le nombre de messages personnaliss sur lquipement FortiGate.
Tableau 26 : Domaines virtuels Champ MIB Description fnVdNumber fnVdTable Le nombre de domaines virtuels sur lquipement FortiGate. Tableau des domaines virtuels fnVdIndex fnVdName Tableau 27 : Sessions IP actives Champ MIB Description fnIpSessIndex fnIpSessProto fnIpSessFromAddr fnIpSessFromPort fnIpSessToPort fnIpSessToAddr fnIpSessExp Tableau 28 : VPN dialup Champ MIB fnVpnDialupIndex fnVpnDialupGateway fnVpnDialupLifetime fnVpnDialupTimeout fnVpnDialupSrcBegin fnVpnDialupSrcEnd fnVpnDialupDstAddr Le numro de lindex de la session IP active. Le protocole IP (TCP, UDP, ICMP, etc.) de la session. Ladresse IP source de la session IP active. Le port source de la session IP active. Ladresse IP de destination de la session IP active. Le port de destination de la session IP active. Le temps dexpiration en secondes pour la session. Le numro de lindex du domaine virtuel interne sur lquipement FortiGate. Le nom du domaine virtuel.
Description Lindex du dialup VPN paire. Ladresse IP distante de la passerelle. La dure de fonctionnement en secondes du tunnel VPN. Le temps restant jusquau prochain change de cl (en secondes). Ladresse du sous-rseau distant. Le masque du sous-rseau distant. Ladresse du sous-rseau local.
160
Messages de remplacement
Slectionnez Systme > Configuration > Messages de Remplacement pour modifier les messages de remplacement et personnaliser les emails et informations sur les alertes que le botier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et sessions FTP. Lquipement FortiGate adjoint des messages de remplacement plusieurs types de flux de contenu. Par exemple, si un virus est trouv dans un email, le fichier contamin est supprim de lemail et remplac par un message de remplacement. Cette procdure sapplique galement aux pages Internet bloques par un filtrage web et aux emails bloqus par un filtrage antispam.
Nom
Le type de message de remplacement. Cliquez sur le triangle bleu pour afficher la catgorie. Vous pouvez modifier les messages adjoints aux emails dont les pices jointes sont infectes par un virus pages web (http) sessions ftp messages de mails dalertes email smtp bloqus comme spam pages web bloques par une des catgories du filtrage web sessions de messagerie instantane et peer-to-peer
Vous pouvez galement modifier la page douverture de la session pour une authentification de lutilisateur les messages dinformations dauthentification de lutilisateur (certains modles) la page dignorance du filtrage web FortiGuard la page douverture de session pour VPN SSL
161
Description
Description du type de message de remplacement. Linterface dadministration web dcrit lendroit o chaque message de remplacement est utilis par le botier FortiGate. Slectionnez pour diter ou visualiser un message de remplacement.
Icne Visualiser/Editer
Les messages de remplacement scrivent sous forme de texte ou de messages HTML. Vous pouvez ajouter un code HTML des messages HTML. De plus, les messages de remplacement peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs reoivent le message de remplacement, la balise est remplace par un contenu en rapport avec le message. Le tableau 29 rpertorie les balises des messages de remplacement qui peuvent tre adjointes.
Tableau 29 : Balises de messages de remplacement Balise Description %%CATEGORY%% %%CRITICAL_EVENT%% Le nom de la catgorie de contenu du site web. Ajout aux messages email dvnement critique dalerte. %%CRITICAL_EVENT%% est remplace par le message dvnement critique qui a enclench lemail dalerte. Ladresse IP de la destination partir de laquelle un virus a t reu. Dans le cas demail, il sagit de ladresse IP du serveur email qui a envoy lemail contamin. Dans le cas de HTTP, il sagit de ladresse IP de la page web qui a envoy le virus. Ladresse email de lexpditeur du message duquel le fichier a t supprim. Ladresse email du destinataire lattention duquel le message du fichier a t supprim. Le nom du fichier ayant t supprim dun flux de contenu. Il peut sagir dun fichier qui contenait un virus ou qui a t bloqu par un antivirus. %%FILE%% peut tre utilis dans les messages de blocage de virus et fichiers.
%%DEST_IP%%
162
Le logo FortiGuard Filtrage Web. Le logo Fortinet. Le code erreur HTTP. Par exemple 404 . La description de lerreur HTTP. Le message de lattaque IPS. %%NIDSEVENT%% est ajout aux messages email dintrusions dalerte. Le lien vers le formulaire dignorance du filtrage web FortiGuard. Visible uniquement par les utilisateurs qui appartiennent un groupe qui a la permission de crer des ignorances de filtrage web FortiGuard. Le formulaire dignorance du filtrage web FortiGuard. Cette balise doit tre prsente dans le formulaire dignorance du filtrage web FortiGuard et ne doit pas tre utilise dans les autres messages de remplacement. Le protocole (http, ftp, pop3, imap ou smtp) dans lequel le virus a t dtect. %%PROTOCOL%% est ajout aux messages des virus des emails dalertes. Le nom dun fichier qui a t supprim dun flux de contenu et plac en quarantaine. Il peut sagir dun fichier qui contient un virus ou a t bloqu par un antivirus. %%QUARFILENAME%% peut tre utilis dans les messages de blocage de virus et fichier. La mise en quarantaine nest possible que sur les quipements FortiGate quip dun disque local. Le nom du service de filtrage web. Ladresse IP du destinataire qui aurait d recevoir le fichier bloqu. Dans le cas demail, il sagit de ladresse IP de lordinateur de lutilisateur qui a tent de tlcharger le message partir duquel le fichier a t retir. LURL dune page web. Il peut sagir dune page web bloque par un filtre de contenu web ou un blocage dURL. %%URL%% peut aussi tre utilis dans les messages des virus http et de blocage de fichier pour tre lURL de la page partir de laquelle un utilisateur a tent de tlcharger un fichier qui a t bloqu. Le nom du virus trouv dans un fichier par le systme antivirus. %%VIRUS%% peut tre utilis dans les messages virus.
%%OVRD_FORM%%
%%PROTOCOL%%
%%QUARFILENAME%%
%%SERVICE%% %%SOURCE_IP%%
%%URL%%
%%VIRUS%%
163
Le formulaire doit contenir les contrles visibles suivants : <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> <INPUT TYPE="password" NAME="%%PASSWORDID%%" size=25>
Exemple
Ci-dessous un exemple dune page dauthentification simple qui rpond aux exigences nonces ci-dessus. <HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this service.</H4> <FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH>Username:</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> <TR><TH>Password:</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR> <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML>
164
165
166
IP/Netmask de gestion
Entrez ladresse IP et le masque de rseau dadministration. Il doit sagir dune adresse IP valide pour le rseau partir duquel vous voulez administrer lquipement FortiGate. Entrez la passerelle par dfaut requise pour atteindre dautres rseaux partir du botier FortiGate.
Interface (ou Device) Passerelle par dfaut Interface de la passerelle (ou Gateway Device)
167
Administration du Systme
Cette section dcrit comment configurer des comptes administrateurs sur votre quipement FortiGate. Les administrateurs accdent au botier FortiGate pour configurer son fonctionnement. Lquipement possde, par dfaut, un administrateur : admin. A partir de linterface dadministration web ou de linterface de ligne de commande, vous pouvez configurer des administrateurs supplmentaires avec des niveaux varis daccs aux diffrentes parties de la configuration de lquipement FortiGate. Cette section couvre les sujets suivants : Administrateurs Profils dadministration FortiManager Paramtres Contrle des administrateurs
Administrateurs
Il existe deux types de comptes administrateurs : Un administrateur rgulier Un compte par dfaut, admin
Un compte administrateur rgulier a accs aux options de configuration dtermines par son profil dadministration. Dans le cas o des domaines virtuels sont activs, ladministrateur rgulier est affect lun de ces VDOM et ne peut pas accder aux options de la configuration globale ni la configuration dun autre VDOM. Pour plus dinformations propos des options globales et spcifiques aux VDOM, voir Paramtres de configuration dun domaine virtuel la page 41 et Paramtres de la configuration globale la page 42. Le compte administrateur par dfaut, ladmin, a accs la totalit de la configuration du botier FortiGate. De plus, il peut: activer la configuration VDOM crer des VDOM configurer des VDOM affecter des administrateurs rguliers aux VDOM configurer des options globales
Le compte admin nayant pas de profil dadministration, on ne sait pas en limiter ses droits. Il est par ailleurs impossible de supprimer le compte admin, mais il est possible de le renommer, de lui dfinir des htes de confiance et den modifier le mot de passe. Par dfaut, ladmin na pas de mot de passe. Vous pouvez authentifier un administrateur par un mot de passe sauvegard sur un botier FortiGate ou sur un serveur RADIUS. Facultativement, vous pouvez sauvegarder tous les comptes administrateurs sur un serveur RADIUS,
168 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
lexception du compte admin par dfaut. Les comptes RADIUS tant sur le mme serveur RADIUS partagent le mme profil dadministration.
Les procdures suivantes prvoient que vous ayez dj configur un serveur RADIUS sur votre rseau avec les noms et mots de passe de vos administrateurs. Pour plus dinformations sur la configuration dun serveur RADIUS, reportez-vous la documentation de votre serveur RADIUS.
169
Permet dajouter un compte administrateur. Le nom du compte administrateur. Ladresse IP et le masque de rseau dhtes de confiance partir desquels ladministrateur peut se connecter. Pour plus dinformations, voir Utilisation dhtes de confiance la page 173. Le profil dadministration pour ladministrateur. Ladministrateur admin par dfaut na pas de profil. Le type dauthentification pour cet administrateur. Cela peut tre : Local un mot de passe local RADIUS authentification dun compte spcifique via un serveur RADIUS RADIUS+Wildcard authentification de nimporte quel compte via un serveur RADIUS.
Profil Type
Icne Suppression
Permet de supprimer le compte administrateur. Le compte administrateur admin ne peut pas tre supprim. Permet dditer ou de visualiser le compte administrateur. Permet de modifier le mot de passe du compte administrateur.
170
Entrez le nom du compte administrateur. Cochez cette case pour authentifier ladministrateur via un serveur RADIUS. Lauthentification RADIUS pour administrateurs doit tre configure dabord. Voir Configuration RADIUS pour une authentification des administrateurs la page 169. Cochez cette case pour faire de tous les comptes du serveur RADIUS des administrateurs. Cette fonction est uniquement disponible si RADIUS a t slectionn. Dans le cas dune utilisation dune authentification RADIUS, slectionnez dans la liste le groupe dutilisateurs dadministrateurs qui compte comme membre le serveur RADIUS appropri. Entrez un mot de passe pour le compte administrateur. Pour plus de scurit, le mot de passe doit tre compos dau moins 6 caractres. Si RADIUS est activ, lquipement FortiGate tente une premire authentification RADIUS. En cas dchec, il tente une authentification via mot de passe. Ceci nest pas disponible si la fonction Wildcard a t active.
Wildcard
Groupe utilisateur
Mot de Passe
171
Confirmer le Mot de Passe Entrez le mot de passe une seconde fois pour confirmer la premire entre. Ceci nest pas disponible si la fonction Wildcard a t active. Poste IP # 1 Poste IP # 2 Poste IP # 3 Facultativement, entrez ladresse IP et le masque de rseau dun hte de confiance auquel ladministrateur est restreint sur le botier FortiGate. Vous pouvez spcifier jusqu trois htes de confiance. Les adresses par dfaut sont respectivement 0.0.0.0/0, 0.0.0.0/0 et 127.0.0/32. La mise en place dhtes de confiance pour vos administrateurs permet daugmenter la scurit du systme. Pour plus dinformations, voir Utilisation dhtes de confiance la page 173. Profil dadministration Slectionnez le profil dadministration de ladministrateur. Le profil prconfigur prof_admin fournit un accs total au botier FortiGate. Vous pouvez galement cliquer sur Crer Nouveau pour crer un nouveau profil dadministration. Pour plus dinformations sur les profils dadministration, voir Configuration dun profil dadministration la page 176 . Slectionnez le domaine virtuel que cet administrateur peut configurer. Ce champ est uniquement disponible si vous tes ladministrateur admin et que la configuration des domaines virtuels est active.
Domaine Virtuel
Entrez et confirmez votre mot de passe pour ce compte administrateur. Cette tape nest pas ncessaire dans le cas dune authentification RADIUS Wildcard. Facultativement, entrez ladresse IP et le masque de rseau dun hte de confiance partir duquel ladministrateur puisse se connecter linterface dadministration web. Slectionnez le profil dadministration pour cet administrateur. Cliquez sur OK.
7 8
172
173
Profils dadministration
Chaque compte administrateur appartient un profil dadministration. Le profil dadministration spare les caractristiques FortiGate en catgories de droits daccs pour lesquels vous pouvez activer des droits en lecture et/ou criture. Le tableau suivant rpertorie les pages de linterface dadministration web auxquelles chaque catgorie fournit un accs :
Tableau 30 : Droits daccs des profils dadministration aux pages de linterface dadministration web Contrle daccs Pages de linterface dadministration web affectes Utilisateurs dadministration Systme > Admin Configuration Antivirus Utilisateurs authentifis Configuration firewall Mise jour FortiGuard Configuration IPS Journaux et rapports Maintenance Configuration rseau Antivirus Utilisateur Pare-feu Systme > Maintenance > FortiGuard Center Intrusion Protection Journaux/Alertes Systme > Maintenance Systme > Rseau > Interface Systme > Rseau > Zone Systme > DHCP Routeur Anti-Spam Systme > Statut, y compris les informations sur la session Systme > Configuration Systme > Maintenance > Sauvegarde et Restauration Systme > Maintenance > Support VPN Filtrage Web
Les droits en lecture autorisent ladministrateur visualiser la page de linterface dadministration web. Ladministrateur ncessite les droits en criture pour apporter des modifications aux paramtres de la page.
Remarque : Lorsque la configuration de domaines virtuels est active (voir Paramtres la page 178), seul ladministrateur admin a accs aux paramtres gnraux. Mme si les paramtres gnraux sont activs dans le profil dadministration, un administrateur rgulier ne peut accder quaux paramtres spcifiques VDOM. Pour plus dinformations propos des paramtres gnraux, voir Paramtres de configuration dun domaine virtuel la page 41.
Le profil dadministration affecte similairement laccs des administrateurs aux commandes CLI. Le tableau suivant dcrit les types de commande disponibles pour chaque catgorie de droits daccs. Les droits en lecture donnent accs aux commandes get et show , tandis que les droits en criture permettent daccder la commande config .
174
Tableau 31 : Droits daccs des profils dadministration aux commandes CLI Contrle daccs Commandes CLI disponibles Utilisateurs dadministration system admin (admingrp) system accprofile Configuration Antivirus (avgrp) Utilisateurs authentifis (authgrp) Configuration Pare-feu (fwgrp) Mise jour FortiGuard (updategrp)
antivirus user firewall system autoupdate execute backup execute update_now ips alertemail log execute factoryreset execute formatlogdisk execute reboot execute restore execute shutdown system arp system dhcp reserved-address system dhcp server system interface system status system zone execute dhcp lease-clear execute dhcp lease-list router execute router spamfilter system lexception de accprofile, admin et autoupdate execute date execute dhcpclear execute enter execute ha execute ping execute ping-options execute ping6 execute restore execute time execute traceroute vpn execute vpn
Configuration routeur (routegrp) Configuration Filtrage Antispam (spamgrp) Configuration systme (sysgrp)
Slectionnez Systme > Admin > Droits dAccs pour ajouter des profils dadministration aux administrateurs FortiGate. Chaque compte administrateur appartient un profil dadministration. Vous pouvez crer des profils dadministration qui empchent ou permettent les droits en lecture uniquement, droits en criture uniquement ou les deux : droits en lecture et criture des fonctionnalits FortiGate.
175
Un administrateur qui possde les droits en lecture dune fonction peut accder la page dadministration web de cette fonction mais ne peut pas apporter de modifications la configuration. Les boutons Crer ou Appliquer napparaissent pas sur la page. Les listes affichent licne Visualiser ( ) la place des icnes Editer, Supprimer ou toute autre commande de modification.
Pour crer ou diter des profils dadministration, utilisez un compte admin ou un compte qui possdent les droits en lecture et en criture des utilisateurs admin. Slectionnez Systme > Admin > Droits dAccs.
Illustration 76 : Liste des profils dadministration
Ajoute un nouveau profil dadministration. Le nom du profil dadministration. Slectionnez cette icne pour supprimer un profil dadministration. Il est impossible de supprimer un profil dadministration tant quun ou plusieurs administrateur(s) y est (sont) encore affect(s). Slectionnez cette icne pour modifier le profil dadministration.
Icne Editer
Pour diter des profils dadministration, utilisez un compte admin ou un compte qui possdent les droits en lecture et en criture des utilisateurs admin. Slectionnez Systme > Admin > Droits dAccs et cliquez sur Crer Nouveau.
176
Nom de profil Droits daccs Lecture Ecriture Les catgories des droits daccs
Entrez le nom du profil dadministration. Les droits daccs rpertorient les catgories dont le profil dadministration contrle laccs. Cochez la case Lecture pour cocher les droits en lecture de toutes les catgories. Cochez la case Ecriture pour cocher les droits en criture de toutes les catgories. Slectionnez les cases none/lecture et/ou criture pour les diffrentes catgories en fonction de vos besoins. Pour plus de dtails propos des catgories des droits daccs, voir Profils dadministration la page 174.
177
FortiManager
Pour permettre votre FortiGate dtre administr par un serveur FortiManager, slectionnez Systme > Admin > FortiManager pour configurer votre quipement FortiGate. La communication entre votre quipement FortiGate et le serveur FortiManager se fait via un VPN IPSec pr-configur et invisible sur votre FortiGate.
Illustration 78 : Configuration FortiManager
Paramtres FortiManager Activer Cochez la case Activer pour permettre une communication scurise entre le botier FortiGate et le Serveur FortiManager. Sans quoi, la communication nest pas scurise. Entrez le numro de srie du Serveur FortiManager. Entrez ladresse IP du Serveur FortiManager.
ID Adresse IP
Paramtres
Slectionnez Systme > Admin > Settings (Paramtres) pour dfinir les options suivantes : Les ports pour les accs administratifs HTTP et HTTPS Les paramtres des timeouts, y compris le timeout de ladministrateur et le timeout de lutilisateur La langue de linterface dadministration web Une protection laide dun PIN pour lcran LCD et les boutons de commandes (pour les modles quips de ces fonctions uniquement)
178
Web Administration Ports HTTP HTTPS Paramtres de timeout Administrateurs Entrez le nombre de minute pendant lesquelles la connexion peut rester inactive avant que ladministrateur ne doive se reconnecter. Le temps maximum est de 480 minutes (8 heures). Pour une meilleure scurit, il est conseill de maintenir la valeur par dfaut de 5 minutes. Entrez le nombre de minute pendant lesquelles une connexion authentifie peut rester inactive avant que lutilisateur ne doive se rauthentifier. Le temps maximum est de 480 minutes (8 heures). La valeur par dfaut est 15 minutes. Pour plus dinformations, voir Paramtrage du timeout dauthentification la page 324. Entrez le port TCP utilis pour laccs administratif HTTP. La valeur par dfaut est 80. Entrez le port TCP utilis pour laccs administratif HTTPS. La valeur par dfaut est 443.
Langage Interface dadministration Slectionnez la langue dsire de linterface dadministration web. Vous avez le choix entre langlais, le chinois simplifi ou traditionnel, le japonais, le coren ou le franais. Remarque : Il est conseill de choisir la langue dans laquelle opre le systme dexploitation de lordinateur dadministration.
Panneau LCD (pour les quipements quips de cette fonction) Protection PIN Cochez la case Protection PIN et tapez un pin de 6 caractres dans le champ prvu cet effet. Les administrateurs doivent alors entrer le PIN pour accder aux commandes de lcran LCD et des boutons. Virtual Domain Configuration Cochez cette case si vous dsirez oprer de multiples VDOM. Cela active les droits de cration et de configuration des VDOM du compte administrateur admin
179
par dfaut. Pour plus dinformations sur la cration et ladministration de VDOM, voir Domaines Virtuels la page 40.
Cliquez sur licne Administrateurs Connects pour visualiser les informations sur les administrateurs connects linterface dadministration web en cours. Une nouvelle fentre souvre affichant la liste des administrateurs connects ce moment-l.
Illustration 81 : Fentre de contrle des administrateurs connects
Dconnecter
Dconnecte les administrateurs slectionns. Cette fonction nest disponible quaux administrateurs qui possdent les droits en criture de la Configuration du Systme. Met la liste jour. Ferme la fentre. Cochez les cases des administrateurs dconnecter et cliquez ensuite sur Dconnecter. Cette fonction nest disponible quaux administrateurs qui possdent les droits en criture de la Configuration du Systme. Le nom du compte administrateur. Le type daccs : WEB ou CLI. Dans le cas dun Type WEB, apparat dans ce champ ladresse IP de ladministrateur. Dans le cas dun Type CLI, apparat dans ce champ, soit ssh ou telnet , soit ladresse IP de ladministrateur ou console . La date et lheure auxquelles sest connect ladministrateur.
Heure
180
Maintenance du Systme
Cette section dcrit comment sauvegarder et restaurer la configuration de votre systme et comment configurer des mises jour automatiques partir du FDN (FortiGuard Distribution Network). Les sujets suivants sont parcourus dans cette section : Sauvegarde et Restauration FortiGuard Center Licence
Sauvegarde et Restauration
Pour sauvegarder et restaurer la configuration de votre systme, et pour grer le microcode, slectionnez Systme > Maintenance > Sauvegarde et Restauration. Vous pouvez sauvegarder la configuration du systme, y compris les fichiers de contenu web et les fichiers de filtrage antispam sur lordinateur dadministration ou sur un disque USB (pour les modles qui le supportent). Vous pouvez galement restaurer la configuration du systme partir de fichiers de sauvegarde dj tlchargs. Pour inclure les certificats VPN dans le fichier de sauvegarde, vous devez permettre le cryptage du fichier de sauvegarde. Lorsque la configuration des domaines virtuels est active, le contenu du fichier de sauvegarde dpend du compte administrateur qui la cr. Une sauvegarde de la configuration du systme faite partir dun compte administrateur admin comprend les paramtres gnraux et les paramtres de chaque VDOM. Seul ladministrateur admin peut restaurer la configuration de ce fichier. Une sauvegarde faite partir dun compte administrateur rgulier comprend les paramtres gnraux et les paramtres du VDOM gr par cet administrateur. Seul un compte administrateur rgulier peut restaurer la configuration sauve sur ce fichier.
181
Le jour et lheure de la dernire sauvegarde vers le PC local. Sauvegarde la configuration actuelle. Slectionnez le support sur lequel vous dsirez sauvegarder le fichier de configuration : local PC ou cl USB. La slection de Cl USB nest possible que si la cl est connecte lquipement FortiGate. Si vous slectionnez Cl USB, nommez le fichier de sauvegarde. Cochez cette case pour crypter le fichier de sauvegarde. Entrez ensuite un mot de passe dans le champ Mot de Passe et entrez le une seconde fois dans le champ Confirmer. Ce mot de passe est exig pour la restitution du fichier. Pour sauvegarder des certificats VPN, le cryptage doit tre permis sur le fichier de sauvegarde.
Cliquez sur ce bouton pour sauvegarder la configuration. Restaure la configuration partir dun fichier. Slectionnez le support sur lequel vous avez sauvegard la configuration : local PC ou Cl USB. La slection de Cl USB nest possible que si la cl est connecte lquipement FortiGate. Dans le cas o vous restaurez la configuration partir de la cl USB, slectionnez le nom du fichier de configuration dans la liste. Dans le cas o vous restaurez la configuration partir du PC dadministration, entrez le nom du fichier de configuration ou utilisez le bouton Parcourir (Browse). Dans le cas o le fichier de sauvegarde est crypt, entrez le mot de passe.
Nom du fichier :
Mot de Passe
182
Cliquez sur le bouton Restaurer pour restaurer la configuration partir du fichier slectionn. Une partition peut contenir une version du logiciel et de la configuration du systme. Les modles FortiGate 100 et plus possdent deux partitions. Une des partitions est active, tandis que lautre est une sauvegarde. Une marque V verte indique la partition comprenant le logiciel et la configuration en cours. Le jour et lheure de la dernire mise jour de cette partition. La version du microcode FortiGate. La partition de sauvegarde permet de : Slectionner Charger pour remplacer le microcode par celui qui se trouve sur le PC dadministration ou sur la cl USB. Slectionnez Charger et Redmarrer pour remplacer le microcode et en faire la partition active.
Cliquez sur ce bouton pour redmarrer le botier FortiGate en utilisant le microcode sauvegard. Cette fonction nest disponible que sur les FortiGate 100 et plus.
Avancs (USB Auto-Install, Import CLI Commands, Download Debug Log) Cette section nest disponible que dans le cas o une cl USB est connecte lquipement FortiGate. Slectionnez les options requises et redmarrez le botier FortiGate. Si vous slectionnez les mises jour de configuration et de microcode, les deux senclenchent lors du redmarrage. Un microcode ou un fichier de configuration dj tlcharg ne seront pas re-tlchargs. Quand le systme redmarre, mettre jour la configuration de la FortiGate par celle de la cl USB si le Fichier de Configuration par dfaut est prsent sur celle-ci. Met la configuration jour automatiquement lors du redmarrage. Assurez-vous que le nom du fichier de configuration par dfaut corresponde au nom de ce fichier sur la cl USB.
Quand le systme redmarre, mettre jour le FirmWare de la FortiGate par celle de la cl USB si lImage par dfaut est prsente sur celle-ci. Met le microcode jour automatiquement lors du redmarrage. Assurez-vous que le nom de lImage par dfaut corresponde au nom du fichier de limage sur la cl USB.
Import Bilk CLI Commands Importe sur lquipement FortiGate des dfinitions de filtres URL et de filtres antispam partir dun fichier texte prsent sur lordinateur dadministration. Entrez le chemin daccs et le nom de fichier ou cliquez sur Parcourir (Browse) pour localiser le fichier. Vous pouvez crer le fichier texte en extrayant la section approprie dun fichier de sauvegarde de configuration FortiGate ou en tapant les commandes CLI appropries. Download Debug Log Tlcharger un journal de dboguage crypt dans un fichier. Vous pouvez ensuite lenvoyer au Service Technique de Fortinet qui vous aidera diagnostiquer les problmes ventuels rencontrs sur votre FortiGate.
183
Centre FortiGuard
Le Centre FortiGuard configure votre FortiGate pour le FortiGuard Distribution Network (FDN - Rseau de Distribution FortiGuard) et les Services FortiGuard. Le FDN fournit des mises jour des bases de connaissance antivirus et IPS. Les Services FortiGuard procurent quant eux des listes noires dadresses IP, dURL et autres outils de filtrage antispam.
Vous devez dabord enregistrer votre FortiGate sur la page web du support de Fortinet. Voir Enregistrement dun quipement FortiGate la page 37. Pour recevoir des mises jour programmes, lquipement FortiGate doit pouvoir se connecter au FDN via HTTPS sur le port 443. Pour plus dinformations sur la configuration de programmation de mises jour, voir Activer la programmation de mise jour la page 190. Vous pouvez galement configurer votre FortiGate pour quil accepte des mises jour forces. Pour ce faire, le FDN doit tre capable dacheminer des paquets vers le botier FortiGate via UDP port 9443. Pour plus dinformations ce sujet, voir Activer les mises jour forces la page 191.
Services FortiGuard
Les Points de Service FortiGuard (FortiGuard Service Points) offrent une couverture mondiale. Fortinet cre des nouveaux Points de Service chaque fois que ncessaire. Le botier FortiGate communique par dfaut avec le Point de Service le plus proche. Si celui-ci devient, pour quelque raison que ce soit, injoignable, lquipement FortiGate contacte un autre Point de Service dont les informations saffichent aprs quelques secondes. Par dfaut le botier FortiGate communique avec le Point de Service via UDP sur le port 53. Comme alternative, vous pouvez utiliser UDP port 8888 en slectionnant Systme > Maintenance > FortiGuard Center. Pour modifier, si ncessaire, le nom dhte du Point de Service FortiGuard par dfaut, entrez le mot-cl hostname dans la commande CLI system
184 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
fortiguard. Il nest pas possible de modifier ce nom dhte partir de linterface dadministration web. Pour plus dinformations sur les services FortiGuard, rendez-vous sur la page web FortiGuard Center.
Service FortiGuard-Web
Le FortiGuard-Web est une solution de filtrage de contenu web de Fortinet. Ce service trie des centaines de millions de pages web en diverses catgories que les utilisateurs peuvent accepter, bloquer ou contrler. Le botier FortiGate accde au Point de Service FortiGuard-Web le plus proche pour dterminer la catgorie de la page web souhaite et applique ensuite la rgle pare-feu configure pour cet utilisateur ou cette interface. Une licence gratuite, valable 30 jours, pour un essai du FortiGuard-Web est offerte lachat dun quipement FortiGate. La gestion de ces licences est suivie par les serveurs Fortinet. Il nest pas ncessaire dentrer un numro de licence. Lors de lactivation du service de blocage des catgories FortiGuard, lquipement FortiGate contacte automatiquement un Point de Service FortiGuard. Pour renouveler la licence FortiGuard aprs la priode dessai de 30 jours, contactez le Support Technique de Fortinet. Pour activer FortiGuard-Web, slectionnez Systme > Maintenance > FortiGuard Center et configurez ensuite les options du filtrage FortiGuard-Web pour chaque profil de protection pare-feu. Voir Options du filtrage FortiGuard-Web la page 285.
185
Rseau de distribution FortiGuard Etat FDN Ltat de la connexion au FortiGuard Distribution Network (FDN) : vert Le botier FortiGate arrive se connecter au FDN. Vous pouvez le configurer pour des mises jour programmes. Voir Activer la programmation de mises jour la page 190. rouge-jaune clignotant Le botier FortiGate narrive pas se connecter au FDN. Voir Rsolution de problmes de connexion FDN la page 188. Mise jour force Le statut de rception des mises jour forces provenant du FDN : vert Le FDN arrive se connecter lquipement FortiGate pour envoyer des mises jour forces. Vous pouvez configurer lquipement FortiGate pour des mises jour forces. Voir Activer les mises jour forces la page 191.
186
rouge-jaune clignotant Le botier FortiGate narrive pas se connecter au FDN pour envoyer des mises jour forces. Voir Rsolution de problmes de connexion FDN la page 188.
Ractualiser
Cliquez sur Ractualiser pour que le botier FortiGate teste sa connexion au FDN. Les rsultats saffichent en haut de la page FortiGuard Center. Configurez un serveur override si vous narrivez pas vous connecter au FDN ou si votre entreprise fournit des mises jour via son propre serveur FortiGuard. Cochez cette case et entrez une adresse IP ou un nom de domaine dun serveur FortiGuard. Cliquez ensuite sur Appliquer. Si ltat FDN indique toujours un problme de connexion, voir Rsolution de problmes de connexion FDN la page 188.
Ce tableau reprend les statuts des mises jour des bases de donnes antivirus et IPS FortiGuard. Le numro de la version du fichier de la base de donnes courante sur le botier FortiGate. La date dexpiration de votre licence pour ce service FortiGuard. Le jour et lheure de la dernire tentative par le botier FortiGate de tlcharger les mises jour des bases de donnes. Le rsultat de la dernire tentative de mise jour : Pas de mise jour ; No Updates la dernire tentative a t installe avec succs, pas de nouvelle mise jour disponible. Mises jour installes ; Installed Updates - la dernire tentative a t installe avec succs, de nouvelles mises jour ont t installes.
Dautres messages peuvent indiquer que lquipement FortiGate na pas russi se connecter au FDN ou autre message derreur. Permettre les mises jour forces Utiliser ladresse IP de remplacement Cochez cette case pour permettre des mises jour automatiques de votre FortiGate. Spcifiez une adresse IP et un port de remplacement lors de la prsence dun serveur NAT entre le botier FortiGate et le FDN. Cochez la case, entrez ladresse IP et le numro du port auxquels le FDN doit envoyer les mises jour. Cliquez ensuite sur Appliquer. Pour plus dinformations, voir Activation des mises jour forces via un serveur NAT la page 192. Programmation des mises jour rgulires Chaque Cochez cette case pour activer les mises jour programmes. Tente une mise jour toutes les 1 23 heures. Slectionnez le nombre dheure dsir entre chaque requte de mise jour.
187
Journalire
Tente une mise jour une fois par jour. Vous pouvez en spcifier lheure. La tentative de mise jour senclenche un moment dtermin arbitrairement pendant lheure slectionne. Tente une mise jour une fois par semaine. Vous pouvez en spcifier le jour et lheure. La tentative de mise jour senclenche un moment dtermin arbitrairement pendant lheure slectionne. Slectionnez cette fonction pour initier manuellement une mise jour FDN.
Hebdomadaire
Mettre jour FortiGuard Service Activer Service Licence Expire Utiliser le cache
Active le service. Un des services FortiGuard : Anti Spam, Filtrage Web ou AV Query (future). Etat de votre licence pour ce service. Date dexpiration de votre licence pour ce service. Permet le cache des informations des Services FortiGuard. Cela amliore les performances grce la rduction des requtes de lquipement FortiGate au serveur FortiGuard. Le cache est configur pour utiliser 6% de la mmoire du FortiGate. Lorsque le cache est plein, ladresse IP ou lURL utilise le moins rcemment est supprime. Time to live . Le nombre de secondes pour stocker les adresses IP et URL bloques dans le cache avant de recontacter le serveur. Etat de la connexion vers le serveur FortiGuard-Antispam : Rouge/jaune clignotant chec de la connexion avec le serveur Vert permanent succs de la connexion avec le serveur
Cache TTL
Etat
Use Default Port (53) Use Alternate Port (8888) Test Availability
Slectionnez cette fonction pour utiliser le port 53 pour communiquer avec les serveurs FortiGuard-Antispam. Slectionnez cette fonction pour utiliser le port 8888 pour communiquer avec les serveurs FortiGuard-Antispam. Slectionnez cette fonction pour tester la connexion au serveur FortiGate-Antispam. Les rsultats saffichent en dessous du bouton et sur les indicateurs des Statuts.
188
Les mises jour forces risquent de ne pas tre disponibles si : Vous navez pas enregistr votre quipement FortiGate (voir Enregistrement dun quipement FortiGate la page 37.) Un serveur NAT est install entre votre FortiGate et le FDN (voir Activation de mises jour forces via un serveur NAT la page 192.) Votre FortiGate se connecte Internet via un serveur proxy (voir Activer la programmation de mises jour via un serveur proxy la page 190.)
Remarque : La mise jour des dfinitions dantivirus, par lajout de nouvelles signatures par FortiGate dans la base de donnes, peut entraner une brve rupture du trafic analys. Il est
189
ds lors prfrable de programmer les mises jour lorsque le trafic est faible, par exemple pendant la nuit.
La nouvelle programmation de frquence entre en vigueur immdiatement. A chaque fois que le botier FortiGate procde une mise jour, laction est enregistre dans le journal Evnement.
190
Remarque : Les mises jour forces ne sont pas supportes dans le cas de lutilisation dun serveur proxy pour se connecter au FDN. Pour plus dinformations, voir Activer la programmation de mises jour via un serveur proxy la page 190.
Lorsque la configuration du rseau le permet, il est recommand dactiver les mises jour forces en plus de la configuration des mises jour programmes. Cela permet au FortiGate de recevoir plus rapidement les mises jour. Cependant, la programmation de mises jour assurent au FortiGate une meilleure garantie de rception des dernires mises jour. Lactivation des mises jour forces comme seul moyen dobtention des mises jour nest pas recommande. Il existe toujours un risque que le botier FortiGate ne reoive pas linformation de la disponibilit de nouvelles mises jour. De plus une telle information nactive quune seule tentative de connexion au FDN et de tlchargement des mises jour.
191
Dans le cas dun changement manuel dune adresse IP de linterface ou de changement dynamique via DHCP ou PPPoE, lquipement FortiGate envoie un message SETUP. Le FDN doit pouvoir se connecter cette adresse IP pour permettre votre FortiGate de recevoir les messages de mises jour forces. Si votre FortiGate se trouve derrire un serveur NAT, voir Activation de mises jour forces via un serveur NAT la page 192. Dans le cas de connexions Internet redondantes, le botier FortiGate envoie galement un message SETUP lorsque lune des connexions choue et quune autre prend le relais. Si un changement dadresse IP dadministration a lieu, en mode Transparent, lquipement FortiGate envoie galement un message SETUP pour en informer le FDN.
Remarque : Vous ne pouvez pas recevoir de mise jour force via un serveur NAT si son adresse IP externe est dynamique (par exemple, via lutilisation de PPPoE ou DHCP).
Procdure gnrale
Les procdures suivantes vous guident dans la configuration du serveur NAT FortiGate et du botier FortiGate sur le rseau interne pour la rception des mises jour forces. 1 2 3 Ajoutez une IP virtuelle de relayage de port sur le serveur NAT FortiGate. Ajoutez une rgle pare-feu sur le serveur NAT FortiGate qui comprenne lIP virtuelle du relayage de port. Configurez lquipement FortiGate sur le rseau interne avec une IP et un port de remplacement.
Remarque : Avant de clturer cette procdure, assurez-vous davoir enregistr votre rseau interne du FortiGate de manire ce quil puisse recevoir les mises jour forces.
192
Licence
Pour les modles FortiGate-3000 et plus, des cls de licence sont en vente auprs de Fortinet pour augmenter le nombre maximum de VDOM jusqu 25, 50, 100 ou 250. Le botier FortiGate supporte par dfaut un maximum de 10 VDOM. La cl de licence est un code de 32 caractres fournit par Fortinet. Votre numro de srie est exig pour gnrer cette cl de licence. Slectionnez Systme > Maintenance > Licence pour entrer la cl de licence.
Illustration 84 : Cl de licence pour ajout de VDOM supplmentaires
Le nombre actuel maximum de domaines virtuels. Entrez la cl de licence fournie par Fortinet et cliquez ensuite sur Appliquer.
193
Routeur Statique
Vous trouverez dans cette section la faon de dfinir des routes statiques et de crer des rgles de route. Une route fournit au FortiGate linformation ncessaire pour transfrer un paquet vers une destination particulire. Une route statique entrane le transfert de paquets vers une destination autre que celle de la passerelle par dfaut configure lorigine. La route statique par dfaut configure lorigine vous fournit un point de dpart pour configurer la passerelle par dfaut. Vous pouvez diter cette route statique par dfaut et spcifier une passerelle par dfaut diffrente pour le botier FortiGate, ou vous pouvez la supprimer et spcifier votre propre route statique par dfaut qui dirige vers la passerelle par dfaut (voir Route par dfaut et passerelle par dfaut la page 198). Les routes statiques sont dfinies manuellement. Elles contrlent le trafic sortant du FortiGate vous pouvez spcifier linterface travers laquelle les paquets sortent et linterface vers laquelle ces paquets sont dirigs. Facultativement, il est possible de dfinir des rgles de route (route policies). Celles-ci ajoutent des critres supplmentaires pour lexamin des proprits des paquets entrants. Ces rgles permettent galement de configurer le botier FortiGate pour diriger les paquets en fonction de leurs adresses IP source et/ou de destination et autres critres tels que linterface qui a reu le paquet ou le protocole (service) et/ou port utilis pour le transport du paquet. Les sujets suivants sont parcourus dans cette section : Route Statique Rgle de Routage
Route Statique
Les routes statiques se configurent en dfinissant ladresse IP et le masque de rseau de destination des paquets que le botier FortiGate sapprte intercepter et en spcifiant une adresse IP (de passerelle) pour ces paquets. Ladresse de la passerelle indique le routeur du prochain saut vers lequel le trafic va tre dirig.
Remarque : La commande CLI config router static6 permet dajouter, diter ou supprimer les routes statiques du trafic IPv6. Pour plus dinformations, voir le chapitre sur les routeurs dans le FortiGate CLI Reference.
Concepts de routage
Le routage tant un sujet complexe, certains le considrent comme trop difficile matriser. Cependant, le botier FortiGate tant un appareil ddi la scurit sur le rseau, ce guide dveloppe un certain nombre de concepts de base sur le routage de manire ce que la configuration du FortiGate puisse tre ralise avec efficacit. Que le rseau administrer soit grand ou petit, ce module vous aide comprendre les fonctions de routage excutes par un quipement FortiGate.
194
deux routes pour une mme destination dans la table de relayage, cest la route qui possde le numro le plus bas dans la succession qui est considre comme la route avec la plus grande priorit. Dans la version 3.0 de FortiOS, il est possible de dfinir un champ de priorits pour les routes partir des commandes CLI. Ce champ ne tient pas compte du numro de squence dans le cas o deux routes ont la mme distance administrative la route ayant la priorit la plus leve est le route primaire. Si deux routes ont la mme priorit, il est possible de dfinir le champ de priorits via la commande CLI set priority <integer> dans la commande config route static. Pour plus dinformations, voir le FortiGate CLI Reference. DH New 3.0, partial fix for bug. Lorsquune route statique est cre dans la liste de Routes Statiques partir de linterface dadministration web, lquipement FortiGate lui affecte automatiquement le prochain numro de squence. Par exemple, dans lillustration 85, deux routes statiques vers une mme destination (1.1.1.0/24) ont t cres pour montrer comment les numros dentre et les numros de squence sont affects par linterface graphique. Les deux routes spcifient la mme passerelle, mais dans un cas, le paquet quitte lquipement FortiGate via linterface port1 et dans le deuxime cas, via linterface port2 .
Illustration 85 : Routes statiques cres partir de linterface dadministration web
Le numro de squence dans la table de routage dpend de lordre de cration des entres. Ainsi lentre 2 a t cre avant lentre 3. Lorsque lquipement FortiGate value ces deux routes pour une mme destination, celles-ci seront toutes les deux ajoutes dans la table de relayage car leur distance administrative est basse. Une fois dans la table de relayage, le numro de squence dtermine la priorit de la route, moins que celle-ci ait t dfinie partir de la commande CLI set priority. Lentre 2 ayant le numro de squence le plus bas, elle devient la route prfre.
Remarque : Il est possible dafficher les numros des routes statiques dans la table de routage partir de la commande CLI config router static, et tapez ensuite get. Le numro dune route est quivalente la valeur edit <ID_integer> entre prcdemment par une commande CLI. Pour plus dinformations, voir config router static dans le FortiGate CLI Reference.
Lorsque toutes les routes statiques sont configures partir de linterface graphique, lordre des entres dans la liste de Routes Statiques quivaut la squence des routes statiques dans la table de routage. Cependant, le numro de squence dune route ne correspond pas toujours son numro dentre dans la liste de Routes Statiques. Cest le cas lorsque les numros de squence ont t dfinis lors de leur cration partir de linterface de commande en ligne. Les numros de squence peuvent tre spcifis partir de commandes CLI uniquement. En rsum, si une route de la table de routage possde un numro de squence plus bas quune autre route pour la mme destination, lquipement FortiGate
196
choisit la route avec le numro de squence le plus bas. Etant donn que vous pouvez, lors de la configuration de routes statiques, partir de linterface de ligne de commande, spcifier les numros de squence ou la priorit affecter, les routes vers une mme destination peuvent tre dfinies comme prioritaires ou non en fonction de leurs numro de squence et priorit. Pour mettre la priorit sur une route statique, vous devez crer cette route partir de la commande CLI config router static et spcifier un numro de squence bas ou une priorit haute pour cette route.
Crer Nouveau
Permet dajouter une route statique la liste des Routes Statiques. Voir Ajout dune route statique la table de routage la page 200. Les adresses IP de destination des paquets intercepts par lquipement FortiGate. Le masque de rseau associ aux adresses IP. Les adresses IP des routeurs du prochain saut vers lequel les paquets intercepts sont envoys. Le nom de linterface FortiGate travers laquelle les paquets intercepts sont reus et envoys. Les distances administratives associes chaque route. La valeur reprsente la distance vers les routeurs du prochain saut.
Icnes Supprimer et Editer Permet de supprimer ou dditer lentre dans la liste. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 197
Dans cet exemple, pour diriger les paquets sortants du rseau interne vers des destinations qui ne sont pas sur le rseau 192.168.20.0/24, vous pouvez diter la route par dfaut et inclure les paramtres suivants : IP/Masque de destination : 0.0.0.0/0.0.0.0 Passerelle : 192.168.10.1 Interface : Nom de linterface connecte au rseau 192.168.10.0/24 (par exemple, external). Distance : 10
198
Le paramtre Passerelle spcifie, pour linterface external du FortiGate, ladresse IP de linterface du routeur du prochain saut. Linterface derrire le routeur (192.168.10.1) est la passerelle par dfaut pour FortiGate_1. Dans certains cas, il peut y avoir des routeurs derrire lquipement FortiGate. Si la destination dune adresse IP dun paquet nest pas sur le rseau local mais sur un rseau derrire lun de ces routeurs, la table de routage de lquipement FortiGate doit comprendre une route statique vers ce rseau. Dans lexemple de lillustration 88, lquipement FortiGate doit tre configur avec des route statiques vers les interfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets respectivement vers Network_1 et Network_2.
Illustration 88 : Destinations vers des rseaux derrire les routeurs internes
Pour diriger les paquets du Network_1 vers le Network_2, Router_1 doit tre configur pour utiliser linterface internal de lquipement FortiGate comme sa passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement FortiGate une nouvelle route statique avec les paramtres suivants : IP/Masque de destination : 192.168.30.0/24 Passerelle : 192.168.11.1 Interface : dmz Distance : 10
Pour diriger les paquets du Network_2 vers le Network_1, Router_2 doit tre configur pour utiliser linterface dmz de lquipement FortiGate comme sa passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement FortiGate une nouvelle route statique avec les paramtres suivants : IP/Masque de destination : 192.168.20.0/24 Passerelle : 192.168.10.1 Interface : internal Distance : 10
199
5 6
Entrez ladresse IP de destination et le masque de rseau des paquets devant tre intercepts par lquipement FortiGate. La valeur 0.0.0.0/0.0.0.0 est rserve la route par dfaut.
200
Passerelle
Entrez ladresse IP du routeur du prochain saut vers lequel lquipement FortiGate enverra les paquets intercepts. Slectionnez le nom de linterface FortiGate travers laquelle les paquets intercepts passeront pour se diriger vers le routeur du prochain saut. Entrez une distance administrative pour la route. La valeur de la distance est arbitraire et devrait reflter la distance vers le routeur du prochain saut. Une valeur plus basse indique une route prfre. La valeur se situe entre 1 et 255.
Interface
Distance
Rgle de Routage
A chaque fois quun paquet arrive sur lune des interfaces du FortiGate, ce dernier dtermine si le paquet a t reu par une interface lgitime en lanant une recherche inverse utilisant ladresse IP source de len-tte du paquet. Dans le cas o le botier FortiGate narrive pas communiquer avec lordinateur de cette adresse IP source, le botier FortiGate annule le paquet. Dans le cas o ladresse de destination correspond une adresse locale (et que la configuration locale permet la livraison), lquipement FortiGate livre le paquet au rseau local. Si le paquet est destin un autre rseau, lquipement FortiGate transfre le paquet vers le routeur du prochain saut daprs la rgle de route correspondante et/ou daprs les informations disponibles dans la table de relayage FortiGate (voir Concepts de routage la page 194). Lorsque des rgles de route existent et quun paquet arrive sur lquipement FortiGate, ce dernier se rfre la liste des Rgles de Routage et tente de faire correspondre le paquet avec lune dentre elles. Si une correspondance est trouve et que la rgle contient assez dinformations pour diriger le paquet (ladresse IP du routeur du prochain saut doit tre spcifie, ainsi que linterface FortiGate pour lenvoi de paquets vers le routeur du prochain saut), lquipement FortiGate dirige le paquet en fonction des informations contenues dans la rgle de routage. Si aucune rgle de routage correspond au paquet, lquipement FortiGate dirige le paquet utilisant la table de routage.
Remarque : Etant donn que la plupart des paramtres des rgles sont optionnels, une rgle seule risque de ne pas fournir toute linformation ncessaire au FortiGate pour envoyer le paquet. Lquipement FortiGate peut se rfrer la table de routage dans une tentative de faire correspondre les informations contenues dans len-tte du paquet avec une route dans la table de routage. Par exemple, si linterface sortante est le seul lment repris dans la rgle, lquipement FortiGate vrifie ladresse IP du routeur du prochain saut dans la table de routage. Cette situation pourrait se prsenter lorsque les interfaces FortiGate sont dynamiques (linterface reoit son adresse IP via DHCP ou PPPoE) et vous ne dsirez pas ou narrivez pas spcifier une adresse IP du routeur du prochain saut car ladresse IP change dynamiquement.
Pour voir la liste des rgles de routage, slectionnez Routeur > Static > Policy Route. Pour diter une rgle de routage existante, cliquez sur licne Editer ct de la rgle que vous voulez diter. Lillustration 90 reprsente une liste de rgles de routage appartenant un quipement FortiGate qui possdent des interfaces appeles external et internal . Les noms des interfaces varient selon les modles FortiGate.
201
Crer Nouveau #
Permet dajouter une rgle de routage. Voir Ajout dune rgle de routage la page 202. Les numros ID des rgles de routage configures. Ces numros sont squentiels, moins que des rgles aient t modifies dans la table. Les interfaces sur lesquelles les paquets sujets des rgles de routage ont t reus. Les interfaces travers lesquelles les paquets routs par rgles sont dirigs. Les adresses IP source et masques de rseau responsables de lapplication de rgles de routage. Les adresses IP de destination et les masques de rseau responsables de lapplication de rgles de routage. Permet de supprimer une rgle de routage. Permet dditer une rgle de routage. Permet de dplacer une rgle de routage vers le haut ou le bas dans la table de routage. En slectionnant cette icne, une nouvelle fentre saffiche dans laquelle vous pouvez spcifier la nouvelle localisation dans la table de Rgles de Routage. Voir Dplacer une rgles de routage la page 203.
Interface source Interface destination Source Destination Icne Supprimer Icne Editer Icne Dplacer
202
Protocole
Pour excuter des rgles de routage en fonction de la valeur dans le champ protocole du paquet, entrez le numro de protocole correspondant. Cette valeur se situe entre 0 et 255. La valeur 0 dsactive la fonctionnalit. Slectionne le nom de linterface travers laquelle les paquets entrants sujets la rgle sont reus. Pour excuter des rgles de routage en fonction de ladresse IP source du paquet, entrez ladresse source et le masque de rseau correspondants. La valeur 0.0.0.0/0.0.0.0 dsactive la fonctionnalit. Pour excuter des rgles de routage en fonction de ladresse IP de destination du paquet, entrez ladresse de destination et le masque de rseau correspondants. La valeur 0.0.0.0/0.0.0.0 dsactive la fonctionnalit. Pour excuter des rgles de routage en fonction du port sur lequel est reu, entrez le mme numro de port dans les champs Dbut et Fin. Si vous voulez que cette rgle sapplique un intervalle de ports, entrez le premier port de la plage dans le champ Dbut et le dernier dans le champ Fin. Les valeurs 0 dsactivent cette fonctionnalit. Slectionnez le nom de linterface travers laquelle les paquets concerns pas la rgle passeront. Entrez ladresse IP du routeur du prochain saut que lquipement FortiGate peut accder travers linterface spcifie. La valeur 0.0.0.0 nest pas valide.
Ports destination
priorit dterminera la route utiliser. Cette fonctionnalit nest disponible qu partir de linterface de ligne de commande.
Illustration 92 : Dplacement dune rgle de routage
Avant / Aprs
Slectionnez Avant pour placer la rgle de routage slectionne avant la route indique. Slectionnez Aprs pour placer la rgle de routage slectionne aprs la route indique. Entrez lID de la rgle de routage avant ou aprs laquelle doit venir se positionner la rgle de routage slectionne.
Policy route ID
204
Routeur dynamique
Cette section explique comment configurer des protocoles dynamiques pour diriger le trafic travers de larges et complexes rseaux. Les protocoles de routage dynamiques permettent lquipement FortiGate de partager automatiquement les informations sur les routes et rseaux avec les routeurs voisins. Le botier FortiGate supporte les protocoles de routage dynamiques suivants : Routing Information Protocol (RIP) Open Shortest First (OSPF) Border Gateway Protocol (BGP)
Remarque : Les options de base de routage RIP, OSPF et BGP peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures partir de linterface de ligne de commande uniquement. Des descriptions et exemples complets sur lutilisation de commandes CLI pour configurer les paramtres RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Le botier FortiGate slectionne des routes et met jour sa table de routage dynamiquement en fonction de rgles spcifies. A partir dun ensemble de rgles, lquipement FortiGate peut dterminer la meilleure route pour lenvoi de paquets vers une destination. Des rgles peuvent galement tre dfinies pour supprimer la publicit des routes vers les routeurs voisins et/ou modifier les informations de routage FortiGate avant de les publier.
Remarque : Le botier FortiGate peut oprer comme un routeur PIM (Protocol Independant Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes PIM clairsem et dense et peuvent servir de serveurs ou receveurs multicast sur le segment rseau auquel linterface FortiGate est connecte. PIM peut utiliser des routes statiques, RIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.
Les sujets suivants sont parcourus dans cette section : RIP OSPF BGP Multicast
RIP
Le RIP est un protocole de routage vecteur de distance prvu pour de petits rseaux relativement homognes. Limplmentation FortiGate du RIP supporte les versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).
Remarque : Les options de base de routage peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures partir de linterface de ligne de commande uniquement. Des descriptions et exemples complets sur lutilisation de commandes CLI pour configurer les paramtres RIP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
205
Fonctionnement RIP
Lorsque le routage RIP est activ, lquipement FortiGate met des requtes pour des annonces RIP partir de chacune de ses interfaces pour lesquelles le RIP est activ. Les routeurs voisins rpondent en se basant sur leur table de routage. Lquipement FortiGate ajoute les routes de ses voisins, absentes de sa table de routage, sa propre table de routage. Si une route existe dj dans sa table de routage, lquipement FortiGate compare la route diffuse la route enregistre et en choisit une. La mtrique utilise par RIP utilise le nombre de sauts (hop count) pour choisir la meilleure route. Un nombre de sauts de 1 reprsente un rseau connect directement lquipement FortiGate. Un nombre de sauts de 16 reprsente un rseau que lquipement FortiGate ne peut pas atteindre. Chaque rseau travers par un paquet pour atteindre sa destination compte en gnral pour un saut. Lorsque lquipement FortiGate compare deux routes pour une mme destination, la route ayant le nombre de sauts le plus bas est ajoute la table de routage. Par ailleurs, lorsquun routage RIP est activ sur une interface, le botier FortiGate envoie rgulirement des rponses RIP aux routeurs voisins. Les annonces fournissent des informations propos des routes prsentes dans la table de routage FortiGate en fonction des rgles de diffusion spcifies. Il est possible de prciser la frquence laquelle lquipement FortiGate envoie ces annonces, le temps pendant lequel une route est sauvegarde dans la table de routage sans subir de mise jour, et encore, pour les routes non mises jour rgulirement, combien de temps lquipement FortiGate diffuse la route comme inatteignable avant quelle soit supprime de la table de routage.
206
Version RIP
Slectionnez le niveau de compatibilit. Vous pouvez activer les paramtres globaux RIP sur toutes les interfaces FortiGate connectes aux rseaux RIP : Slectionnez 1 pour envoyer et recevoir les paquets RIP version 1. Slectionnez 2 pour envoyer et recevoir les paquets RIP version 2. Slectionnez Les deux pour envoyer et recevoir les paquets RIP versions 1 et 2. Vous pouvez ignorer les paramtres globaux pour une interface FortiGate spcifique si ncessaire (voir Ignorer les paramtres de fonctionnement sur une interface la page 209).
Slectionnez Options Avances RIP. Voir Slection doptions RIP avances la page 208. Les adresses IP et masques de rseau des rseaux principaux (connects lquipement FortiGate) muni de RIP. Lorsque vous ajoutez un rseau la liste des Rseaux, les interfaces FortiGate faisant partie de ce rseau sont diffuses dans les annonces RIP. Vous pouvez activer RIP sur toutes les interfaces FortiGate dont les adresses IP correspondent lespace adressage du rseau RIP. Entrez ladresse IP et le masque de rseau qui dfinissent le rseau RIP. Permet dajouter les informations sur le rseau la liste des Rseaux. Tous les paramtres supplmentaires ncessaires pour ajuster le fonctionnement RIP sur une interface FortiGate. Permet de configurer les paramtres de fonctionnement RIP dune interface. Ces paramtres ignoreront les paramtres globaux RIP pour cette interface. Voir Ignorer les paramtres de fonctionnement RIP sur une interface la page 209. Slectionnez linterface pour laquelle configurer les paramtres de fonctionnement RIP.
Interfaces
Version - Envoys Slectionnez la version RIP utilise pour lenvoi dannonces partir de chaque interface : 1, 2 ou les deux.
207
Slectionnez la version RIP utilise pour la rception dannonces partir de chaque interface : 1, 2 ou les deux. Slectionnez le type dauthentification utilis sur cette interface : None, Text ou MD5. Slectionnez pour bloquer lmission RIP sur cette interface.
Icnes Supprimer et Editer Permet de supprimer ou dditer une entre rseau RIP ou une dfinition dinterface RIP.
Remarque : Des options avances supplmentaires peuvent tre configures partir de linterface de ligne de commande. Par exemple, vous pouvez filtrer les annonces entrantes et sortantes grce lutilisation dune carte de route, dune liste daccs ou encore dune liste de prfixes. Lquipement FortiGate supporte galement des listes offset, qui ajoutent un dcalage aux mtriques dune route. Pour plus dinformations, voir le chapitre Routeur dans le FortiGate CLI Reference. Illustration 94 : Options avances (RIP)
Entrez le nombre de sauts par dfaut que lquipement FortiGate devrait affecter aux routes ajoutes la table de routage. Ce nombre varie entre 1 et 16. Cette valeur sapplique galement la Redistribution des routes moins que spcifi diffremment.
Slectionnez pour gnrer et annoncer sans restriction une route par dfaut vers les rseaux RIP FortiGate. La route gnre peut tre base sur des routes annonces partir dun protocole de routage dynamique, des routes de la table de routage ou les deux.
208
Compteurs RIP
Ignore les paramtres par dfaut du compteur RIP. Ces paramtres sont en vigueur dans la plupart des configurations en cas de modifications de ces paramtres, veillez ce que les nouveaux paramtres soient compatibles avec les routeurs locaux et les serveurs daccs. Entrez le laps de temps (en secondes) entre chaque envoi par le botier FortiGate des annonces RIP. Entrez le temps maximum (en secondes) pendant lequel une route reste considre comme atteignable bien quaucune annonce nest reue pour cette route. Cest le temps maximum pendant lequel lquipement FortiGate gardera une route atteignable dans la table de routage alors quaucune annonce nest reue pour cette route. Si lquipement FortiGate reoit une annonce pour cette route avant que le laps de temps soit coul, le compteur redmarre. Cette priode devrait tre au moins trois fois plus longue que la priode Annonces ci-dessus.
Route supprime Entrez le temps (en secondes) pendant lequel lquipement FortiGate annoncera une route dont le statut est inatteignable avant de la supprimer de la table de routage. Cette valeur dtermine le temps pendant lequel une route inatteignable reste dans la table de routage. Redistribution des routes Activez ou dsactivez les annonces RIP concernant les routes qui nont pas t diffuses via annonces RIP. Lquipement FortiGate peut utiliser le RIP pour redistribuer les routes diffuses partir de rseaux connects directement, de routes statiques, OSPF et/ou BGP. Connectes Slectionnez cette option pour redistribuer les routes diffuses via des rseaux connects directement. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Slectionnez cette option pour redistribuer les routes diffuses via des routes statiques. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Slectionnez cette option pour redistribuer les routes diffuses via OSPF. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16. Slectionnez cette option pour redistribuer les routes diffuses via BGP. Si vous dsirez spcifier un nombre de saut pour ces routes, cochez la case Mtrique et entrez dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16.
Statiques
OSPF
BGP
annonces. Lquipement FortiGate et les routeurs voisins doivent tre configurs avec le mme mot de passe. Le procd dauthentification garantit lauthenticit du paquet dannonces mais ne garantit pas la confidentialit des informations sur le routage contenus dans le paquet. Pour dfinir les paramtres RIP des interfaces RIP, slectionnez Routeur > Dynamic > RIP et cliquez sur Crer Nouveau.
Remarque : Certaines options supplmentaires telles que split-horizon et key-chain peuvent tre configures sur chaque interface partir de linterface de ligne de commande. Pour plus dinformations, voir le chapitre Routeur dans le FortiGate CLI Reference.
Lillustration 95 reprsente la bote de dialogue Nouvelle/Editer Interface RIP appartenant un FortiGate qui possde une interface appele internal . Les noms des interfaces varient selon les modles FortiGate.
Illustration 95 : Nouvelle/Editer Interface RIP
Interface
Slectionnez le nom de linterface pour laquelle les paramtres ci-dessous sappliquent. Linterface doit tre connecte un rseau RIP. Linterface peut tre une interface virtuelle IPSec ou GRE. Slectionnez pour ignorer le paramtre par dfaut de compatibilit RIP pour lenvoi ou la rception des annonces travers linterface : RIP version 1, version 2 ou les deux. Slectionnez une mthode dauthentification pour les changes RIP sur linterface spcifie : Slectionnez None pour dsactiver lauthentification. Pour une interface connecte un rseau muni de RIP version 2, vous pouvez facultativement slectionner Texte et entrez un mot de passe (jusqu 35 caractres). Lquipement FortiGate et le routeur des annonces RIP doivent tre configurs avec le mme mot de passe. Le mot de passe est envoy sous forme de texte travers le rseau. Slectionnez MD5 pour authentifier un change via MD5.
Authentification
Passive Interface
Permet de supprimer lannonce des informations de routage FortiGate travers linterface spcifie. Pour activer les rponses de linterface aux requtes RIP, ne pas slectionner cette case.
210
OSPF
OSPF est un protocole de routage IP de type tat de lien utilis gnralement sur de larges rseaux htrognes pour partager les informations de routage entre les routeurs dun mme Systme Autonome (AS). Lquipement FortiGate supporte OSPF version 2 (voir RFC 2328).
Remarque : Les options de base de routage OSPF peuvent tre configure partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures uniquement partir de linterface de ligne de commande. Pour des descriptions et exemples complets sur la configuration de paramtres OSPF via lutilisation des commandes CLI, voir le chapitre Routeur du FortiGate CLI Reference.
211
des routes vers les routeurs de bordure daires OSPF (vers lesquels les paquets destins dautres aires sont envoys). si le rseau contient des aires OSPF et des domaines non-OSPF, des routes vers les routeurs frontires AS, qui rsident dans le rseau backbone OSPF et sont configurs pour lenvoi de paquets vers des destinations en dehors du systme autonome OSPF.
Le nombre de routes portes la connaissance de lquipement FortiGate dpendent de la topologie du rseau. Un seul quipement FortiGate peut supporter des dizaines de milliers de routes si le rseau OSPF est configur correctement.
Les procdures suivantes dcrivent la configuration de ces tches partir de linterface dadministration web. Dfinir un AS OSPF 1 2 3 4 5 Slectionnez Routeur > Dynamic > OSPF. Cliquez sur Crer Nouveau dans la section Aires. Dfinissez les caractristiques dune ou plusieurs aires OSPF. Voir Dfinition daires OSPF la page 216. Cliquez sur Crer Nouveau dans la section Rseaux. Crez des associations entre les aires OSPF que vous dfinissez et les rseaux locaux inclure dans lAS OSPF. Voir Spcification des rseaux OSPF la page 217. Sil est ncessaire dajuster les paramtres par dfaut dune interface OSPF, cliquez sur Crer Nouveau dans la section Interfaces. Slectionnez les paramtres de fonctionnement pour linterface. Voir Slection de paramtres de fonctionnement dune interface OSPF la page 218. Rptez les tapes 6 et 7 si ncessaire pour dautres interfaces OSPF. Facultativement, slectionnez les options OSPF avances pour lAS OSPF. Voir Slection doptions OSPF avances la page 214.
6 7 8 9
212
Pour visualiser et diter les paramtres OSPF, slectionnez Routeur > Dynamic > OSPF. Lillustration 96 reprsente les paramtres de base OSPF dun quipement FortiGate qui possde une interface appele port1 . Les noms des interfaces varient en fonction des modles FortiGate.
Illustration 96 : Paramtres de base OSPF
Routeur ID
Entrez un ID de routeur unique en vue didentifier lquipement FortiGate vis--vis des autres routeurs OSPF. Par convention, lID du routeur est ladresse IP la plus haute (numriquement parlant) de toutes les interfaces FortiGate dans lAS OSPF. Ne pas modifier lID du routeur pendant le fonctionnement dOSPF. Voir Slection doptions OSPF avances la page 214. Informations propos des aires (zones) qui forment lAS OSPF. Len-tte dun paquet OSPF contient lID de laire, ce qui permet didentifier lorigine dun paquet au sein dun AS.
Crer Nouveau
Permet de dfinir une aire OSPF et dajouter cette nouvelle aire la liste des Aires. Voir Dfinition daires OSPF la page 216. Chaque ligne comprend lidentificateur (ID) 32 bits unique, exprim sous forme de notation dcimale point, dune aire dans lAS. Laire portant lID 0.0.0.0 est laire backbone de lAS et ne peut tre chang ou supprim. Les diffrents types des aires dans lAS : Dans le cas o laire est une aire normale OSPF, le type affich est Regular . Si laire est une not-so-stubby area , le type affich est NSSA . Si laire est une stub area , le type affich est Stub .
Aire
Type
213
Authentification
Les mthodes dauthentification de paquets OSPF envoys et reus travers les interfaces FortiGate lies chaque aire. Lorsque lauthentification est dsactive, la mention None saffiche. Lorsquune authentification avec mot de passe en texte est active, la mention Texte saffiche. Lorsque lauthentification MD5 est active, la mention MD5 saffiche.
Des paramtres dauthentification diffrents peuvent sappliquer certaines interfaces dune aire, tel quaffich dans la section Interfaces. Par exemple, si une aire utilise des mots de passe simples, vous pouvez configurer un mot de passe diffrent pour un ou plusieurs rseaux de cette aire. Rseaux Les rseaux de lAS OSPF et leur ID aire. Lorsquun rseau est ajout dans la liste des Rseaux, toutes les interfaces FortiGate faisant partie du rseau sont annonces via les LSA OSPF. Vous pouvez activer OSPF sur toutes les interfaces dont les adresses IP correspondent lespace adressage rseau OSPF. Slectionnez pour ajouter un rseau lAS, spcifier son ID aire et ajouter une dfinition la liste Rseaux. Voir Spcification des rseaux OSPF la page 217. Les adresses IP et masques de rseau des rseaux de lAS sur lesquels OSPF est activ. Lquipement FortiGate peut avoir des interfaces physiques ou VLAN connectes au rseau. LID de laire affecte lespace adressage rseau OSPF. Tout paramtre supplmentaire ncessaire lajustement du fonctionnement OSPF sur une interface FortiGate. Slectionnez pour ajouter des paramtres de fonctionnement OSPF supplmentaires ou diffrents pour une interface FortiGate et ajouter la configuration la liste des Interfaces. Voir Slection de paramtres de fonctionnement dune interface OSPF la page 218. Les noms des dfinitions des interfaces OSPF. Les noms des interfaces physiques ou VLAN ayant des paramtres diffrents des valeurs par dfaut affectes toutes les autres interfaces dune mme aire. Les adresses IP des interfaces OSPF ayant des paramtres supplmentaires ou diffrents. Les mthodes dauthentification des changes LSA envoys ou reus sur des interfaces OSPF spcifies. Ces paramtres ignorent les paramtres de lauthentification de laire. Slectionnez pour supprimer ou diter une aire OSPF, un rseau ou une dfinition dinterface.
Crer Nouveau
Rseaux
Nom Interface
IP Authentification
214
une route statique la table de routage FortiGate. Dans ces cas-l, vous pouvez configurer la diffusion par le FortiGate de ces routes sur les interfaces OSPF. Pour slectionnez les options OSPF avances, slectionnez Routeur > Dynamic OSPF et drouler les Options Avances. Aprs avoir slectionn les options, cliquez sur Appliquer.
Illustration 97 : Options OSPF avances
Gnre ou diffuse une route par dfaut (external) vers lAS OSPF. La route gnre peut tre base sur des routes dont lquipement FortiGate a eu connaissance via un protocole de routage dynamique ou des routes dans la table de routage, ou les deux. Dsactive la gnration dune route par dfaut. Gnre une route par dfaut dans lAS OSPF et diffuse la route aux systmes autonomes voisins seulement si la route est prsente dans la table de routage. Gnre une route par dfaut dans lAS OSPF et diffuse la route aux systmes autonomes voisins inconditionnellement mme si la route est absente de la table de routage. Active ou dsactive les LSA OSPF propos des routes non diffuses via OSPF. Lquipement FortiGate peut utiliser OSPF pour redistribuer les routes diffuses partir de rseaux connects directement, de routes statiques, RIP et/ou BGP. Slectionnez cette option pour redistribuer les routes diffuses partir de rseaux connects directement. Si vous dsirez prciser un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214. Slectionnez cette option pour redistribuer les routes diffuses partir de routes statiques. Si vous dsirez spcifier un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214. Slectionnez cette option pour redistribuer les routes diffuses partir de RIP. Si vous dsirez spcifier un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214. Slectionnez cette option pour redistribuer les routes diffuses partir de BGP. Si vous dsirez spcifier un cot pour ces routes, entrez le cot dans le champ Mtrique. Ce cot peut varier entre 1 et 16 777 214.
Aucun Regular
Toujours
Redistribution
Connect
Statiques
RIP
BGP
Remarque : Des options avances supplmentaires peuvent tre configures partir de linterface de ligne de commande. Pour plus dinformations, voir le chapitre Routeur dans le FortiGate CLI Reference. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 215
Une aire Regular comprend plus dun routeur, chacun ayant au moins une interface OSPF dans cette aire. Pour atteindre le backbone OSPF, les routeurs dune aire stub doivent envoyer les paquets vers un routeur de bordure de zones. Les routes qui mnent vers des domaines non-OSPF ne sont pas diffuses aux routeurs des aires stub. Le routeur de bordure de zones diffuse lAS OSPF une seule route par dfaut (destination 0.0.0.0) dans laire stub, qui assure que tous les paquets OSPF ne correspondant pas une route spcifique correspondront la route par dfaut. Tous les routeurs connects une aire stub est considre comme faisant partie de cette aire. Dans une aire NSSA (Not-So-Stubby Area), les routes qui sortent de laire vers un domaine non-OSPF sont diffuses lAS OSPF. Cependant, laire elle-mme continue dtre traite comme une aire stub par le reste de lAS. Les aires Regular et stub (y compris NSSA) sont connectes au backbone OSPF par lintermdiaire de routeurs de bordure de zones. Pour dfinir une aire OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez sur Crer Nouveau dans la section Aires. Pour diter les proprits dune aire OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez sur licne Editer dans la ligne correspondante laire concerne.
Remarque : Si ncessaire, vous pouvez dfinir un lien virtuel vers une aire qui a perdu sa connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement tre dfinis entre deux quipements FortiGate qui agissent en tant que routeurs de bordure de zones. Pour plus dinformations, voir config virtual-link sous la sous-commande OSPF config area dans le FortiGate CLI Reference. Illustration 98 : Nouvelle/Editer Aire OSPF
Aire
Entrez un identificateur de 32 bits pour cette aire. La valeur doit tre similaire une adresse IP sous forme de notation dcimale point. Une fois laire OSPF cre, la valeur IP de cette aire ne peut plus tre modifie. Slectionnez un type daire pour catgoriser les caractristiques du rseau qui seront affectes laire :
Type
216
Slectionnez Regular si laire comprend plus dun routeur, chacun ayant au moins une interface OSPF dans laire. Slectionnez NSSA si vous dsirez des routes vers des domaines non-OSPF diffuss sur lAS OSPF et dsirez que laire soit traite comme une aire stub par le reste de lAS. Slectionnez STUB si les routeurs de laire doivent envoyer des paquets vers un routeur en bordure de zones pour atteindre le backbone et que vous ne dsirez pas que les routes vers des domaines non-OSPF soit diffuses vers les routeurs dans laire.
Authentification
Slectionnez la mthode dauthentification OSPF des paquets envoys et reus par lintermdiaire de toutes les interfaces dans cette aire : Slectionnez None pour dsactiver lauthentification. Slectionnez Texte pour activer un mot de passe dauthentification sous forme de texte pour authentifier les changes LSA. Le mot de passe est envoy sous forme de texte travers le rseau. Slectionnez MD5 pour authentifier un change via MD5.
Si ncessaire, vous pouvez ignorer ce paramtres pour une ou plusieurs interfaces de laire (voir Slection des paramtres de fonctionnement dune interface OSPF la page 218.
Remarque : Pour affecter un rseau une aire, voir Spcification des rseaux OSPF la page 217.
IP/Masque Aire
Entrez ladresse IP et le masque de rseau du rseau local que vous dsirez affecter une aire OSPF. Slectionnez un ID aire pour le rseau. Les proprits de laire doivent correspondre aux caractristiques et la topologie du rseau spcifi. Vous devez dfinir laire avant de pouvoir slectionnez lID aire. Voir Dfinition daires OSPF la page 216.
217
Nom
Entrez un nom pour identifier la dfinition de linterface OSPF. Par exemple, le nom pourrait indiquer laire OSPF laquelle sera relie linterface. Slectionnez le nom de linterface associer cette dfinition dinterface OSPF (par exemple, port1, external ou VLAN_1). Lquipement FortiGate peut avoir des interfaces physiques, VLAN, virtuelles IPSec ou GRE connectes au rseau OSPF.
Interface
218
IP
Entrez ladresse IP affecte linterface OSPF. Linterface devient une interface OSPF lorsque son adresse IP correspond lespace adresse rseau OSPF. Par exemple, si vous dfinissez un rseau OSPF 172.20.120.0/24 et affectez ladresse IP 172.20.120.140 au port1, entrez 172.20.120.140. Slectionnez une mthode dauthentification pour les changes LSA pour linterface spcifie : Slectionnez None pour dsactiver lauthentification. Slectionnez Texte pour une authentification partir dun mot de passe textuel. Ce mot de passe se compose de 35 caractres maximum et est envoy sous forme de texte travers le rseau. Slectionnez MD5 pour lutilisation dune ou plusieurs cl(s) pour gnrer un hash MD5.
Authentification
Ces paramtres ignorent les paramtres dAuthentification pour laire. Mot de passe Entrez le mot de passe textuel. Entrez une valeur alphanumrique jusqu 15 caractres. Les voisins OSPF qui envoient des LSA aux interfaces FortiGate doivent tre configurs avec le mme mot de passe. Ce champ nest disponible que si vous avez choisi la mthode dauthentification Texte. Entrez lidentificateur cl pour le (premier) mot de passe dans le champ ID (dans un intervalle de 1 255) et tapez ensuite le mot de passe associ dans le champ Cl (Key). Le mot de passe est une suite alphanumrique de maximum 16 caractres. Les voisins OSPF qui envoient des LSA cette interface FortiGate doivent tre configurs avec une cl MD5 identique. Si le voisin OSPF utilise plus dun mot de passe pour gnrer un hash MD5, cliquez sur licne Ajouter pour ajouter des cls MD5 supplmentaires dans la liste. Ce champ est disponible seulement si vous avez slectionn la mthode dauthentification MD5. Vous pouvez, facultativement, dfinir un Hello Interval compatible avec les paramtres Hello Interval sur tous les voisins OSPF. Ce paramtre dfinit la priode de temps dattente (en secondes) de lquipement FortiGate entre chaque envoi de paquets Hello par ses interfaces. Facultativement, dfinissez le Dead Interval compatible avec les paramtres Dead Interval de tous les voisins OSPF. Ce paramtre dfinit la priode de temps dattente (en secondes) de lquipement FortiGate entre chaque rception de paquets Hello provenant de ses voisins sur ses interfaces. Si le FortiGate ne reoit pas de paquet Hello endans le temps spcifi, il dclare le voisin inaccessible. Par convention, la valeur du Dead Interval est quatre fois plus grande que la valeur du Hello Interval.
Cls MD5
Hello Interval
Dead Interval
BGP
BGP est un protocole de routage Internet gnralement utilis par les Fournisseurs dAccs Internet (FAI) pour changer des informations de routage entre diffrents rseaux FAI. Par exemple, BGP permet le partage de chemins de rseaux entre le rseau DAI et un systme autonome (AS) qui utilise RIP et/ou OSPF pour acheminer les paquets dans lAS. Limplmentation FortiGate du BGP supporte BGP-4 et est conforme la RFC 1771.
219
Remarque : Les options de base de routage BGP peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures uniquement partir de linterface de ligne de commande. Pour des descriptions et exemples complets sur lutilisation de commande CLI pour la configuration de paramtres BGP, voir le chapitre Routeur du FortiGate CLI Reference.
Fonctionnement de BGP
Lorsque BGP est activ, lquipement FortiGate envoie des mises jour de la table de routage aux systmes autonomes voisins chaque modification de la table de routage. Chaque AS, y compris celui dont lquipement FortiGate est membre, est associ un numro AS. Ce numro fait rfrence une destination particulire sur le rseau. Les mises jour BGP diffusent le meilleur chemin vers une destination du rseau. Lors de la rception de mises jour, le botier FortiGate examine les proprits du discriminant multi-sorties (MED Multi-Exit Discriminator) des routes potentielles pour dterminer le meilleur chemin vers une destination du rseau avant denregistrer ce chemin dans sa table de routage.
Local AS Router ID
Entrez le numro de lAS local dont le botier FortiGate est membre. Entrez un ID de routeur unique pour permettre lidentification de lquipement FortiGate aux autres routeurs BGP. LID du routeur est une adresse IP en format notation dcimale points. Si vous modifiez lID du routeur pendant le
220
fonctionnement BGP, toutes les connexions aux paires BGP seront momentanment interrompues jusqu leurs rtablissement. Voisins IP AS distant Boutons Add/Edit Les adresses IP et les numros AS de paires BGP dans les systmes autonomes voisins. Entrez ladresse IP de linterface du voisin du rseau BGP. Entrez le numro de lAS auquel le voisin appartient. Slectionnez Add pour ajouter les informations sur le voisin la liste Voisins. Slectionnez Edit pour diter une entre de la liste. Les adresses IP des paires BGP. Les numros des AS associs aux paires BGP. Les adresses IP et masques de rseaux des rseaux diffuser aux paires BGP. Lquipement FortiGate peut avoir une interface physique ou VLAN connecte ces rseaux. Entrez ladresse IP et le masque de rseau du rseau diffuser. Slectionnez pour ajouter des informations sur le rseau la liste Rseaux. Les adresses IP et masques de rseaux des rseaux majeurs diffuss aux paires BGP. Permet de supprimer un voisin BGP ou une dfinition rseau BGP.
Multicast
Un quipement FortiGate peut oprer comme routeur Multicast PIM (Protocol Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les modes clairsem (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et rcepteurs multicast sur le segment rseau auquel est connecte une interface FortiGate. Les applications serveurs multicast utilisent une adresse multicast (Class D) pour envoyer une copie du paquet un groupe de receveurs. Les routeurs PIM travers le rseau assurent que seule une copie du paquet est envoye travers le rseau jusqu ce quelle atteigne sa destination finale. A destination, des copies du paquet sont cres seulement sil est ncessaire de livrer les informations aux applications clients multicast qui ncessitent le trafic destin ladresse multicast.
Remarque : Toutes les applications envoi/rception et tous les routeurs PIM connects entre doivent valider le protocole PIM version 2 en vue de supporter les communications PIM. PIM utilise des routes statiques, RIP, OSPF ou BGP pour transfrer des paquets multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source leur point de destination, soit le mode clairsem (ou pars), soit le mode dense doit tre activ sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsem ne peuvent pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un quipement FortiGate est localis entre une source et un routeur PIM, ou entre deux routeurs PIM ou encore est connect directement un receveur, vous devez crer une rgle pare-feu manuellement pour passer les paquets (multicast) encapsuls ou les donnes dcapsules (trafic IP) entre la source et la destination.
Un domaine PIM est une aire logique comprenant un nombre de rseaux contigus. Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsem est activ le domaine comprend galement plusieurs Points de Rendez-vous (RP)
221
et de Designated Routers (DR). Si PIM est activ sur un botier FortiGate, ce dernier peut excuter chacune de ses fonctions nimporte quel moment tel que configur. Si ncessaire en mode clairsem, vous pouvez dfinir des RP statiques.
Remarque : Les options de base peuvent tre configures partir de linterface dadministration web. De nombreuses options supplmentaires peuvent tre configures uniquement partir de linterface de ligne de commande. Pour des descriptions et exemples complets sur lutilisation de commandes CLI pour la configuration de paramtres PIM, voir multicast dans le chapitre Routeur du FortiGate CLI Reference.
Slectionnez pour activer le routage PIM version 2. Une rgle pare-feu doit tre cre sur les interfaces PIM pour laisser passer les paquets encapsuls et les donnes dcapsules entre leur source et leur destination. Ajouter une adresse RP. Si ncessaire en mode clairsem, entrez ladresse IP dun Point de Rendezvous (RP) qui peut tre utilis comme racine de larbre de distribution dun paquet pour un groupe multicast. Les join messages du groupe multicast et les donnes de la source sont envoys au RP. Si un RP du groupe multicast de lIP spcifi est dj connu par le Boot Strap Router, ce RP est utilis et ladresse RP statique spcifie ignore.
Permet de sauvegarder les adresses RP statiques entres. Slectionnez pour crer une nouvelle entre multicast pour une interface. Cela vous permettra de rgler Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
222
prcisment des oprations PIM sur une interface spcifique FortiGate ou ignorer les paramtres globaux PIM sur une interface particulire. Voir Ignorer les paramtres multicast sur une interface la page 223. Interface Mode Statut Les noms des interfaces FortiGate ayant des paramtres spcifiques PIM. Le mode de fonctionnement PIM (Clairsem ou Dense) valide sur cette interface. Le statut de la candidature RP en mode clairsem sur linterface. Pour activer ou dsactiver la candidature sur une interface, slectionnez licne Editer dans la ligne correspondant linterface. Le numro de priorit affect la candidature RP sur cette interface. Uniquement disponible lorsque la candidature RP est active. Le numro de priorit affect la candidature DR (Designated Router) sur linterface. Uniquement disponible lorsque le mode clairsem est activ. Permet de supprimer ou dditer les paramtres PIM de linterface.
Priorit
Priorit DR
Interface
Slectionnez le nom de linterface FortiGate du VDOM root laquelle ces paramtres sappliquent. Linterface doit tre connecte un segment rseau PIM version 2. Slectionnez le mode de fonctionnement : Mode clairsem ou Mode dense. Tous les routeurs PIM connects au mme segment rseau doivent fonctionner dans le mme mode. Si vous slectionnez le mode clairsem, ajuster les options tel que dcrit ci-dessous. Entrez le numro de priorit pour la diffusion de candidatures DR sur linterface FortiGate. Lintervalle va de 1 4 294 967 295. Cette valeur est compare aux interfaces DR de tous les autres routeurs PIM du mme segment rseau. Le routeur ayant la priorit DR la plus haute est slectionne pour tre le DR.
Mode PIM
Priorit DR
223
Slectionnez pour activer ou dsactiver la candidature RP sur linterface. Entrez le numro de priorit de la diffusion de la candidature RP sur linterface FortiGate. Lintervalle va de 1 255.
224
Table de Routage
Cette section vous aide interprter la table de routage. Les sujets suivants y sont parcourus : Affichage des informations sur le routage Recherche dans la table de routage FortiGate
Type
Slectionnez un des types suivants pour lancer une recherche dans la table de routage et afficher toutes les routes du type slectionn : Tout : affiche toutes les routes enregistres dans la table de routage. Connect : affiche toutes les routes associes des connexions directes aux interfaces FortiGate. Statique : affiche les routes statiques ajoutes manuellement la table de routage. RIP : affiche toutes les routes diffuses par RIP. OSPF : affiche toutes les routes diffuses par OSPF. BGP : affiche toutes les routes diffuses par BGP. HA : affiche toutes les routes RIP, OSPF et BGP synchronises entre le membre primaire et les membres 225
subordonns dun cluster haute disponibilit (HA). Les routes HA tant maintenues au niveau des membres subordonns, elles ne sont visibles qu partir dune table de routage dun domaine virtuel configur comme domaine virtuel subordonn dans un cluster virtuel. Pour plus de dtails propos de la synchronisation de routage, voir le FortiGate High Availability User Guide Guide Utilisateur Haute Disponibilit FortiGate. Rseau Entrez ladresse IP et le masque de rseau (par exemple, 172.16.14.0/24) pour rechercher une table de routage et afficher les routes correspondantes au rseau spcifi. Entrez ladresse IP et le masque de rseau (par exemple, 192.168.12.1/32) pour rechercher une table de routage et afficher les routes correspondantes la passerelle spcifie. Permet de rechercher les entres dune table de routage sur base dun critre de recherche spcifi et dafficher toutes les routes correspondantes. La valeur type affecte aux routes FortiGate (Statique, Connect, RIP, OSPF ou BGP). Si dapplication, reprend la classification du sous-type affect aux routes OSPF. Pas de mention implique une route intra-aire. La destination est dans une aire laquelle le botier FortiGate est connect. OSPF inter area : la destination est dans lAS OSPF, mais le botier FortiGate nest pas connect cette aire. External 1 : la destination est en dehors de lAS OSPF. La mtrique dune route redistribue est calcule en additionnant le cot externe et le cot OSPF. External 2 : la destination est en dehors de lAS OSPF. Dans ce cas, la mtrique de la route redistribue est quivalente au cot externe uniquement, exprim en cot OSPF. OSPF NSSA 1 : quivalent la mention External 1, si ce nest que la route a t reue par une aire NSSA (notso-stubby area). OSPF NSSA 2 : quivalent la mention External 2, si ce nest que la route a t reue par une aire NSSA (notso-stubby area).
Passerelle
Appliquer le filtre
Type Sous-type
Rseau Distance
Les adresses IP et masques de rseau de rseaux de destination atteignables par le botier FortiGate. La distance administrative associe la route. La valeur 0 signifie que la route est prfrable toutes les autres routes pour la mme destination. Pour modifier la distance administrative affecte aux routes statiques, voir Ajout dune route statique la table de routage la page 200.Rfrezvous au FortiGate CLI Reference pour les routes dynamiques. La mtrique associe au type de la route. La mtrique dune route influence la faon dont le botier FortiGate lajoute dynamiquement dans la table de routage : Le comptage de sauts est utilis pour les routes diffuses par RIP. Le cot relatif est utilis pour les routes diffuses par OSPF. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Mtrique
226
Le discriminant multi-sorties (MED) est utilis pour les routes diffuses par BGP. Cependant, plusieurs proprits, en plus du MED, dterminent le meilleur chemin vers un rseau de destination.
Les adresses IP des passerelles vers les rseaux de destination. Linterface travers laquelle les paquets sont transfrs vers la passerelle du rseau de destination. Le temps total accumul pour quune route diffuse par RIP, OSPF ou BGP soit atteignable.
3 4 5
Remarque : Toutes les valeurs des critres de recherche doivent correspondre aux valeurs de la mme entre de la table de routage pour que cette entre soit affiche.
227
Rgle Pare-feu
Les rgles pare-feu contrlent tout le trafic passant par le botier FortiGate. Lajout de rgles pare-feu permet de contrler les connexions et le trafic entre les interfaces FortiGate, les zones et les sous-interfaces VLAN. Cette section couvre les sujets suivants : A propos des rgles pare-feu Visualisation de la liste des rgles pare-feu Configuration des rgles pare-feu
228
configurer laccs P2P et le contrle de la largeur de bande pour les clients peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa et Skype dcider des actions des profils de protection journaliser
Lactivation de la journalisation du trafic pour une rgle pare-feu entrane la journalisation par le botier FortiGate de toutes les connexions utilisant cette rgle. Le pare-feu lance une recherche sur des rgles en partant du haut de la liste et descendant jusqu ce quil trouve la premire correspondance. Il est donc essentiel de hirarchiser les rgles dans la liste de la plus spcifique la plus gnrale. Par exemple, la rgle par dfaut est une rgle trs gnrale car elle correspond toutes les tentatives de connexion. Les exceptions cette rgle sont ajoutes la liste de rgles au-dessus de la rgle par dfaut. Une rgle qui devrait tre place en dessous de la rgle par dfaut ne reprsentera jamais une correspondance. Les options de la rgle sont configurables lors de la cration ou de ldition dune rgle pare-feu. Un ensemble diffrent doptions est prsent en fonction du type daction slectionn.
229
Concernant les correspondances de rgles, il faut galement savoir que : Les rgles qui ncessitent une authentification doivent tre ajoutes la liste de rgles au-dessus des rgles correspondantes qui nen ncessitent pas. Sinon, la rgle qui ne ncessite pas dauthentification est slectionne en premier. Les rgles sur le mode tunnel VPN IPSec doivent tre ajoutes la liste de rgles au-dessus des rgles daccs ou de blocage correspondantes. Les rgles sur le VPN SSL doivent tre ajoutes la liste de rgles au-dessus des rgles daccs ou de blocage correspondantes.
ID Source
Destination
230
Dtermine la priode dactivit de la rgle. Dtermine le service auquel sapplique la rgle. Dfinit laction apporter lorsque la rgle correspond une tentative de connexion. Permet dactiver ou de dsactiver la rgle. Activer la rgle la rend disponible pour le pare-feu pour les connexions entrantes. Les titres de la liste des rgles indiquant le trafic auquel sapplique la rgle. Le titre de la liste est en format Source -> Destination (n) o n est le nombre de rgles dans la liste. Slectionnez pour supprimer la rgle de la liste. Slectionnez pour diter la rgle. Slectionnez pour ajouter une nouvelle rgle au-dessus de la rgle correspondante (la fentre de la nouvelle rgle apparat). Slectionnez pour dplacer la rgle correspondante avant ou aprs une autre rgle dans la liste. Voir Dplacement dune rgle vers une position diffrente dans la liste la page 231.
Icne Dplacer
231
1 2 3 4
Slectionnez Pare-feu > Rgle. Cliquez sur licne Dplacer de la rgle que vous voulez dplacer. Entrez une position pour la rgle. Cliquez sur OK.
232
233
Les champs Interface/Zone Source et Destination correspondent la rgle parefeu avec la source et destination dune session de communication. Les champs Adresse correspondent aux adresses sources et de destination de la session de communication. Le champ Horaire permet de dfinir la plage horaire dactivit de la rgle pare-feu. Le champ Service correspond la rgle pare-feu avec le service utilis par une session de communication. Le champ Action dfinit le traitement du trafic par le botier FortiGate. Spcifiez une action pour accepter ou bloquer le trafic ou configurez une rgle de cryptage parefeu. Les options des rgles pare-feu peuvent tre slectionnes pour dfinir des fonctionnalits additionnelles : NAT, Profil de Protection, Log Allowed Traffic, Log Violation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut tre appliqu aux rgles qui bloquent le trafic. Des services supplmentaires diffrents sont configurables partir de linterface de ligne de commande (voir le chapitre firewall du FortiGate CLI Reference).
Adresse
Slectionnez le nom dune adresse IP prcdemment dfinie associer linterface ou zone source ; ou slectionnez Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du paquet doit contenir ladresse IP associe pour tre confront la rgle. Les adresses peuvent tre cres lavance. Voir Configuration des adresses la page 247. Si le champ ACTION est positionn sur IPSEC, ladresse correspond ladresse prive de lhte, serveur ou rseau derrire le botier FortiGate. Si le champ ACTION est positionn sur SSL-VPN et que la rgle sapplique aux clients en mode web, slectionnez all (tout). Si le champ ACTION est positionn sur SSL-VPN et que la rgle sapplique aux clients en mode tunnel, slectionnez le nom de ladresse que vous rservez pour ces clients.
Destination Interface/Zone
Spcifiez les caractristiques de la destination des paquets IP qui seront sujets la rgle. Slectionnez le nom de linterface ou de la zone FortiGate vers laquelle les paquets IP sont envoys. Les interfaces et zones sont configures sur la page Systme > Rseau. Voir Interface la page 61 et Zone la page 75 pour plus dinformations sur les interfaces et les zones. Si le champ ACTION est positionn sur IPSEC, linterface est associe lentre du tunnel VPN. Si le champ ACTION est positionn sur SSL-VPN, linterface est associe un rseau priv local.
Adresse
Slectionnez le nom dune adresse IP prcdemment dfinie associer linterface ou zone de destination ; ou slectionnez Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du paquet doit contenir ladresse IP associe pour tre confront la rgle. Les adresses peuvent tre cres lavance. Configuration des adresses la page 247. Si le champ ACTION est positionn sur IPSEC, ladresse correspond ladresse IP prive vers laquelle les paquets peuvent tre envoys la fin du tunnel VPN. Si le champ ACTION est positionn sur SSL-VPN, slectionnez le nom de ladresse IP qui correspond lhte, au serveur ou au rseau dont les clients distances ont besoin pour accder derrire lquipement FortiGate.
Horaire
Slectionnez une plage horaire ponctuelle ou rcurrente qui contrle la priode de disponibilit de la rgle. Les horaires peuvent tre cres lavance dans Pare-feu > Plage horaire. Voir Plage horaire des pare-feu la page 257. Vous pouvez crer une plage horaire, ponctuelle ou rcurrente, pendant la configuration de la rgle en cliquant sur Crer Nouveau. Ajoutez les informations requises pour la configuration de la plage horaire et cliquez sur OK. Cette nouvelle plage horaire est alors ajoute la liste des plages horaires.
Service
Slectionnez le nom du service ou du groupe de services qui correspond au service ou protocole des paquets auquel sapplique cette rgle. Vous pouvez slectionner
235
les services partir dune longue liste de services prdfinis. Des services personnaliss peuvent tre cres lavance dans Pare-feu > Service > Personnalis. Des groupes de services peuvent galement tre cres lavance dans Pare-feu > Service > Groupe. Voir Configuration de services personnaliss la page 253 et Configuration de groupes de services la page 255. Vous pouvez crer un service personnalis ou un groupe de services pendant la configuration de la rgle en cliquant sur Crer Nouveau. Ajoutez les informations requises pour la configuration des services personnaliss ou des groupes de services et cliquez sur OK. Ces services sont alors ajouts la liste des Services. Action ACCEPT Slectionnez la rponse du pare-feu appliquer lorsquun paquet correspond aux conditions de la rgle. Accepte le trafic correspondant la rgle. Vous pouvez alors configurer les options NAT, profils de protection, log traffic, shape traffic, authentification ou ajouter un commentaire la rgle. Rejette le trafic correspondant la rgle. La seule option configurable est la journalisation (journaliser les connexions refuses par la rgle). Vous pouvez galement ajouter un commentaire. Configure une rgle de cryptage pare-feu IPSEC, qui entrane le traitement des paquets VPN IPSec par le botier FortiGate. Voir Options des rgles pare-feu IPSec la page 242. Configure une rgle de cryptage pare-feu VPN SSL, qui entrane lacceptation du trafic VPN SSL par le botier FortiGate. Cette option nest disponible quaprs avoir ajout un groupe dutilisateurs VPN SSL. Voir Options des rgles pare-feu VPN SSL la page 243. Activer loption NAT (Network Address Translation) pour la rgle. NAT translate ladresse source et le port de paquets accepts par la rgle. Lorsque NAT est activ, les fonctions Pool dAdresses et Port Fixe peuvent tre configurs. NAT nest pas disponible en mode Transparent. Pool dAdresses Slectionnez pour translater ladresse source en une adresse slectionne arbitrairement dans un pool dadresses. Un pool dadresses peut se composer dune seule adresse IP ou dune plage dadresses IP. Une liste de pools dadresses apparat si ces pools ont t ajouts linterface de destination. Slectionnez ANY IP Pool pour que le botier FortiGate slectionne nimporte quelle adresse IP de nimporte quel pool dadresses ajout linterface de destination. Slectionnez le nom dun pool dadresses ajout linterface de destination pour que le botier FortiGate translate ladresse source en une des adresses dfinies dans ce pool. Il nest pas possible de slectionner Pool dAdresses si linterface de destination, la sous-interface VLAN ou lune des interfaces ou des sous-interfaces VLAN dans la zone de destination est configure avec DHCP ou PPPoE. Vous ne pouvez pas utiliser des pools dadresses lors de lutilisation de zones. Un pool dadresses peut seulement tre associ une interface. 236 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
DENY
IPSEC
SSL-VPN
NAT
Pour plus dinformations sur lajout de pools dadresses, voir Plages IP la page 277. Port fixe Slectionnez un port fixe pour empcher NAT de translater le port source. Certaines applications ne fonctionnent pas correctement si le port source est modifi. Dans la plupart des cas, si Port fixe est slectionn, Pool dAdresses est galement slectionn. Si Pool dAdresses nest pas slectionn, une rgle qui a loption Port Fixe slectionne ne peut permettre quune connexion la fois. Slectionnez un profil de protection pour configurer la faon dont les antivirus, filtrage web, filtrage par catgorie web, filtrage antispam, IPS, archives et journaux sont appliqus la rgle pare-feu. Les profils de protection peuvent tre cres lavance ou pendant la configuration dun profil. Les profils cres ici apparaissent dans la liste des profils de protection. Pour plus dinformations sur lajout et la configuration de profils de protection, voir Profil de protection pare-feu la page 279. Pour une authentification dans les paramtres avancs, loption de profil de protection est dsactive car le groupe dutilisateurs choisi pour lauthentification est dj li un profil de protection. Pour plus dinformations propos de lajout dune authentification aux rgles pare-feu, voir Ajout dune authentification aux rgles pare-feu la page 238. Log Allowed Traffic Slectionnez cette option pour les rgles ACCEPT, IPSEC ou VPN SSL pour enregistrer les messages dans les journaux chaque fois que la rgle traite une connexion. Activez la journalisation du trafic vers une destination (syslog, WebTrends, un disque local si disponible, mmoire ou FortiAnalyzer) et fixez le niveau de svrit de la journalisation Notification ou plus bas. Pour plus dinformations sur la journalisation, voir Journaux et Alertes la page 409. Slectionnez cette option pour les rgles DENY pour enregistrer les messages dans les journaux chaque fois que la rgle traite une connexion. Activez la journalisation du trafic vers une destination (syslog, WebTrends, un disque local si disponible, mmoire ou FortiAnalyzer) et fixez le niveau de svrit de la journalisation Notification ou plus bas. Pour plus dinformations sur la journalisation, voir Journaux et Alertes la page 409. Ajoutez des utilisateurs et un profil de protection pare-feu un groupe dutilisateurs avant de slectionner Authentification. Pour toute information propos de lajout et de la configuration de groupes utilisateurs, voir Groupe dutilisateurs la page 330. Lauthentification est possible si laction est positionne sur ACCEPT. Pour plus dinformations sur lajout dune authentification aux rgles pare-feu, voir Ajout dune authentification aux rgles pare-feu la page 238. Cette option permet de contrler la bande passante disponible et de dfinir les niveaux de priorit du trafic trait par la rgle. Remarque :
Profil de protection
Authentification
Traffic Shaping
Veillez activer cette option sur toutes les rgles pare-feu. Si vous nappliquez aucune consigne de
237
priorit de trafic une rgle, cette dernire est dfinie comme hautement prioritaire par dfaut.
Affectez chaque rgle pare-feu une des trois priorits (high, medium ou low). Assurez-vous que la somme de toutes les bandes passantes garanties de toutes les rgles pare-feu est considrablement moindre que la capacit de la bande passante de linterface.
Pour toute information sur la configuration des priorits du trafic, voir Ajout dune priorit de trafic aux rgles parefeu la page 239. User Authentication Disclaimer Affiche la page dinformation dauthentification (un message de remplacement). Lutilisateur doit accepter ce message pour se connecter la destination. Ce message peut tre utilis lors dune authentification ou dun profil de protection. Cette option est disponible sur certains modles uniquement. Si vous entrez un URL dans ce champ, lutilisateur est redirig vers cette URL aprs authentification et/ou acceptation de la page dinformation dauthentification de lutilisateur. Cette option est disponible sur certains modles uniquement. Ajoutez une description ou dautres informations sur cette rgle. Le commentaire peut tre long de 63 caractres, espaces compris.
Redirect URL
Commentaires
Slectionnez Authentification pour tous les services. Les utilisateurs peuvent sauthentifier avec le pare-feu en utilisant HTTP, Telnet ou FTP. Pour que les utilisateurs puissent sauthentifier, ajoutez une rgle HTTP, Telnet ou FTP configure pour authentification. Lorsque les utilisateurs tentent de se connecter travers le pare-feu via cette rgle, il leurs est demand dentrer un nom dutilisateur et un mot de passe pare-feu.
238
La mthode dauthentification pare-feu comprend des groupes dutilisateurs dfinis locaux, de mme que des utilisateurs LDAP ou Radius. Slectionnez Active Directory dans le menu droulant pour choisir des groupes Active Directory dfinis dans Utilisateur > Groupe utilisateur. Lauthentification avec des groupes Active Directory et dautres groupes ne peut pas tre combine dans une mme rgle.
Remarque : Pour permettre au botier FortiGate dauthentifier partir dun serveur Active Directory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active Directory Domain Controller. Le FSAE est disponible auprs du Support Technique Fortinet.
Pour que les utilisateurs puissent sauthentifier partir dautres services (par exemple POP3 ou IMAP), crez un groupe de services qui comprend les services pour lesquels une authentification est requise, de mme que HTTP, Telnet et FTP. Ainsi, les utilisateurs peuvent sauthentifier avec la rgle via HTTP, Telnet ou FTP avant dutiliser un autre service. Dans la plupart des cas, assurez-vous que les utilisateurs puissent utiliser DNS travers le pare-feu sans authentification. Si DNS nest pas disponible, les utilisateurs ne peuvent pas se connecter un serveur web, FTP ou Telnet avec un nom de domaine.
Remarque : Les rgles qui ncessitent une authentification doivent tre places, dans la liste, au-dessus des rgles correspondantes qui nen ncessitent pas. Sinon, la rgle qui ne ncessite pas dauthentification est choisie en premier.
Lorsque vous entrez une valeur dans le champ de la bande passante maximum dune rgle pare-feu, vous limitez la disponibilit dune quantit de bande passante pour un trafic rseau slectionn (en Koctets/sec). Par exemple, vous pourriez limiter la bande passante du trafic IM, de manire avoir plus de bande passante pour le trafic e-commerce plus important. La bande passante utilise pour le trafic contrl par une rgle sert au contrle et aux sessions de donnes du trafic dans les deux directions. Par exemple, si la bande passante garantie est applique une rgle FTP interne et externe, lorsquun utilisateur dun rseau interne utilise FTP pour placer et recevoir des fichiers, les sessions de rception et denvoi partagent la bande passante disponible au trafic contrler par cette rgle. La bande passante garantie et maximum disponible pour une rgle est la bande passante totale disponible pour tout le trafic contrl par cette rgle. Si diffrents utilisateurs commencent plusieurs sessions de communication avec la mme rgle, toutes ces sessions de communication doivent se partager la bande passante disponible pour cette rgle. Cependant, la disponibilit de la bande passante nest pas partage entre les instances multiples qui utilisent le mme service si ces instances sont contrles par des rgles diffrentes. Par exemple, vous pouvez crer une rgle FTP pour limiter la quantit de bande passante disponible pour le service FTP pour une adresse rseau et crer une autre rgle FTP avec une disponibilit diffrente pour une autre adresse rseau.
Priorit du trafic
Fixer une priorit permet de grer les priorits relatives des diffrents types de trafic. Les trafics importants devraient avoir un haut niveau de priorit. Les trafics moins importants devraient se voir attribuer un niveau plus bas de priorit. Le pare-feu antivirus FortiGate procure de la bande passante des connexions moins prioritaires seulement si la bande passante nest pas utilise pour des connexions hautement prioritaires. Par exemple, vous pouvez ajouter des rgles qui garantissent de la bande passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une haute priorit la rgle qui contrle le trafic voix et une priorit medium la rgle qui contrle le trafic e-commerce. Aux heures de pointe, lorsque les deux trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic voice sera transmis avant le trafic e-commerce puisquil a la plus haute priorit.
240
Ce qui signifie que vous acceptez de sacrifier certaines performances du trafic X dans le but daugmenter ou de garantir la performance et la stabilit du trafic Y. Si, par exemple, vous appliquez une limitation de la bande passante certains flux, vous devez accepter le fait que ces sessions peuvent tre limites. La priorit de trafic applique une rgle pare-feu est renforce pour le trafic qui peut circuler dans chaque direction. Ds lors une session mise en place par un hte interne vers un hte externe, via une rgle Interne -> Externe, subira la priorit de trafic applique mme si le flot de donnes provient alors dExterne -> Interne. Ce sera par exemple le cas pour un fichier FTP reu ou un serveur SMTP se connectant un serveur externe dans le but de rcuprer des emails. La priorit de trafic est efficace pour un trafic IP normal des taux rguliers. Elle nest pas efficace durant des situations extrmes de trafic dense alors que le trafic dpasse la capacit du botier FortiGate. Les paquets doivent tre reus par le botier FortiGate avant quils soient sujets la priorit de trafic. Si le botier FortiGate narrive pas traiter tout le trafic reu, le risque de paquets abandonns, retards ou latents augmente. Pour assurer un fonctionnement optimal de la priorit de trafic, veillez ce que les statistiques de linterface Ethernet soient dpourvues derreurs, de tlescopage ou de dpassement du buffer. Si ce nest pas le cas, les paramtres du botier FortiGate et du commutateur ncessiteront probablement quelques ajustements. Pour un fonctionnement optimal de la priorit de trafic, veillez respecter les rgles suivantes : Activer la priorit de trafic sur toutes les rgles pare-feu. Si vous nappliquez une priorit de trafic qu une seule rgle, cette dernire est dfinie par dfaut comme hautement prioritaire. Affectez chaque rgle pare-feu une des trois priorits (low, medium et high).
Assurez-vous galement que la somme des bandes passantes garanties de toutes les rgles pare-feu est considrablement moindre que la capacit de la bande passante de linterface.
Bande Passante Maximum Permet de limiter la quantit disponible de bande passante pour une rgle travers le pare-feu. Limiter la bande passante permet dempcher lutilisation de la bande pour des services mineurs au bnfice de services plus importants. Niveau de Priorit Slectionnez High, Medium ou Low. Cela permet de grer les priorits relatives des diffrents types de trafic. Par exemple, une rgle permettant de se connecter un serveur web scuris et supportant le trafic e-commerce devrait tre affecte dune priorit de trafic haute (High). Les services moins importants devraient tre affects dune priorit de trafic basse (low). Le pare-feu fournit de la bande passante aux connexions moins prioritaires seulement lorsque celle-ci nest pas requise pour des connexions hautement prioritaires. Assurez-vous dactiver la priorit de trafic sur toutes les rgles pare-feu. Si vous nappliquez une priorit de trafic qu une seule rgle, cette dernire est dfinie par dfaut comme hautement prioritaire. Affectez chaque rgle pare-feu une des trois priorits.
Remarque : Si vous affectez la valeur 0 (zro) la bande passante garantie et la bande passante maximum, la rgle naccepte aucun trafic.
VPN Tunnel
Allow Inbound
Outbound NAT
Slectionnez le nom du tunnel VPN dfini dans la configuration phase 1. Le tunnel spcifi sera sujet cette rgle de cryptage pare-feu. Activez cette option pour permettre au trafic dun client ou dordinateurs dialup dun rseau priv distant de dmarrer le tunnel. Activez cette option pour permettre au trafic partir dordinateurs du rseau priv local de dmarrer le tunnel. Activez cette option pour translater les adresses IP source de paquets entrants dcrypts en adresse IP de linterface FortiGate au rseau priv local. Activez cette option en combinaison avec une valeur CLI natip pour translater les adresses sources des paquets sortants en clair en une adresse IP que vous spcifiez. Ne pas slectionnez cette option moins que vous nayez spcifi une valeur natip partir du CLI. Dans ce cas, les adresses source de paquets IP sortants sont remplacs avant que les paquets ne soient envoys travers le tunnel. Pour plus dinformations, voir le chapitre Firewall du FortiGate CLI Reference.
Remarque : Les tunnels IPSec en mode route (mode interface) ne sont pas configurs de la mme manire que les tunnels IPSec en mode tunnel : au lieu de dfinir une rgle de cryptage pare-feu (en mode tunnel IPSEC ) qui permet les connexions VPN et le contrle du trafic IP travers le tunnel, celui-ci lie un tunnel VPN en mode route une interface 242 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
virtuelle IPSec et spcifie ensuite cette interface comme interface source ou de destination dans une rgle pare-feu (ACCEPT ou DENY) rgulire.
Pour plus dinformations, voir le chapitre Dfinition dune rgle de cryptage parefeu du Guide Utilisateur VPN IPSec FortiGate FortiGate IPSec VPN User Guide.
Remarque : Loption VPN SSL est disponible partir de la liste Action aprs quun ou plusieurs groupes dutilisateurs aient t crs. Pour crer des comptes utilisateurs et des groupes dutilisateurs VPN SSL, voir Configuration des options des groupes dutilisateurs VPN SSL la page 335. Illustration 112 : Rgle de cryptage VPN SSL
Autorise le trafic gnr par des titulaires dun certificat de groupe (partag). Ces titulaires doivent tre des membres dun groupe dutilisateurs VPN SSL, et le nom de ce groupe doit tre prsent dans le champ Allowed , Autoris . Slectionnez une des options suivantes pour dterminer le niveau de cryptage SSL utiliser. Le navigateur web du client distant doit pouvoir correspondre au niveau slectionn : Pour utiliser une suite de chiffres, slectionnez Any. Pour utiliser une suite de chiffres 164 bits ou plus, slectionnez High>=164. Pour utiliser une suite de chiffres 128 bits ou plus, slectionnez Medium>=128.
Algorithme de la cl de cryptage
Authentification Utilisateur Slectionnez lune des options suivantes : Mthode Si le groupe dutilisateurs li cette rgle de pare-feu est un groupe dutilisateurs local, slectionnez Local. Si les clients distance seront authentifis par un serveur RADIUS externe, slectionnez Radius. Si les clients distance seront authentifis par un serveur LDAP externe, slectionnez LDAP. Slectionnez Any pour activer toutes les mthodes dauthentification ci-dessus. Lauthentification Local est tente en premier, suivit de Radius et ensuite LDAP.
Groupes Disponibles
Slectionnez le nom du groupe dutilisateurs ncessitant un accs VPN SSL, et cliquez ensuite sur la flche droite. Ne slectionnez pas plus dun groupe dutilisateurs moins que
243
tous les membres des groupes dutilisateurs slectionns aient des exigences daccs identiques.
Pour plus dinformations sur comment crer une rgle de cryptage pare-feu pour les utilisateurs VPN SSL, voir le chapitre SSL VPN administration tasks du FortiGate SSL VPN User Guide.
244
Adresse Pare-Feu
A partir de cette page, vous pouvez ajouter, diter ou supprimer des adresses pare-feu. Les adresses pare-feu sont ajoutes aux rgles pare-feu pour correspondre aux adresses IP source ou de destination de paquets reus par le botier FortiGate. Cette section couvre les sujets suivants : A propos des adresses pare-feu Visualisation de la liste des adresses pare-feu Configuration des adresses Visualisation de la liste des groupes dadresses Configuration des groupes dadresses
Le masque de rseau correspond au type dadresses ajoutes. Par exemple : Le masque de rseau dune adresse IP dun ordinateur unique devrait tre 255.255.255.255. Le masque de rseau dun sous-rseau classe A devrait tre 255.0.0.0. Le masque de rseau dun sous-rseau classe B devrait tre 255.255.0.0. Le masque de rseau dun sous-rseau classe C devrait tre 255.255.255.0. Le masque de rseau pour toutes les adresses devrait tre 0.0.0.0.
Une plage dadresses IP reprsente : Une plage dadresses IP dans un sous-rseau (par exemple, 192.168.20.1 192.168.20.10).
Remarque : Ladresse IP 0.0.0.0 et le masque de rseau 255.255.255.255 ne correspond pas une adresse de pare-feu valide.
Pour simplifier la cration de rgles, il est conseill dorganiser les adresses ayant un lien entre elles en groupes dadresses. Une adresse pare-feu peut tre configure avec un nom, une adresse IP et un masque de rseau ou un nom et une plage dadresses. Il peut galement sagir dun FQDN (Fully Qualified Domain Name). Entrez une adresse IP et un masque de rseau en utilisant les formats suivants :
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 245
Entrez une plage dadresses IP en utilisant les formats suivants : x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120 x.x.x.[x-x], par exemple 192.168.110.[100-120] x.x.x.*, par exemple 192.168.110.* pour reprsenter toutes les adresses sur le sous-rseau
Une adresse IP/Masque peut reprsenter : Ladresse dun sous-rseau (par exemple, un sous-rseau classe C, adresse IP : 192.168.20.0 et un masque de rseau : 255.255.255.0) Une adresse IP unique (par exemple, une adresse IP : 192.168.20.1 et un masque de rseau : 255.255.255.255) Toutes les adresses IP possibles (reprsentes par ladresse IP : 0.0.0.0 et le masque de rseau : 0.0.0.0)
Permet dajouter une adresse pare-feu. Le nom de ladresse pare-feu. Ladresse IP et le masque, la plage dadresses IP ou le FQDN. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Icne Supprimer
Permet de supprimer une adresse de la liste. Cette icne saffiche uniquement si ladresse nest pas reprise dans une rgle pare-feu. Permet dditer les informations suivantes : Nom, Type, Sousrseau/Plage IP.
Icne Editer
commodit, prsenter des risques de scurit. Soyez trs prudents lors de lutilisation de cette fonction. Slectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage dadresses ou un FQDN.
Illustration 114 : Options de nouvelles adresses ou de plage IP.
Nom
Entrez un nom pour identifier ladresse pare-feu. Les adresses, groupes dadresses et IP virtuelles doivent avoir des noms uniques afin dviter la confusion parmi les rgles pare-feu. Slectionnez le type dadresse : Subnet/IP Range ou FQDN. Entrez ladresse IP du pare-feu / le masque du sous-rseau ou entrez la plage IP spare par un tiret.
Remarque : Si un groupe dadresses est compris dans une rgle, il ne peut pas tre supprimer moins quil soit dabord retirer de la rgle.
247
Permet dajouter un groupe dadresses. Le nom du groupe dadresses. Les adresses faisant partie du groupe dadresses. Permet de supprimer le groupe de la liste. Cette icne saffiche uniquement si le groupe dadresses nest pas repris dans une rgle pare-feu. Permet dditer les informations suivantes : Nom du groupe et Membres
Icne Editer
Nom du groupe
Entrez un nom pour identifier le groupe dadresses. Les adresses, groupes dadresses et IP virtuelles doivent avoir des noms uniques pour viter la confusion parmi les rgles parefeu. La liste des adresses pare-feu configures et par dfaut. Utilisez les flches pour dplacer les adresses dune liste lautre. La liste des adresses dans le groupe. Utilisez les flches pour dplacer les adresses dune liste lautre.
Adresses disponibles
Membres
248
Service Pare-feu
La fonctionnalit Service permet de dterminer les types de communication qui seront accepts ou refuss par le pare-feu. Vous pouvez ajouter un ou plusieurs service(s) prdfini(s) au choix une rgle. Vous pouvez galement crer des services personnaliss pour chaque domaine virtuel et ajouter des services des groupes de services. Cette section couvre les sujets suivants : Visualisation de la liste des services prdfinis Visualisation de la liste des services personnaliss Configuration des services personnaliss Visualisation de la liste des groupes de services Configuration des groupes de services
Nom Dtail
Le tableau 33 rpertorie les services pare-feu FortiGate prdfinis. Vous pouvez ajouter ces services nimporte quelle rgle.
249
Tableau 33 : Services FortiGate prdfinis Nom du service Description AH Authentication Header. AH fournit une authentification de lhte source et lintgrit des donnes, mais pas de secret. Ce protocole est utilis pour lauthentification par les passerelles IPSec distantes dfinies en mode agressif. ANY Convient aux connexions nimporte quel port. Une connexion utilisant nimporte lequel des services prdfinis est autoris travers le pare-feu. AOL Protocole de messagerie instantane AOL. BGP Protocole de routage Border Gateway Protocol. BGP est un protocole de routage intrieur/extrieur. DHCP Dynamic Host Configuration Protocol alloue des adresses rseau et livre des paramtres de configuration partir de serveurs DHCP vers les htes. DNS Domain Name Service pour la traduction de noms de domaines en adresses IP. ESP Encapsulating Security Payload. Ce service est utilis par les tunnels VPN en cl manuelle et AutoIKE pour communiquer des donnes cryptes. Les tunnels VPN AutoIKE utilisent ESP aprs avoir tabli le tunnel en utilisant IKE. FINGER Un service rseau fournissant des informations sur les utilisateurs. FTP Service FTP pour le transfert de fichiers. FTP_GET Service FTP pour le tlchargement de fichiers reus . FTP_PUT Service FTP pour le tlchargement de fichiers envoyer . GOPHER Service de communications GOPHER. Il organise et affiche les contenus dun serveur Internet sous forme de liste de fichiers structurs hirarchiquement. GRE Generic Routing Encapsulation. Un protocole permettant un protocole rseau arbitraire dtre transmis sur tout autre protocole rseau arbitraire, en encapsulant les paquets du protocole dans des paquets GRE. H323 Protocole multimdia H.323. Il sagit dun standard approuv par ITU (International Telecommunication Union) dfinissant comment les donnes de confrences audiovisuelles sont transmises travers les rseaux. HTTP HTTP est le protocole utilis par la toile web mondiale pour le transfert de donnes pour les pages web.
Protocole
Port 51
all
all
TCP TCP
5190-5194 179
UDP
67
TCP UDP
53 53 50
79 21 21 21 70
47
TCP
1720, 1503
TCP
80
250
HTTPS
ICMP_ANY
IKE
IMAP
NFS
NNTP
NTP
NetMeeting
OSPF
PC-Anywhere
PING
POP3
PPTP
HTTPS est un service SSL (Secure socket layer) pour des communications scurises des serveurs web. Internet Control Message Protocol est une console de messages et un protocole de rapport derreurs entre un hte et une passerelle (Internet). IKE est le protocole pour obtenir lchange de cls authentifies utilises avec ISAKMP pour IPSEC Internet Message Access Protocol est un protocole utilis pour la rception de courriers lectroniques. Messages de requtes dinformations ICMP. Messages de requtes de masque dadresses ICMP. Internet Relay Chat permet aux personnes connectes Internet de rejoindre des discussions en ligne. Internet Locator Service comprend LDAP, User Locator Service, et LDAP sur TLS/SSL. L2TP est un protocole tunnel en mode PPP pour laccs distance. Lightweight Directory Access Protocol est un ensemble de protocoles utiliss pour accder aux informations des services dannuaires. Network File System autorise les utilisateurs du rseau daccder des fichiers partags stocks sur des ordinateurs de diffrents types. Network News Transport Protocol est un protocole utilis pour envoyer, distribuer et recevoir des messages USENET. Network Time Protocol pour la synchronisation de la date et lheure avec un serveur NTP. NetMeeting autorise les utilisateurs de participer des tlconfrences via Internet comme moyen de transmission. Open Shortest Path First est un protocole de routage commun dtat de lien. PC-Anywhere est un protocole de contrle distance et de transfert de fichiers. ICMP echo request/reply pour tester des connexions vers dautres machines. Post Office Protocol est un protocole email pour le tlchargement de courriers lectroniques partir dun serveur POP3. Point-to-Point Tunneling Protocol est un protocole permettant aux organisations dtendre leur propre rseau organisationnel travers des tunnels privs sur lInternet public.
TCP
443
ICMP
UDP
500
TCP
143
17 15 6660-6669
TCP
389
TCP TCP
1701 389
TCP
111, 2049
TCP
119
TCP
123
TCP
1720
89
UDP
5632
ICMP
TCP
110
TCP
1723
251
QUAKE
UDP
RAUDIO RIP
RLOGIN SAMBA
SIP
SIPMSNmessenger SMTP
SNMP
SSH
SYSLOG TALK
TCP TELNET
TFTP
X-WINDOWS
Pour fluer le trafic multimedia audio rel. Routing Information Protocol est un protocole commun de routage vecteur de distance. Service RLOGIN pour la connexion distance un serveur. Samba autorise les clients Microsoft Windows utiliser les services de fichier et dimpression partir dhtes TCP/IP. Session Initiation Protocol dfinit comment les donnes de confrence audiovisuelle sont transmises travers les rseaux. Session Initiation Protocol est utilis par Microsoft Messenger pour initier une session mulimedia interactive. Simple Mail Transfer Protocol est utilis pour lenvoi de mail entre serveurs emails sur Internet. Simple Network Management Protocol est un ensemble de protocoles pour la gestion de rseaux complexes. Secure Shell est un service pour connexions scurises dordinateurs lors dadministrations distantes. Service syslog pour connexion distance. Un protocole supportant des conversations entre deux ou plusieurs utilisateurs. Tous les ports TCP. Service Telnet pour des connexions vers un ordinateur dadministration pour en prendre les commandes. Trivial File Transfert Protocol est un protocole de transfert simple de fichiers similaire FTP mais sans fonctionnalits de scurit. Messages de requtes ICMP timestamp. Tous les ports UDP Unix to Unix copy utility, un protocole simple de copiage de fichiers. Pour fluer le trafic multimedia VDO live. Wide Area Information Server est un protocole de recherche Internet. Pour des communications WinFrame entre des ordinateurs munis de Windows NT. Pour des communications distance entre un serveur X-Window et des clients X-Window.
UDP UDP
TCP TCP
513 139
UDP
5060
TCP
1863
TCP
25
TCP TCP
0-65535 23
UDP
69
TCP
6000-6063
252
Slectionnez un protocole et cliquez ensuite sur Crer Nouveau pour ajouter un service personnalis. Le nom du service personnalis. Les numros des protocole et ports pour chaque service personnalis. Permet de supprimer une entre de la liste. Cette icne saffiche uniquement si le service nest pas repris dans une rgle pare-feu. Permet dditer les informations suivantes : Nom, Type de Protocole, Type, Numro de Protocole, Code, Port Source et Port de Destination.
Icne Editer
253
Entrez un nom au service personnalis. Slectionnez le type de protocole du service personnalis : TCP/UDP. Slectionnez TCP ou UDP comme protocole de la plage des ports ajoute. Spcifiez la plage des numros de Port Source pour le service en entrant les numros de ports les plus bas et plus haut. Si le service nutilise quun numro de port, entrez celui-ci dans les champs Dbut et Fin. Les valeurs par dfaut permettent lutilisation de nimporte quel port source. Spcifiez la plage des numros de Port de Destination pour le service en entrant les numros de ports les plus bas et plus haut. Si le service nutilise quun numro de port, entrez celuici dans les champs Dbut et Fin. Si le service personnalis ncessite plus dune plage de ports, cliquez sur le bouton Add pour permettre plusieurs plages source et de destination. Permet de supprimer une entre de la liste.
Port destination
Bouton ADD
Icne Supprimer
Ajouter un service personnalis ICMP 1 2 3 Slectionnez Pare-feu > Service > Personnalis. Positionnez le Type de Protocole sur ICMP. Configurez les paramtres suivants :
Illustration 120 : Nouveau service personnalis - ICMP
Entrez un nom au service personnalis ICMP. Slectionnez le type de protocole du service : ICMP. Entrez le numro du type ICMP pour ce service. Entrez le numro du code ICMP pour ce service si requis.
Ajouter un service personnalis IP 1 2 3 Slectionnez Pare-feu > Service > Personnalis. Positionnez le Type de Protocole sur IP. Configurez les paramtres suivants :
254
Entrez un nom au service personnalis IP. Slectionnez le type de protocole du service : IP. Le numro de protocole IP pour ce service.
Permet dajouter un groupe de services. Le nom didentification du groupe de services. Les services ajouts ce groupe de services. Permet de supprimer lentre de la liste. Cette icne saffiche uniquement si le groupe de services nest pas repris dans une rgle pare-feu. Permet dditer les informations suivantes : Nom des groupes et Membres.
Icne Editer
255
Entrez un nom pour identifier le groupe de services. La liste des services configurs et prdfinis. Utilisez les flches pour dplacer les services dune liste lautre. La liste des services dans le groupe. Utilisez les flches pour dplacer les services dune liste lautre.
256
Permet dajouter une plage horaire ponctuelle. Le nom de la plage horaire ponctuelle. La date et lheure de dbut de la plage horaire ponctuelle. La date et lheure de la fin de la plage horaire ponctuelle. Permet de supprimer la plage horaire de la liste. Cette icne apparat seulement si la plage horaire nest pas reprise dans une rgle pare-feu. Permet dditer la plage horaire.
Icne Editer
257
Entrez un nom pour identifier la plage horaire ponctuelle. Entrez les date et heure de dpart de la plage horaire ponctuelle. Entrez les date et heure de fin de la plage horaire ponctuelle.
Pour une plage horaire active tout au long de la journe, affectez 00 aux dates et heures de dpart et de fin. Les plages horaires ponctuelles utilisent une horloge de 24 heures (et non pas 12).
Remarque : Une plage horaire rcurrente avec une heure de fin qui a lieu avant lheure de dbut commence lheure de dbut et finit lheure de fin de la journe suivante. Cette technique permet de crer des plages horaires qui passent du jour au lendemain. Pour crer une plage horaire qui fonctionne 24 heures, affectez la mme heure aux heures de dbut et de fin.
Pour visualiser la liste des plages horaires rcurrentes, slectionnez Pare-feu > Plage horaire > Rcurrente.
258
Permet dajouter une plage horaire rcurrente. Le nom de la plage horaire rcurrente. Les initiales des jours de la semaine pendant lesquelles la plage horaire rcurrente est active. Lheure de dbut de la plage horaire rcurrente. Lheure de fin de la plage horaire rcurrente. Permet de supprimer la plage horaire de la liste. Cette icne apparat seulement si la plage horaire nest pas reprise dans une rgle pare-feu. Permet dditer la plage horaire.
Icne Editer
Entrez un nom pour identifier la plage horaire rcurrente. Cochez les jours de la semaine pendant lesquelles la plage horaire rcurrente doit tre active. Slectionnez lheure de dpart de la plage horaire rcurrente. Slectionnez lheure de fin de la plage horaire rcurrente.
Les plages horaires rcurrentes utilisent une horloge de 24 heures (et non pas 12).
259
IP virtuelles
Cette section explique comment configurer et utiliser dans les rgles pare-feu les IP virtuelles et les plages IP FortiGate. Cette section couvre les sujets suivants : IP virtuelles Visualisation de la liste dIP virtuelles Configuration des IP virtuelles Plages IP Visualisation des Plages IP Configuration des Plages IP
IP virtuelles
Les adresses IP virtuelles sont utilises pour permettre des connexions travers le botier FortiGate en utilisant des rgles pare-feu NAT (Network Address Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au botier FortiGate de rpondre aux requtes ARP sur le rseau pour un serveur install sur un autre rseau. Proxy ARP est dfini par la RFC 1027. Par exemple, vous pouvez ajouter une adresse IP virtuelle une interface externe FortiGate de manire ce que cette interface puisse rpondre aux requtes de connexion des utilisateurs en ralit connects un serveur du rseau DMZ ou du rseau interne.
Comment les adresses IP virtuelles grent-elles leurs connexions travers le botier FortiGate ?
Un exemple dutilisation dune adresse IP virtuelle de translation est de permettre un accs public facile un serveur web dun rseau priv protg par un botier FortiGate. De la manire la plus simplifie, cette situation implique seulement trois parties, tel quexemplifi dans lillustration 128 : Le serveur web du rseau priv, la machine cliente et le botier FortiGate connect aux deux rseaux. Un ordinateur client tentant de se connecter au serveur envoie des paquets de donnes reus par le botier FortiGate. Les adresses reprises dans les paquets sont rcrites et transfres au serveur du rseau priv.
Illustration 128 : Exemple dune adresse IP virtuelle de translation simple
Les paquets envoys par lordinateur client ont une adresse IP source 192.168.37.55 et une adresse IP de destination 192.168.37.4. Le botier FortiGate reoit ces paquets sur son interface externe. Les paramtres de ladresse IP
260 Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
virtuelle indiquent une redirection de 192.168.37.4 10.10.10.42, les adresses des paquets ayant t modifies. Ladresse source est devenue 10.10.10.2 et celle de destination 10.10.10.42. Le botier FortiGate enregistre cette translation dans sa table de session du pare-feu. Les paquets sont ensuite envoys et arrivent finalement sur le serveur.
Illustration 129 : Exemple de translation dadresse dun paquet pendant une translation client - serveur
Vous remarquerez que ladresse de lordinateur client napparat pas dans les paquets reus par le serveur. En effet, aprs que le botier FortiGate ait translat les adresses rseaux, il ny a plus de rfrence faite au rseau de lordinateur client. Le serveur na pas dindication sur lexistence dun autre rseau. Pour lui, toutes les communications viennent directement du botier FortiGate. Lorsque le serveur rpond lordinateur client, la procdure fonctionne de la mme manire mais dans la direction oppose. Le serveur envoie ses paquets rponses ayant une adresse IP source 10.10.10.42 et une adresse IP de destination 10.10.10.2. Le botier FortiGate reoit ces paquets sur son interface interne. Cependant, cette fois-ci, lentre dans la table de session pare-feu va servir dterminer ladresse de destination translate. Dans cet exemple, ladresse source est rcrite et devient 192.168.37.4 et la destination 192.168.37.55. Les paquets sont ensuite envoys et arrivent finalement sur lordinateur client. Ladresse du serveur napparat pas dans les paquets que le client reoit. En effet, aprs que le botier FortiGate ait translat les adresses rseaux, il ny a plus de rfrence faite au rseau du serveur. Le client na pas dindication sur lexistence du rseau priv du serveur. Pour lui, le botier FortiGate est le serveur web.
Illustration 130 : Exemple de translation dadresse dun paquet pendant une translation serveur - client
Remarque : Les adresses IP virtuelles ne sont pas disponibles ou requises en mode Transparent.
Une adresse IP virtuelle peut tre une seule adresse IP ou une plage dadresses IP limite une interface FortiGate. Lorsque vous faites correspondre une adresse IP ou une plage dadresses IP une interface FortiGate fonctionnant avec une adresse IP virtuelle, linterface rpond aux requtes ARP pour ladresse IP ou pour la plage dadresses IP correspondante.
261
Dans le cas o la case NAT na pas t slectionne lors de la configuration dune rgle pare-feu, cette rgle effectuera la DNAT (destination network address translation). La DNAT accepte les paquets dun rseau externe lattention dune adresse IP de destination spcifique, translate ladresse de destination des paquets en une adresse IP de correspondance dun autre rseau cach et transfre ensuite les paquets travers le botier FortiGate vers ce rseau de destination cach. A linverse des exemples prcdents, ladresse source nest pas translate. Une fois sur le rseau de destination cach, les paquets peuvent arriver leur destination finale. Les adresses IP virtuelles translatent galement ladresse IP source des paquets de retour de ladresse source du rseau cach pour quelle soit identique ladresse de destination des paquets originaux. Les plages dadresses IP virtuelles peuvent tre de presque nimporte quelle taille et peuvent translater les adresses vers diffrents sous-rseaux. Les plages dadresses IP virtuelles ont les restrictions suivantes : Ladresse IP de correspondance ne peut pas inclure 0.0.0.0 ou 255.255.255.255. Ladresse IP externe ne peut pas tre 0.0.0.0. si le type de cette adresse est NAT statique et est translate en une plage dadresses IP. Seuls lquilibrage de charge des adresses IP virtuelles, et les adresses IP virtuelles translates vers une seule adresse IP, supportent une adresse IP externe 0.0.0.0. La translation de Port translate une plage de ports externes vers une plage de ports internes. Le nombre de ces ports doit tre le mme. Pour cela, le port externe doit tre dfini de manire ce que sa plage ne dpasse pas 65535. Par exemple, une plage interne de 20 ports translates du port externe 65530 nest pas valide puisque le dernier port de la plage serait 65550. Lors du relayage de port, la plage dadresses IP externes ne peut pas inclure dadresses IP dinterfaces. La plage dadresses IP de correspondance ne doit pas inclure dadresses IP dinterfaces. Le nom dune adresse IP virtuelle ne peut pas tre identique celui dune adresse ou dun groupe dadresses. Les entres dupliques ou de plages qui se chevauchent ne sont pas permises.
En plus de lier ladresse IP ou la plage dadresses IP linterface, ladresse IP virtuelle contient galement toutes les informations requises pour translater ladresse IP ou la plage dadresses IP de linterface qui reoit les paquets vers linterface connecte au mme rseau que ladresse IP ou la plage dadresses IP actuelle. Vous pouvez crer cinq diffrents types dadresses IP virtuelles, chacun pouvant tre utilis pour une variation de DNAT.
Static NAT Les adresses IP virtuelles de translation translate une adresse IP externe ou une plage dadresses IP dun rseau source vers une adresse IP translate ou une plage dadresses IP dun rseau de destination.
262
Les adresses IP virtuelles de translation utilisent une translation un--un. Une seule adresse IP externe est translate vers une seule adresse IP. Une plage dadresses IP externes est translate vers une plage correspondante dadresses IP. Une adresse IP donne dans la plage dadresses sources est toujours translate vers la mme adresse IP dans la plage dadresses de destination. Static NAT Port Forwarding Le relayage de port NAT statique translate une seule adresse IP ou une plage dadresses et un seul numro de port ou de plage de ports sur un rseau vers une seule adresse IP ou une plage dadresses diffrente et un seul numro de port ou de plage de ports diffrente sur un autre rseau. Le relayage de port NAT statique est galement appel relayage de port. Les adresses IP virtuelles du relayage de port NAT statique utilisent une translation un un. Une plage dadresses IP externes est translate vers une plage correspondante dadresses IP et une plage de ports externes est translate vers une plage correspondante de ports. Les adresses IP virtuelles de relayage de port peuvent tre utilises pour configurer le botier FortiGate pour le PAT (port address translation). Equilibrage de charge Egalement appel relayage de port dynamique. Une adresse IP virtuelle dquilibrage de charge translate une seule adresse IP sur un rseau vers une plage dadresses IP sur un autre rseau. Lquilibrage de charge utilise une translation un--plusieurs et un algorithme dquilibrage de charge pour affecter une adresse IP de destination de la plage dadresses IP pour assurer une distribution du trafic plus quilibre. Load Balancing Port Forwarding Un quilibrage de charge avec une adresse IP virtuelle de relayage de port translate une seule adresse IP et un seul numro de port sur un rseau vers une plage dadresses IP et une plage de numros de ports sur un autre rseau. Un quilibrage de charge relayage de port utilise un algorithme dquilibrage de charge un--plusieurs pour affecter ladresse IP de destination dune plage dadresses IP pour assurer une distribution plus quilibre du trafic et galement pour affecter le port de destination de la plage de ports de destination. Dynamic virtual IPs Si vous dfinissez ladresse IP externe dune adresse IP virtuelle 0.0.0.0 vous crez une adresse IP virtuelle dynamique pour laquelle toute adresse IP externe est translate vers ladresse IP ou la plage dadresses IP translate.
Vous devez ajouter ladresse IP virtuelle une rgle pare-feu NAT pour rellement implmenter la translation configure dans ladresse IP virtuelle. Pour ajouter une rgle pare-feu qui translate des adresses sur un rseau externe vers un rseau interne, vous ajoutez une rgle pare-feu de lexterne vers linterne et ajoutez ladresse IP virtuelle dans le champ de ladresse de destination de la rgle. Par exemple, si lordinateur muni dun serveur web est localis sur le rseau interne, il pourrait avoir une adresse IP prive telle que 10.10.10.42. Pour recevoir des paquets dInternet vers le serveur web, il doit y avoir une adresse externe du serveur web sur Internet. Ajoutez une adresse IP virtuelle au pare-feu qui translate ladresse externe IP du serveur web sur Internet vers ladresse actuelle du serveur web du rseau interne. Pour autoriser des connexions dInternet vers le serveur
263
web, ajoutez une rgle pare-feu de lexterne vers linterne et affectez ladresse IP virtuelle lAdresse de Destination.
Permet dajouter une adresse IP virtuelle. Le nom de ladresse IP virtuelle. Ladresse IP ou la plage dadresses externe. Le numro du port externe ou la plage de ports. Le port de service est compris dans le relayage de port dadresses IP virtuelles. La translation vers ladresse IP ou la plage dadresses sur le rseau de destination. La translation vers le numro du port ou la plage de ports. Le port rel est compris dans le relayage de port dadresses IP virtuelles. Permet de supprimer ladresse IP virtuelle de la liste. Cette icne apparat seulement si cette adresse nest pas reprise dans une rgle pare-feu. Permet de modifier toute option dune adresse IP virtuelle notamment son nom.
Icne Supprimer
Icne Editer
Interface externe
Type
264
External IP Address/Range
Entrez ladresse IP externe que vous voulez translater vers une adresse sur le rseau de destination. Pour configurer une adresse IP virtuelle dynamique qui accepte les connexions pour nimporte quelle adresse IP, affectez 0.0.0.0 ladresse IP externe. Pour une adresse IP virtuelle dynamique de translation vous ne pouvez ajouter quune adresse IP translate. Pour une adresse IP virtuelle dynamique dquilibrage de charge vous pouvez spcifier une seule adresse ou une seule plage dadresses translate. Entrez ladresse IP relle sur le rseau de destination de ladresse IP externe translate. Vous pouvez galement entrer une plage dadresses pour transfrer les paquets vers de multiples adresses IP sur le rseau de destination. Pour une adresse IP virtuelle de translation, si vous ajoutez une plage dadresses IP translates, le botier FortiGate calcule la plage dadresses IP externe et ajoute cette plage dans le champ External IP Adresse/Range.
Mapped IP Address/Range
Permet dajouter une adresse IP virtuelle de relayage de port. Slectionnez le protocole (TCP ou UDP) que les paquets transfrs utiliseront. Entrez le numro du port service externe pour lequel vous dsirez configurer le relayage de port. Entrez le numro du port sur le rseau de destination dont le numro du port externe est translat. Vous pouvez galement entrer une plage de ports pour transfrer les paquets vers de multiples ports sur le rseau de destination. Pour une adresse IP virtuelle de translation, si vous ajoutez une translation une plage de ports, le botier FortiGate calcule la plage de ports externes et ajoute cette plage dans le champ Port Externe.
265
Ajouter une adresse IP virtuelle de translation une seule adresse IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs dInternet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range simple_static_NAT wan1 NAT statique Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que lIP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP du serveur sur le rseau interne. Puisquil ny a quune adresse IP, laissez le deuxime champ vide.
Illustration 133 : Options des adresses IP virtuelles : IP virtuelles de translation une seule adresse IP
Cliquez sur OK. Ajouter une adresse IP virtuelle de translation une seule adresse IP dans une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de manire ce que lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du serveur web, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. Ladresse IP virtuelle translate ladresse de destination de ces paquets de lIP externe vers ladresse IP du rseau DMZ du serveur web.
1 2
Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau. Configurez la rgle pare-feu :
Source Interface/Zone Source Adresse wan1 All (ou une adresse spcifique prcise) Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
266
3 4
Ajouter une adresse IP virtuelle de translation une plage dadresses IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs dInternet de se connecter trois serveurs web individuels sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range static_NAT_range wan1 NAT statique La plage dadresses IP Internet des serveurs web. Les adresses IP externes doivent tre des adresses IP
267
statiques obtenues par votre FAI pour votre serveur web. Ces adresses doivent galement tre des adresses IP uniques qui ne sont pas utilises par un autre hte et ne peuvent pas tre les mmes que les adresses IP de linterface externe que lIP virtuelle va utiliser. Cependant, les adresses IP externes doivent tre routes vers linterface slectionne. Les adresses IP virtuelles et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour les adresses IP externes. Map to IP/IP Range La plage dadresses IP des serveurs du rseau interne. Dfinissez la plage en entrant la premire adresse de la plage dans le premier champ et la dernire adresse de la plage dans le deuxime champ.
Illustration 135 : Options des adresses IP virtuelles : IP virtuelles de translation avec une plage dadresses IP
Cliquez sur OK. Ajouter une adresse IP virtuelle de translation avec une plage dadresses IP une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. Ladresse IP virtuelle translate les adresses de destination de ces paquets de ladresse IP externe vers les adresses IP du rseau DMZ des serveurs web.
1 2
Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau. Configurez la rgle pare-feu :
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 static_NAT_range always HTTP ACCEPT
3 4
268
Ajout dun relayage de port de translation une seule adresse IP et un seul port
Ladresse IP 192.168.37.4, port 80 sur Internet est translate vers 10.10.10.42, port 8000 sur un rseau priv. Les tentatives de communication avec 192.168.37.4, port 80 dInternet sont translates et envoyes vers 10.10.10.42, port 8000 par le botier FortiGate. Les ordinateurs sur Internet nayant pas connaissance de cette translation ne voient quun seul ordinateur au 192.168.37.4, port 80 au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 136 : Exemple de relayage de port de ladresse IP virtuelle de translation pour une seule adresse IP et un seul port
Ajouter un relayage de port de ladresse IP virtuelle de translation une seule adresse IP et un seul port 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Port_fwd_NAT_VIP wan1 NAT statique Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que ladresse IP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP du serveur sur le rseau interne. Puisquil ny a quune adresse IP, laissez le deuxime champ vide. Slectionn TCP Le port utilis par le trafic provenant dInternet. Pour un serveur web, il sagit gnralement du port 80. 269
Port rel
Le port sur lequel le serveur reoit le trafic. Puisquil ny a quun port, laissez le deuxime champ vide.
Illustration 137 : Options des adresses IP virtuelles : Relayage de port dune adresse IP virtuelle de translation une seule adresse IP et un seul port
Cliquez sur OK. Ajouter un relayage de port dune adresse IP virtuelle de translation une seule adresse IP et un seul port une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. Ladresse IP virtuelle translate les adresses et ports de destination de ces paquets de ladresse IP externe vers les adresses IP du rseau DMZ des serveurs web.
1 2
Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau. Configurez la rgle pare-feu :
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 Port_fwd_NAT_VIP always HTTP ACCEPT
3 4
Ajout dun relayage de port de translation une plage dadresses IP et une plage de ports
Les ports 80 83 des adresses 192.168.37.4 192.168.37.7 sur Internet sont translates aux ports 8000 8003 des adresses 10.10.10.42 10.10.10.44 sur un rseau priv. Les tentatives de communication vers 192.168.37.5, port 82 dInternet par exemple, sont translates et envoyes vers 10.10.10.43, port 8002 par le botier FortiGate. Les ordinateurs sur Internet nayant pas connaissance de cette translation ne voient quun seul ordinateur au 192.168.37.5 au lieu dun botier FortiGate avec un rseau priv derrire.
270
Illustration 138 : Exemple de relayage de port dune adresse IP virtuelle de translation une plage dadresses IP et une plage de ports
Ajouter un relayage de port de ladresse IP virtuelle de translation une plage dadresses IP et une plage de ports 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Port_fwd_NAT_VIP_port_range wan1 NAT statique Ladresse IP Internet du serveur web. Les adresses IP externes doivent tre des adresses IP statiques obtenues par votre FAI. Ces adresses doivent galement tre uniques et inutilises par un autre hte et ne peuvent pas tre identiques ladresse IP de linterface externe que ladresse IP virtuelle va utiliser. Cependant, les adresses IP externes doivent tre routes vers linterface slectionne. Les adresses IP virtuelles et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez ladresse IP virtuelle, linterface externe rpond aux requtes ARP pour les adresses IP externes. Les adresses IP du serveur sur le rseau interne. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ. Slectionn TCP Les ports utiliss par le trafic provenant dInternet. Pour un serveur web, il sagit gnralement du port 80. Les ports sur lesquels le serveur attend le trafic. Dfinissez la plage en entrant le premier port de cette plage dans le premier champ et le dernier port dans le deuxime champ. Sil ny a quun seul port, laissez le deuxime champ vide.
Illustration 139 : Options de ladresse IP virtuelle : relayage de port de ladresse IP virtuelle de translation une plage dadresses IP et une plage de ports Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 271
Cliquez sur OK. Ajouter un relayage de port dune adresse IP virtuelle de translation une plage dadresses IP et une plage de ports une rgle pare-feu Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise lIP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. LIP virtuelle translate les adresses et ports de destination de ces paquets de lIP externe vers les adresses IP du rseau DMZ des serveurs web.
1 2
Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau. Configurez la rgle pare-feu :
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 Port_fwd_NAT_VIP_port_range always HTTP ACCEPT
3 4
272
Illustration 140 : Exemple dIP virtuelle dquilibrage de charge dune plage dadresses IP
Ajouter une IP virtuelle dquilibrage de charge une plage dadresses IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range Load_Bal_VIP wan1 Load Balance Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que lIP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez lIP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP des serveurs sur le rseau interne. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ.
273
Ajouter une IP virtuelle dquilibrage de charge une plage dadresses IP une rgle pare-feu Ajoutez une rgle pare-feu wan1 vers dmz1 qui utilise lIP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. LIP virtuelle translate ladresse de destination de ces paquets de lIP externe vers les adresses IP du rseau DMZ des serveurs web. 1 2 Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau. Configurez la rgle pare-feu :
Source Interface/Zone Source Adresse Destination Interface/Zone Destination Adresse Horaire Service Action wan1 All (ou une adresse spcifique prcise) dmz1 Load_Bal_VIP always HTTP ACCEPT
3 4
Ajout dune IP virtuelle relayage de port quilibrage de charge une plage dadresses IP et une plage de ports
Les connexions vers 192.168.37.4 sur Internet sont translates vers 10.10.10.42 10.10.10.44 sur un rseau priv. La translation dadresse IP est dtermine par lalgorithme de lquilibrage de charge du botier FortiGate. Les ports 80 83 sur 192.168.37.4 sont translats vers 8000 8003. Les ordinateurs sur Internet nayant pas connaissance de cette translation ne voient quun seul ordinateur 192.168.37.4 au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 142 : Exemple dIP virtuelle relayage de ports quilibrage de charge une plage dadresses IP et une plage de ports
Ajouter une IP virtuelle dquilibrage de charge une plage dadresses IP 1 2 3 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Utilisez la procdure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans
274
notre exemple, linterface wan1 du botier FortiGate est connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom Interface externe Type External IP Address/Range Load_Bal_VIP_port_forward wan1 Load Balance Ladresse IP Internet du serveur web. Ladresse IP externe doit tre une adresse IP statique obtenue par votre FAI pour votre serveur web. Cette adresse doit galement tre une adresse IP unique qui nest pas utilise par un autre hte et ne peut pas tre la mme que ladresse IP de linterface externe que lIP virtuelle va utiliser. Cependant, ladresse IP externe doit tre route vers linterface slectionne. Ladresse IP virtuelle et ladresse IP externe peuvent tre sur des sous-rseaux diffrents. Lorsque vous ajoutez lIP virtuelle, linterface externe rpond aux requtes ARP pour ladresse IP externe. Ladresse IP des serveurs sur le rseau interne. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ. Slectionn. TCP Les ports que le trafic provenant dInternet utiliseront. Pour un serveur web, il sagit gnralement du port 80. Les ports sur lesquels le serveur attend le trafic. Dfinissez la plage en entrant la premire adresse de cette plage dans le premier champ et la dernire adresse dans le deuxime champ. Sil ny a quun port, laissez le deuxime champ vide.
Cliquez sur OK. Ajouter une IP virtuelle dquilibrage de charge pour une plage dadresses IP une rgle pare-feu Ajoutez une rgle pare-feu wan1 vers dmz1 qui utilise lIP virtuelle de manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1 linterface dmz1. LIP virtuelle translate ladresse de destination de ces paquets de lIP externe vers les adresses IP du rseau DMZ des serveurs web.
275
3 4
Ajouter une IP virtuelle dynamique 1 2 3 4 Slectionnez Pare-feu > IP virtuelle > IP virtuelle. Cliquez sur Crer Nouveau. Entrez un nom pour lIP virtuelle dynamique. Slectionnez lInterface Externe de lIP virtuelle dans la liste. Linterface externe est connecte au rseau source et reoit les paquets transfrer au rseau de destination. Slectionnez nimporte quelle interface pare-feu ou sous-interface VLAN. 5 6 Dfinissez lAdresse IP Externe sur 0.0.0.0. Cela correspond toute adresse IP. Entrez le numro du Port Externe pour lequel configurer le relayage de port dynamique. Le numro de port externe doit correspondre au port de destination des paquets transfrer. Par exemple, si lIP virtuelle fournit un accs PPTP au serveur PPTP travers lInternet, le numro du port externe devrait tre 1723 (le port PPTP). 7 Entrez ladresse Map to IP (ou Mapped IP Address) vers laquelle translater ladresse IP externe. Par exemple, ladresse IP dun serveur PPTP sur un rseau interne.
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
276
Entrez le numro du Port Rel ajouter aux paquets lors de leur transfert. Entrez le mme numro que le Port Externe si le port nest pas destin tre translat.
Plages IP
Vous pouvez utiliser des plages IP pour ajouter des rgles NAT qui translatent les adresses sources en adresses slectionnes arbitrairement dans la plage IP au lieu dtre limit ladresse IP de linterface de destination. Une plage IP dfinit une adresse ou une plage dadresses IP dont chacune rpond aux requtes ARP sur linterface laquelle la plage IP est ajoute. Lors de la configuration dune rgle pare-feu, cochez la case Pool dadresses pour translater ladresse source de paquets sortants en une adresse slectionne arbitrairement dans la plage IP. Une liste de plages IP apparat lorsque linterface de destination de la rgle est la mme que linterface de plage IP. Avec une plage IP ajoute linterface interne, vous pouvez slectionner une plage IP dynamique pour les rgles avec linterface interne comme destination. Vous pouvez ajouter des plages IP nimporte quelle interface et slectionn la plage IP utiliser lors de la configuration dune rgle pare-feu. Une seule adresse IP est entre normalement. Par exemple, 192.168.110.100 est une adresse de plage IP valide. Si une plage dadresses IP est ncessaire, entrez lun des formats suivants : x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120 x.x.x.[x-x], par exemple 192.168.110.[100-120]
translation de port source. Cependant, la slection de Port Fixe signifie quune seule connexion peut tre supporte travers le pare-feu pour ce service. Pour tre capable de supporter des connexions multiples, ajoutez une plage IP linterface de destination, et slectionnez ensuite Pool dadresses dans la rgle. Le pare-feu slectionne arbitrairement une adresse IP de la plage IP et laffecte chaque connexion. Dans ce cas, le nombre de connexions que le pare-feu peut supporter est limit par le nombre dadresses IP dans la plage IP.
Crer Nouveau Nom Dbut de la plage Fin de la plage Icne Supprimer Icne Editer
Permet dajouter une plage IP. Le nom de la plage IP. Dfinit la premire adresse de la plage IP. Dfinit la dernire adresse de la plage IP. Permet de retirer une entre de la liste. Cette icne napparat que si la plage IP nest pas reprise dans une rgle pare-feu. Permet dditer les informations suivantes : Nom, Interface, Plage IP/Rseau.
Entrez ou modifiez le nom de la plage IP. Slectionnez linterface laquelle ajouter une plage IP. Entrez la plage dadresses IP pour cette plage IP. La plage dadresses IP dfinit le dbut et la fin de la plage IP. Le dbut de la plage doit tre infrieur la fin. La plage IP ne doit pas forcment se trouver sur le mme sous-rseau que ladresse IP de linterface laquelle la plage IP est ajoute.
278
Profil de Protection
Cette section dcrit comment ajouter des profils de protection aux rgles en mode NAT/Route et mode Transparent. Cette section couvre les sujets suivants : Quest-ce quun profil de protection ? Profil de protection par dfaut Visualisation de la liste des profils de protection Configuration dun profil de protection Ajout dun profil de protection une rgle Configuration CLI dun profil de protection
Grce lutilisation de profils de protection, vous pouvez personnaliser les types et niveaux de protection pour les diffrentes rgles pare-feu. Par exemple, alors que le trafic entre les adresses interne et externe ncessitent probablement une protection stricte, le trafic entre des adresses internes de confiance ncessitent quant lui une protection modre. Il est conseill de configurer des rgles pour des services de trafics diffrents qui utiliseront des profils de protection identiques ou diffrents.
279
Si les domaines virtuels sont activs sur le botier FortiGate, les profils de protection sont configurs globalement et sont disponibles pour tous les domaines virtuels. Pour accder aux profils de protection, slectionnez Configuration Globale > Pare-feu > Profil de protection.
Scan
Web
Unfiltered (Non-filtr)
Permet dajouter un profil de protection. Le nom du profil de protection. Permet de retirer un profil de protection de la liste. Cette icne apparat uniquement si le profil nest pas repris dans une rgle pare-feu. Permet de modifier un profil de protection.
Icne Editer
Remarque : Un profil de protection ne peut pas tre supprim sil est repris dans une rgle pare-feu ou compris dans un groupe dutilisateurs.
280
Nom du profil Comments Antivirus Filtrage Web FortiGuard-Web Filtering Filtrage antispam IPS Archiver le contenu IM & P2P Logging
Entrez un nom au profil de protection. Si ncessaire, entrez une description au profil. Voir Options Antivirus la page 282. Voir Options du filtrage Web la page 283. Voir Options du filtrage Web FortiGuard la page 285. Voir Options du filtrage anti-spam la page 286. Voir Options IPS la page 289. Voir Options des archives de contenu la page 289. Voir Options IM et P2P la page 290. Voir Options de la journalisation la page 291.
Remarque : Si les fonctionnalits Virus Scan et File Block sont toutes deux actives, le botier FortiGate bloque les fichiers correspondant aux types de fichiers activs avant de procder une analyse antivirus.
281
Options Antivirus
Illustration 149 : Options antivirus du profil de protection
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Le support sera ajout dans une version ultrieure.
Les options antivirus suivantes sont disponibles dans les profils de protection.
Dtection de virus Activez ou dsactivez lanalyse de virus pour chaque protocole (HTTP, FTP, IMAP, POP3, SMTP, IM). Loption Grayware, si active dans Antivirus > Config > Grayware, est comprise avec lAnalyse de virus. Notez que le mode continu est activ automatiquement lorsque vous activez lanalyse de virus. Activez ou dsactivez loption file pattern pour chaque protocole. Les fichiers peuvent tre bloqus ou autoriss en fonction de leur nom, leur extension ou tout autre critre. Ce processus offre la flexibilit de bloquer des fichiers qui contiendraient des lments nuisibles. Liste droulante de File Pattern : Slectionnez la liste File Pattern utiliser avec ce profil de protection. La liste par dfaut est appele built-in-patterns . Seuls les modles FortiGate800 et plus sont munis de cette liste. Quarantaine (log disk requis) Activez ou dsactivez loption de mise en quarantaine pour chaque protocole. Vous pouvez visualiser les fichiers suspects placs en quarantaine ou les soumettre Fortinet pour analyse. Cette option nest pas affiche si le botier FortiGate ne possde pas de disque dur ou un quipement FortiAnalyzer configur. Activez ou dsactivez les emails fragments pour les protocoles de mail (IMAP, POP3, SMTP). Les mails fragments ne peuvent pas subir une analyse virus. Activez ou dsactivez cette option pour les trafics HTTP et FTP. Cette option fournit le statut des fichiers mis en rserve (buffer) pour tlchargement via HTTP ou FTP. Les utilisateurs peuvent observer les pages web ou fichiers en cours de tlchargement. Si dsactive, les utilisateurs nont aucune indication quant la mise en rserve du tlchargement et peuvent annuler le transfert pensant quil a chou. Interval Le temps en secondes avant que loption Comfort Client dmarre aprs que le tlchargement ait commenc. Il sagit Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
File Pattern
282
galement du temps entre des intervalles prochains. Amount Le nombre doctets envoys chaque intervalle.
Slectionnez Transmettre ou Bloquer pour les fichiers et les messages mails excdant les seuils configurs pour chaque protocole. Threshold Si le fichier est plus grand que la valeur du seuil (en mgaoctets), le fichier est transmis ou bloqu, selon ce qui a t dfini dans loption Fichier/Mail dpassant la taille limite. Le seuil maximum pour lanalyse en mmoire est 10% de la RAM du botier FortiGate. Remarque : Pour lanalyse de mails, le seuil de taille limite fait rfrence la taille finale du mail aprs encodage du mail client, y compris les pices jointes. Les mails clients peuvent utiliser une varit de types dencodage dont certains translatent en taille plus grande que la taille de la pice jointe originale. Lencodage le plus commun, base64, translate 3 octets de donnes binaires en 4 octets de donnes en base64. Ds lors un fichier peut tre bloqu ou journalis comme trop grand mme si la pice jointe est de quelques mgaoctets plus petite que la taille limite configure dans le seuil.
Permet de crer et dajouter une signature aux mails sortants (SMTP uniquement).
Les options de filtrage Web suivantes sont disponibles dans les profils de protection.
Filtrage Web par mots clefs Activez ou dsactivez le blocage de pages web pour le trafic HTTP bas sur les critres de blocage de contenu dans la liste de blocage de contenu. Liste droulante de blocage de contenu : Permet de slectionner une liste de blocage de contenu utiliser avec ce
283
profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. Threshold : Si les rsultats combins des critres de blocage de contenu apparaissant sur une page web excdent la valeur du seuil, la page sera bloque. Voir Visualisation de la liste de blocage de contenu web la page 369. Web Content Exempt Activez ou dsactivez loverride (lignorance) du blocage de contenu web bas sur des critres de dispense de contenu dans la liste de contenu dispens. Liste droulante de contenu web dispens : Slectionnez une liste de contenu dispens utiliser avec ce profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. Web URL Filter Activez ou dsactivez un filtrage de page web pour le trafic HTTP bas sur une liste dURL. Liste droulante de filtre dURL web : Permet de slectionner une liste de filtre dURL web utiliser avec ce profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. ActiveX Filter Cookie Filter Java Applet Filter Ne pas reprendre les transferts Web en cours Permet dactiver le blocage de contrle ActiveX. Permet dactiver le blocage de cookies. Permet dactiver le blocage des Applets Java. Permet de bloquer les transferts de partie dun fichier dj partiellement tlcharg. Cette option empche le tlchargement involontaire de virus cachs dans des fichiers fragments. Notez que certains types de fichiers, comme PDF, sont fragments pour augmenter la vitesse de tlchargement. Lactivation de cette option pourrait donc entraner des interruptions dans le tlchargement de ces types de fichier.
Voir Filtrage Web la page 366 pour des options supplmentaires de configuration de filtrage web.
284
Activer FortiGuard-Web Filtering (HTTP seulement) Activer FortiGuard-Web Filtering Overrides (HTTP uniquement)
Active le blocage par catgorie FortiGuard-WebTM. Active loverride (lignorance) de catgories. Une fois slectionne, une liste de groupes est affiche. Si aucun groupe nest disponible, loption est grise. Pour plus dinformations sur les overrides, voir Visualisation de la liste override la page 379 et Configuration de rgles dignorance la page 380. Pour plus dinformations sur les groupes, voir Groupe dutilisateurs la page 330.
Fournir les dtails pour les Affiche un message de remplacement pour les erreurs bloques HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si lerreur est (HTTP uniquement) autorise, des sites malintentionns peuvent utiliser ces pages derreurs pour passer outre le blocage par catgorie web. Evaluer les images par URL (les images bloques seront remplaces par des blancs) (HTTP uniquement) Bloque les images qui ont t values par FortiGuard. Les images bloques sont remplaces sur les pages web par des blancs. Les types dimage qui sont valus sont GIF, JPEG, PNG, BMP et TIFF. Autorise les pages web qui renvoient une erreur dvaluation du service de filtrage web.
Autoriser les sites web lors dune erreur dvaluation (HTTP uniquement) Blocage strict
285
(HTTP uniquement)
est rejet si lune des classifications ou catgories correspond lvaluation du site. Lorsque cette option est dsactive, laccs au site web est accept si lune des classifications ou catgories correspond la liste autorise. Ceci est dfinit par dfaut. Lorsque cette option est active, elle envoie lURL et ladresse IP du site requis pour contrle, fournissant ainsi une scurit additionnelle contre les tentatives de contournements du systme FortiGuard. Le service de filtrage de contenu FortiGuard-Web offre de nombreuses catgories de filtrages du trafic web. Dfinissez les actions prendre pour les pages web de chaque catgorie : autorise, bloque, journalise ou autorise loverride. Les classifications bloquent des classes entires de sites web. Des sites qui fournissent des contenus cachs, comme Google par exemple, peuvent tre bloqus. Des sites web qui autorisent des recherches dimages, daudio ou de vidos peuvent galement tre bloqus. Des sites web qui sont classifis sont galement valus dans lune des catgories ou ne sont pas valus. Choisissez entre autorise, bloque, journalise ou autorise loverride.
Catgorie
Classification
Voir Filtrage Web FortiGuard la page 378 pour plus doptions de configuration du blocage de catgories.
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout dans une version ultrieure.
Les options de filtrage antispam suivantes sont disponibles dans les profils de protection.
FortiGuard Anti-spam Vrification de ladresse IP Activez ou dsactivez la liste noire dadresses IP du filtrage FortiGuardAntispamTM. Le FortiGuard-Antispam extrait Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
286
ladresse source du serveur mail SMTP et envoie ladresse IP vers un serveur FortiGuard-Antispam pour la comparer la liste des spammers connus. Si ladresse IP est trouve FortiGuard-Antispam met fin la session. Si ladresse IP nest pas trouve le serveur mail envoie le mail son destinataire. Voir Service FortiGuardAntispam la page 185 pour plus dinformations sur ce service. URL check Activez ou dsactivez la liste noire URL du TM filtrage FortiGuard-Antispam . Le corps de messages mails sont filtrs pour en extraire tout lien URL. Ces liens URL sont envoys vers un serveur FortiGuard-Antispam pour comparaison avec ses listes. Des messages spam contiennent souvent des liens URL vers des sites publicitaires. Sil y a une correspondance dURL, le FortiGuardAntispam met fin la session. Sil ny a pas de correspondance, le serveur mail envoie le mail son destinataire. Voir Service FortiGuard-Antispam la page 185 pour plus dinformations sur ce service.
Vrification Email Activez ou dsactivez la liste noire de Checksum somme de vrification (checksum) de messages mails FortiGuard-Antispam. Lorsque cette option est active, ce filtre calcule la somme de vrification dun message mail et lenvoie aux serveurs FortiGuard afin de dterminer si cette somme de vrification fait partie de la liste. Le botier FortiGate transfre ensuite ou marque/bloque le message mail en fonction de la rponse du serveur. Spam submission Lorsque cette option est active, tous les messages mails dfinis comme spam se voient ajouter un lien dans le corps du message. Si le message mail nest pas un spam, cliquez simplement sur le lien dans le message pour en informer FortiGuard. Filtrage par liste dadresses IP Activez ou dsactivez le contrle des adresses IP entrantes en fonction de la liste dadresses IP du filtre antispam configur (SMTP uniquement). Liste droulante de filtrage par liste dadresses IP : Permet de slectionner une liste blanche/noire dadresses IP utiliser avec ce profil de protection. Seuls les modles FortiGate-800 et plus offrent cette slection. Activez ou dsactivez la recherche du nom du domaine source (commande SMTP HELO) dans le Domain Name Server. Filtrage par liste dadresses mail :Activez ou dsactivez le filtrage dadresses mail entrants avec la liste dadresses mail du filtre antispam configur. Liste droulante de filtrage par liste dadresses mail : Permet de slectionner une liste blanche/noire dadresses mail utiliser avec ce profil de protection.
287
Seuls les modles FortiGate-800 et plus offrent cette slection. Return e-mail DNS check Activez ou dsactivez cette option qui contrle si le domaine spcifi dans les champs Reply to (Rpondre ) et From Address (A partir de ladresse) possde un enregistrement DNS A ou MX. Activez ou dsactivez le filtrage de mail source en fonction dune liste de mots-cls du filtre antispam configur. Liste droulante de filtrage par mots clefs : Permet de slectionner une liste de mots-cls utiliser avec ce profil de protection. Seuls les modles FortiGate800 et plus offrent cette slection. Threshold Si les rsultats combins des critres de mots-cls apparaissant dans un message mail excdent la valeur du seuil, le message sera trait selon les paramtres dfinis dans Spam Action. Voir Visualisation de la liste des mots bannis antispam la page 390. Dfinit les actions mises en vigueur par le filtre antispam. Laction Tag vous permet dajouter une balise personnalise un sujet ou un en-tte de mail identifi comme spam. Pour le trafic SMTP, si lanalyse de virus ou le mode continu est activ, vous ne pourrez que rejeter les mails spams, ces connexions tant alors abandonnes. (Notez que le mode continu est activ automatiquement lorsque lanalyse de virus est active). Sans mode continu ou analyse de virus activ, vous pouvez choisir entre baliser ou rejeter les spams SMTP. Vous pouvez baliser les mails en insrant un mot ou une phrase dans le sujet ou en ajoutant un en-tte MIME et une valeur dans len-tte du mail. Vous pouvez choisir de journaliser toute action spam dans le Journal dvnements. Permet dinsrer une balise au sujet ou en-tte MIME du mail identifi comme spam. Entrez un mot ou une phrase (tag/balise) insrer au mail identifi comme spam. La longueur maximum tant de 63 caractres.
Action antispam
Insertion
Tag
Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en fonction de leur en-tte MIME. Contrlez les paramtres de votre mail client avant de dfinir comment baliser les spams.
Voir Antispam la page 386 pour plus doptions de configuration de filtre antispam. Pour configurer le service FortiGuard-Antispam, voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186.
288
Options IPS
Illustration 153 : Options IPS du profil de protection
Les options suivantes sont disponibles pour lIPS travers le profil de protection.
IPS Signature Slectionnez un ou plusieurs niveaux de svrit des signatures IPS pour ce profil : Critical, High, Medium, Low et Information. Les signatures avec niveau de svrit qui nont pas t slectionns ne sont pas enclenches. Slectionnez un ou plusieurs niveaux de svrit danomalie pour ce profil : Critical, High, Medium, Low et Information. Les anomalies avec niveau de svrit qui nont pas t slectionnes ne sont pas enclenches.
IPS Anomaly
Voir Protection contre les intrusions la page 352 pour des options de configuration IPS supplmentaires.
Remarque : Les options NNTP et darchivage de fichiers ne peuvent pas tre slectionns. Un support sera ajout dans une version ultrieure.
Les options suivantes sont disponibles pour larchivage de contenu travers le profil de protection.
Afficher les meta-informations Permet davoir des meta-informations pour chaque dans le tableau de bord Systme types de trafic qui saffichent dans la section Content Summary de la page Statut du botier FortiGate. Visualiser les statistiques pour les trafics HTTP, FTP et messages mails (IMAP, POP3 et SMTP combins). Archive to FortiAnalyzer Activez ou dsactivez larchivage sur un quipement FortiAnalyzer de meta-informations sur le contenu pour chaque protocole. Les meta-informations sur le contenu
289
peuvent comprendre la date et lheure, la source et le rsultat de lanalyse. Larchivage de contenu nest disponible que si un quipement FortiAnalyzer est activ dans Journaux/Alertes > Configuration > Configuration du Journal. Archive a copy of all files transferred Log emails to FortiAnalyzer Archive IM to FortiAnalyzer Activez ou dsactivez larchivage de copies de fichiers tlchargs. Permet de sauvegarder une copie de tous les messages mails sur un quipement FortiAnalyzer. Activez ou dsactivez des informations condenses de journalisation pour les protocoles IM: AIM, ICQ, MSN et Yahoo. Des informations condenses peuvent comprendre la date et lheure, les informations sur la source et la destination, la taille de la requte et de la rponse et le rsultat de lanalyse. Remarque : Vous devez activer les options IM dans la section IM & P2P du profil de protection pour un archivage de contenu oprationnel. Archive full IM chat information to FortiAnalyzer Activez ou dsactivez larchivage de lentiret des chats pour le protocole IM sur un quipement FortiAnalyzer. Larchivage de contenu nest disponible que si le FortiAnalyzer est activ dans Journaux/Alertes > Configuration > Configuration du Journal. Remarque : Vous devez activer les options IM dans la section IM et P2P du profil de protection pour un archivage de contenu oprationnel. Archive a copy of all files transferred Activez ou dsactivez larchivage de copies de fichiers transfrs. Remarque : Vous devez activer les options IM dans la section IM & P2P du profil de protection pour un archivage de contenu oprationnel.
Options IM et P2P
Illustration 155 : Options IM et P2P pour un profil de protection
Les options suivantes darchivage de contenu sont disponibles dans les profils de protection.
Bloquer la connexion Empche les utilisateurs de messageries instantanes de se connecter aux services AIM, ICQ, MSN et Yahoo. Bloque les transferts de fichiers pour les protocoles AIM, ICQ, MSN et Yahoo.
290
Bloque laudio pour les protocoles AIM, ICQ, MSN et Yahoo. Active linspection de ports non standard pour le trafic IM. Transfre, bloque ou value une limite des transferts P2P pour les protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY. Les transferts Skype peuvent tre transfrs ou bloqus, mais pas limits. Spcifiez une limite de bande passante pour les protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY si laction est dfinie sur Limitation de Bande Passante.
Limite (Koctets/sec)
Les changements apports aux options des profils de protection IM, alors que des utilisateurs sont connects, ne prendront effet qu leur prochaine connexion. Activer le blocage de connexion, par exemple, ne peut pas tre utilis pour dconnecter les utilisateurs qui ont une connexion en cours. Voir IM/P2P la page 403 pour des options de configuration IM supplmentaires.
Options de la journalisation
Illustration 156 : Options de connexion du profil de protection
Les options de journalisation suivantes sont disponibles dans les profils de protection.
Antivirus Virus Fichiers bloqus Fichiers/Emails surdimensionns Filtrage Web Blocage de contenu Active la journalisation de virus scanns. Active la journalisation de fichiers bloqus. Active la journalisation de fichiers et messages mails surdimensionns. Active la journalisation du blocage de contenu. 291
Filtrage dURL Filtrer les ActiveX Filtrer les Cookies Filtrer les Applets Java FortiGuard Web Filtering Erreurs dvaluation (HTTP uniquement) Log Spam Journaliser les intrusions
Active la journalisation dURL bloques et exemptes. Active la journalisation des ActiveX bloqus. Active la journalisation des cookies bloqus. Active la journalisation des Applets Java bloqus. Active la journalisation des erreurs dvaluation. Active la journalisation des spams dtects. Active la journalisation des intrusions de signatures et anomalies. Active la journalisation de lactivit IM. Active la journalisation de lactivit P2P.
IM / P2P
3 4 5 6 7 8
292
293
VPN IPSEC
Cette section couvre les informations sur les options des modes tunnel et route (mode interface) VPN IPSec disponibles partir de linterface dadministration web. Les botiers FortiGate implmentent le protocole ESP (Encapsulated Security Pauload) en mode tunnel. Les paquets crypts ressemblent des paquets ordinaires qui peuvent tre routs travers nimporte quel rseau IP. IKE (Internet Key Exchange) seffectue automatiquement en fonction des cls partages ou de certificats digitaux X.509. Facultativement, vous pouvez spcifier des cls manuelles. Le mode interface est uniquement support en mode NAT/Route. Cela cre une interface virtuelle pour la fin locale dun tunnel VPN. Cette section parcourt les sujets suivants : Aperu du mode interface IPSec Auto Key Cl Manuelle Tunnels actifs
Une interface virtuelle IPSec est considre comme active (up) lorsquelle peut tablir une connexion phase 1 avec un client ou paire VPN. Cependant, linterface virtuelle IPSec ne peut pas tre utilise pour envoyer du trafic tant quelle nest pas lie une dfinition de tunnel phase 2. Les liens des interfaces virtuelles IPSec sont affichs sur la page Systme > Rseau > Interface. Les noms de tous les tunnels lis aux interfaces physiques sont affichs sous linterface physique associe dans la colonne Nom. Pour plus dinformations sur la page Interface, voir Interface la page 61. Aprs quune interface virtuelle IPSec ait t lie un tunnel, le trafic peut tre rout vers linterface utilisant des mtriques spcifiques pour les routes statiques et de rgles. De plus, vous pouvez crer une rgle pare-feu ayant linterface virtuelle IPSec comme interface source ou de destination. Lorsque le trafic IP provenant de derrire le botier FortiGate local arrive une interface FortiGate de sortie agissant comme sortie locale du tunnel IPSec (si le mode interface IPSec est activ sur linterface), le trafic est encapsul par le tunnel et transfr travers linterface physique laquelle linterface virtuelle IPSec est lie. Lorsque le trafic encapsul dun client distant atteint une interface physique FortiGate locale, le botier FortiGate dtermine si une interface virtuelle IPSec est
294
associe linterface physique travers des slecteurs dans le trafic. Si le trafic correspond aux slecteurs prdfinis, il est encapsul et transfr vers linterface virtuelle IPSec. Pour les flux en sortie, le botier FortiGate excute une recherche de route pour trouver linterface travers laquelle il doit transfrer le trafic en vue datteindre le routeur du prochain saut. Si la route trouve passe par une interface virtuelle lie un tunnel VPN spcifique, le trafic est crypt et envoy travers le tunnel VPN. Pour les flux en entre, le botier FortiGate identifie un tunnel VPN en utilisant ladresse IP de destination et le SPI (Security Parameter Index) du datagramme ESP pour identifier la SA (security association) de la phase 2 correspondante. Si une SA correspondante est trouve, le datagramme est dcrypt et le trafic IP associ est redirig travers linterface virtuelle IPSec. La rgle pare-feu associe un chemin spcifique est responsable du contrle de tout le trafic passant entre les adresses source et de destination. Si ncessaire, vous pouvez configurer plusieurs rgles pare-feu pour rguler le flux du trafic entrant et/ou sortant du tunnel VPN en mode route. Deux rgles pare-feu sont ncessaires pour supporter le trafic bidirectionnel travers un tunnel IPSec en mode route : lun pour contrler le trafic vers lextrieur et lautre pour le trafic vers lintrieur. Les VPN en mode route simplifient limplmentation de la redondance de tunnel VPN. Vous pouvez configurer une route pour le mme trafic IP utilisant des mtriques de routes diffrentes. Vous pouvez galement configurer lchange dinformations de routage dynamique (RIP, ISPF ou BGP) travers des tunnels VPN. Si la connexion primaire VPN choue ou la priorit dune route est modifie par un routage dynamique, une route alternative sera slectionne pour envoyer le trafic en utilisant une connexion redondante.
Auto Key
Deux paires VPN (ou un serveur dialup FortiGate et un client VPN) peuvent tre configurs pour gnrer des cls uniques IKE (Internet Key Exchange) automatiquement durant les changes IPSec en phases 1 et 2. Pour configurer le botier FortiGate pour quil gnre des cls uniques automatiquement en phases 1 et 2, slectionnez VPN > IPSEC > Auto Key (IKE). Lors de la dfinition des paramtres de cration du tunnel en phase 2, vous pouvez choisir nimporte quel ensemble de paramtres de la phase 1 pour mettre en place une connexion scurise pour le tunnel et authentifier le paire distance. La configuration Auto Key sapplique aux VPN en modes tunnel et interface.
295
Crer Phase 1 Crer Phase 2 Phase 1 Phase 2 Interface Binding Icnes Supprimer et Editer
Crer une nouvelle configuration phase 1. Voir Cration dune nouvelle configuration phase 1 la page 296. Crer une nouvelle configuration phase 2. Voir Cration dune nouvelle configuration phase 2 la page 302. Les noms des configurations phase 1 existantes. Les noms des configurations tunnel phase 2 existantes. Les noms des interfaces physiques locales, agrges ou VLAN auxquelles les tunnels IPSec sont lis. Supprime ou dite une configuration phase 1.
Pour dfinir les paramtres de base de la phase 1 IPSec, slectionnez VPN > IPSEC > Auto Key (IKE) et cliquez sur Crer Phase 1.
296
Nom
Entrez un nom qui reprsente la dfinition de la phase 1. La longueur maximum du nom est de 15 caractres pour un VPN en mode interface, 35 caractres pour un VPN bas sur une rgle. Le nom des VPN en mode tunnel devrait faire rfrence lorigine de la connexion distance. Dans le cas dun tunnel en mode route (mode interface), le botier FortiGate utilise ce mme nom pour linterface virtuelle IPSec quil cre automatiquement. Slectionnez la nature de la connexion distance : Si cest un paire distance avec une adresse IP statique qui se connectera au botier FortiGate, slectionnez Adresse IP Statique. Si ce sont un ou plusieurs utilisateurs dialup TM FortiClient /FortiGate avec des adresses IP dynamiques qui se connecteront au botier FortiGate, slectionnez Utilisateur Dialup. Si cest un paire distance qui possde un nom de domaine et souscrit un service dynamique DNS qui se connectera au botier FortiGate, slectionnez Dynamique DNS.
Passerelle
Si vous avez slectionn Adresse IP Statique, entrez ladresse IP du paire distance. Si vous avez slectionn Dynamique DNS, entrez le nom de domaine du paire distance. Cette option est disponible en mode NAT/Route uniquement. Slectionnez linterface physique, agrge ou VLAN laquelle le tunnel IPSec sera li. Le botier FortiGate obtient ladresse IP de linterface sur Systme > Rseau > Interface (voir Interface la page 61) moins que vous spcifiez une adresse IP diffrente dans le champ Passerelle IP locale dans les options avances de la Phase 1 (voir Passerelle IP locale la page 300). Slectionnez Aggressive ou Main, en fonction des paramtres des Options de Connexion ci-dessous. En mode Main, les paramtres de la phase 1 sont changs en tapes multiples avec des informations dauthentification cryptes. En mode Agressif, les paramtres de la phase 1 sont changs via un message unique avec des informations dauthentification non cryptes.
Mode
Lorsque le client ou paire VPN distance possde une adresse IP dynamique, ou quil sera authentifi via un identifiant (ID
297
local), vous devez slectionner le mode Agressif sil y a plus dune configuration phase 1 dialup pour ladresse IP de linterface. Mthode dauthentification Clef partage Slectionnez Clef partage ou Signature RSA. Si vous avez slectionn Clef partage, entrez la clef partage que le botier FortiGate utilisera pour sauthentifier auprs du paire distance ou du client dialup pendant les ngociations de la phase 1. Vous devez dfinir la mme valeur au client ou paire distant. La cl doit contenir au moins 6 caractres imprimables et ne doit tre connue que des administrateurs rseau. Pour une protection optimum contre les attaques connues, la cl devrait se constituer dun minimum de 16 caractres alphanumriques choisis arbitrairement. Dans le cas o vous avez slectionn Signature RSA, choisissez le nom du certificat du serveur que le botier FortiGate utilisera pour sauthentifier auprs du paire distance ou client dialup pendant les ngociations de la phase 1. Pour obtenir et charger le certificat du serveur, voir le FortiGate Certificate Management User Guide. Une ou plusieurs des options suivantes sont disponibles pour lauthentification des paires ou clients VPN, en fonction de la Passerelle et des paramtres de la Mthode dauthentification. Lorsque la Mthode dauthentification est dfinie sur Clef partage, vous pouvez slectionner loption Accepter tout identifiant de connexion . Dans ce cas, le botier FortiGate ne contrlent pas les identifiants (ID locaux). Le mode peut tre dfini sur Aggressive ou Main. Lorsque la Mthode dauthentification est dfinie sur Clef partage, vous pouvez authentifier un paire distance qui a une adresse IP dynamique, ou plusieurs clients dialup FortiGate/FortiClient en fonction dun identifiant particulier. Slectionnez Accepter cet identifiant et entrez lidentifiant. Pour un paire DDNS ou un client dialup FortiGate qui se connecte via un tunnel ddi, cette valeur doit tre identique la valeur dans le champ ID local de la configuration de la passerelle en phase 1 sur le pair distant ou le client dialup. Si vous configurez des paramtres dauthentification pour des clients dialup FortiClient, rfrez-vous au document Authenticating FortiClient Dialup Clients Technical Note. Si plusieurs clients dialup FortiGate/FortiClient se connecteront travers le mme tunnel VPN et utilisant le mme identifiant (partag), le Mode doit tre dfini sur Aggressive. Lorsque la Mthode dauthentification est dfinie sur Clef partage, slectionnez Accepter les identifiants du groupe dialup pour authentifier de multiples clients dialup FortiGate/FortiClient qui utilisent des identifiants uniques et des cls partages pour se connecter au VPN travers le mme tunnel VPN. Dans ce cas, vous devez crer un groupe dialup dans un but dauthentification. Voir Groupe dutilisateurs la page 330. Lorsque cette option est slectionne, vous pouvez slectionner le nom du groupe dans la liste. Pour configurer des clients dialup FortiGate, rfrez-vous au FortiGate IPSec VPN User Guide. Pour configurer, des clients dialup FortiClient, rfrez-vous la note Authenticating FortiClient Dialup Clients Technical Note. Le Mode doit tre dfini sur Aggressive lorsque les clients dialup utilisent des identifiants et cls partages uniques. Sils utilisent seulement des cls partages
Nom du certificat
Options de connexion
298
uniques, vous pouvez dfinir le Mode sur Main sil ny a quune seule configuration dialup de la phase 1 pour cette adresse IP dinterface. Lorsque la Mthode dauthentification est dfinie sur Signature RSA, vous pouvez authentifier un (ou plusieurs) paire distance ou client dialup sur base dun certificat de scurit particulier (ou partag). Slectionnez le nom du certificat dans la liste. Le certificat doit tre ajout la configuration FortiGate via la commande CLI config user paire avant quil ne puisse tre slectionn. Pour plus dinformations, voir le chapitre User dans le FortiGate CLI Reference. Si le paire ou client VPN distance possde une adresse IP dynamique, dfinissez le Mode sur Aggressive. Lorsque la Mthode dauthentification est dfinie sur Signature RSA, vous pouvez utiliser un groupe de certificats pour authentifier les paires distance et les clients dialup qui ont des adresses IP dynamiques et utilisent des certificats uniques. Slectionnez le nom du groupe de la liste. Le groupe doit tre ajout la configuration FortiGate via les commandes CLI config user paire et config user peergrp avant quil ne puisse tre slectionn. Pour plus dinformations, voir le chapitre User dans le FortiGate CLI Reference. Si le paire ou client VPN distance possde une adresse IP dynamique, dfinissez le Mode sur Aggressive.
Avanc ...
Permet de dfinir les paramtres avancs de la phase 1. Voir Dfinition des paramtres avancs de la phase 1 ci-dessous.
299
Crer une interface virtuelle pour le fin locale du tunnel VPN. Ceci nest pas disponible en mode Transparent. Dans le cas o le mode Interface IPSec est activ, il faut spcifier une adresse IP pour la fin locale du tunnel VPN. Slectionnez lune des options suivantes : Interface IP principale Le botier FortiGate obtient ladresse IP de linterface partir des paramtres dans Systme > Rseau > Interface (voir Interface la page 61). Spcifier Spcifier une adresse IP. Cette adresse IP sera assigne linterface physique, agrge ou VLAN qui est slectionne ce moment dans le champ Interface locale de la phase 1 (voir Interface locale la page 297).
Vous ne pouvez pas configurer le mode Interface dans un VDOM en mode Transparent. Proposition Phase 1 Slectionnez les algorithmes de cryptage et dauthentification qui seront utiliss pour gnrer des cls pour la protection des ngociations. Ajouter ou supprimer des algorithmes de cryptage et dauthentification tel que ncessaire. Slectionnez un minimum de 1 et un maximum de trois combinaisons. Le paire ou client distant doit tre configur pour utiliser au moins une des propositions que vous dfinissez. Vous pouvez slectionner chacun des algorithmes cls symtriques suivants : DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une cl de 56 bits. 3DES Triple- DES, avec lequel le texte clair est crypt trois fois par trois cls. AES128 un algorithme de 128 bits qui utilise une cl de 128 bits. AES192 un algorithme de 128 bits qui utilise une cl de 192 bits. AES256 un algorithme de 128 bits qui utilise une cl de 256 bits.
Vous pouvez slectionner chacun des messages rcapitulatifs pour vrifier lauthenticit des messages pendant les ngociations de la phase 1 : MD5 Message Digest 5, lalgorithme de hachage dvelopp par RSA Data Security. SHA1 Secure Hash Algorithm 1, qui produit un message rsum de 160 bits.
Pour ajouter une troisime combinaison, cliquez sur le bouton + ct des champs de la seconde combinaison. Groupe DH Slectionnez un ou plusieurs groupes Diffie-Hellman des groupes DH 1, 2 et 5. Lors de lutilisation du mode agressif, les groupes DH ne peuvent pas tre ngocis. Si les deux paires VPN (ou un serveur daccs distant VPN et son client) ont des adresses IP statiques et utilisent un mode agressif, slectionnez un seul groupe DH. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
300
Le paramtrage du botier FortiGate doit tre identique au paramtrage du paire distant ou du client dialup. Lorsque le paire VPN distant ou le client possde une adresse IP dynamique et utilise un mode agressif, slectionnez jusqu trois groupes DH sur le botier FortiGate et un groupe DH sur le paire distance ou client dialup. Le paramtrage du paire ou client distant doit tre identique lune des slections du botier FortiGate. Si lun des paire ou client VPN emploie le mode main, vous pouvez slectionner de multiples groupes DH. Au moins, lun des paramtres du paire ou client distance doit tre identique aux slections du botier FortiGate.
Entrez la priode de temps (en secondes) avant que la cl de cryptage IKE expire. Lors de lexpiration dune cl, une autre cl est gnre sans interruption de service. La dure de vie de la cl peut varier entre 120 et 172800 secondes. Si le botier FortiGate agit comme client VPN et que vous utilisez des ID paire pour authentification, entrez lidentifiant que le botier FortiGate fournira au serveur daccs distant VPN pendant lchange de la phase 1. Si le botier FortiGate agit comme client VPN et que vous utilisez des certificats de scurit pour authentification, slectionnez le nom DN (distinguished name) du certificat du serveur local que le botier FortiGate utilisera pour lauthentification. Si le botier FortiGate est un client dialup et ne partagera pas un tunnel avec dautres clients dialup (ce qui signifie que le tunnel sera ddi ce client dialup FortiGate), dfinissez le Mode sur Aggressive.
ID local
XAuth
Cette option est fournie pour supporter lauthentification de clients dialup. Si le botier FortiGate est un client dialup et que vous slectionnez Activer en tant que client , entrez le nom dutilisateur et le mot de passe dont le botier FortiGate aura besoin pour sauthentifier auprs du serveur distance XAuth. Si la passerelle est dfinie sur Utilisateur dialup et que les clients dialup sauthentifieront comme membres dun groupe dialup, le botier FortiGate peut agir comme un serveur XAuth. Pour pouvoir slectionner Activer en tant que serveur , vous devez dabord crer des groupes dutilisateurs pour identifier les clients dialup qui ncessitent un accs au rseau derrire le botier FortiGate. Voir Configuration dun groupe dutilisateurs la page 333. Vous devez galement configurer le botier FortiGate pour envoyer les requtes dauthentification un serveur dauthentification externe RADIUS ou LDAP. Pour plus dinformations ce propos, voir Configuration dun serveur RADIUS la page 326 et Configuration dun serveur LDAP la page 328. Slectionnez un paramtre de Type de Serveur pour dterminer le type de mthode de cryptage utiliser entre un botier FortiGate, un client XAuth et le serveur dauthentification externe. Slectionnez ensuite le groupe dutilisateurs dans la liste des Groupes Utilisateur.
Nat-traversal
Activez cette option si un serveur NAT existe entre le botier FortiGate local et le paire ou client VPN. Le botier FortiGate local et le paire ou client VPN doivent avoir les mmes paramtres de NAT traversal (tous deux slectionns ou dsactivs). 301
Si vous activez NAT-traversal, entrez un paramtre de frquence des keepalive. Cette valeur reprsente un intervalle entre 0 et 900 secondes. Dead Paire Detection Activez cette option pour rtablir des tunnels VPN sur des connexions inactives et se dbarrasser des paires IKE morts si ncessaire. Vous pouvez utiliser cette option pour recevoir une notification chaque fois quun tunnel devient actif ou inactif. Vous pouvez aussi activer loption pour garder les connexions tunnel ouvertes lorsque aucun trafic nest gnr lintrieur du tunnel (par exemple, dans les scnarios o un client dialup ou paire DNS dynamique se connecte dune adresse IP qui change rgulirement le trafic peut tre suspendu pendant que ladresse IP change). Lorsque loption de DPD est active, vous pouvez utiliser les commandes CLI config vpn ipsec phase1 (mode tunnel) ou config vpn ipsec phase1-interface (mode interface) pour spcifier optionnellement un temps dinactivit court et long, un nombre dessais et un intervalle entre chaque tentative. Pour plus dinformations, voir le FortiGate CLI Reference.
DPD
Nom Phase 1
Entrez un nom pour identifier la configuration du tunnel. Slectionnez la configuration de la phase 1 affecter ce tunnel. Voir Cration dune nouvelle configuration phase 1 la page 296. La configuration phase 1 dcrit comment des paires ou clients VPN distance seront authentifis sur ce tunnel, et comment la connexion sera scurise. Permet de dfinir les paramtres avancs de la phase 2. Voir Dfinition des paramtres avancs de la phase 2 cidessous.
Avanc
302
Proposition Phase 2
Slectionnez les algorithmes de cryptage et dauthentification qui seront utiliss pour modifier les donnes en code crypt. Ajoutez ou supprimez les algorithmes de cryptage et dauthentification tel que requis. Slectionnez un minimum de 1 et un maximum de 3 combinaisons. Le paire distance doit tre configur pour utiliser au moins une des propositions que vous avez dfinies. Vous pouvez slectionner un des algorithmes cls symtriques suivants : NULL Ne pas utiliser dalgorithme de cryptage. DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une cl de 56 bits. 3DES Triple-DES, dans lequel le texte clair est crypt trois fois par trois cls. AES128 Un algorithme de 128 bits qui utilise une cl de 128 bits. AES192 Un algorithme de 128 bits qui utilise une cl de 192 bits. AES256 Un algorithme de 128 bits qui utilise une cl de 256 bits.
303
Vous pouvez slectionner chacun des messages rcapitulatifs pour vrifier lauthenticit des messages pendant les ngociations de la phase 2 : NULL Ne pas utiliser de message rcapitulatif. MD5 Message Digest 5, lalgorithme de hachage dvelopp par RSA Data Security. SHA1 Secure Hash Algorithm 1, qui produit un message rsum de 160 bits.
Pour spcifier une seule combinaison, affectez la seconde combinaison, la mention NULL. Pour ajouter une troisime combinaison, cliquez sur le bouton + ct des champs de la seconde combinaison. Activer loption Replay detection Facultativement, vous pouvez activer ou dsactiver loption Replay Detection. Les attaques rejoues ont lieu lorsquune partie non autorise intercepte une srie de paquets IPSec et les rejoue dans le tunnel. Activer ou dsactiver PFS. Cette option amliore la scurit en forant un nouvel change Diffie-Hellman chaque fois quune dure de vie dune cl expire. Slectionnez un groupe Diffie-Hellman (1, 2 ou 5). Le paire distant ou client dialup doit tre configur pour utiliser le mme groupe. Slectionnez la mthode pour dterminer quand la cl de la phase 2 expire : Secondes, Koctets ou les deux. Si vous slectionnez les deux, la cl expire soit quand la priode de temps sest coule, soit lorsque le nombre de Ko a t trait. Les intervalles stendent de 120 172800 secondes ou de 5120 2147483648 Ko. Activez loption tunnel toujours actif si vous dsirez que le tunnel reste actif lorsque aucune donne nest traite. Activez cette option si le botier FortiGate agit comme serveur dialup et quun relais DHCP FortiGate sera utilis pour affecter des adresses VIP aux clients dialup FortiClient. Nactivez pas cette option sur les botiers FortiGate qui agissent comme clients dialup. Les paramtres du relais DHCP doivent tre configurs sparment. Pour plus dinformations, voir Systme > DHCP la page 99. Si le botier FortiGate agit comme serveur dialup et vous affectez manuellement les adresses VIP des clients dialup FortiClient qui correspondent au rseau derrire le serveur dialup, slectionnez Activer pour que le botier FortiGate agisse comme proxy pour ses clients dialup. Ceci nest disponible que pour les configurations phase 2 en mode tunnel associes une configuration phase 1 dialup. Quick Mode Selector Facultativement, vous pouvez spcifier les adresses IP source et de destination utiliser comme slecteurs pour des ngociations IKE. Si le botier FortiGate est un serveur dialup, la valeur par dfaut 0.0.0.0/0 devrait tre maintenue moins quil soit ncessaire de contourner des problmes causs par des adresses IP ambigus entre un ou plusieurs rseaux privs constituant le VPN. Vous pouvez spcifier une seule adresse IP hte, une plage dadresses IP ou une adresse rseau. Vous pouvez en option spcifier les numros de ports source et de destination et/ou un numro de protocole. Si vous ditez une configuration de tunnel phase 2 existante, les champs Adresse Source et Adresse
DHCP-IPSec
304
Destination sont indisponibles si le tunnel a t configur pour utiliser des adresses pare-feu comme slecteurs. Cette option nexiste que sur linterface de ligne de commande. Voir les mots-cls dst-addrtype, dst-name, src-addr-type et src-name de la commande vpn ipsec phase2 dans le FortiGate CLI Reference. Adresse source Si le botier FortiGate est un serveur dialup, entrez ladresse IP source qui corresponde /aux expditeur(s) local/locaux ou au rseau derrire le paire VPN local. Par exemple, 172.16.5.0/24 ou 172.16.5.0/255.255.255.0 pour un sousrseau, ou 172.16.5.1/32 ou 172.16.5.1/255.255.255.255 pour un serveur ou un hte, ou 192.168.10.[80-100] ou 192.168.10.80-192.168.10.100 pour une plage dadresses. Une valeur de 0.0.0.0/0 reprsente toutes les adresses IP derrire le paire VPN local. Si le botier FortiGate est un client dialup, ladresse source doit rfrer au rseau priv derrire le client dialup FortiGate. Port source Entrez le numro du port que le paire VPN local utilise pour transporter le trafic li au service spcifi (numro du protocole). Lintervalle varie entre 0 et 65535. Pour spcifier tous les ports, entrez 0. Entrez ladresse IP de destination qui corresponde aux destinataires ou rseau derrire le paire VPN distant. Par exemple 192.168.20.0/24 pour un sous-rseau, ou 172.16.5.1/32 pour un serveur ou un hte, ou 192.168.10.[80-100] pour une plage dadresses. Une valeur de 0.0.0.0/0 reprsente toutes les adresses IP derrire le paire VPN distance. Entrez le numro du port que le paire VPN distance utilise pour transporter le trafic li au service spcifi (numro de protocole). Lintervalle varie entre 0 et 65535. Pour spcifier tous les ports, entrez 0. Entrez le numro du protocole IP du service. Lintervalle varie entre 1 et 255. Pour spcifier tous les ports, entrez 0.
Adresse destination
Port destination
Protocole
Remarque : Vous pouvez permettre aux utilisateurs VPN de naviguer sur Internet travers le botier FortiGate. Pour ce faire, configurez une rgle pare-feu IPSec supplmentaire avec comme interface source et de destination linterface publique FortiGate, ladresse source all, ladresse de destination le rseau distance et la translation en entre active. Pour plus dinformations sur les rgles pare-feu, voir Configuration de rgles pare-feu la page 232.
Cl Manuelle
Si ncessaire, vous pouvez dfinir manuellement des cls de cryptographie pour ltablissement dun tunnel VPN IPSec. Des cls manuelles peuvent tre dfinies dans les cas suivants : Une connaissance antrieure de la cl de cryptage et/ou dauthentification est ncessaire (cest--dire lorsque lun des paires VPN requiert une cl spcifique de cryptage et/ou dauthentification).
305
Dans les deux cas, vous ne spcifiez pas les paramtres des phases 1 et 2 IPSec ; au lieu de cela, vous dfinissez des cls manuelles sur la page VPN > IPSEC > Clef Manuelle.
Remarque : Il y a toujours un risque dans la dfinition de cls manuelles car il faut compter sur les administrateurs rseaux pour garder les cls confidentielles et la propagation scurise de changements aux paires VPN distance risque dtre difficile. Illustration 162 : Liste des cls manuelles
Crer Nouveau
Crer une nouvelle configuration de cl manuelle. Voir Cration dune nouvelle configuration cl manuelle ci-dessous. Les noms des configuration de cls manuelles existantes. Les adresses IP des paires distants ou des clients dialup. Les noms des algorithmes de chiffrement spcifis dans les configurations de cls manuelles. Les noms des algorithmes dauthentification spcifis dans les configurations de cls manuelles. Permet de supprimer ou dditer une configuration de cl manuelle.
Nom du tunnel Passerelle Algorithme de chiffrement Algorithme dauthentification Icnes Supprimer et Editer
Attention : Si vous ntes pas familier avec les rgles de scurit, SA, slecteurs et bases de donnes SA, ne tentez pas la procdure suivante sans assistance qualifie.
Pour spcifier des cls manuelles pour la cration dun tunnel, slectionnez VPN > IPSEC > Clef Manuelle et cliquez sur Crer Nouveau.
306
Nom
Entrez un nom pour le tunnel VPN. La longueur du nom ne doit pas dpasser 15 caractres pour un VPN en mode interface, 35 caractres pour un VPN bas sur une rgle. Entrez un nombre hexadcimal (jusqu 8 caractres, 0-9, a-f) qui reprsente le SA qui traite le trafic sortant sur le botier FortiGate local. Lintervalle stend de 0x100 0xffffffff. Cette valeur doit correspondre la valeur SPI Distant dans la configuration de la cl manuelle du paire distant. Entrez un nombre hexadcimal (jusqu 8 caractres, 0-9, a-f) qui reprsente le SA qui traite le trafic entrant sur le botier FortiGate local. Lintervalle stend de 0x100 0xffffffff. Cette valeur doit correspondre la valeur SPI Local dans la configuration de la cl manuelle du paire distant. Entrez ladresse IP de linterface publique vers le paire distant. Ladresse identifie le destinataire des datagrammes ESP. Cette option nest disponible quen mode NAT/Route. Slectionnez le nom de linterface physique, agrge ou VLAN laquelle le tunnel IPSec sera li. Le botier FortiGate obtient ladresse IP de linterface dans les paramtres de Systme > Rseau > Interface (voir Interface la page 61).
SPI Local
SPI Distant
Algorithme de chiffrement Vous pouvez slectionner un des algorithmes cl symtrique suivants : NULL Ne pas utiliser dalgorithme de chiffrement. DES Digital Encryption Standard, un algorithme de 64 bits qui utilise une cl de 56 bits. 3DES Triple-DES, dans lequel le texte est crypt trois fois par trois cls. AES128 Un algorithme de 128 bits qui utilise une cl de 128 bits. AES192 Un algorithme de 128 bits qui utilise une cl de 192 bits. AES256 Un algorithme de 128 bits qui utilise une cl de 256 bits.
Clef de chiffrement
Si vous avez slectionn : DES, entrez un numro hexadcimal de 16 symboles (0-9, a-f).
307
Algorithme dauthentification
3DES, entrez un nombre hexadcimal de 48 symboles (09, a-f), spar en trois segments de 16 symboles. AES128, entrez un nombre hexadcimal de 32 symboles (0-9, a-f) , spar en deux segments de 16 symboles. AES192, entrez un nombre hexadcimal de 48 symboles (0-9, a-f) , spar en trois segments de 16 symboles. AES256, entrez un nombre hexadcimal de 64 symboles (0-9, a-f) , spar en quatre segments de 16 symboles.
Vous pouvez slectionner un des messages rcapitulatifs suivants: NULL Ne pas utiliser de message rcapitulatif. MD5 Message Digest 5, algorithme qui produit un message rcapitulatif de 128 bits. SHA1 Secure Hash Algorithm 1, qui produit un message rcapitulatif de 160 bits.
Clef dauthentification
Si vous slectionnez : MD5, entrez un nombre hexadcimal de 32 symboles (09, a-f) spar en deux segments de 16 symboles. SHA1, entrez un nombre hexadcimal de 40 symboles (09, a-f) , spar en un segment de 16 symboles et un second de 24 symboles.
Crez une interface virtuelle pour la fin locale du tunnel VPN. Cette commande nest disponible quen mode NAT/Route.
Concentrateur
Dans une configuration hub-and-spoke , les connexions plusieurs paires distants partent dun seul botier FortiGate central. Les connexions site site entre les paires distance nexistent pas ; cependant, des tunnels VPN entre deux des paires distance peuvent tre tablis travers un hub FortiGate. Dans un rseau hub-and-spoke , tous les tunnels VPN se terminent au hub. Les paires qui se connectent au hub sont connus sous le nom de spokes . Le hub fonctionne comme un concentrateur sur le rseau, grant toutes les connexions VPN entre les spokes . Le trafic VPN passe dun tunnel un autre travers le hub. Vous dfinissez un concentrateur pour inclure des spokes dans la configuration hub-and-spoke . Pour dfinir un concentrateur, slectionnez VPN > IPSEC > Concentrateur.
308
Crer Nouveau
Dfinissez un nouveau concentrateur pour une configuration IPSec hub-and-spoke. Voir Dfinition des options dun concentrateur ci-dessous. Les noms des concentrateurs VPN IPSec existants. Les tunnels qui sont associs aux concentrateurs. Permet de supprimer ou dditer un concentrateur.
Entrez un nom pour le concentrateur. Une liste de tunnels VPN IPSec dfinis. Slectionnez un tunnel de la liste et cliquez ensuite sur la flche droite. Rptez cette tape jusqu ce que tous les tunnels associs aux spokes soient inclus dans le concentrateur. Une liste de tunnels membres du concentrateur. Pour enlever un tunnel du concentrateur, slectionnez le tunnel et cliquez sur la flche gauche.
Membres
309
Tunnels actifs
Cette page vous permet de visualiser lactivit des tunnels VPN IPSec, et galement de les dmarrer ou de les arrter. Saffichent lcran une liste dadresses, dID proxy et dinformations timeout pour tous les tunnels actifs, y compris les tunnels en mode tunnel et en mode route (mode interface). Pour visualiser les tunnels actifs, slectionnez VPN > IPSEC > Tunnels actifs.
Illustration 166 : Liste des tunnels actifs
La liste des tunnels dialup fournit des informations sur le statut des tunnels tablis pour les clients dialup. La liste reprend les adresses IP de clients dialup et les noms de tous les tunnels actifs. Le nombre de tunnels affichs dans la liste se modifie quand un client dialup se connecte ou se dconnecte.
Icne Flush dialup tunnels Permet darrter tous les tunnels dialup et le trafic passant travers tous les tunnels dialup. Les utilisateurs dialup auront peut-tre se reconnecter pour tablir des nouvelles sessions VPN. Icne Page suivante et Page prcdente Nom Passerelle distante Affiche la page suivante et prcdente de la liste des statuts des tunnels dialup. Les noms de tunnels configurs. Lorsquun client dialup FortiClient tablit un tunnel, le champ Passerelle Distante affiche soit ladresse IP publique et le port UDP de la machine de lhte distant (sur lequel lapplication FortiClient Host Security est installe), soit, dans le cas o un serveur NAT existe lavant de lhte distant, ladresse IP publique et le port UDP de lhte distant. Lorsquun client dialup FortiGate tablit un tunnel, le champ Passerelle Distante affiche ladresse IP publique et le port UDP du client dialup FortiGate. Compte utilisateur LID du paire, le nom du certificat ou le nom utilisateur XAuth du client dialup ( dans le cas o ces lments ont t affects au client dialup dans le but dune authentification). La priode de temps avant le prochain change de cls de la phase 2. Ce temps est calcul en soustrayant le temps pass depuis le dernier change de cls de la dure de vie de la cl. Lorsque la cl de la phase 2 expire, une nouvelle cl est gnre sans interruption de service. Les adresses IP des htes, serveurs ou rseaux privs situs derrire le botier FortiGate. Une plage de rseau saffiche si ladresse source de la rgle pare-feu de chiffrement a t exprime sous forme de plage dadresses IP. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Timeout
ID Proxy Source
310
ID Proxy Destination
Lorsquun client dialup FortiClient tablit un tunnel : Si les adresses VIP ne sont pas utilises et que lhte distant se connecte Internet directement, le champ Proxy ID Destination affiche ladresse IP publique de la NIC (Network Interface Card) dans lhte distant. Si les adresses VIP ne sont pas utilises et lhte distant est derrire un serveur NAT, le champ Proxy ID Destination affiche ladresse IP prive de la NIC dans lhte distant. Si les adresses VIP ont t configures (manuellement ou travers un relais FortiGate DHCP), le champ Proxy ID Destination affiche soit ladresse VIP appartenant un client dialup FortiClient, soit ladresse dun sous-rseau partir duquel les adresses VIP ont t affectes.
Lorsquun client dialup FortiGate tablit un tunnel, le champ Proxy ID Destination affiche ladresse IP du rseau priv distant. Icne Tunnel up et tunnel Une flche verte pointant vers le haut signifie que le down tunnel est en train de traiter du trafic. Une flche rouge pointant vers le bas signifie que le tunnel nest pas en train de traiter du trafic.
La liste de tunnels IP statiques et de tunnels DNS dynamiques fournit des informations propos des tunnels VPN aux paires distance qui ont des adresses IP statiques ou des noms de domaine. Cette liste permet de visualiser les statuts et informations sur les adressages IP pour chaque configuration de tunnel. Vous pouvez galement commencer ou arrter des tunnels individuels partir de cette liste.
Icne Page suivante et Page prcdente Nom Passerelle distante Affiche la page prcdente ou suivante de la liste des statuts des tunnels VPN. Les noms des tunnels configurs. Les adresses IP et les ports UDP des passerelles. Pour les tunnels DNS dynamiques, les adresses IP sont mises jour dynamiquement. La priode de temps avant le prochain change de cls de la phase 2. Ce temps est calcul en soustrayant le temps pass depuis le dernier change de cls de la dure de vie de la cl. Lorsque la cl de la phase 2 expire, une nouvelle cl est gnre sans interruption de service. Les adresses IP des htes, serveurs ou rseaux privs derrire le botier FortiGate. Une plage de rseaux saffiche si ladresse source de la rgle pare-feu de chiffrement a t exprime sous forme de plage dadresses IP. Les adresses IP des htes, serveurs et rseaux privs derrire le botier FortiGate distant.
Timeout
ID Proxy Source
ID Proxy Destination
Icne Tunnel up et tunnel Une flche verte pointant vers le haut signifie que le down tunnel est en train de traiter du trafic. Une flche rouge pointant vers le bas signifie quaucun traitement de trafic par le tunnel nest en cours.
311
VPN PPTP
Le botier FortiGate supporte PPTP pour crer un tunnel pour le trafic PPP entre deux paires VPN. Les clients Windows et Linux peuvent tablir un tunnel PPTP avec un botier FortiGate configur comme serveur PPTP. Comme alternative, vous pouvez configurer le botier FortiGate pour envoyer des paquets PPTP vers un serveur PPTP sur le rseau derrire le botier FortiGate. Le VPN PPTP est uniquement disponible en mode NAT/Route. Cette section explique comment utiliser linterface dadministration web pour spcifier une plage dadresses IP pour les clients PPTP. Pour toute information sur la mise en place du VPN PPTP, voir le FortiGate PPTP VPN User Guide. Cette section parcourt la plage PPTP.
Plage PPTP
Vous pouvez spcifier une plage dadresses PPTP sur la page Plage PPTP. La plage dadresses PPTP est une plage dadresses rserve aux clients PPTP distants. Lorsquun client PPTP distant se connecte, le botier FortiGate affecte une adresse IP dune plage dadresses IP rserves linterface PPTP du client. Le client PPTP utilise ladresse IP affecte comme adresse source pendant la dure de la connexion. Pour activer PPTP et spcifier la plage dadresses PPTP, slectionnez VPN > PPTP > Plage PPTP, slectionnez les options requises et cliquez ensuite sur Appliquer.
Illustration 167 : Editer la plage PPTP
Activer PPTP
Avant de pouvoir slectionner cette option, vous devez ajouter un groupe dutilisateurs. Voir Groupe dutilisateurs la page 330. Entrez ladresse de dpart de la plage dadresses IP rserves. Entrez ladresse de fin de la plage dadresses IP rserves. Slectionnez le nom du groupe dutilisateurs PPTP que vous avez dfini. Dsactive le support PPTP.
312
VPN SSL
Cette section fournit les informations sur les fonctionnalits de la page VPN > SSL dans linterface dadministration web. Le botier FortiGate supporte ces fonctionnalits en mode NAT/Route uniquement.
Remarque : Pour davantage dinstructions dtailles sur la configuration des oprations en mode web et mode tunnel, voir le FortiGate SSL VPN User Guide.
Configuration
La page Config comporte les paramtres de base VPN SSL y compris des valeurs timeout et des prfrences de cryptage SSL. Si ncessaire, vous pouvez galement activer lutilisation de certificats digitaux pour lauthentification des clients distants.
Remarque : Si ncessaire, vous pouvez activer le cryptage SSL version 2 (compatible avec des navigateurs plus anciens) partir de linterface de ligne de commande. Pour plus dinformations, voir SSL Settings dans le chapitre VPN du FortiGate CLI Reference.
Slectionnez VPN > SSL > Config pour un affichage des paramtres de configuration SSL en cours.
Illustration 168 : Paramtres VPN SSL
Activer SSL-VPN
313
Port de Login
Facultativement, entrez un numro de port HTTPS diffrent pour les navigateurs web des clients distants pour se connecter au botier FortiGate. Le numro de port par dfaut est 10443. Spcifiez la plage dadresses IP rserves pour les clients VPN SSL en mode tunnel. Entrez les adresses de dpart et de fin qui dfinissent la plage dadresses IP rserves. Slectionnez le certificat serveur sign utiliser pour le processus dauthentification. Si vous maintenez le paramtrage par dfaut (Self-Signed), le botier FortiGate propose son certificat install par dfaut par Fortinet aux clients distants lors de leurs connexions. Slectionnez cette option si vous dsirez permettre lutilisation de certificats de groupes pour lauthentification de clients distants. Par aprs, lorsque le client distant initie une connexion, le botier FortiGate gnre un message chez lui concernant sa partie du certificat, ceci faisant partie du processus dauthentification. Slectionnez lalgorithme pour la cration dune connexion scurise SSL entre le navigateur web du client distant et le botier FortiGate.
Plage IP du tunnel
Certificat Serveur
Algorithme de la cl de cryptage
Ncessite une longueur Slectionnez cette option pour le navigateur web dun de cl>=128bit(dfaut) client distant capable de correspondre une suite de chiffres de 128 bits et plus. Ncessite une longueur Si le navigateur web dun client distant est capable de cl>128bit(haute) de correspondre un haut niveau de cryptage SSL, slectionnez cette option pour activer des suites de chiffres utilisant plus de 128 bits pour crypter les donnes. Ncessite une longueur Si vous ntes pas certain du niveau de cryptage SSL de cl>=64bit(basse) que supporte le navigateur web du client distant, slectionnez cette option pour activer une suite de chiffres de 64 bits et plus. Idle Timeout Timeout dinactivit : Entrez la priode de temps (en secondes) pendant laquelle la connexion peut rester inactive avant de forcer lutilisateur se reconnecter. Lintervalle varie entre 10 et 28800 secondes. Ce paramtre sapplique la session VPN SSL. La connexion ne se coupe pas tant que des sessions dapplication web ou des tunnels sont activs. Facultativement, entrez le message personnalis que vous dsirez voir apparatre sur le portail.
Message du portail
Avanc (Serveurs DNS et WINS) Serveur DNS #1 Serveur DNS #2 Serveur WINS #1 Serveur WINS #2 Entrez jusqu deux Serveurs DNS fournis pour une utilisation clients. Entrez jusqu deux Serveurs WINS fournis pour une utilisation clients.
314
Monitor
Vous pouvez afficher une liste de toutes les sessions actives VPN SSL. La liste affiche le nom utilisateur de lutilisateur distant, son adresse IP et lheure laquelle la connexion a t initie. La liste rpertorie galement quels services sont fournis. Pour visualiser la liste des sessions actives VPN SSL, slectionnez VPN > SSL > Monitor.
Illustration 169 : Liste Monitor
Lidentificateur de la connexion. Les noms utilisateurs de tous les utilisateurs distants connects. Les adresses IP des htes connects au botier FortiGate. Lheure de dbut de chaque connexion. Des informations sur les services fournis. Lorsquun utilisateur en mode tunnel est connect, le champ Description affiche ladresse IP que le botier FortiGate affecte au client distant. Supprime un tunnel.
Icne Supprimer
315
Certificats VPN
Cette section explique comment grer les certificats de scurit X.509 partir de linterface dadministration web FortiGate. Ce module vous apprend gnrer des requtes de certificat, installer des certificats signs, importer le certificat de lautorit de certification et des listes de rvocation, sauvegarder et restaurer des certificats et leurs cls prives associes. Pour plus dinformations, voir le FortiGate Certificate Management User Guide. Cette section parcourt les sujets suivants : Certificats locaux Certificats CA CRL
Certificat locaux
Les requtes de certificat et les certificats serveurs installs sont affichs dans la liste des Certificats Locaux. Aprs avoir soumis une requte une autorit de certification (AC), cette dernire vrifie les informations et enregistre les informations de contact sur un certificat digital qui contient un numro de srie, une date dexpiration et la cl publique de lautorit de certification. LAC va ensuite signer et vous envoyer le certificat installer sur votre botier FortiGate. Pour visualiser des requtes de certificat et/ou importer des certificats de serveur signs, slectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les dtails du certificat, slectionnez licne Voir les Dtails du Certificat du certificat concern. A la premire ligne de lillustration 170 saffiche une requte de certificat et la deuxime ligne, un certificat serveur sign.
Illustration 170 : Liste des Certificats Locaux
Gnre une requte de certificat local. Voir Gnrer une requte de certificat la page 317. Importer un certificat local sign. Voir Importation dun certificat serveur sign la page 319. Les noms des certificats locaux existants et des requtes de certificat en suspens. Les DS (Distinguished Names) des certificats signs locaux. Le statut du certificat local. PENDING dsigne une requte de certificat ncessitant un tlchargement et une signature.
316
Affiche les dtails du certificat tels que le nom du certificat, lmetteur, le sujet et les dates de validit. Voir Illustration 171. Supprime la requte de certificat slectionne ou le certificat serveur install lors de la configuration FortiGate. Sauvegarde une copie de la requte du certificat sur un ordinateur local. Envoyez la requte votre autorit de certification pour obtenir un certificat serveur sign pour le botier FortiGate.
Pour des informations dtailles et des procdures pas pas pour lobtention et linstallation des certificats digitaux, voir le FortiGate Certificate Management User Guide.
317
Nom du certificat
Entrez un nom au certificat. En gnral, il sagit du nom du botier FortiGate. Pour activer lexportation dun certificat sign sous forme dun fichier PKCS12 si ncessaire, mme plus tard, ne pas inclure despace dans le nom. Entrez les informations requises pour identifier le botier FortiGate : Si le botier FortiGate possde une adresse IP statique, slectionnez Adresse IP de lhte et entrez ladresse IP publique du botier FortiGate. Si celui-ci ne possde pas dadresse IP publique, utilisez la place une adresse mail (ou un nom de domaine si disponible). Si le botier FortiGate possde une adresse IP statique et souscrit un service DNS dynamique, utilisez un nom de domaine si disponible pour identifier le botier FortiGate. Si vous slectionnez Nom de Domaine, entrez le FQDN du botier FortiGate. Ne pas inclure le protocole de spcification (http://) ni numro de port ni noms de chemin. Si un nom de domaine nest pas disponible et que le botier FortiGate souscrit un service dynamique DNS, un message de type Unable to verify certificate ( Impossibilit de vrifier le certificat ) peut safficher dans une fentre du navigateur chaque changement dadresse IP publique du botier FortiGate. Si vous slectionnez Mail, entrez ladresse mail du propritaire du botier FortiGate.
Facultativement, entrez le nom de votre dpartement. Facultativement, entrez le nom lgal de votre entreprise ou organisation. Facultativement, entrez le nom de la ville o est situ le botier FortiGate. Facultativement, entrez le nom de ltat, de la province ou du dpartement o est situ le botier FortiGate. Facultativement, entrez le nom du pays o est situ le botier FortiGate. Facultativement, entrez ladresse mail de contact. Seul RSA est support. Choisissez entre 1024bit, 1536bit et 2048bit. Les plus grandes cls sont plus lentes gnrer mais procurent une scurit plus accrue.
318
3 4 5
Dans la bote de dialogue de Sauvegarde du Fichier, slectionnez Sauvegarder. Nommez le fichier et sauvegardez-le dans le systme de fichiers locaux. Soumettez votre requte votre autorit de certification de la manire suivante : A partir du navigateur web sur lordinateur dadministration, allez sur le site web de lautorit de certification. Suivez les instructions de lautorit de certification pour effectuer une requte de certificat au format PKCS#10 encod en base64 et tlchargez votre requte de certificat. Suivez les instructions de lautorit de certification pour tlcharger leur certificat et leur liste de rvocation (Certificate Revocation List), et installez-les ensuite sur chaque client distance (rfrez-vous la documentation du navigateur).
Lors de la rception du certificat sign de lAC, installez-le sur le botier FortiGate. Voir Importation dun certificat serveur sign ci-dessous.
Entrez le chemin complet et le nom du fichier du certificat serveur sign. Alternativement, accdez au certificat sauvegard sur lordinateur dadministration, slectionnez alors le certificat et cliquez sur OK.
319
Pour importer le fichier PKCS12 ; slectionnez VPN > Certificats > Certificats Locaux et cliquez sur Importer.
Illustration 174 : Tlcharger le certificat PKCS12
Certifier avec un fichier cl Entrez le chemin complet et le nom du fichier du fichier PKCS12 export prcdemment. Browse Mot de passe Alternativement, accdez au fichier PKCS12 sauvegard sur lordinateur dadministration, slectionnez-le et cliquez sur OK. Entrez le mot de passe requis pour tlcharger le fichier PKCS12.
Entrez le chemin complet et le nom du fichier du certificat export prcdemment. Entrez le chemin complet et le nom du fichier de la cl export prcdemment Entrez, si requis, le mot de passe pour tlcharger et ouvrir les fichiers.
Certificats CA
Lorsque vous appliquez pour un certificat personnel (administratif) ou de groupe installer sur des clients distants, vous devez obtenir le certificat racine correspondant et la liste de rvocation (CRL) de votre autorit de certification. A la rception du certificat personnel ou de groupe, installez-le sur les clients distants en respectant les procdures dcrites dans la documentation du navigateur. Installez le certificat racine et le CRL de votre autorit de certification sur votre botier FortiGate. Les certificats CA installs sont affichs dans la liste de Certificats CA. Pour visualiser des certificats racines AC installs ou pour en importer,slectionnez VPN
320
> Certificats > Certificats CA. Pour visualiser les dtails du certificat racine, slectionnez licne Voir les dtails du certificat du certificat concern.
Illustration 176 : Liste des certificats CA
Importer Nom
Importez un certificat racine CA. Voir Importation de certificats de lautorit de certification ci-dessous. Les noms des certificats racines CA existants. Le botier FortiGate affecte des noms uniques (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.) aux certificats AC lors de leur importation. Informations sur l autorit de certification mettrice. Supprime un certificat racine CA de la configuration FortiGate.
Icne Voir les Dtails du Certificat Affiche les dtails du certificat. Icne Sauvegarder Sauvegardez une copie du certificat racine CA sur un ordinateur local.
Pour des informations dtailles et des procdures pas pas pour lobtention et linstallation de certificats digitaux, se rfrer au FortiGate Certificate Management User Guide.
Entrez le chemin complet et le nom de fichier du certificat racine CA. Alternativement, accdez au certificat sauvegard sur lordinateur dadministration, slectionnez-le et cliquez sur OK.
321
Le systme affecte un nom unique chaque certificat. Les noms sont numrots conscutivement (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.).
CRL
Une liste de Rvocation de Certificat (CRL) est une liste de souscripteurs de certificat CA et des informations sur le statut du certificat. Les CRL installs sont affichs dans la liste CRL. Le botier FortiGate utilise des CRL pour sassurer de la validit des certificats appartenant des AC et des clients distants. Pour visualiser des CRL installs ou un CRL import/mis jour, slectionnez VPN > Certificats > CRL.
Illustration 178 : Liste de rvocation de certificat
Importer Nom
Importe un CRL. Voir Importation dune liste de rvocation de certificat ci-dessous. Les noms des listes de rvocation de certificat existantes. Le botier FortiGate affecte des noms uniques (CRL_1, CRL_2, CRL_3, etc.) aux listes lors de leur importation. Informations sur les listes de rvocation de certificat. Supprime le CRL slectionn de la configuration FortiGate.
322
Entrez le chemin complet et le nom de fichier du CRL. Alternativement, accdez au CRL sauvegard sur lordinateur dadministration, slectionnez-le et cliquez sur OK.
Le systme affecte un nom unique chaque CRL. Les noms sont numrots conscutivement (CRL_1, CRL_2, CRL_3, etc.).
323
Utilisateur
Cette section explique comment installer des comptes utilisateurs, des groupes dutilisateurs et des serveurs dauthentification externes. Certains composants de lauthentification de lutilisateur permettent de contrler laccs aux ressources du rseau. Cette section couvre les sujets suivants : Configuration de lauthentification dun utilisateur Comptes utilisateurs locaux Serveurs RADIUS Serveurs LDAP Serveurs Windows AD Groupe dutilisateurs Configuration de paires et de groupes paires
324
Dfinir un timeout dauthentification 1 2 Slectionnez Systme > Admin > Settings. Dans Paramtres de Timeout Utilisateur, entrez une priode de temps en minutes. Le timeout dauthentification par dfaut est de 15 minutes.
Crer Nouveau Nom des utilisateurs Type Icne Supprimer Icne Editer
Permet dajouter un nouveau compte utilisateur local. Le nom de lutilisateur local. Le type dauthentification mettre en place pour cet utilisateur. Supprimer lutilisateur. Cette icne napparat pas si lutilisateur appartient un groupe dutilisateurs. Permet dditer le compte utilisateur.
Remarque : Supprimer le nom utilisateur supprime galement lauthentification configure pour lutilisateur.
Entrez ou modifiez le nom du compte. Cochez cette case si vous voulez empcher cet utilisateur de sauthentifier. Slectionnez un mot de passe pour authentifier cet utilisateur partir dun mot de passe stock sur le botier FortiGate. Entrez un mot de passe dau moins 6 caractres de long. Cochez LDAP pour authentifier cet utilisateur partir dun mot de passe stock sur un serveur LDAP. Slectionnez le serveur LDAP. Vous pouvez seulement slectionner un serveur LDAP 325
LDAP
qui a t ajout la configuration LDAP FortiGate. Voir Serveurs LDAP la page 327. RADIUS Cochez RADIUS pour authentifier cet utilisateur partir dun mot de passe stock sur un serveur RADIUS. Slectionnez le serveur RADIUS. Vous pouvez seulement slectionner un serveur RADIUS qui a t ajout la configuration RADIUS FortiGate. Voir Serveurs RADIUS ci-dessous.
Serveurs RADIUS
Si vous avez configur un support RADIUS et quun utilisateur doit sauthentifier laide dun serveur RADIUS, le botier FortiGate contacte ce serveur pour authentification. Slectionnez Utilisateur > RADIUS pour configurer les serveurs RADIUS. Le port par dfaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS utilise le port 1645, vous pouvez modifier le port RADIUS par dfaut partir de linterface de ligne de commande. Pour plus dinformations,voir la commande config system global dans le FortiGate CLI Reference.
Illustration 183 : Liste des serveurs RADIUS
Permet dajouter un nouveau serveur RADIUS. Le nom du serveur RADIUS. Le nom de domaine ou ladresse IP du serveur RADIUS. Supprime une configuration de serveur RADIUS. Vous ne pouvez pas supprimer un serveur RADIUS qui a t ajout un groupe dutilisateurs. Editer une configuration de serveur RADIUS.
Icne Editer
Entrez un nom pour identifier le serveur RADIUS. Entrez un nom de domaine ou une adresse IP dun serveur RADIUS. Entrez le secret du serveur RADIUS.
326
Serveurs LDAP
Si vous avez configur un support LDAP et quun utilisateur doit sauthentifier laide dun serveur LDAP, le botier FortiGate contacte ce serveur pour authentification. Pour authentifier avec le botier FortiGate, lutilisateur entre un nom dutilisateur et un mot de passe. Le botier FortiGate envoie ces informations au serveur LDAP. Si ce serveur peut authentifier lutilisateur, celui-ci est connect avec succs au botier FortiGate. Si le serveur LDAP ne peut pas authentifier lutilisateur, la connexion au botier FortiGate lui est refuse. Le botier FortiGate supporte la fonctionnalit du protocole LDAP dfinie dans la RFC2251 pour la recherche et la validation des noms dutilisateurs et mots de passe. FortiGate LDAP supporte tous les serveurs LDAP compatibles avec LDAP v3. Le support FortiGate LDAP ne couvre pas les fonctionnalits prives , telle que la notification de la date dexpiration dun mot de passe, qui est parfois disponible sur certains serveurs LDAP. Le support FortiGate LDAP ne fournit pas dinformations lutilisateur sur les raisons de lchec de lauthentification. Slectionnez Utilisateur > LDAP pour configurer les serveurs LDAP.
Illustration 185 : Liste des serveurs LDAP
Ajoute un nouveau serveur LDAP. Le nom didentification du serveur LDAP sur le botier FortiGate. Le nom de domaine ou ladresse IP du serveur LDAP. Le port utilis pour communiquer avec le serveur LDAP. Lidentifiant nom commun pour le serveur LDAP. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains serveurs utilisent un autre lidentifiant tel que uid. Le distinguished name utilis pour rechercher des entres dans le serveur LDAP. Le distinguished name reflte la hirarchie des classes dobjets des bases de donnes LDAP au-dessus de lIdentifiant Nom Commun. Supprime une configuration de serveur LDAP. Edite une configuration de serveur LDAP.
Distinguished Name
327
Entrez ou modifiez un nom didentification de ce serveur LDAP. Entrez un nom de domaine ou une adresse IP du serveur LDAP. Entrez le port utilis pour communiquer avec le serveur LDAP. Par dfaut, LDAP utilise port 389. Entrez lIdentifiant Nom Commun pour le serveur LDAP. Ce champ est limit 20 caractres. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains serveurs utilisent un autre lidentifiant tel que uid. Entrez le distinguished name utilis pour rechercher des entres sur le serveur LDAP. Entrez le distinguished name de base pour le serveur utilisant le X.500 correct ou le format LDAP. Le botier FortiGate transfre ce distinguished name inchang au serveur. Par exemple, vous pouvez utiliser le distinguished name de base suivant : ou=marketing,dc=fortinet,dc=com o ou est le dpartement dans lorganisation et dc, le composant du domaine. Vous pouvez galement spcifier des instances multiples du mme champ dans le distinguished name, par exemple, pour spcifier de multiples units organisationnelles : ou=account,ou=marketing,dc=fortinet,dc=com.
Distinguished Name
Serveurs Windows AD
Sur les rseaux utilisant des serveurs Windows Active Directory (AD) pour lauthentification, les botiers FortiGate peuvent authentifier les utilisateurs de manire transparente, sans avoir leur demander leur compte utilisateur et mot de passe. Vous devez pour cela installer le Fortinet Server Authentication Extensions (FSAE) sur le rseau et configurer le botier FortiGate pour retrouver les informations du serveur Windows AD. Pour plus dinformations sur le FSAE, voir la FSAE Technical Note. Slectionnez Utilisateur > Windows AD pour configurer les serveurs Windows AD.
328
Permet dajouter un nouveau serveur Windows AD. Le nom du serveur Windows AD avec FSAE. Vous pouvez tendre le nom du serveur pour afficher les informations du groupe et domaine Windows AD. Les adresses IP et les ports TCP dagents collecteurs (jusqu maximum 5) qui envoient des informations sur la connexion au serveur Windows AD au botier FortiGate. Supprime ce serveur Windows AD. Edite ce serveur Windows AD. Fournit des informations sur les groupes et domaines partir du serveur Windows AD.
Adresse IP
FortiClient AD
Entrez un nom pour le serveur Windows AD. Ce nom apparat dans la liste des serveurs Windows AD lorsque vous crez des groupes dutilisateurs. Entrez les informations suivantes des agents collecteurs (maximum 5 agents collecteurs). Entrez ladresse IP du serveur Windows AD o cet agent collecteur est install. Entrez le port TCP utilis pour Windows AD. Ce doit tre le mme que le port FortiGate spcifi dans la configuration de lagent collecteur FSAE. Entrez le mot de passe pour lagent collecteur. Ceci est requis uniquement si vous avez configur votre agent collecteur FSAE pour quil requiert un accs authentifi.
Mot de passe
329
Groupe dutilisateurs
Un groupe dutilisateurs est une liste didentits dutilisateurs. Une identit peut tre : un compte utilisateur local (compte utilisateur et mot de passe) stock sur le botier FortiGate un compte utilisateur local avec mot de passe stock sur un serveur RADIUS ou LDAP un serveur RADIUS ou LDAP (toutes les identits sur le serveur peuvent sauthentifier) un groupe dutilisateurs dfini sur un serveur Microsoft Active Directory (AD)
Dans la plupart des cas, le botier FortiGate authentifie les utilisateurs en requrant leur compte utilisateur et mot de passe. Le botier FortiGate vrifie dabord les comptes utilisateurs locaux. En absence de correspondance, le botier FortiGate vrifie les serveurs RADIUS et LDAP qui appartiennent au groupe dutilisateurs. Lauthentification russit lorsque la correspondance du compte utilisateur et du mot de passe a lieu. Pour un groupe dutilisateurs Active Directory, le serveur Active Directory authentifie les utilisateurs lorsquils se connectent au rseau. Le botier FortiGate reoit les noms et adresse IP des utilisateurs de lagent collecteur FSAE. Pour plus dinformations sur le FSAE, voir FSAE Technical Note. Vous pouvez configurer les groupes dutilisateurs pour fournir un accs authentifi : des rgles pare-feu qui requirent une authentification Voir Ajout dune authentification aux rgles pare-feu la page 238. des VPN SSL sur le botier FortiGate Voir Options des rgles pare-feu VPN SSL la page 243. des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup. Voir Cration dune nouvelle configuration phase 1 la page 296. de XAuth pour les configurations Phase 1 VNP IPSec Voir XAUTH dans Dfinition des paramtres avancs de la phase 1 la page 299. de la configuration PPTP FortiGate Voir Plage PPTP la page 312. de la configuration L2TP FortiGate Configurable uniquement partir de la commande CLI config vpn 12tp. Voir le FortiGate CLI Reference. dune connexion administrateur via une authentification RADIUS Voir Configuration dune authentification RADIUS des administrateurs la page 169. des groupes override du Filtrage Web FortiGuard Voir Filtrage Web FortiGuard la page 378.
330
Pour chaque ressource qui ncessite une authentification, vous devez spcifier quels groupes utilisateurs ont une permission daccs. Vous devez galement dterminer le nombre et ladhsion des groupes dutilisateurs membres concerns pour vos besoins dauthentification.
331
Permet dajouter un nouveau groupe dutilisateurs. Le nom du groupe dutilisateurs. Les noms sont rpertoris par type de groupe dutilisateurs : Pare-feu, Active Directory et VPN SSL. Les utilisateurs et serveurs RADIUS ou LDAP du groupe dutilisateurs. Le profil de protection associ ce groupe dutilisateurs. Supprime le groupe dutilisateurs. Vous ne pouvez pas supprimer un groupe dutilisateurs repris dans une rgle parefeu, une configuration phase 1 dun utilisateur dialup ou une configuration PPTP ou L2TP. Edite ladhsion dun membre et les options du groupe.
Icne Editer
332
Nom Type
Entrez le nom du groupe dutilisateurs. Slectionnez le type du groupe dutilisateurs : Voir Types de groupe dutilisateurs la page 331. Firewall Vous pouvez slectionner ce groupe pour chaque rgle pare-feu requrant une authentification pare-feu. Voir Ajout dune authentification aux rgles parefeu la page 238. Vous pouvez slectionner ce groupe pour chaque rgle pare-feu requrant une authentification Active Directory. Voir Ajout dune authentification aux rgles pare-feu la page 238. Vous pouvez slectionner ce groupe pour chaque rgle pare-feu dont lAction est dfinie sur SSL-VPN. Voir Options des rgles pare-feu VPN SSL la page 243.
Active Directory
SSL-VPN
Profil de protection
Disponible uniquement si le type est Firewall ou Active Directory. Slectionnez un profil de protection pour ce groupe dutilisateurs. Vous pouvez slectionner Crer Nouveau pour crer un nouveau profil de protection. La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP qui peuvent tre ajouts un groupe dutilisateurs. La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP qui appartiennent un groupe dutilisateurs. Permet dajouter un utilisateur ou un serveur la liste des Membres. Slectionnez le nom dun utilisateur ou dun serveur dans la liste Utilisateurs Disponibles et cliquez sur la flche droite pour le transfrer dans la liste des Membres. Permet de supprimer un utilisateur ou un serveur de la liste des Membres. Slectionnez le nom dun utilisateur ou dun serveur dans la liste des Membres et cliquez sur la flche
333
gauche pour le transfrer dans la liste des Utilisateurs Disponibles. Override du filtrage web FortiGuard Ceci est uniquement disponible si le Type est dfini sur Firewall. Permet de configurer les options override du filtrage web FortiGuard pour ce groupe. Voir Configuration des options override FortiGuard pour un groupe dutilisateurs cidessous. Ceci est uniquement disponible si le Type est dfini sur VPN SSL. Pour des instructions dtailles propos de la configuration du mode web ou du mode tunnel, voir le FortiGate SSL VPN User Guide.
Remarque : Si vous tentez dajouter des serveurs LDAP ou des utilisateurs locaux un groupe configur pour une authentification dadministrateurs, un message derreur saffiche.
Les membres de ce groupe peuvent solliciter loverride (lignorance) de la page de blocage du filtrage Web FortiGuard. Le profil de protection pare-feu grant la connexion doit avoir activ loverride de FortiGuard. Le profil de protection dsigne un groupe dutilisateurs comme groupe Override. Les membres de ce groupe Override peuvent authentifier sur la page FortiGuard Web Filter Block Override pour accder au site bloqu. Pour plus dinformations dtailles, voir Filtrage Web FortiGuard la page 378.
Override Scope Utilisateur Groupe dutilisateurs IP Profil Demander Type dOverride Directory Domaine Catgories
Loverride peut sappliquer au seul utilisateur qui sollicite loverride ou en comprendre dautres. Choisissez entre : Lutilisateur seul Le groupe dutilisateurs auquel appartient lutilisateur Nimporte quel utilisateur ladresse IP de lutilisateur Nimporte quel utilisateur sur le sous-rseau de lutilisateur Lutilisateur en cours dauthentification choisit loverride Choisissez pour permettre laccs : uniquement au niveau le plus bas du directory dans lURL lintgralit du domaine du site web la catgorie FortiGuard
334
Demander Off-site URLs Autoris Interdit Demander Override Time Constant Demander
Lutilisateur en cours dauthentification choisit le type doverride Choisissez si lutilisateur peut accder aux liens des sites extrieurs du site bloqu : Lutilisateur peut suivre les liens des autres sites. Lutilisateur peut uniquement suivre les liens vers les destinations dfinies par le type dOverride. Lutilisateur en cours dauthentification choisit de permettre laccs aux liens de sites extrieurs. Etablissez la dure de loverride. Dfinissez la dure de loverride en jours, heures, minutes. Lutilisateur en cours dauthentification dtermine la dure de loverride. La dure que vous dfinissez est la dure maximum.
Activer pour permettre aux utilisateurs de ce groupe de se connecter au rseau derrire le botier FortiGate utilisant le tunnel VPN SSL. Ceci nest pas disponible en mode Transparent. Permettre au client de se connecter seulement sil fonctionne avec le FortiClient Host Security Software. Pour plus dinformations propos de ce software, visitez le site de Documentation Technique Fortinet. Permettre au client de se connecter seulement si un logiciel antivirus Norton (Symantec) ou McAfee est install. Cette option nest pas disponible si vous slectionnez Vrifier si le FortiClient est install et fonctionne.
335
Permettre au client de se connecter seulement si un logiciel pare-feu Norton (Symantec) ou McAfee est install. Cette option nest pas disponible si vous slectionnez Vrifier si le FortiClient est install et fonctionne.
Restreindre la plage IP Entrez les adresses IP de dbut et de fin de la plage du tunnel pour ce groupe intervalle pour ce groupe si vous dsirez un override de la plage Tunnel IP dfinie dans VPN > SSL > Config. Activer Web Application Activez le portail web pour fournir un accs aux application web. Ceci nest pas disponible en mode Transparent. Si vous activez Web Application, activez chaque applications dont laccs est permis aux utilisateurs de ce groupe.
Enlve tous les fichiers temporaires Internet crs sur lordinateur client entre la connexion et la dconnexion. Ceci seffectue grce un contrle ActiveX tlcharg et fonctionne uniquement avec Internet Explorer sur Windows 2000 et Windows XP. Facultativement, ouvrez une deuxime fentre de navigation vers cette URL lorsque la page du portail VPN SSL souvre. Le serveur web de cette URL doit se trouver sur le rseau priv derrire le botier FortiGate. Vous pouvez galement modifier la page de connexion du portail web VPN SSL. Pour plus dinformations, voir Modification du message de connexion VPN SSL la page 165. Entrez le message personnalis afficher sur la page de garde du portail pour ce groupe.
Redirect URL
336
Antivirus
Cette section dcrit comment configurer les options antivirus associes aux profils de protection pare-feu. Cette section couvre les sujets suivants : Antivirus Modles de Fichier Mise en Quarantaine Configuration Configuration de lAntivirus partir de linterface de ligne de commande
Antivirus
Le traitement Antivirus comprend des modules et des appliances varis excutant des tches spares. Le botier FortiGate procde aux traitements antivirus dans lordre dapparition des fonctionnalits dans le menu de linterface dadministration web : modle de fichier, analyse antivirus, et grayware, suivis par heuristique, configurable uniquement partir de linterface de ligne de commande. Les services FortiGuard-AntivirusTM constituent dexcellentes ressources offrant des mises jour automatiques des bases de donnes antivirus et IPS, de mme que de lantispam local DNSBL, et ce, partir du FortiGuard Distribution Network (FDN). Par ailleurs, le Centre FortiGuard fournit une encyclopdie FortiGuardAntivirus des virus et attaques, et publie le bulletin FortiGuard. Pour plus de dtails, visitez le site de la Base de Connaissance Fortinet o vous trouverez galement un lien vers le Centre FortiGuard. La connexion entre le botier FortiGate et le Centre FortiGuard se configure dans Systme > Maintenance > FortiGuard Center. Voir Configuration du botier FortiGate pour les services FDN et FortiGuard la page 186.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Alors que des paramtres antivirus sont configurs pour une utilisation globale, des paramtres spcifiques peuvent tre implments pour chaque profil. Le tableau 34 compare les options antivirus des profils de protection et les paramtres du menu antivirus.
337
Tableau 34 : Configuration antivirus des profils de protection et du menu Antivirus Options antivirus des Profils de Paramtres Antivirus Protection Analyse antivirus Activer ou dsactiver lanalyse antivirus pour chaque protocole (http, FTP, IMAP, POP3, SMTP, IM). Modle de fichier Activer ou dsactiver le traitement de modle de Fichier (File Pattern) pour chaque protocole. Mise en Quarantaine Activer ou dsactiver la mise en quarantaine pour chaque protocole. Cette option est disponible sur les botiers avec un disque local ou un FortiAnalyzer configur. Passer les emails fragments Activer ou dsactiver le passage demails fragments. Les emails fragments ne peuvent pas tre analyss contre les virus. Option Comfort Client Activer ou dsactiver cette option pour le trafic HTTP et FTP. Etablir un intervalle et un volume en octets pour dclencher loption de comfort client. Fichier/Mail surdimensionn Configurer le botier FortiGate pour bloquer ou autoriser les fichiers et mails surdimensionns pour chaque protocole. Etablir des seuils de taille pour les fichiers et mails pour chaque protocole dans Antivirus. Antivirus > Config > Grayware Activer ou dsactiver le blocage de grayware par catgorie. Ajouter une signature aux mails sortants. Crer et activer une signature ajouter aux mails sortants (SMTP seulement). Antivirus > Config > Liste de Virus Visualiser une liste (en lecture uniquement) des virus actuels. Antivirus > File Pattern Configurer des modles de fichier pour bloquer ou autoriser ces fichiers. Des modles peuvent aussi tre activs ou dsactivs individuellement. Antivirus > Mise en Quarantaine Visualiser et trier la liste des fichiers en quarantaine, configurer des modles de fichier pour tlchargement automatique vers Fortinet pour analyse et configurer les options de quarantaine dans Antivirus.
Modles de Fichier
La configuration de modles de fichier (File Pattern) permet de bloquer tous les fichiers potentiellement menaants et empcher les attaques et virus. Les fichiers peuvent tre bloqus sur base du nom, de lextension ou tout autre caractristique. Le blocage de modles de nom de fichier offre la flexibilit de bloquer des contenus potentiellement dangereux.
Remarque : Les entres de modles de fichier ne sont pas sensibles la casse des caractres (lettre majuscule/minuscule). Par exemple, ajouter *.exe une liste de modles de fichier entrane un blocage de tous les fichiers se terminant par .EXE.
338
En cas dopration standard, vous pouvez choisir de dsactiver File Pattern dans le Profil de Protection et de lactiver temporairement pour bloquer les menaces spcifiques quand elles apparaissent. Le botier FortiGate bloque les fichiers qui correspondent un modle de fichier spcifique et affiche un message de remplacement la place. Le botier FortiGate enregistre un message dans le Journal Virus et peut tre configur pour envoyer un message dalerte. Si File Pattern et Virus Scan sont tout deux activs, le botier FortiGate bloque les fichiers correspondants aux modles de fichier activs et ne procde pas une analyse des virus.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Remarque : Le catalogue des listes de Modles de Fichier par dfaut sappelle builtinpatterns. Crer Nouveau Nom # entres Profils Commentaire Icne Supprimer Permet dajouter une nouvelle liste de modles de fichier au catalogue. Les listes de modles de fichier disponibles. Le nombre de modles de fichier dans chaque liste. Les profils de protection auxquels la liste a t applique. Description facultative de chaque liste. Permet de retirer la liste du catalogue. Cette icne nest pas disponible lorsque la liste est reprise dans un profil de protection. Permet dditer des informations de la liste de modles de fichier telles que le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes de modles de fichier dans les profils de protection. Pour plus dinformations, voir Options Antivirus la page 282.
339
Nom Commentaire
Entrez un nom pour cette nouvelle liste. Entrez un commentaire pour dcrire cette liste si ncessaire.
Pour visualiser la liste des modles de fichier sur les modles FortiGate-800 et plus, slectionnez Antivirus > File Pattern et cliquez sur licne Editer de la liste visualiser.
340
Illustration 196 : Echantillon dune liste de modles de fichier pour les modlesFortiGate-800 et plus
Nom
Le nom de la liste. Pour modifier le nom, ditez le texte dans ce champ et cliquez sur OK. Le champ Nom apparat sur les modles FortiGate-800 et plus. Commentaire facultatif. Pour ajouter ou diter un commentaire, entrez le texte dans le champ commentaire et cliquez sur OK. Le champ commentaire apparat sur les modles FortiGate800 et plus. Permet dajouter un nouveau modle la liste. La liste actuelle des modles de fichier. Les fichiers correspondants aux modles de fichier peuvent tre dfinis sur Bloquer ou Autoriser. Dcochez la case pour dsactiver le modle de fichier. Permet de retirer le modle de fichier de la liste. Permet dditer le modle de fichier et son action. Permet de modifier la position du modle de fichier dans la liste.
Commentaire
Crer Nouveau Filtre Action Activer Icne Supprimer Icne Editer Icne Dplacer
Les fichiers sont compars aux modles de fichier activs, et ce dans leur ordre dapparition dans la liste, de haut en bas. Dans le cas o un fichier ne correspond pas lun de modles de fichier spcifis, il subit une analyse virale (si active). Les fichiers passent sils ne sont pas explicitement bloqus. Laction Autoriser permet de renverser la procdure, en bloquant tous les fichiers sauf ceux prciss explicitement. Entrez tous les modles de fichier que vous voulez laisser passer associs lattribut Autoriser. A la fin de la liste, ajoutez le mta-caractre (*.*) associ laction Autoriser. Les fichiers autoriss passent travers lanalyseur de virus (si activ) alors que les fichiers ne correspondant aucun modle de fichier sont bloqus grce au mta-caractre ajout la fin de la liste. Sur les modles FortiGate-500 et moins, la liste des modles de fichier est prconfigure avec les modles par dfaut suivants : Les fichiers excutables (*.bat, *.com, *.exe) Les fichiers compresss ou archivs (*.gz, *.rar, *.tar, *.tgz, *.zip) Les librairies dynamiques (*.dll) Les applications HTML (*.hta)
341
Les fichiers Microsoft Office (*.doc, *.ppt, *.xl) Les fichiers Microsoft Works (*.wps) Les fichiers Visual Basic (*.vb) Les fichiers Screen Saver (*.scr) Les fichiers dinformations de programmes (*.pif)
Les modles de fichier sont activs dans les profils de protection. Pour plus dinformation, voir Options Antivirus la page 282.
Entrez le modle de fichier. Celui-ci peut correspondre au nom exacte dun fichier ou inclure des mta-caractres. Slectionnez un type de modle de la liste droulante : Wildcard ou Expression rgulire. Cochez pour activer le modle.
Mise en Quarantaine
Les botiers FortiGate munis dun disque local peuvent placer en quarantaine des fichiers bloqus ou infects. Vous pouvez visualiser le nom du fichier et ses statuts dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des fichiers spcifiques et dajouter des modles de fichier la liste de soumission automatique pour un tlchargement automatique vers Fortinet pour analyse. Les botiers FortiGate non munis dun disque local peuvent placer en quarantaine des fichiers bloqus ou infects sur un botier FortiAnalyzer. Les fichiers stocks sur un FortiAnalyzer peuvent tres rcuprs pour visualisation. Pour configurer un botier FortiAnalyzer, slectionnez Journaux/Alertes > Configuration > Configuration du Journal.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
342
Cette liste comporte les fonctionnalits suivantes et affiche les informations suivantes pour chaque fichier mis en quarantaine :
Appliquer Classer par Permet dappliquer les slections de tri et de filtrage la liste. Trie la liste. Choisissez entre Etat, Service, Nom du Fichier, Date, TTL ou dcompte. Cliquez sur Appliquer pour lancer le tri. Filtre la liste. Choisissez entre Etat (contamins, heuristiques, filtrs) ou service (IMAP, POP3, SMTP, FTP ou HTTP). Cliquez sur Appliquer pour lancer le filtrage. Le mode heuristique est configurable partir de linterface de ligne de commande seulement. Voir Configuration de lAntivirus partir de linterface de ligne de commande la page 350. Le nom du fichier en quarantaine. Lorsquun fichier est mis en quarantaine, tous les espaces sont enlevs du nom du fichier et une somme de vrification de 32-bit est excut sur le fichier. La somme de vrification apparat dans le message de remplacement mais pas dans le fichier en quarantaine. Le fichier est stock sur le disque dur du FortiGate avec la convention suivante : <32bit_CRC>.<processed_filename> Par exemple, un fichier du nom de Over Size.exe est stock sous 3fc155d2.oversize.exe Date La date et lheure de la mise en quarantaine du fichier, sous le format jj/mm/aaaa hh:mm. Cette valeur indique le moment auquel le premier fichier a t mis en quarantaine si le dcompte augmente. Le service partir duquel le fichier a t mis en quarantaine (HTTP, FTP, IMAP, POP3, SMTP, IM). La raison pour laquelle le fichier a t mis en quarantaine : contamins, heuristiques ou filtrs. Informations spcifiques relatives ltat, par exemple File is infected with W32/Klez.h ou File was stopped by file block pattern .
Filtre
Nom du Fichier
343
DC
Duplicate count - Dcompte. Le nombre de duplicata du mme fichier mis en quarantaine. Un nombre augmentant rapidement peut tre un signal de la prsence dun virus. Time to live sous le format hh:mm. Une fois le TTL coul, le botier FortiGate nomme le fichier EXP sous len-tte TTL. Dans le cas de duplicata de fichiers, chaque duplicata trouv rafrachit le TTL. Un Y indique que le fichier a t tlcharg vers Fortinet pour analyse. Un N signifie que ce fichier na pas t tlcharg. Permet de retirer un fichier de la liste. Permet de tlcharger le fichier correspondant dans son format original. Permet de soumettre un fichier suspect Fortinet pour analyse.
TTL
Remarque : Les duplicatas de fichiers (bass sur la somme de vrification) ne sont pas stocks, seulement compts. La valeur TTL et le comptage de duplicata sont mis jour chaque fois quun fichier est trouv.
Permet dajouter un nouveau modle de fichier la liste de soumission automatique. La liste en cours de modles de fichier qui sera tlcharge automatiquement. Crez un modle en utilisant les mtacaractres ? ou *. Cochez la case pour activer tous les modles de fichier de la liste. Permet de retirer une entre de la liste. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Icne Editer
Filtre Activer
Entrez le modle de fichier ou le nom de fichier tlcharger automatiquement vers Fortinet. Slectionnez pour activer le modle de fichier.
Remarque : Pour activer un tlchargement automatique des modles de fichier configurs, slectionnez Antivirus > Mise en Quarantaine > Config et cochez Activer le tlchargement automatique et slectionnez Utiliser les filtres de nom.
345
Illustration 202 : Configuration de la mise en Quarantaine (FortiAnalyzer dun FortiGate avec disque local)
Illustration 203 : Configuration de la mise en Quarantaine (FortiAnalyzer dun FortiGate sans disque local)
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout dans lavenir.
ge limite
Le temps limite en heures pendant lequel les fichiers sont maintenus en quarantaine. Cette limite est utilise pour formuler la valeur dans le colonne TTL de la liste des fichiers mis en quarantaine. Lorsque la limite est atteinte, la colonne TTL affiche EXP. et le fichier est supprim (bien quun enregistrement est maintenu dans la liste des fichiers mis en
346
quarantaine). La valeur 0 (zro) permet un stockage indfini, dpendant de lespace libre sur le disque.
Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Une quarantaine taille maximum trop haute pourrait impacter la performance.
Slectionnez laction prendre lorsque le disque local est complet : Ecraser les plus vieux fichiers ou Ne pas mettre en quarantaine les nouveaux fichiers. Slectionnez pour activer le stockage des fichiers bloqus ou en quarantaine sur un botier FortiAnalyzer. Voir Journaux/Alertes la page 409 pour plus dinformations sur la configuration dun botier FortiAnalyzer.
FortiAnalyzer
Activer le tlchargement Active la fonctionnalit de soumission automatique. automatique Slectionnez une ou les deux options ci-dessous : Utiliser les filtres de nom : Active le tlchargement automatique des fichiers correspondants aux modles de fichier dans la liste de soumission automatique. Utiliser le statut des fichiers : Active le tlchargement automatique de fichiers en quarantaine selon leur statut. Slectionnez soit Heuristique, soit Nom filtr. Heuristique est configurable partir de linterface de ligne de commande uniquement. Voir Configuration de lAntivirus partir de linterface de ligne de commande la page 350. Appliquer Enregistre la configuration.
Configuration
La page Config affiche une liste des virus actuels bloqus par le botier FortiGate. Il est galement possible de configurer des limites de tailles de fichiers et de mails, et de bloquer des graywares.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Les dfinitions AV FortiGuard sont gnralement mises jour automatiquement partir du rseau de distribution FortiGuard (FDN FortiGuard Distribution Network). Slectionnez Systme > Maintenance > FortiGuard Center pour configurer automatiquement les mises jour automatiques des dfinitions AV partir du FDN. Vous pouvez galement mettre jour manuellement les dfinitions AV partir du tableau de bord (slectionnez Systme > Statut).
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Pour visualiser la liste Grayware, slectionnez Antivirus > Config > Grayware.
348
Lactivation dune catgorie grayware entrane le blocage de tous les fichiers rpertoris dans cette catgorie. Les catgories peuvent tre modifies ou compltes lors des mises jour. Choisissez parmi les catgories suivantes, celles que vous voulez bloquer :
Adware Blocage des programmes adware. Les adwares sont gnralement ancrs dans des logiciels gratuits qui entranent lapparition de publicits chaque ouverture ou utilisation du programme. Blocage des Browser Helper Object. Les BHO sont des fichiers DDL souvent installs dans des logiciels de manire ce que ce logiciel puisse contrler le comportement de lInternet Explorer 4.x et plus. Certains BHO sont bienveillants, mais il y a toujours un risque potentiel de rassembler des informations sur les habitudes de navigation. Blocage des programmes dialer. Les dialers sont des petits programmes qui peuvent se crer une nouvelle connexion Internet des numros surtaxs ou longues distances via les modems dautres PC. Blocage des programmes de tlchargement. Les tlchargements ont gnralement lieu lors du dmarrage Windows et sont destins installer des logiciels, en particulier des publicits. Blocage de games. Les games sont en gnral des blagues ou jeux que vous voudrez probablement interdire aux utilisateurs du rseau. Blocage des outils des attaquants. Blocage des programmes des substitueurs de navigateur. Les substitueurs de navigateur entranent des modifications des paramtres du navigateur Internet, notamment dans les favoris, signets, page daccueil et options des menus. Blocage des programmes joke. Ces programmes peuvent comprendre des curseurs clients qui apparaissent pour affecter le systme. Blocage des programmes Enregistreurs de frappe. Ces programmes enregistrent la frappe des touches sur le clavier notamment les mots de passe, les messages instantans et les discussions sur forum. Blocage de nimporte quel programme compris dans la catgorie grayware miscellaneous . Blocage des Network Management Tools. Ces outils de gestion des rseaux peuvent tre installs et utiliss avec malveillance pour modifier les paramtres et perturber la scurit du rseau. 349
BHO
Dial
Download
Joke Keylog
Misc NMT
P2P
Blocage des programmes de communication peer to peer. P2P, bien qutant un protocole lgitime, est souvent synonyme de programme de partage de fichiers utiliss pour changer de la musique, des films et autres fichiers, souvent en toute illgalit. Blocage des modules dextension. Ces modules dextension viennent se greffer un logiciel principal afin de lui apporter de nouvelles fonctionnalits. Ils sont souvent sans risque. Cependant, certaines barres doutils ou de modules dextensions peuvent tenter de contrler ou enregistrer et envoyer les prfrences de navigation de lutilisateur. Blocage de Remote Administration Tools. Ces outils de gestion distance permettent des utilisateurs extrieurs de modifier et contrler distance un ordinateur du rseau. Blocage des logiciels espions. Les logiciels espions tels que les adware, sont souvent compris dans les logiciels gratuits. Ils permettent de faire des rapports des activits de lutilisateur telles que les habitudes de navigation Internet et de les envoyer un site web de publicit qui les analysera. Blocage des barres doutils clients. Bien que certaines barres doutils sont sans risque, les dveloppeurs de logiciels espions utilisent des barres doutils pour contrler les habitudes de navigation et envoient ces informations au dveloppeur.
Plugin
RAT
Spy
Toolbar
350
351
352
Lorsque le botier FortiGate installe un fichier de dfinition des attaques mis jour, il vrifie que la configuration par dfaut de chaque signature a t modifie. Si cest le cas, ces modifications seront maintenues. Vous pouvez crer des signatures IPS personnalises que le botier FortiGate utilisera en plus de sa vaste liste de signatures IPS prdfinies. A chaque dtection ou empchement dune attaque, un message dattaque est gnr. Vous pouvez configurer le botier FortiGate pour quil ajoute le message au Journal des Attaques et envoie un mail dalerte aux administrateurs. Dfinissez alors quel intervalle le botier FortiGate doit envoyer un mail dalerte. Vous pouvez rduire le nombre de messages journaliss et dalertes en dsactivant les signatures pour les attaques auxquelles le systme nest pas vulnrable, par exemple, les attaques web en labsence de fonctionnement du serveur web. La journalisation de paquets fournit aux administrateurs la possibilit danalyser les paquets pour une dtection de faux positifs. Pour plus dinformations sur la journalisation et les mails dalertes FortiGate, voir Journaux/Alertes la page 409. Configurez lIPS et activez ou dsactivez ensuite toutes les signatures ou toutes les anomalies dans les profils de protection pare-feu individuels.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Le tableau 35 dcrit les paramtres IPS et comment y accder pour les configurer.
Tableau 35 : IPS des profils de protection et configuration IPS Options IPS des profils de protection Paramtres IPS Signature IPS Activer ou dsactiver les signatures IPS par niveau de svrit. Intrusion Protection > Signature Visualiser et configurer une liste de signatures prdfinies. Crer des signatures personnalises bases sur les ncessits du rseau. Configurer des dcodeurs de protocoles. Intrusion Protection > Anomaly Visualiser et configurer une liste danomalies prdfinies. Intrusion Protection > Anomaly > [individual anomaly] Activer la journalisation pour chaque signature ou groupe de signatures. Activer la journalisation de paquets pour chaque signature ou anomalie.
Anomalie IPS Activer ou dsactiver les anomalies IPS par niveau de svrit. Journaux des Intrusions Activer la journalisation de toutes les signatures et intrusions danomalies.
Pour accder aux options IPS des profils de protection, slectionnez Pare-feu > Profil de protection, cliquez sur Editer ou Crer Nouveau et slectionnez IPS.
353
Signatures prdfinies
Les signatures prdfinies sont arranges en groupes bass sur le type des attaques. Par dfaut, toutes les signatures ne sont pas actives mais la journalisation de toutes les signatures est active. Veillez ce que le paramtrage par dfaut rpondent aux exigences du trafic du rseau. La dsactivation de signatures inutiles peut amliorer la performance du systme et rduire le nombre de messages journaliss et les mails dalertes gnrs par lIPS. Par exemple, lIPS dtecte un grand nombre dattaques du serveur web. Si laccs un serveur web derrire le botier FortiGate nest pas prvu, dsactivez toutes les signatures des attaques du serveur web. Les groupes de signatures comprennent des paramtres configurables dpendant du type de signature dans le groupe de signatures. Les paramtres configurs pour un groupe de signature sappliquent toutes les signatures de ce groupe.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Pour visualiser la liste des signatures prdfinies, slectionnez Intrusion Protection > Signature > Predefined.
Illustration 206 : Liste des signatures prdfinies
Voir les signatures prdfinies avec la svrit : Nom des signatures Activer
Slectionnez des filtres et cliquez ensuite sur Go pour visualiser les signatures rpondant aux critres des filtres. Les critres de tri peuvent tre <=, =, >=, Tout, Information, Low, Medium, High ou Critical. Le nom du groupe de signatures. Ltat des signatures du groupe. Un cercle vert indique que chaque signature dans le groupe est active. Un cercle gris Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
354
indique quaucune signature dans le groupe nest active. Un cercle mi-gris, mi-vert indique que certaines signatures sont actives et dautres pas. Journaliser Ltat de la journalisation pour les signatures du groupe. Par dfaut, la journalisation est active pour toutes les signatures. Lorsque la journalisation est active, laction apparat dans le champ Etat (Status ou Statut) du message journalis gnr par la signature. Laction dfinie pour les signatures individuelles. Cliquez sur le triangle bleu pour faire apparatre les membres du groupe de signatures. Laction peut tre Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session, ou Supprimer la session. En cas dactivation de la journalisation, laction apparat dans le champ Etat du message journalis gnr par la signature. Voir le Tableau 36 pour une description de ces actions. Le niveau de svrit dfini pour chacune de ces signatures. Ce niveau peut tre Information, Low, Medium, High ou Critical. Le niveau de svrit est dfini pour les signatures individuelles. Le nombre de rvision pour les signatures individuelles. Pour afficher les membres du groupe de signatures, cliquez sur le triangle bleu. Configurez les paramtres pour les signatures individuelles ou un groupe entier. Les modifications apportes aux paramtres dun groupe sappliquent tous les membres de ce groupe. De cette manire, cela permet dactiver ou de dsactiver tous les membres dun groupe en une seule opration.
Action
Svrit
Rvision
Icne Configurer
Icne Rinitialiser (Reset) Cette icne apparat uniquement lorsque le paramtrage par dfaut dune signature ou dun groupe a t modifi. Cliquez sur la flche bleue pour drouler le groupe de signatures pour visualiser les signatures qui ont t modifies. Slectionner cette icne pour une signature rtablit son paramtrage par dfaut. Slectionner cette icne pour un groupe rtablit le paramtrage par dfaut du groupe et de toutes les signatures membres du groupe.
355
Le tableau 36 dcrit chaque action possible pour les signatures prdfinies, personnalises ou les anomalies.
Tableau 36 : Actions slectionner pour chaque signature prdfinie Action Description Laisser passer Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et autorise le paquet travers le pare-feu sans action supplmentaire. Si la journalisation est dsactive et laction tablie sur Laisser passer, la signature est effectivement dsactive. Rejeter Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. La session pare-feu est intouche. Fortinet recommande lutilisation dune autre action que Rejeter pour les attaques bases sur des connexions TCP. Rinitialiser Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. Le botier FortiGate envoie une rinitialisation au client et au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne sapplique quaux connexions TCP. Les attaques non TCP dfinies avec ce paramtre verront leur session supprime. Dans le cas o laction Rinitialiser est enclenche avant que la connexion TCP soit entirement tablie, la session est supprime. Rinitialiser ct client Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. Le botier FortiGate envoie une rinitialisation au client et rejette la session pare-feu de la table de session pare-feu. Ceci ne sapplique quaux connexions TCP. Les attaques non TCP dfinies avec ce paramtre verront leur session supprime. Dans le cas o laction Rinitialiser ct client est enclenche avant que la connexion TCP soit entirement tablie, la session est supprime. Rinitialiser ct serveur Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et rejette le paquet. Le botier FortiGate envoie une rinitialisation au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne sapplique quaux connexions TCP. Les attaques non TCP dfinies avec ce paramtre verront leur session supprime. Dans le cas o laction Rinitialiser ct serveur est enclenche avant que la connexion TCP soit entirement tablie, la session est supprime. Rejeter tous les paquets Lorsquun paquet active une signature, le botier de la session FortiGate gnre une alerte et rejette le paquet. Les paquets suivants de cette session pare-feu sont galement rejets. Laisser passer la session Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et autorise le paquet travers le pare-feu. Les paquets suivants de cette session contournent lIPS. Supprimer la session Lorsquun paquet active une signature, le botier FortiGate gnre une alerte et la session laquelle appartient ce paquet est immdiatement retire de
356
la table de session. Aucun rinitialisation nest envoye. Pour TCP, tous les paquets suivants sont rejets. Pour UDP, tous les paquets suivants peuvent enclencher une nouvelle session cre par le parefeu.
Le groupe de signatures auquel les changements seront appliqus. Active toutes les signatures du groupe. Active la journalisation pour toutes les signatures du groupe. Slectionnez une action de la liste appliquer toutes les signatures du groupe. Les diffrentes action sont : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles.
357
Action
Slectionnez une des actions de la liste : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles.
Signatures personnalises
Les signatures personnalise offrent le pouvoir et la flexibilit de personnaliser lIPS FortiGate pour des environnements rseaux divers. Les signatures prdfinies FortiGate couvrent les attaques les plus courantes. Si une application inhabituelle ou spcialise ou encore une plateforme peu commune est utilise, vous pouvez ajouter des signatures personnalises en fonction des alertes de scurit publies par les vendeurs de lapplication ou de la plateforme.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Slectionnez les filtres et cliquez ensuite sur Go pour visualiser les signatures personnalises qui correspondent ces critres. Les diffrents critres sont <+, =, >= pour Tout, Information, Low, Medium, High ou Critical. Activez ou dsactivez le groupe de signatures personnalises Permet de crer un nouvelle signature personnalise. Supprime toutes les signatures personnalises du groupe. Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
Activer les signatures personnalises Crer nouveau Icne Supprimer toutes les
358
signatures personnalises Icne Rinitialiser aux valeurs par dfaut ? Nom des signatures Activer Journaliser Rinitialise les paramtres par dfaut toutes les signatures personnalises. Le nom des signatures. Ltat de chaque signature personnalise. Une case coche signifie que la signature est active. Le statut de la journalisation pour chaque signature personnalise. Une case coche signifie que la journalisation est active pour cette signature. Laction tablie pour chacune des signatures personnalises. Les diffrentes actions sont : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est active, laction apparat dans le champ Etat du message journalis gnr par la signature. Voir le tableau 36 pour une description des actions. Le niveau de svrit pour chaque signature personnalise. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles. Permet de supprimer une signature personnalise. Permet dditer les informations suivantes : Nom, Signature, Action, Packet Log et Svrit.
Action
Svrit
Remarque : Les signatures personnalises consistent en une fonction avance. Ce document prsume que lutilisateur a lexprience ncessaire pour crer des signatures de dtection dintrusions.
Pour crer une signature personnalise, slectionnez Intrusion Protection > Signature > Custom.
359
Le nom de la signature personnalise. Entrez la signature personnalise. Pour plus dinformations sur la syntaxe des signatures personnalises, voir le FortiGate Intrusion Protection System (IPS) Guide. Slectionnez une action de la liste : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Active la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les signatures individuelles.
Action
Dcodeurs de protocoles
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau qui tente dexploiter des failles connues. Activez ou dsactivez la journalisation pour chaque anomalie de protocole, et configurez laction IPS prendre en cas de dtection danomalie. Utilisez les commandes CLI pour configurer le contrle de la session en fonction des adresses rseaux source et de destination. La liste de dtection des anomalies des protocoles peut uniquement tre mise jour lors de la mise jour de limage logicielle botier FortiGate.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
360
Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas tre dsactivs. Les fonctions IM et P2P ont besoin de ces dcodeurs pour fonctionner. Cependant, le dcodeur individuel peut tre dsactiv. Voir les protocol decoders Slectionnez les filtres et cliquez ensuite sur OK pour avec la svrit visualiser les seuls dcodeurs qui correspondent aux critres des filtres. Les diffrents filtres sont <=, =, >= pour Tous, Information, Low, Medium, High ou Critical. Nom Activer Journaliser Le nom du dcodeur de protocole. Ltat du dcodeur de protocole. Une case coche signifie que la signature du dcodeur est active. Le statut de la journalisation pour chaque dcodeur de protocole. Une case coche signifie que la journalisation est active pour le dcodeur. Les groupes de dcodeurs utilisent un indicateur graphique pour le statut de la signature dans le groupe. Un cercle vert signifie que toutes les signatures du groupe sont actives. Un cercle gris indique quaucune signature du groupe na t active. Un cercle mi-vert, mi-gris signifie que certaines signatures sont actives et dautres pas. Action Laction dfinie pour chaque dcodeur de protocoles : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est active, laction apparat dans le champ statut du message journalis gnr par le dcodeur. Voir le tableau 36 pour une description des actions. Le niveau de svrit pour chaque anomalie de protocole. Les diffrents niveaux de svrit sont : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les dcodeurs individuels. Permet dditer les attributs du groupe de dcodeurs de protocoles. Cette icne saffiche uniquement lorsquun dcodeur a t modifi. Utilisez cette icne pour restaurer les valeurs initiales des paramtres recommands.
Svrit
361
Action
Slectionnez une action de la liste droulante : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Activer la journalisation des paquets. Slectionnez un niveau de svrit de la liste droulante : Information, Low, Medium, High, Critical.
Anomalies
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau ne correspondant pas aux modles de trafic connu ou prdfini. LIPS FortiGate identifie quatre types danomalies statistiques pour les protocoles TCP, UDP et ICMP.
Flooding Si le nombre de sessions ciblant une seule destination en une seconde dpasse un seuil spcifi, la destination est submerge (flooding). Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
362
Si le nombre de sessions provenant dune seule source en une seconde dpasse un seuil spcifi, la source est analyse. Si le nombre de sessions en cours partir dune seule source dpasse un seuil spcifi, la limite de la session de la source est atteinte. Si le nombre de sessions en cours vers une seule destination dpasse un seuil spcifi, la limite de la session de la destination est atteinte.
Il vous faut activer ou dsactiver la journalisation pour chaque anomalie de trafic, et configurer laction IPS enclencher en rponse la dtection dune anomalie. Dans de nombreux cas, les seuils utiliss par lanomalie pour dtecter des modles de trafic qui pourraient reprsenter une attaque sont configurables.
Remarque : Il est important de connatre le trafic rseau normal et attendu avant de modifier les seuils danomalie par dfaut. Etablir un seuil trop bas pourrait causer des faux positifs, et linverse, tablir un seuil trop lev pourrait laisser passer des attaques.
Pour configurer un contrle de la session bas sur les adresses rseau source et de destination, utilisez les commandes CLI. La mise jour de la liste de dtection des anomalies de trafic a lieu lors de la mise jour de limage logicielle sur le botier FortiGate.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Slectionnez les filtres et cliquez ensuite sur Go pour afficher les anomalies qui correspondent aux critres des filtres : Les critres sont <=, =, >= pour Tous, Information, Low, Medium, High, Critical. Le nom de lanomalie de trafic. Ltat de lanomalie de trafic. Une case coche signifie que la signature de lanomalie est active. Ltat de la journalisation pour chaque anomalie de trafic. Une case coche signifie que la journalisation de lanomalie est active. 363
Action
Laction dfinie pour chaque anomalie de trafic : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est active, laction apparat dans le champ statut du message journalis gnr par lAnomalie. Voir le tableau 36 pour une description des actions. Le niveau de svrit dfini pour chaque anomalie de trafic. Il existe diffrents niveaux de svrit : Information, Low, Medium, High, Critical. Le niveau de svrit est dfini pour les anomalies individuelles. Permet dditer les informations suivantes : Action, Svrit et Seuil. Cette icne saffiche uniquement si lanomalie a t modifie. Elle permet de restaurer les valeurs par dfaut des paramtres modifis.
Svrit
Action
Slectionnez une action de la liste droulante : Laisser passer, Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions. Slectionnez un niveau de svrit de la liste droulante : Information, Low, Medium, High, Critical. Dans le cas des anomalies IPS comprenant le paramtre seuil, le trafic dpassant le seuil spcifi enclenche lanomalie.
Svrit Seuil
364
365
Filtrage Web
Cette section dcrit comment configurer les options du Filtrage Web. Les fonctions du filtrage web doivent tre actives dans le profil de protection actif pour les paramtres correspondants. Cette section couvre les sujets suivants : Filtrage Web Filtrage par mots-cls Filtre URL Filtrage Web FortiGuard
Filtrage Web
Le filtrage web comprend des modules varis qui excutent des tches spares. Le botier FortiGate effectue le filtrage web dans lordre dapparition des filtres dans le menu de linterface dadministration web : filtrage par mots-cls, filtre URL et filtrage par catgorie (FortiGuard-Web). Le filtrage des scripts est effectu en dernier. Le Filtrage Web FortiGuard est dcrit en dtails dans la section Options du Filtrage Web FortiGuard la page 285. Les corrections dvaluation, ainsi que des suggestions dvaluation pour de nouvelles pages peuvent tre soumises via la page web du Centre FortiGuard. Visitez le site de la Base de Connaissance Fortinet : Fortinet Knowledge Center, pour plus de dtails et un lien vers le Centre FortiGuard. Les tableaux suivants comparent les options de filtrage web dans les profils de protection et le menu du filtrage web.
Tableau 37 : Filtrage Web et configuration du filtrage par mots-cls partir des profils de protection Paramtres du Filtrage Options de filtrage web des profils de protection Web Filtrage par mots-cls Filtrage Web > Filtrage par mots-cls Activer ou dsactiver le blocage de page Ajouter des mots et caractristiques pour web en fonction de mots-cls ou bloquer les pages web contenant ces mots caractristiques interdits dans la liste de ou caractristiques. filtrage par mots-cls pour le trafic HTTP. Tableau 38 : Filtrage Web et configuration du filtrage dURL dans les profils de protection Paramtres du Filtrage Options de filtrage web des profils de protection Web Filtrage dURL Filtrage Web > URL Filter Activer ou dsactiver le filtrage Ajouter les URL et caractristiques dURL pour de page web pour le trafic HTTP dispenser ou bloquer les pages web provenant de en fonction de la liste du filtre sources spcifiques. URL.
366
Tableau 39 : Filtrage Web et filtrage de script Web dans les profils de protection et configuration de tlchargement Paramtres du Filtrage Web Options de filtrage web des profils de protection n/a Filtrage des ActiveX, Filtrage des cookies, Filtrage des Applets Java Activer ou dsactiver le blocage scripts de page web pour le trafic HTTP. Blocage Web resume Download n/a Activez pour bloquer le tlchargement du reste dun fichier dj partiellement tlcharg. Cette option empche le tlchargement involontaire des virus, mais peut par contre entraner des interruptions dans le tlchargement. Tableau 40 : Filtrage Web et configuration du filtrage de catgories web dans les profils de protection Paramtres du Filtrage Web Options de filtrage web des profils de protection FortiGuard Web Filter > Configuration Activer le Filtrage Web FortiGuard (HTTP uniquement). FortiGuard Web Filter > Override Activer lOverride du Filtrage Web FortiGuard (HTTP uniquement). Fournit le dtail des erreurs HTTP 4xx et 5xx bloques (HTTP uniquement). Evalue les images par URL (les images bloques sont remplaces par des blancs) (HTTP uniquement). Autorise les sites web lorsquune erreur dvaluation a lieu (HTTP uniquement). Blocage strict (HTTP uniquement). Catgorie / Action Le service de Filtrage Web FortiGuard fournit de nombreuses catgories partir desquelles le trafic web peut tre filtr. Choisissez laction prendre pour chaque catgorie : autorise, bloque, journalise ou autorise loverride. Les catgories locales peuvent tre FortiGuard Web Filter > Catgories locales/Local configures pour convenir aux besoins locaux. Ratings Classification / Action Si slectionns, les utilisateurs peuvent accder aux sites web fournissant des contenus sauvegards et des moteurs de recherche de fichiers image, son et vido. Choisissez entre autorise, bloque, journalise ou autorise loverride.
Pour accder aux options de filtrage web des profils de protection, slectionnez Pare-feu > Profil de protection, cliquez sur Editer ou Crer Nouveau et slectionnez Filtrage Web ou Filtrage par Catgorie Web.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits de filtrage web sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
367
Remarque : Les expressions rgulires en Perl sont sensibles la casse des caractres pour le filtrage par mots-cls. Pour modifier cela et rendre le mot ou la phrase insensible la casse des caractres, utilisez lexpression /i. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse. Les mta-caractres (wildcards) ne sont pas sensibles la casse des caractres.
Crer Nouveau
Pour ajouter une nouvelle liste au catalogue, entrez un nom et slectionnez Ajouter. Les nouvelles listes sont vides par dfaut. Les listes de filtrage par mots-cls disponibles. Le nombre de mots-cls dans chaque liste. Le profil de protection auquel sapplique chacune des listes. Description facultative de chaque liste de filtrage par motscls. Slectionnez pour retirer la liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Slectionnez pour diter une liste, un nom de liste ou un commentaire.
Icne Editer
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour plus dinformations, voir Options du Filtrage Web la page 283.
368
Cration dune nouvelle liste de blocage de contenu Web (Modle botier FortiGate-800 et plus)
Pour ajouter une liste de blocage de contenu Web au catalogue, slectionnez Filtrage Web > Filtrage par mots-cls et cliquez sur Crer Nouveau.
Illustration 217 : Nouvelle liste de blocage de contenu web
Nom Commentaire
Pour visualiser la liste de blocage du contenu Web sur les modles 800 et plus, slectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur licne Editer dune liste que vous voulez visualiser.
369
Illustration 219 : Echantillon dune liste de blocage de contenu Web pour les FortiGate-800 et plus
Remarque : Activer Filtrage Web > Web Content Block dans un profil de protection pare-feu pour activer les paramtres de blocage de contenu. Nom Nom de la liste de blocage de contenu. Pour modifier le nom, diter le texte dans le champ et cliquez sur OK. Le champ Nom saffiche sur les modles FortiGate 800 et plus. Commentaire facultatif. Pour ajouter ou diter un commentaire, entrez un texte dans le champ Commentaire et cliquez sur OK. Le champ Commentaire saffiche sur les modles FortiGate800 et plus. Permet dajouter un modle la liste. Le nombre de modles dans la liste. Permet dafficher la page prcdente. Permet dafficher la page suivante. Permet de supprimer les entres de la table. La liste en cours des modles. Cochez la case pour activer tous les modles de la liste. Le type de modle utilis dans lentre de la liste de modles. Choisissez entre Wildcard (mta-caractre) ou Expression rgulire. Voir Utilisation des expressions rgulires en Perl la page 400. Le caractre du modle. Choisissez entre Chinois Simplifi, Chinois Traditionnel, Franais, Japonais, Coren, Tha ou Occidental. Une valeur numrique affecte au modle. Les valeurs des scores de tous les modles correspondants apparaissant sur la page sont additionnes. Si le total dpasse la valeur seuil dfinie dans le profil de protection, la page est bloque. Permet de supprimer une entre de la liste. Permet dditer les informations suivantes : Modles, Type de modles, Langage, Activer.
Commentaire
Crer Nouveau Total Icne Haut de page Icne Bas de page Icne Supprimer toutes les entres Modles Type de modles
Langage
Score
370
Modle
Entrez un modle de blocage de contenu. Si vous entrez un mot, le botier FortiGate recherche ce mot sur toutes les pages web. Si vous entrez une phrase, il recherche tous les mots de la phrase sur toutes les pages web. Si vous entrez une phrase entre guillemets, il recherche la phrase entire sur toutes les pages web. Slectionnez un type de format de la liste droulante : Wildcard ou Expression Rgulire. Slectionnez une langue de la liste droulante. Entrez un score pour le modle. Cochez cette case pour activer le modle.
Visualisation du contenu de la liste dexemption des contenus Web (modles FortiGate-800 et plus)
Vous pouvez ajouter de multiples listes dexemption des contenus Web pour les modles FortiGate-800 et plus, et slectionner ensuite la meilleure liste pour chaque profil de protection. Pour visualiser le contenu de ces listes, slectionnez Filtrage Web > Filtrage par mots-cls > Web Content Exempt. Pour visualiser chaque liste dexemption des contenus Web individuellement, cliquez sur licne Editer de la liste correspondante.
Illustration 221 : Echantillon dun catalogue de liste dexemption des contenus Web
Crer Nouveau
Pour ajouter une nouvelle liste au catalogue, entrez un nom et slectionnez Ajouter. Les nouvelles listes sont vides par dfaut. Les listes dexemption des contenus Web disponibles. Le nombre de modles de contenu dans chaque liste de blocage de contenu web. 371
Nom # dentres
Le profil de protection appliqu chaque liste. Description facultative de chaque liste. Permet de retirer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer une liste, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes dexemption des contenus Web dans les profils de protection. Pour plus dinformations, voir Options de filtrage web la page 283.
Cration dune nouvelle liste dexemption des contenus Web (modles FortiGate800 et plus)
Pour ajouter une liste dexemption des contenus Web au catalogue, slectionnez Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur Crer Nouveau.
Illustration 222 : Nouvelle liste dexemption des contenus Web
Nom Commentaire
Entrez un nom cette nouvelle liste. Entrez, si ncessaire, un commentaire qui dcrive cette liste.
Pour visualiser la liste dexemption des contenus Web sur les modles FortiGate800 et plus, slectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt et cliquez sur licne Editer de la liste visualiser.
372
Illustration 224 : Echantillon dune liste dexemption des contenus Web pour les modles FortiGate-800 et plus
Remarque : Pour activer les paramtres des contenus exempts, activez Filtrage Web > Web Content Exempt dans un profil de protection pare-feu.
La liste dexemption des contenus Web offre les icnes et fonctionnalits suivantes :
Nom Le nom de la liste. Pour le modifier, entrez un nouveau nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Un commentaire facultatif. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez ensuite sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Permet dajouter un modle la liste. Le nombre de modles dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer la table. La liste des modles en cours. Cochez la case pour activer tous les modles de la liste. Le type de modle utilis par cette entre. Choisissez entre Wildcard ou Expression Rgulire. Voir Utilisation des expressions rgulires en Perl la page 400. Les caractres utiliss par le modle : Chinois simplifi, Chinois traditionnel, Franais, Japonais, Coren, Tha ou Occidental. Permet de supprimer lentre de la liste. Permet dditer les informations suivantes : Modle, Type de modle, Langage et lactivation.
Commentaire
Crer Nouveau Total Icne Haut de page Icne Bas de page Icne Supprimer toutes les entres Modle Type de modle
Langage
373
Pour ajouter ou diter un modle dexemption, slectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt.
Illustration 225 : Nouveau modle dexemption
Modle
Entrez le modle dexemption. Dans le cas dun mot unique, le botier FortiGate recherche le mot dans toutes les pages web. Dans le cas dune phrase, le botier FortiGate recherche chaque mot de la phrase dans toutes les pages web. Dans le cas dune phrase entre guillemets, le botier FortiGate recherche la phrase entire dans toutes les pages web. Slectionnez un type de modle dans la liste droulante : Wildcard ou Expression Rgulire. Slectionnez un type de caractres dans la liste droulante. Cochez pour activer le modle.
Filtre URL
Vous pouvez autoriser ou bloquer laccs certaines URL en les ajoutant la liste de filtre URL. Cela se fait par lajout de modles utilisant du texte et des expressions rgulires (ou des mta-caractres). Le botier FortiGate autorise ou bloque les pages web correspondantes aux URL ou modles spcifis et affiche un message de remplacement la place de la page.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL Filter dans un profil de protection pare-feu.
Remarque : Le blocage dURL nempche pas laccs aux autres services que les utilisateurs ont sur leur navigateur web. Par exemple, le blocage dURL ne bloque pas laccs ftp://ftp.exemple.com. A la place, utilisez des rgles pare-feu pour bloquer les connexions FTP.
374
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont par dfaut vide. Les listes de filtres URL disponibles. Le nombre de modles URL dans chaque liste de filtres URL. Les profils de protection auxquels sapplique la liste. Description facultative pour chaque liste de filtres URL. Permet de supprimer une liste de filtres URL dun catalogue. Cette icne saffiche si la liste nest pas reprise dans un profil de protection. Permet dditer une liste de filtres URL, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez Listes de filtres URL (URL filter lists) dans les profils de protection. Pour plus dinformations, voir Options de filtrage web la page 283.
Nom Commentaire
375
Pour visualiser la liste des filtres URL sur les FortiGate-500 et moins, slectionnez Filtrage Web > URL Filter.
Illustration 228 : Liste de filtres URL sur les FortiGate-500 et moins
Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, slectionnez Filtrage Web > URL Filter et cliquez sur licne Editer de la liste visualiser.
Illustration 229 : Liste de filtres URL sur les FortiGate-800 et plus
Commentaire
Crer Nouveau Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres URL Type Action Icne Supprimer Icne Editer Icne Dplacer
376
Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, com ) pour bloquer laccs toutes les URL comprenant ce suffixe.
Pour ajouter une URL la liste de filtres URL, slectionnez Filtrage URL > URL Filter.
Illustration 230 : Nouveau filtre URL
Entrez une URL sans inclure http:// Slectionnez un type dans la liste droulante : Simple ou Regex (Expression Rgulire). Slectionnez une action dans la liste droulante : Autoriser, Bloquer, Exempter. Cochez cette case pour activer lURL.
Entrez une URL ou une adresse IP de haut niveau pour contrler laccs toutes les pages dun site web. Par exemple, www.exemple.com ou 192.168.144.155 contrle laccs toutes les pages de ce site web. Entrez une URL de haut niveau suivie dun chemin et dun nom de fichier pour contrler laccs une seule page dun site web. Par exemple, www.exemple.com/news.html ou 192.168.144.155/news.html contrle laccs la page News de ce site. Pour contrler laccs toutes les pages dont lURL se termine par exemple.com, ajoutez exemple.com la liste de filtres. Par exemple, lajout de exemple.com contrle laccs www.exemple.com, mail.exemple.com, www.finance.exemple.com, etc. Les filtres web FortiGate supportent les expressions rgulires standard.
Remarque : Les URL dont laction est dfinie sur Exempter ne sont pas soumises lanalyse de virus. Si les utilisateurs du rseau tlchargent des fichiers provenant de sites web de confiance, ajoutez lURL de ce site la liste de filtres URL avec laction dfinie sur Exempter pour que le botier FortiGate ne procde pas lanalyse de virus de ces fichiers.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL Filter dans un profil de protection pare-feu.
377
Choisissez une localisation dans la liste. Entrez lURL avant ou aprs laquelle la nouvelle URL doit tre place.
378
Crer Nouveau # Icne Page prcdente Icne Page suivante Icne Supprimer tout URL/Catgorie Porte Off-site URLs
Permet dajouter une nouvelle rgle dignorance la liste. Le nombre de rgles dignorance dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Supprime toutes les entres de la table. LURL ou la catgorie laquelle sapplique la rgle dignorance. Lutilisateur ou le groupe dutilisateurs qui bnficient de la rgle dignorance. Lutilisateur se voit autoriser ou interdit daccder aux liens de la catgorie ou de lURL ignore. Une marque verte signifie un accs off-site permis. Une croix grise signifie une interdiction daccs. Le crateur de la rgle dignorance. La date dexpiration de la rgle dignorance. Permet de retirer une entre de la liste. Permet dditer les informations suivantes : Type, URL, Porte, Utilisateur, Off-site URLs et Dure de la rgle dignorance.
379
Slectionnez Rpertoire ou Domaine. Entrez lURL ou le nom de domaine du site web. Choisissez entre : Utilisateur, Groupe dutilisateurs, IP, Profil. En fonction de loption choisie, le champ qui suit varie. Entrez le nom de lutilisateur slectionn dans Porte. Slectionnez un groupe dutilisateurs dans la liste droulante. Ces groupes doivent tre configurs avant de commencer la configuration du FortiGuard-Web. Pour plus dinformations, voir Groupe dutilisateurs la page 330. Entrez ladresse IP de lordinateur initiant la rgle. Slectionnez un profil de protection dans la liste droulante. Choisissez entre Autorises ou Bloques. Cette fonction va permettre lutilisateur daccder ou non aux liens du site web ignor. Entrez la dure en jours, heures et minutes. La date dexpiration alors calcule saffiche dans la liste des rgles dignorance.
Dure dignorance
380
Pour crer une rgle dignorance pour des catgories, slectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 234 : Nouvelle rgle dignorance Catgories
Type Catgories
Slectionnez Catgories. Choisissez les catgories auxquelles sapplique la rgle dignorance. Un groupe ou un sous-groupe de catgories peut tre slectionn. Les catgories locales sont galement affiches. Choisissez les classifications auxquelles sapplique la rgle dignorance. Si prvu, les utilisateurs peuvent accder aux sites web qui fournissent des contenus sauvegards et des moteurs de recherche de fichiers image, audio et vido. Choisissez entre : Utilisateur, Groupe dutilisateurs, IP, Profil. En fonction de loption choisie, le champ qui suit varie. Entrez le nom de lutilisateur slectionn dans Porte. Slectionnez un groupe dutilisateurs de la liste droulante. Entrez ladresse IP de lordinateur initiant la rgle. Slectionnez un profil de protection de la liste droulante. Choisissez entre Autorises ou Bloques. Cette fonction va permettre lutilisateur daccder ou non aux liens du site web ignor.
Classifications
381
Dure dignorance
Entrez la dure en jours, heures et minutes. La date dexpiration alors calcule saffiche dans la liste des rgles dignorance.
Entrez le nom dune catgorie et cliquez ensuite sur le bouton Add. Permet de retirer une entre de la liste.
Crer Nouveau Rechercher 1 3 of 3 Icne Page prcdente Icne Page suivante Icne Supprimer tout URL Catgorie
Permet dajouter une valuation la liste. Entrez un critre de recherche pour filtrer la liste. Le nombre total dvaluations locales dans la liste. Permet de visualiser la page prcdente. Permet de passer la page suivante. Permet de supprimer toutes les entres de la table. LURL value. Cliquez sur la flche verte pour trier la liste en fonction des URL. La catgorie ou classification dans laquelle lURL a t place. Si lURL a t classe dans plusieurs catgories ou classifications, des points de suspension (...) suivent la premire catgorie. En cliquant sur lentonnoir gris, la bote de dialogue Filtre de catgorie souvre. Une fois la liste filtre, lentonnoir apparat en vert. Permet de supprimer une entre de la liste.
Icne Supprimer
382
Icne Editer
Permet dditer les informations suivantes : URL, Evaluation de la catgorie et Evaluation de la Classification.
Clear Filter Nom de la catgorie Activer le filtre Nom de la classification (ou classe) Activer le filtre
Supprime tous les filtres. Cliquez sur la flche bleue pour afficher le contenu de la catgorie. Permet dactiver le filtre pour la catgorie ou la sous-catgorie individuelle. Les classifications qui peuvent tre filtres. Permet dactiver le filtre de classification.
383
Entrez lURL valuer. Cliquez sur la flche bleue pour afficher la catgorie. Cochez la case pour activer le filtre pour la catgorie ou souscatgorie individuelle. Les classifications pouvant tre filtres. Cochez la case pour activer le filtre de classification.
Remarque : Les rapports du filtrage FortiGuard-Web ne sont disponibles que sur les FortiGate munis dun disque dur.
Cette fonction permet de gnrer un tableau textuel et sous forme de diagramme du rapport du Filtrage FortiGuard-Web pour tous les profils de protection. Le botier FortiGate enregistre les statistiques pour les pages web de toutes les catgories, bloques, autorises ou sous surveillance. Les rapports portent sur des tranches dheures ou de jours. Vous pouvez aussi visualiser un rapport complet de toutes les activits.
384
Pour crer un rapport de filtrage web, slectionnez Filtrage Web > FortiGuardWeb Filter > Rapports.
Illustration 239 : Echantillon dun rapport de Filtrage FortiGuard-Web
Slectionnez le profil de protection pour lequel un rapport doit tre gnr. Slectionnez un type de temps pour le rapport. Choisissez entre heure, jour ou tout. Slectionnez la plage horaire (24 heures) ou la plage de jour (des 6 derniers jours aujourdhui) pour le rapport. Par exemple, un rapport de type heure avec une plage 13 16, le rapport affiche les rsultats de la tranche horaire 13 16 heures aujourdhui (1 pm 4 pm). Pour un rapport de type jour avec une plage de 0 3, le rapport affiche les rsultats des trois derniers jours aujourdhui. Gnre un rapport.
Obtenir le rapport
385
Antispam
Cette section explique comment configurer les options du filtrage antispam associ un profil de protection. Cette section parcourt les sujets suivants : Antispam Mots bannis Liste Noire et liste Blanche Configuration antispam avance Utilisation des expressions rgulires Perl
Antispam
LAntispam gre les mails commerciaux non sollicits en dtectant les messages mails spam et identifiant les transmissions spam provenant de serveurs spam connus ou suspects. Les filtres spams sont configurs pour une utilisation au niveau du systme, mais sont activs sur base des profils. FortiGuard-Antispam est une des fonctionnalits de la gestion des spams. FortiGuard est un systme antispam de Fortinet qui comprend une liste noire dadresses IP, une liste noire dURL et des outils de filtrage antispam. Le Centre FortiGuard reoit les soumissions de messages mails spams ainsi que les faux positifs. Visitez le site de la Base de Connaissance Fortinet, Fortinet Knowledge Center, pour plus de dtails et un lien vers le Centre FortiGuard.
2 3 4
Vrification des en-ttes MIME et vrification des IP en listes blanches ou noires Vrification DNS de ladresse de retour, vrification antispam par FortiGuard, vrification RBL & ORDBL Vrification des mots bannis
387
Recherche HELO DNS Activation ou dsactivation de la comparaison du nom de domaine source ladresse IP enregistre dans le Serveur des Noms de Domaine. Si le nom de domaine source ne correspond pas ladresse IP, le mail est marqu comme spam et laction slectionne dans le profil de protection est enclenche. Contrle des adresses mails en listes blanche ou noire Activation ou dsactivation de la comparaison des mails entrants la liste des adresses mails du filtre spam configur.
n/a
Vrification DNS de ladresse de retour Activation ou dsactivation de la comparaison du nom de domaine de ladresse de retour des mails entrants ladresse IP enregistre dans le Serveur des Noms de Domaine. Si le nom de domaine de ladresse de retour ne correspond pas ladresse IP, le mail est marqu comme spam et laction slectionne dans le profil de protection est enclenche. Vrification des en-ttes MIME Activation ou dsactivation de la comparaison de len-tte MIME de la source la liste den-ttes MIME du filtre spam configur.
Anti-spam > Black/White List > Adresse Mail Ajout et dition dadresses mails la liste, avec loption dutilisation de wildcards et dexpressions rgulires. Vous pouvez configurer pour chaque adresse mail laction prendre : spam ou rejeter. Les adresses IP peuvent tre places un endroit prcis de la liste. Le filtre contrle chaque adresse IP successivement. n/a
Filtrage par mots-clefs Activation ou dsactivation de la comparaison du mail source avec la liste des mots bannis du filtre antispam.
Action antispam Laction prendre pour un mail identifi comme spam. Les messages POP3 et IMAP sont baliss (tag). Choisissez entre Tag ou Rejeter pour les messages SMTP. Vous pouvez ajouter un mot ou phrase personnalis au sujet des en-tte MIME des mails baliss. Vous pouvez choisir de journaliser chaque action antispam dans le journal des vnements. Insertion : Choisissez dajouter la balise au sujet ou len-tte MIME du mail identifi comme spam.
A partir de linterface de ligne de commande uniquement Ajout et dition den-ttes MIME, avec loption dutiliser des wildcards ou des expressions rgulires. Vous pouvez configurer laction prendre pour chaque en-tte MIME: spam ou rejeter. La configuration DNSBL et ORDBL ne peut tre modifie qu partir de linterface de ligne de commande. Pour plus dinformations, voir le FortiGate CLI Reference. Anti-spam > Mots Clefs Ajout et dition des mots bannis de la liste, avec loption dutiliser des wildcards ou expressions rgulires. Vous pouvez configurer la langue et dcider de lancer la recherche dans le sujet ou le corps du mail, ou les deux. Vous pouvez configurer laction prendre pour chaque mot : spam ou rejeter. n/a
388
Insertion de : Entrez un mot ou une phrase (tag) ajouter au mail identifi comme spam. Longueur maximum du tag : 63 caractres. Ajouter lvnement dans le journal du systme. Activer ou dsactiver la journalisation des actions antispam dans la journal des vnements.
Pour accder aux options du profil de protection Antispam, slectionnez Pare-feu > Profil de protection, diter ou Crer Nouveau, Filtrage antispam.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les fonctionnalits de filtrage antispam sont configures globalement. Pour accder ces fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Mots bannis
Il vous est possible de contrler les mails spam contenant des mots ou expressions spcifiques. Lorsque cette option est active dans le profil de protection, le botier FortiGate recherche ces mots et expressions dans les mails. Si des correspondances sont trouves, les valeurs affectes aux mots sont totalises. Si une valeur de seuil dfinie pour un utilisateur est dpasse, le mail est marqu comme spam. Si aucune correspondance nest trouve, le mail passe jusquau prochain filtre. Pour ajouter des mots et expressions bannis dans la liste, utilisez des expressions rgulires en Perl ou des mta-caractres.
Remarque : Les expressions rgulires en Perl sont sensibles la casse des caractres pour le filtrage antispam par mots-cls. Pour modifier cela et rendre le mot ou la phrase insensible la casse des caractres, utilisez lexpression /i. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse. Les mta-caractres (wildcards) ne sont pas sensibles la casse des caractres.
Crer Nouveau
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont vides par dfaut.
389
Les listes de mots bannis antispam disponibles. Le nombre dentres dans chaque liste. Les profils de protection appliqus chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour plus dinformations, voir Options du filtrage antispam la page 286.
Cration dune nouvelle liste de mots bannis antispam (modles FortiGate-800 et plus)
Pour ajouter une liste de mots bannis antispam au catalogue, slectionnez Antispam > Mots clefs et cliquez sur Crer Nouveau.
Illustration 241 : Bote de dialogue dune nouvelle liste de mots bannis antispam
Nom Commentaire
390
Pour visualiser la liste de mots bannis sur les modles FortiGate-800 et plus, slectionnez Anti-spam > Mots clefs et cliquez sur licne Editer de la liste visualiser.
Illustration 243 : Echantillon dune liste de mots bannis pour les modles FortiGate800 et plus
Nom
Nom de la liste de mots bannis. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparat sur les modles FortiGate800 et plus. Permet dajouter un mot ou une phrase la liste des mots bannis. Le nombre dlments dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer toutes les entres de la table. La liste des mots bannis. Cochez la case pour activer tous les mots de la liste. Le type dexpression utilis par lentre de la liste. Choisissez entre Wildcard et Expression. Pour plus dinformations, voir Utilisation dexpressions rgulires en Perl la page 400. Les caractres du mot banni : Chinois simplifi, Chinois traditionnel, Franais, Japonais, Coren, Tha ou Occidental. La localisation du message dans laquelle le botier FortiGate va chercher le mot banni : sujet, corps ou tout. La valeur numrique affecte au mot banni. Les valeurs Score de tous les mots correspondants apparaissant dans un mail sont additionnes. Si le total dpasse la valeur dfinie dans spamwordthreshold du profil de protection, la page est traite selon laction antispam dfinie pour ce type de trafic dans le profil de protection (ex. smtp3-spamaction) : pass ou tag. Le Score dun mot banni est comptabilis une seule fois mme dans les cas o le mot apparat plusieurs reprises sur la page web. Permet de supprimer un mot de la liste. Permet dditer les informations suivantes : Expression Rgulire, Type dExpression, Langage, O, Action antispam et lactivation.
Commentaire
Crer Nouveau Total Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres Expression rgulire Type dexpression
Langage O Score
391
Entrez le mot ou la phrase inclure dans la liste des mots bannis. Slectionnez le type dexpression du mot banni : Wilcard ou Expression rgulire. Voir Utilisation dexpressions rgulires en Perl la page 400. Les caractres du mot banni : Chinois simplifi, Chinois traditionnel, Franais, Japonais, Coren, Tha ou Occidental. La localisation du message dans laquelle le botier FortiGate va chercher le mot banni : sujet, corps ou tout. Cochez cette case pour activer le filtrage de ce mot banni.
Langage O Activer
392
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides. Les listes dadresses IP antispam disponibles. Le nombre dentres dans chaque liste. Les profils de protection appliqus chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour plus dinformations, voir Options du filtrage antispam la page 286.
Nom Commentaire
393
Pour visualiser la liste dadresses IP sur les modles FortiGate-800 et plus, slectionnez Anti-spam > Black/WhiteList > Adresses IP et cliquez sur licne Editer de la liste visualiser.
Illustration 248 : Echantillon dune liste dadresses IP pour les modles FortiGate-800 et plus
Nom
Nom de la liste dadresses IP antispam. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparat sur les modles FortiGate800 et plus. Permet dajouter une adresse IP la liste dadresses IP antispam. Le nombre dlments dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer toutes les entres de la table.
Commentaire
Crer Nouveau Total Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres
394
La liste actuelle des adresses IP. Laction prendre pour un mail provenant dune adresse IP configure. Les actions sont : Marquer comme spam pour appliquer laction antispam configure, Marquer comme nonspam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer Rejeter (SMTP uniquement) pour supprimer la session. Si une adresse IP est dfinie sur Rejeter, mais que le mail provient dune adresse IP partir de POP3 ou IMAP, les messages mails seront marqus comme spam. Permet de supprimer une adresse de la liste. Permet dditer les informations suivantes :Ladresse IP/Masque, Insertion, Action antispam et lactivation.
Entrez ladresse IP et le masque. Slectionnez une position dans la liste pour cette adresse IP. Slectionnez une action. Les actions sont : Marquer comme spam pour appliquer laction antispam configure dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer rejeter (SMTP uniquement) pour supprimer la session. Cochez cette case pour activer ladresse.
Activer
395
Pour ajouter une nouvelle liste au catalogue, entrez un nom et cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides. Les listes dadresses mail antispam disponibles. Le nombre dentres dans chaque liste. Les profils de protection appliqus chaque liste. Description facultative de chaque liste. Permet de supprimer une liste du catalogue. Cette icne est disponible si la liste nest pas reprise dans un profil de protection. Permet dditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Icne Editer
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour plus dinformations, voir Options du filtrage antispam la page 286.
Cration dune nouvelle liste dadresses mail antispam (modles FortiGate-800 et plus)
Pour ajouter une liste dadresses mail antispam au catalogue, slectionnez Antispam > Black/White List> Adresse Mail et cliquez sur Crer Nouveau.
Illustration 251 : Bote de dialogue dune nouvelle liste dadresses mail antispam
Nom Commentaire
396
Illustration 252 : Echantillon dune liste dadresses mail pour les modles FortiGate500 et moins
Pour visualiser la liste dadresses IP sur les modles FortiGate-800 et plus, slectionnez Anti-spam > Black/WhiteList > Adresse Mail et cliquez sur licne Editer de la liste visualiser.
Illustration 253 : Echantillon dune liste dadresses mail pour les modles FortiGate800 et plus
Nom
Nom de la liste dadresses mail antispam. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparat sur les modles FortiGate-800 et plus. Commentaire optionnel. Pour ajouter ou diter un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparat sur les modles FortiGate800 et plus. Permet dajouter une adresse mail la liste dadresses mail antispam. Le nombre dlments dans la liste. Permet de visualiser la page prcdente. Permet de visualiser la page suivante. Permet de supprimer toutes les entres de la table. La liste actuelle des adresses mail. Le type dexpression utilis dans lentre de ladresse mail. Choisissez entre Wildcard et Expression Rgulire. Pour plus dinformations, voir Utilisation dexpressions rgulires en Perl la page 400. Laction prendre pour un mail provenant dune adresse mail configure. Les actions sont : Marquer comme spam pour appliquer laction antispam configure dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, Permet de supprimer une adresse de la liste.
Commentaire
Crer Nouveau Total Icne Page prcdente Icne Page suivante Icne Supprimer toutes les entres Adresse Mail Type dexpression
Action
Icne Supprimer
397
Icne Editer
Permet dditer les informations suivantes :adresse mail, Type dExpression, Action antispam et lactivation.
Entrez ladresse mail. Slectionnez un type dexpression : Wildcard ou Expression Rgulire. Slectionnez une position dans la liste pour cette adresse mail. Slectionnez une action. Les actions sont : Marquer comme spam pour appliquer laction antispam configure dans le profil de protection Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants
Activer
1 2 3 4 5 6
Entrez une adresse mail ou une expression. Slectionnez un type dexpression pour lentre de la liste. Si ncessaire, choisissez dinsrer ladresse mail avant ou aprs une autre adresse dans la liste. Slectionnez laction prendre pour les mails provenant dadresses mail ou de domaines configurs. Cochez la case Activer. Cliquez sur OK.
Le botier FortiGate compare successivement la paire cl-valeur de len-tte MIME des mails entrants avec sa liste de paires. Lorsquune correspondance est trouve, laction spcifie est enclenche. Lorsque aucune correspondance nest trouve, le mail est envoy vers le prochain filtre antispam. Les en-ttes MIME (Multipurpose Internet Mail Extensions) sont ajouts aux mails pour dcrire le type et le codage de contenu, tels que le type de texte dans le corps du mail ou le programme qui a gnr le mail. Quelques exemples den-ttes MIME comprennent : X-mailer : outgluck X-Distribution : bulk Content_Type : text/html Content_Type : image/jpg
La premire partie de len-tte MIME sappelle la cl de len-tte, ou juste en-tte. La deuxime partie est appele valeur. Les spammeurs insrent souvent des commentaires dans les valeurs de len-tte ou les laissent vides. Ces en-ttes malforms peuvent duper certains filtres antispam et antivirus. Lutilisation de la liste den-ttes MIME permet de marquer les mails provenant de certains programmes mails les plus rpandus ou comprenant certains types de contenu communs des messages mails. Il est conseill de marquer le mail comme spam ou non-spam pour chaque en-tte configur.
Remarque : Etant donn que le botier FortiGate utilise le nom de domaine du serveur pour se connecter au serveur DNSBL ou ORDBL, il doit tre capable de chercher ce nom sur le
399
serveur DNS. Pour plus dinformations sur le configuration DNS, voir Options la page 76.
Dans les expressions rgulires en Perl, le caractre . remplace nimporte quel caractre unique. Cest similaire au caractre ? des modles mta-caractre. Par exemple : fortinet.com correspond fortinet.com mais aussi fortinetacom, fortinetbcom, fortinetccom, etc. Pour que les caractres . et * ne rfrent aucun autre caractre, utilisez le caractre \ . Par exemple : Pour rfrer fortinet.com, lexpression rgulire utiliser est : fortinet\.com Dans les expressions rgulires, * est utilis pour correspondre au caractre situ avant lastrisque, et ce 0 ou plusieurs fois. Il ne remplace par contre pas nimporte quel caractre. Par exemple : forti*.com correspond fortiiii.com mais ne correspond pas fortinet.com Pour correspondre nimporte quel caractre, 0 ou plusieurs fois, utilisez .* o le . signifie nimporte quel caractre et * signifie 0 ou plusieurs fois. Par exemple : forti*.com doit scrire fort.*\.com.
400
Tableau 42 : Formats dexpressions rgulires en Perl Expression Correspondances abc ^abc abc$ a|b ^abc|abc$ ab{2,4}c ab{2,}c ab*c ab+c ab ?c a.c a\.c [abc] [Aa]bc [abc]+ [^abc]+ \d\d /i abc (la squence exacte de caractres tout endroit de la succession) abc au dbut de la succession abc la fin de la succession Soit a , soit b La succession abc au dbut ou la fin de la succession a suivi de deux, trois ou quatre b suivi par un c a suivi dau moins deux b suivi dun c a suivi dun nombre indfini (0 ou plus) de b suivi dun c a suivi dun ou plusieurs b suivi dun c a suivi dun b optionnel suivi dun c , donc soit abc , soit ac a suivi de nimporte quel caractre (sauf retour la ligne) suivi dun c a.c exactement nimporte lequel de a , b ou c soit Abc , soit abc Toute succession (sans espace) de a , b et c (telle que a , abba , acbabcacaa ) Toute succession (sans espace) qui ne contient pas de a , b et c (telle que defg ) Tout chiffre deux dcimales, tel que 42, pareil que \d{2} Rend la casse des caractres insensible. Par exemple, /bad language/i bloque tous les cas de bad language sans tenir compte de la casse des caractres. Un mot : une squence sans espace de caractres alphanumriques et de tirets bas ( _ , underscore) telle que foo et 12bar8 et foo_1 La succession 100 et mk spares optionnellement par un nombre indfini despace blanc (espaces, tabulations, retour la ligne) abc suivi dune limite au mot ( par exemple, dans abc ! mais pas dans abcd ) perl sans tre suivi dune limite du mot (par exemple, dans perlert mais pas dans perl stuff ) Le parser dexpression rgulire ignore les espaces blancs qui ne sont ni prcds dun \ , ni dans une classe de caractres. Utilisez cette commande pour scinder une expression rgulire en plusieurs parties lisibles. Utilis pour ajouter des expressions rgulires dans dautres textes. Si le premier caractre dune expression est / , celui-ci est trait comme borne. Lexpression doit contenir un second / . Lexpression entre les deux / sera traite comme expression rgulire, et tout ce qui suit le / sera trait comme liste doptions dexpressions rgulires (i, x,etc). Une erreur apparat si le second / est absent. Dans les expressions rgulires, lespace lavant et lespace larrire sont traits comme sils
\w+
100\s*mk
abc\b perl\B \x
/x
401
402
IM/P2P
IM/P2P fournit lutilisateur IM les outils dadministration et les statistiques pour le rseau IM et lusage P2P. Les protocoles IM et P2P doivent tre activs dans le profil de protection actif pour que les paramtres de cette section prennent leurs effets. Cette section parcourt les sujets suivants : Statistiques Utilisateur Configuration IM/P2P partir de linterface de ligne de commande
Statistiques
Les administrateurs peuvent obtenir des statistiques sur les messageries instantanes et les communications point to point afin de connatre lutilisation de ces deux protocoles sur le rseau. Des statistiques densemble sont fournies pour tous les protocoles IM et P2P. Des statistiques dtailles et individuelles existent pour chaque protocole IM.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale dans le menu principal.
Slectionnez lintervalle dsir entre deux rafrachissements automatiques. Choisissez entre un intervalle de 0 (none) 30 secondes. Cliquez sur ce bouton pour rafrachir la page et faire apparatre les statistiques mises jour.
403
Cliquez sur ce bouton pour remettre les statistiques zro. Pour chaque protocole IM, les informations suivantes sur lutilisateur saffichent : utilisateurs connects, (utilisateurs) depuis la dernire rinitialisation, (utilisateurs) bloqus. Pour chaque protocole IM, les informations suivantes sur le chat saffichent : sessions de chat totales et total des messages. Pour chaque protocole IM, les informations suivantes sur les transferts de fichiers saffichent : (fichiers transfrs) depuis la dernire rinitialisation et (fichiers transfrs) bloqus. Pour chaque protocole IM, les informations suivantes sur les chats vocaux saffichent : (chats vocaux) depuis la dernire rinitialisation et (chats vocaux) bloqus. Pour chaque protocole P2P, les informations suivantes sur lutilisation saffichent : octets au total et moyenne de la bande passante.
Chat
Transferts de fichiers
Chats vocaux
Utilisation P2P
Longlet Protocol fournit des statistiques dtailles individuellement pour chaque protocole IM. Pour visualiser ces statistiques, slectionnez IM/P2P > Statistics > Protocol.
Illustration 256 : Statistiques IM par protocole
Slectionnez lintervalle dsir entre deux rafrachissements automatiques. Choisissez entre un intervalle de 0 (none) 30 secondes. Slectionnez le protocole dsir : AIM, ICQ, MSN ou Yahoo. Pour le protocole slectionn, les informations suivantes sur lutilisateur saffichent : utilisateurs connects,
404
(utilisateurs) depuis la dernire rinitialisation, (utilisateurs) bloqus. Chat Pour le protocole slectionn, les informations suivantes sur le chat saffichent : Sessions de chat totales, Chats bass sur un serveur, Groupe de chat et Chat direct/priv. Pour le protocole slectionn, les informations suivantes sur les messages saffichent : Total des messages, (messages) envoys et (messages) reus. Pour le protocole slectionn, les informations suivantes sur les transferts de fichiers saffichent : (fichiers transfrs) depuis la dernire rinitialisation, (fichiers transfrs) envoys, (fichiers transfrs) reus et (fichiers transfrs) bloqus. Pour le protocole slectionn, les informations suivantes sur les chats vocaux saffichent : (chats vocaux) depuis la dernire rinitialisation et (chats vocaux) bloqus.
Messages
Transferts de fichiers
Chats vocaux
Utilisateur
Aprs que les utilisateurs IM se soient connects travers le pare-feu, le botier FortiGate affiche les utilisateurs connects dans la liste Current Users. Les administrateurs rseaux peuvent alors analyser la liste et dcider quels utilisateurs accepter et quels utilisateurs rejeter. Une rgle peut tre configure pour traiter le cas des utilisateurs inconnus.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale dans le menu principal.
Protocole
Filtrez la liste en slectionnant le protocole pour lequel vous voulez avoir les utilisateurs : AIM, ICQ, MSN ou Yahoo. Tous les utilisateurs connects peuvent galement tre affichs. Le protocole en cours. Le nom slectionn par lutilisateur lors de son enregistrement un protocole IM. Le mme nom dutilisateur peut tre utilis pour plusieurs protocoles IM. Chaque nom dutilisateur / paire de protocole apparat sparment dans la liste. Ladresse partir de laquelle lutilisateur initie une session IM. La dernire fois que lutilisateur connect avait utilis ce protocole.
405
Bloque
Slectionnez pour dconnecter lutilisateur et ajouter son nom la liste noire permanente. Chaque nom dutilisateur / paire de protocole doit faire lobjet dun blocage explicite par ladministrateur.
Slectionnez pour ajouter un nouvel utilisateur la liste. Filtrez la liste en slectionnant un protocole : AIM, ICQ, MSN, Yahoo ou All. Filtrez la liste en slectionnant une rgle : Autoriser, Bloquer ou Tout. Le protocole associ lutilisateur. Le nom slectionn par lutilisateur lors de son enregistrement un protocole IM. Le mme nom dutilisateur peut tre utilis pour plusieurs protocoles IM. Chaque nom dutilisateur / paire de protocole apparat sparment dans la liste. La rgle applique lutilisateur lors dune tentative dutilisation du protocole : Bloquer ou Autoriser. Permet de modifier les informations suivantes sur lutilisateur : Protocole, nom dutilisateur et Politique. Supprime dfinitivement un utilisateur de la liste.
406
Slectionnez un protocole dans la liste droulante : AIM, ICQ, MSN ou Yahoo. Entrez un nom pour cet utilisateur. Slectionnez une politique dans la liste droulante : Autoriser ou Bloquer.
Autoriser automatiquement
Slectionnez les protocoles que les utilisateurs inconnus sont autoriss utiliser. Les utilisateurs inconnus sont ajouts une liste blanche dutilisateurs temporaires. Slectionnez les protocoles que les utilisateurs inconnus ne sont pas autoriss utiliser. Les utilisateurs inconnus sont ajouts une liste noire dutilisateurs temporaires. Reprend les nouveaux utilisateurs ajouts aux listes blanche et noire des utilisateurs temporaires. Les informations sur lutilisateur reprennent le protocole, le nom dutilisateur et la politique applique cet utilisateur. Remarque : Le contenu de la liste est effac chaque rinitialisation du FortiGate.
Bloquer automatiquement
Filtrez la liste des utilisateurs temporaires en slectionnant un protocole. Le nom slectionn par lutilisateur lors de son enregistrement un protocole IM. Le mme nom dutilisateur peut tre utilis pour plusieurs protocoles IM. Chaque nom dutilisateur / paire de protocole apparat sparment dans la liste.
407
La politique applique lutilisateur lors dune tentative dutilisation du protocole : Bloquer ou Autoriser. Slectionnez pour ajouter lutilisateur la liste blanche permanente. Lutilisateur reste en ligne et est rpertori dans IM/P2P > User > User List. Slectionnez pour ajouter lutilisateur la liste noire permanente. Lutilisateur est dconnect et est rpertori dans IM/P2P > User > User List. Cliquez pour faire appliquer la politique utilisateur globale.
Bloquer dfinitivement
Appliquer
408
Journalisation FortiGate
Les botiers FortiGate peuvent journaliser de nombreuses activits rseaux et trafic y compris : tout trafic rseau des vnements lis au systme dont les redmarrages systme, la Haute Disponibilit et lactivit VPN. infection et blocage antivirus filtrage web, blocage de contenu URL et HTTP signatures et prvention contre les attaques et anomalies filtrage antispam trafic de Messageries Instantanes et Peer-to-Peer
Vous pouvez fixer le niveau auquel le botier FortiGate journalise ces vnements et leur lieu de stockage. Le botier FortiGate peut journaliser des vnements du systme et des intrusions sur la mmoire du botier. Cependant, tant donn la nature limite de cette mmoire, les messages les plus anciens ne sont pas sauvegards et le trafic rseau nest pas journalis sur la mmoire en raison du gros volume des messages journaliss. Pour un meilleur stockage et une rcupration efficace, le botier FortiGate peut envoyer les messages journaliss vers un botier FortiAnalyzerTM. Les botiers FortiAnalyzer sont des appliances rseau fournissant une collection de journaux intgrs, des outils danalyse et des stockages de donnes. Des rapports
409
journaliss dtaills offrent une analyse historique et actualise des activits rseau et mail afin de permettre lidentification de problmes de scurit et de rduire les mauvais usages du rseau. Le botier FortiGate peut envoyer tous les types de messages journaliss, ainsi que des fichiers en quarantaine vers le botier FortiAnalyzer pour stockage. Le FortiAnalyzer peut tlcharger des journaux vers un serveur FTP dans le but de les archiver. Pour des informations dtailles sur la configuration du botier FortiGate pour lenvoi de journaux vers un botier FortiAnalyzer, voir Journalisation sur un botier FortiAnalyzer la page 411. Le botier FortiGate peut galement envoyer des journaux vers un serveur Syslog ou WebTrends dans un but de stockage et darchivage. Le botier FortiAnalyzer peut galement tre configur pour envoyer les messages journaliss vers son disque dur si disponible sur le botier. Afin de vous permettre de revenir sur les activits se produisant sur votre rseau et travers le botier FortiGate, ce dernier vous permet de visualiser les messages journaliss disponibles en mmoire, sur un botier FortiAnalyzer muni du microcode version 3.0 ou plus ou sur un disque dur si disponible sur le botier. Des filtres personnalisables vous permettent de localiser facilement des informations spcifiques dans les fichiers de journalisation.
Remarque : Pour plus de dtails sur la sauvegarde de journaux sur le disque dur du FortiGate, si disponible, voir le FortiGate CLI Reference.
Voir le FortiGate Log Message Reference pour plus de dtails sur les messages et formats des journaux.
410
Configurer un botier FortiGate pour quil envoie les journaux vers un botier FortiAnalyzer 1 2 3 4 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Slectionnez FortiAnalyzer. Cliquez sur la flche bleue pour faire apparatre les options FortiAnalyzer. Dfinissez le niveau des messages journaliss envoyer au botier FortiAnalyzer. Le botier FortiGate journalise tous les messages gaux ou suprieurs au niveau de svrit dfini. Pour plus de dtails sur les niveaux de la journalisation, voir le Tableau 43 la page 410. 5 6 Entrez ladresse IP du Serveur du botier FortiAnalyzer. Cliquez sur Appliquer.
Remarque : Le botier FortiGate peut se connecter jusqu trois botiers FortiAnalyzer. Il leur envoie tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une relle protection de sauvegarde en temps rel dans le cas o lun des trois FortiAnalyzer Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424 411
devrait tomber en panne. Cette fonctionnalit nest disponible qu partir de linterface de ligne de commande. Pour plus dinformations, voir le FortiGate CLI Reference.
Remarque : Aprs avoir configur les paramtres de la journalisation sur le botier FortiGate, le FortiAnalyzer ncessite dtre configur pour recevoir les journaux envoys par le botier FortiGate. Il vous faut alors contacter ladministrateur FortiAnalyzer pour finaliser la configuration.
412
FortiAnalyzer (Nom)
Le nom du botier FortiAnalyzer. Le nom par dfaut dun botier FortiAnalyzer est le nom du produit, par exemple, FortiAnalyzer-400. Le numro de srie du botier FortiGate. Ltat de lenregistrement du botier FortiGate. Ltat de la connexion entre les botiers FortiGate et FortiAnalyzer. Une marque en V indique quil y a connexion, tandis quune croix signifie labsence de connexion. Espace allou les journaux. Espace utilis Espace libre total La quantit despace prvue pour La quantit despace utilis. La quantit despace inutilis.
Espace disque
Privilges
Affiche les permissions pour lenvoi et la visualisation de journaux et rapports. Tx indique que le botier FortiGate est configur pour transmettre des paquets journaliss au botier FortiAnalyzer. Rx indique que le botier FortiGate est autoris visualiser les rapports et journaux stocks sur le FortiAnalyzer. Une marque en V indique que le botier FortiGate possde les permissions denvoyer ou de visualiser les journaux et rapports. Une croix signifie que le botier FortiGate ne possde pas la permission denvoyer ou visualiser ces informations.
413
Configurer le botier FortiGate pour que les journaux soient sauvegards en mmoire 1 2 3 4 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Cochez Mmoire. Cliquez sur la flche bleue pour faire apparatre les options de la Mmoire. Choisissez un niveau de svrit. Le botier FortiGate journalise tous les messages du niveaux de svrit slectionn et au-del. Pour plus de dtails sur les niveaux de la journalisation, voir le Tableau 43 la page 410.
Configurer le botier FortiGate pour envoyer des journaux au serveur syslog 1 2 3 4 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal. Cochez Syslog. Cliquez sur la flche bleue pour faire apparatre les options Syslog. Dfinissez les options syslog suivantes et cliquez sur Appliquer :
Le nom de domaine ou ladresse IP du serveur syslog. Le numro du port pour les communications avec le serveur syslog, en gnral le port 514. Le botier FortiGate journalise tous les messages du niveau de svrit dfini et des niveaux de svrit suprieurs. Pour plus de dtails sur les niveaux de la journalisation, voir le Tableau 43 la page 410. La facilit indique au serveur syslog la source dun message journalis. Par dfaut, il sagit du local7. Vous pouvez changer la valeur par dfaut pour distinguer les messages journaliss des diffrents botiers FortiGate. Si vous cochez cette option, le botier FortiGate produit le journal dans le format CSV (Comma Separated Value). Dans le cas o vous nactivez pas cette option, le botier FortiGate produit des fichiers de texte simples.
Facilit
414
disable
Exemple Cet exemple montre comment activer la journalisation vers un serveur WebTrends et comment en dfinir ladresse IP. config log webtrends setting set status enable set server 220.210.200.190 end Pour plus de dtails sur le paramtrage des options pour les types de journaux envoyer vers WebTrends, voir le chapitre sur les Journaux dans le FortiGate CLI Reference.
415
Types de Journaux
Le botier FortiGate offre une large gamme doptions de journalisation pour surveiller votre rseau. Cette section dcrit chaque type de journal et son activation.
Remarque : Vous devez avant tout commencer par configurer les destinations de sauvegarde des fichiers journaux. Pour plus de dtails, voir Stockage de Journaux la page 411.
Journal Trafic
Le journal Trafic enregistre tout le trafic vers et passant travers les interfaces du FortiGate. Vous pouvez configurer la journalisation du trafic contrl par des rgles pare-feu, ainsi que la journalisation du trafic entre toute adresse source et de destination. Vous pouvez appliquer les filtres suivants :
Trafic autoris Le botier FortiGate journalise tout le trafic autoris par les paramtres de la rgle pare-feu. Le botier FortiGate journalise tout le trafic violant les paramtres de la rgle pare-feu.
Trafic bloqu
Remarque : Afin denregistrer les messages journaliss du trafic, vous devez paramtrer le niveau de svrit sur Notification lors de la configuration de la destination de journalisation.
416
Journal Evnement
Le journal Evnement enregistre les vnements dadministration et dactivits, tels que lors dun changement de configuration ou de lapparition dun vnement VPN ou Haute Disponibilit. Activer les journaux Evnement 1 2 Slectionnez Journaux/Alertes > Configuration > Event Log. Slectionnez parmi les journaux suivants :
Evnement systme
Le botier FortiGate journalise tous les vnements lis au systme tels que lchec dun serveur ping et le statut de la passerelle. Le botier FortiGate journalise tous les vnements lis la ngociation tels que les rapports sur les progrs et les erreurs. Le botier FortiGate journalise tous les vnements lis au DHCP tels que les journaux de requtes et de rponses. Le botier FortiGate journalise tous les vnements lis aux protocoles tels que les processus dadministration. Le botier FortiGate journalise tous les vnements administratifs tels que les connexions utilisateurs, les rinitialisations et mises jours de la configuration. Le botier FortiGate journalise tous les vnements lis la Haute Disponibilit tels que les informations relatives aux liens, aux membres et ltat du cluster. Le botier FortiGate journalise tous les vnements lis au pare-feu tels que lauthentification des utilisateurs. Le botier FortiGate journalise tous les vnements de mises jour des signatures tels que les mises jour des signatures antivirus et IPS et les checs de mises jour. Le botier FortiGate journalise tous les vnements dauthentification des utilisateurs pour les connexions VPN SSL tels que connexions, dconnexions et timeout dinactivit. Le botier FortiGate journalise tous les vnements dadministration des VPN SSL tels que les configurations SSL et le tlchargement de certificats CA. Le botier FortiGate journalise toutes les activits de la session telles que les lancements et blocage dapplications, les timeouts, les vrifications etc.
Ngociation IPSec
HA
417
Journal Antivirus
Le Journal Antivirus enregistre les incidents lis aux virus pour les trafics Web, FTP et mail. Par exemple, lorsque le botier FortiGate dtecte un fichier infect, bloque un type de fichier ou bloque un fichier ou mail surdimensionn. Vous pouvez appliquer les filtres suivants :
Virus Fichiers Bloqus Fichiers/Mails surdimensionns AV Monitor Le botier FortiGate journalise toutes les infections virales. Le botier FortiGate journalise tous les cas de fichiers bloqus. Le botier FortiGate journalise tous les cas de fichiers ou mails dpassant un seuil dfini. Le botier FortiGate journalise tous les cas des virus, fichiers bloqus et fichiers et mails surdimensionns. Cela sapplique aux trafics HTTP, FTP, IMAP, POP3, SMTP et IM.
Activer les journaux antivirus 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez les vnements antivirus journaliser et cliquez ensuite sur OK.
418
Anomalies
Le botier FortiGate journalise toutes les intrusions dtectes et bloques bases sur des signatures inconnues ou suspectes, ainsi que les actions prises par le botier FortiGate.
Activer les journaux Attaques 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez IPS Journaliser les intrusions et cliquez ensuite sur OK.
Remarque : Vous devez vous assurer de lactivation des paramtres de journalisation des signatures des attaques et anomalies. Les options de journalisation pour les signatures prsentes sur le botier FortiGate sont dfinies par dfaut. Veillez ce que toutes les signatures personnalises aient loption de journalisation active. Pour plus de dtails, voir Protection contre les intrusions la page 352.
Journal Antispam
Le Journal Antispam enregistre les blocages dadresses mails et de contenu des trafics SMTP, IMAP et POP3. Activer les journaux antispam 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez Filtrage antispam Log Spam et cliquez ensuite sur OK.
Journal IM / P2P
Le Journal des Messageries Instantanes et Peer-to-Peer enregistre les textes des messages instantans, les communications audio, les tentatives de transferts de fichiers par les utilisateurs, le temps dessai de la transmission, le type dapplication IM utilis et le contenu de la transmission. Activer les journaux IM / P2P 1 2 3 4 Slectionnez Pare-feu > Profil de protection. Cliquez sur licne Editer dun profil de protection. Cliquez sur la flche bleue ct de Logging pour afficher les options de Journalisation. Cochez les deux journalisations des activits IM et P2P et cliquez ensuite sur OK.
419
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du microcode version 3.0 ou plus.
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du microcode version 3.0 ou plus.
Accder aux fichiers journaux dun FortiAnalyzer 1 2 3 Slectionnez Journaux/Alertes > Journal. Slectionnez FortiAnalyzer. Slectionnez le type de journal dsir.
420
Type de journal
Slectionnez le type de journal que vous voulez visualiser. Certains fichiers journaux, tels que le journal Trafic, ne peut pas tre sauvegard sur la mmoire en raison du volume des informations journalises. Les noms des fichiers du type slectionn stock sur le disque dur du FortiAnalyzer. Lorsquun fichier journal atteint sa taille maximum, le FortiAnalyzer sauve ce fichier avec un numro et commence un nouveau fichier avec le mme nom. Par exemple, le journal Attaques en cours est alog.log. Tout journal supplmentaire sauv aura comme nom alog.n, o n est le nombre de journaux rpertoris.
Nom de fichier
La taille du fichier journal en octets. Le jour, le mois, lanne et lheure auxquels le dernier paquet journalis a t envoy par le botier FortiGate. Permet de vider le fichier en cours. Vider un fichier en cours efface tous les messages journaliss du fichier actif. Il est seulement possible de vider le journal actif. Permet de supprimer le fichier journal entier. Vous ne pouvez pas supprimer le fichier actif. Permet de tlcharger le journal sous format texte ou fichier CSV. Permet dafficher le fichier journal partir de linterface dadministration web.
421
Type de journal Icne Page prcdente Icne Page suivante Visualiser lignes par page Ligne
Slectionnez le type de journal visualiser. Affiche la page prcdente du fichier journal. Affiche la page suivante du fichier journal. Choisissez le nombre de messages journaliss affichs sur chaque page. Entrez le numro de la ligne de la premire ligne afficher. Le nombre suivant le slash ( / ) est le nombre total de ligne dans le journal. Slectionnez pour ajouter ou supprimer des colonnes. Slectionnez Colonnes pour passer en affichage non format des messages journaliss. Slectionnez Formatage pour passer en affichage organis en colonnes. Supprimer tous les filtres. Permet de supprimer les options de filtrage en cours pour le fichier journal.
Slectionnez Journaux/Alertes > Journal. Choisissez le Type de Journal que vous dsirez accder.
Guide dAdministration FortiGate Version 3.0 01-30001-0203-20060424
3 4 5 6
Choisissez entre Memory ou FortiAnalyzer. Si vous visualisez un fichier journal sur un FortiAnalyzer, slectionnez View pour le fichier. Cliquez sur Formatage des colonnes. Slectionnez un nom de colonne. Pour modifier laffichage des informations des journaux, slectionnez soit : -> la flche droite pour dplacer les champs slectionns de la liste Champs Disponibles vers la liste Visualiser les champs dans cet ordre. la flche gauche pour dplacer les champs slectionns de la liste Visualiser les champs dans cet ordre vers la liste Champs Disponibles. Dplace le champ slectionn dune place vers le haut dans la liste Visualiser les champs dans cet ordre. Dplace le champ slectionn dune place vers le bas dans la liste Visualiser les champs dans cet ordre.
<-
Les paramtres de filtrage appliqus se maintiennent pendant la dure de votre connexion au botier FortiGate. Les filtres des journaux sont rinitialiss chaque dconnexion du botier FortiGate.
Remarque : Vous devez tre en affichage Formatage pour accder aux filtres.
Filtrer des messages journaliss 1 2 3 4 5 6 7 8 Slectionnez Journaux/Alertes > Journal. Slectionnez le type de journal auquel vous voulez accder. Choisissez entre Memory ou FortiAnalyzer. Si vous visualisez un fichier journal sur un FortiAnalyzer, slectionnez View pour le fichier. Slectionnez licne Filtre de la colonne trier. Entrez un critre de filtrage dans le champ Texte. Slectionnez si le critre entr est gal ce que vous filtrez ou sil est prsent dans les donnes. Si vous dsirez exclure les contenus, cochez NOT.
423
Les icnes Filtres apparaissent en gris dans len-tte de la colonne. Un filtre utilis apparat en vert. Pour annuler un filtre, slectionnez licne Filtre et cliquez ensuite sur Rinitialiser Filtre.
Rapports
Le botier FortiGate offre deux formes de rapports, vous permettant de visualiser les informations sur le trafic circulant sur votre rseau : Rapports de base sur le trafic Le botier FortiGate utilise les informations des journaux stocks en mmoire pour soumettre, sous format graphique, des informations de base sur le trafic. Les rapports comprennent la bande passante par service et les protocoles par volume. Rapports FortiAnalyzer lorsquil est connect un FortiAnalyzer, le botier FortiGate peut accder tous les rapports gnrs par le FortiAnalyzer partir de ses journaux. Vous pouvez galement personnaliser un rapport par dfaut pour le botier FortiGate.
Remarque : Les donnes utilises pour les graphiques sont stockes en mmoire. Lors dun redmarrage ou dune rinitialisation du botier FortiGate, les donnes sont effaces.
Pour visualiser les rapports des journaux, slectionnez Journaux/Alertes > Report Access et choisissez Memory.
Illustration 268 : Visualisation de la Bande Passante par service
424
La localisation partir de laquelle le botier FortiGate obtient les donnes sur la journalisation pour ses rapports. Choisissez Memory pour visualiser les journaux de base sur le trafic. Pour obtenir des rapports plus dtaills, slectionnez FortiAnalyzer. Pour plus dinformations sur les rapports du FortiAnalyzer, voir Rapports FortiAnalyzer la page 426.
Slectionnez un intervalle de temps pour les analyses de graphiques. Le lien en haut du rapport varie selon que vous ayez configur le botier FortiGate pour lenvoi de journaux vers un FortiAnalyzer. Le lien peut tre : To access a complete set of 1000+ reports, please configure a FortiAnalyzer appliance cliquez sur ce lien pour configurer un FortiAnalyzer. Pour plus de dtails, voir Journalisation sur un FortiAnalyzer la page 411. Access full set of reports on FortiAnalyzer cliquez sur ce lien pour lancer une nouvelle fentre de navigation accdant linterface dadministration web du FortiAnalyzer.
Le rapport nest pas mis jour en temps rel. Pour rafrachir le rapport, slectionnez Journaux/Alertes > Report Access.
Remarque : Il sagit de rapports simplifis. Un botier FortiAnalyzer peut fournir des rapports plus dtaills ou spcifiques. La fonction dun FortiAnalyzer est de rassembler des messages journaliss et de gnrer des rapports. Il peut gnrer plus de 140 rapports diffrents, vous offrant ainsi des informations historiques et mises jour, des tendances sur votre rseau pour les activits mail, IM et gnrales. Ceci vous aide dans lidentification de problmes de scurit et dans la rduction des mauvais usages et abus du rseau.
425
Rapports FortiAnalyzer
Dans le cas o le botier FortiGate est connect un FortiAnalyzer muni du microcode version 3.0 ou plus, il vous est possible daccder tous les rapports gnrs pour le botier FortiGate. Vous pouvez galement configurer un profil de rapport par dfaut configurable pour gnrer des rapports spcifiques pour le botier FortiGate. Lorsque le botier FortiGate se connecte pour la premire fois un FortiAnalyzer, ce dernier cre un profil de rapport par dfaut personnalisable. Seul ce profil peut tre personnalis partir du botier FortiGate. Le FortiAnalyzer peut crer plusieurs profils de rapport pour un botier FortiGate afin de rpondre une gamme dexigences et des options personnalisables additionnelles. Pour plus de dtails sur lajout et la configuration de profils de rapport, voir le FortiAnalyzer Administration Guide.
Remarque : Les rapports FortiAnalyzer napparaissent pas tant que vous ne configurez pas le botier FortiGate pour quil se connecte un FortiAnalyzer, ou si le FortiAnalyzer nest pas muni du microcode version 3.0 ou plus.
426
Configuration
Slectionnez pour configurer le rapport par dfaut pour le botier FortiGate. Ce rapport apparaissant en haut de la liste des rapports FortiAnalyzer, est le seul rapport personnalisable partir du botier FortiGate. Pour plus de dtails, voir le FortiAnalyzer Administration Guide. Les noms des fichiers HTML pour chaque rapport gnr dans le profil de rapport. La date et lheure auxquelles le FortiAnalyzer a gnr les rapports. La taille des fichiers rapports. Dans le cas o cela a t configur par ladministrateur FortiAnalyzer, des formats de fichiers supplmentaires de rapports apparatront. Ces formats comprennent Adobe PDF, Microsoft Word RTF ou ASCII Text.
Planifi Format/Sortie
Configurez le moment auquel le FortiAnalyzer gnre ses rapports, par exemple, chaque semaine ou chaque mois. Choisissez un format pour les rapports.
Slectionnez un intervalle de temps pour le rapport. Choisissez la date et lheure de dpart. Choisissez la date et lheure de fin.
Permet laffichage des noms dhtes par un nom reconnaissable la place des adresses IP. Pour toute information sur la configuration dadresse IP de noms dhtes, voir le FortiAnalyzer Administration Guide. Permet laffichage des noms des services rseaux la place des numros de port. Par exemple, HTTP au lieu de port 80. Pour certains types de rapports, vous pouvez dfinir les lments suprieurs. Ces rapports ont le mot Top dans leur nom et afficheront uniquement les n entres suprieures. Par exemple, le rapport des clients mail les plus actifs dans lorganisation (au lieu de tous les clients mail). Les rapports qui ne comprennent pas le mot Top dans leur nom afficheront quant eux toutes les informations. Les rapports ne seront pas affects par un changement des valeurs du champ Top .
Rsoudre les noms de services Dans les rapports classs montrer le top
428
Filtres
Choisissez None pour ne pas appliquer de filtres aux journaux dun rapport. Choisissez Custom pour appliquer des filtres aux journaux dun rapport.
Slectionnez le critre voulu pour le filtre. Slectionnez All pour inclure dans le rapport les journaux qui correspondent tous les paramtres des filtres. Si le contenu dun journal ne correspond pas tous les critres, le FortiAnalyzer ne reprendra pas ce journal dans son rapport. Slectionnez Any pour inclure dans le rapport les journaux qui correspondent au moins un critre des filtres. Si un contenu de filtre, mme sil est le seul, correspond au contenu dun journal, celui-ci sera repris dans le rapport gnr par le FortiAnalyzer.
Priorit
Cochez cette case pour activer les options de filtrage en fonction du niveau de priorit. Slectionnez ensuite le niveau de priorit rechercher dans les journaux et prcisez si vous dsirez que le contenu soit gal, plus grand ou plus petit que ce niveau de priorit.
429
Source(s)
Entrez ladresse IP source comme critre de correspondance. Utilisez une virgule pour sparer plusieurs adresses. Cochez Not pour exclure ladresse IP source du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dune adresse IP source prcise dans le rapport.
Destination(s)
Entrez ladresse IP de destination comme critre de correspondance. Utilisez une virgule pour sparer plusieurs adresses. Cochez Not pour exclure ladresse IP de destination du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dune adresse IP de destination prcise dans le rapport.
Vous pouvez galement organiser le filtre en fonction de plages dadresses IP, y compris des sous-rseaux pour crer des rapports sur des groupes de lorganisation. Par exemple : 172.20.110.0-255 filtre toutes les adresses IP du sous-rseau 172.20.110.0/255.255.255.0 ou 172.20.110.0/24 172.20.110.0-140.255 filtre toutes les adresses IP de 172.20.110.0 172.20.140.255 172.16.0.0-20.255.255 filtre toutes les adresses IP de 172.16.0.0 172.20.255.255 Interface(s) Entrez linterface que vous voulez inclure dans le rapport. Sparez plusieurs interfaces par une virgule. Cochez Not pour exclure les informations de cette interface du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dune interface prcise dans le rapport. Domaine(s) Virtuel(s) Entrez les domaines virtuels inclure dans le rapport. Sparez plusieurs domaines virtuels par une virgule. Cochez Not pour exclure le VDOM du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dun VDOM prcis dans le rapport. Service(s) Entrez les services spcifiques inclure dans le rapport. Sparez plusieurs services par une virgule. Cochez Not pour exclure le service du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dun service prcis dans le rapport. URL(s) Entrez les URL spcifiques inclure dans le rapport. Sparez plusieurs URL par une virgule. Cochez Not pour exclure lURL du rapport. Dans le cas par exemple o vous ne voulez pas inclure le contenu dun URL prcis dans le rapport. Priode Jours de la semaine Slectionnez un intervalle de temps inclure dans le rapport. Choisissez les jours de la semaine pour lesquels les informations tires des fichiers journaux sont insres dans les rapports.
430
Non planifi
Permet de ne pas gnrer de rapport quotidien. Utilisez ce paramtre lorsque vous voulez obtenir des rapports seulement lorsque ncessaire. Si vous slectionnez cette option, vous devez solliciter linitiation du rapport partir de linterface dadministration web du FortiAnalyzer. Permet de gnrer un rapport tous les jours la mme heure. Permet de gnrer un rapport certains jours de la semaine. Permet de gnrer un rapport certains jours du mois. Par exemple, pour gnrer un rapport tous les premiers et quinzimes jours du mois, entrez 1, 15. Permet de dfinir lheure laquelle le rapport sera gnr.
Heure
Remarque : Si vous envoyez par mail des rapports HTML un utilisateur et que son client email ne supporte pas HTML, il verra le code HTML de chaque rapport dans le corps du message.
431
Slectionnez le format de fichier pour les rapports gnrs sauvs sur le disque dur du FortiAnalyzer. Slectionnez le format de fichier pour les rapports gnrs envoys par le FortiAnalyzer en pice jointe de courriers lectroniques. Entrez les adresses mail des destinataires des rapports. Tapez la touche Enter pour ajouter une adresse mail supplmentaire. Slectionnez pour tlcharger des fichiers de rapports termins sur un serveur FTP. Entrez ladresse IP du serveur FTP. Entrez le nom dutilisateur pour vous connecter sur le serveur FTP. Entrez le mot de passe pour vous connecter sur le serveur FTP. Permet de compresser les fichiers des rapports en fichiers gzip avant de les tlcharger sur un serveur FTP. Permet de supprimer les fichiers des rapports du disque dur du FortiAnalyzer une fois que celui-ci a termin le tlchargement sur le serveur FTP.
Liste dadresses Email Charger le rapport sur un serveur FTP Adresse IP Nom dutilisateur Mot de passe Charger le(s) rapport(s) au format gzip Supprimer le(s) fichier(s) aprs chargement
Mail dalerte
La fonctionnalit de mail dalerte permet au botier FortiGate de surveiller les journaux de messages journaliss ayant un certain niveau de svrit. Si le message apparat dans les journaux, le botier FortiGate envoie un mail aux destinataires prdfinis du message journalis en question. Lenvoi de mails dalerte fournit une notification immdiate de problmes apparaissant sur le botier FortiGate, tels que des erreurs systme ou des attaques rseaux.
432
Mot de passe
Log Level
433
Remarque : Dans le cas o le botier FortiGate runit plus dun message journalis avant que lintervalle de temps soit atteint, le botier FortiGate combine ces messages et nenvoie quun mail dalerte.
434
Index
A
accs au mode console, 33 administrateur authentification RADIUS, 169 configuration dun compte, 170 contrle, 180 liste, 169 modifier le mot de passe, 170 administration comptes administrateurs, 168 FortiManager, 17778 groupe dutilisateurs, 169 profils dadministration, 174 adresse pare-feu, 245 configuration, 247 configuration des groupes dadresses, 248 introduction, 245 liste des adresses pare-feu, 246 liste des groupes dadresses, 247 ajout d'un serveur ping une interface, 7677 antispam, 386 configuration cli, 398 expressions rgulires en Perl, 400 liste noire et liste blanche, 392 modle mta-caractre, 400 mots bannis, 389 trafic POP3 et IMAP, 386 trafic SMTP, 386 antivirus, 337 configuration CLI, 350 liste de soumission automatique, 344 liste des graywares, 348 liste des virus, 347 mise en quarantaine, 342 modles de fichier, 338 options de mise en quarantaine, 345 archives de contenu, 58 authentification RADIUS, 169 authentification dun utilisateur, 324 authentification paramtrage du timeout, 324 auto key, 295
C
Centre FortiGuard, 184 configuration du botier, 186 problmes de connexion, 188 service Antispam, 185 service de filtrage web, 185 certificats VPN, 316 certificats CA, 320 certificats locaux, 316 gnrer une requte de certificat, 317 importation dun certificat serveur sign, 319 liste de rvocation de certificat, 322 chssis FortiGate srie 5000, 15 cluster administration, 133 administration individuelle des membres, 135 configuration, 124 connexion au rseau, 147 dconnexion dun membre, 136 liste des membres, 11920 radjoindre un membre dconnect, 137 rplication, 135 cluster virtuel administration, 141 clustering virtuel activation, 131 configuration, 127 exemple de configuration, 139 configuration des paramtres du modem, 79 configuration de l'interface modem, 79 configuration du systme sauvegarde et restauration, 181 Configuration Globale paramtres, 42 configuration par dfaut des profils de protection, 280 console de message d'alerte, 50 conventions du document, 26
D
date et heure, paramtrage, 51 dtection de l'chec d'une passerelle, 76 DHCP baux dadresses, 103 configuration dun serveur, 101 configuration dune interface, 69 configuration dune interface comme relais DHCP, 101 configuration des services DHCP, 100 serveurs et relais, 99 DNS configuration dynamique d'une interface, 72 domaines virtuels 435
B
bande passante garantie, 239 bande passante maximum, 239 BGP, 219 paramtres, 220
affectation dun administrateur, 46 ajout dinterfaces un vdom, 45 cration et dition, 44 introduction, 40 mode Multiple VDOM, 43 paramtres de configuration, 41 paramtres de la Configuration Globale, 42 domaines virtuels et cluster configuration, 130
E
chec d'une passerelle dtection, 76 enregistrement d'un FortiGate, 37 expressions rgulires en Perl, 400
groupe dutilisateurs, 32930 configuration, 333 groupe dutilisateurs Active Directory, 331 groupe dutilisateurs pare-feu, 331 groupe dutilisateurs VPN SSL, 332 liste de groupe, 332 options override FortiGuard, 334 types de groupe, 331 groupe dutilisateurs VPN SSL, 335 groupes dadresses configuration, 248
H
HA, high availability voir haute disponibilit, 104 haute disponibilit exemple de configuration en maillage intgral, 143 haute disponibilit, 104 clustering virtuel, 108 interface de Heartbeat, 117 maillage intgral HA, 109 modes HA (actif-actif et actif-passif, 107 options HA, 114 priorit de lquipement, 115 protocole de clustering FortiGate (FGCP), 106 statistiques, 122 haute disponibilit interfaces agrges 802.3ad, 150 haute disponibilit journalisation dun cluster, 415 heartbeat adresses IP des interfaces, 119 interface, 117 interfaces par dfaut, 118 historique oprationnel, 55 htes de confiance, 17273
F
filtrage web, 366 filtre url, 374 liste dexemption des contenus web, 371 liste de blocage de contenu, 368 par mots cls, 368 filtrage web FortiGuard, 378 liste override, 379 filtre MAC, 96 FortiAnalyzer, 411 accs aux journaux, 420 dcouverte automatique, 412 rapports, 42526 FortiGate documentation, 2627 FortiGate IPv6, 91 commande CLI, 91 FortiGate srie 5000 chssis, 15 modules, 16 FortiGuard configuration des options override, 334 mise jour manuelle des dfinitions AV et IPS, 55 Fortinet Base de Connaissance, 28 Service clientle et support technique, 28 Fortinet, gamme de produits FortiAnalyser, 22 FortiBridge, 23 FortiClient, 22 FortiGuard, 22 FortiMail, 23 FortiManager, 23 FortiReporter, 23
I
icnes, description, 36 IM, 403 configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques densemble, 403 statistiques par protocole, 404 information sur la licence, 48 interface ajout d'un serveur ping, 7677 configuration additionelle, 74 configuration DHCP, 69 configuration DNS dynamique, 72 configuration PPPoE, 70 contrler un accs administratif, 74 introduction, 61 paramtres, 63 paramtres DHCP, 70
G
gamme de produits FortiGate, 15 gamme de produits Fortinet, 2122 groupe dadresses pare-feu, 247
436
paramtres PPPoE, 71 interface agrge 802.3ad, 66 interface d'administration web, 29 aide en ligne, 30 barre de boutons, 30 barre de statuts, 37 dconnexion, 34 cran, 29 icnes, 36 menu, 35 moteur de recherche, 32 pages, 34 interface IPSec virtuelle configuration, 72 interface modem configuration, 79 interface redondante, 67 interface sans fil, 68 interfaces statuts, 50 IP virtuelles, 260 ajout dIP virtuelles dynamiques, 276 ajout dun relayage de port, 269 ajout dune IP virtuelle dquilibrage de charge, 272 ajouter une adresse IP virtuelle de translation, 265 66 configuration des adresses, 264 liste, 264 ips, 352 anomalies, 362 configuration cli, 36465 dcodeurs de protocoles, 360 signatures personnalises, 358 signatures prdfinies, 35354 IPSec virtuelle configuration d'une interface, 72 paramtres, 73
L
licence, 19293 liste des sessions, 57 logiciel FortiGate, 53 mise jour logicielle, 53 retour une version antrieure, 54
M
MAC adresses MAC virtuelles, 138 mail dalerte, 432 maillage intgral exemple de configuration, 143 message de connexion VPN SSL modification, 16465 messages de remplacement, 16061 mta-caractre, 400 MIB champs MIB Fortinet, 158 MIB FortiGate, 156 mise jour des signatures antivirus et IPS, 189 mise jour force, 191 via un serveur proxy, 190 mise jour logicielle, 53 partir de linterface dadministration web, 53 mise en quarantaine, 342 configuration des options, 345 mode Transparent table de routage, 78 modles de fichier, 338 modem configuration des paramtres, 79 connexion et dconnexion, 83 statut, 84 modules FortiGate srie 5000, 16 Multicast, 221 paramtres, 222
J
journal des Attaques, 59 journalisation, 409 accs aux journaux, 41920 botier FortiAnalyzer, 411 dun cluster haute disponibilit, 415 filtres et colonnes, 422 journal antispam, 419 journal antivirus, 41718 journal des attaques, 418 journal vnement, 417 journal filtrage web, 418 journal im/p2p, 419 journal Trafic, 416 niveaux de svrit, 410 stockage des journaux, 411 sur la mmoire, 413 sur un serveur Syslog, 414
N
nom dhte dun membre, 123 nom d'hte du FortiGate, modification, 52 numro de squence, 195
O
options du rseau configuration, 77 OSPF, 211 dfinitions daires, 216 options avances, 214
437
P
P2P, 403 configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques densemble, 403 statistiques par protocole, 404 page dignorance du filtrage web FortiGuard modification, 164 page dinformation dauthentification modification, 165 page de connexion et authentification modification, 163 paires et groupes de paires, 336 par dfaut route et passerelle, 198 paramtrage, date et heure du systme, 51 paramtres d'une route en mode Transparent, 78 paramtres du modem mode redondant, 79, 81 mode stand alone, 79, 82 pare-feu groupe de service, 255 service personnalis ICMP, 254 service personnalis IP, 254 service personnalis TCP ou UDP, 253 pare-feu, 249 configuration des services personnaliss, 253 liste des services personnaliss, 253 liste des services prdfinis, 249 rgle, 228 pare-feu plage horaire voir plage horaire, 257 passerelle dtection de l'chec d'une passerelle, 76 plage horaire dun pare-feu, 257 configuration des plages ponctuelles, 258 configuration des plages rcurrentes, 259 liste des plages ponctuelles, 257 liste des plages rcurrentes, 258 Plages IP, 277 configuration, 278 Plages IP et NAT dynamique, 277 PPPoE configuration dune interface, 70 prfrence des routes, 195 priorit dun membre, 123 priorit de lquipement, 115 priorit du trafic, 240 produits de la gamme Fortinet, 2122 profil de protection, 279
ajout dun profil une rgle, 292 configuration, 281 configuration CLI, 293 introduction, 279 liste, 280 options antivirus, 28182 options de filtrage antispam, 286 options de filtrage web, 283 options de la journalisation, 291 options des archives de contenu, 289 options du filtrage FortiGuard-Web, 28485 options IM et P2P, 290 options IPS, 28889 par dfaut, 280 profils dadministration, 174 configuration, 176 liste, 176 protection contre les intrusions, 352 anomalies, 362 configuration cli, 36465 dcodeurs de protocoles, 360 signatures personnalises, 358 signatures prdfinies, 35354
R
RADIUS authentification des administrateurs, 169 rapports, 424 configuration dun planning, 43031 configuration de la sortie des rapports, 431 configuration des filtres, 429 configuration des graphiques, 425 configuration du contenu, 428 FortiAnalyzer, 42526 options temporelles, 428 sur le trafic, 424 rgle de routage, 201 ajout, 202 dplacement, 203 rgle pare-feu, 228 ajout dune authentification, 238 ajout dune priorit de trafic, 239 ajout dune rgle, 231 configuration, 232 corresondance de rgles, 229 dplacement, 231 liste, 230 options, 234 rgle pare-feu IPSec, 242 rgle pare-feu VPN SSL, 243 rseau options du rseau, 76 options, configuration, 77 retour une version logicielle antrieure, 54 RIP, 205 ignorer les paramtres, 209 options avances, 208
438
paramtres de base, 206 routage ajout dune route statique, 200 concepts, 194 construction dune table de routage, 195 numro de squence, 195 prfrence des routes, 195 prendre les dcisions, 195 rgle, 201 route paramtres, en mode Transparent, 78 route et passerelle par dfaut, 198 routes statiques cration et dition, 197 routeur dynamique, 205 BGP, 219 Multicast, 221 OSPF, 211 RIP, 205
U
utilisateur, 324 authentification dun utilisateur, 324 comptes utilisateurs locaux, 325 configuration dun groupe dutilisateurs, 333 groupe dutilisateurs, 32930 groupe dutilisateurs Active Directory, 331 groupe dutilisateurs pare-feu, 331 groupe dutilisateurs VPN SSL, 332 liste de groupe dutilisateurs, 332 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 types de groupe dutilisateurs, 331
S
serveur override ajout, 190 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 service clientle et support technique, 28 snmp configuration, 153 SNMP, 152 configuration dune communaut, 154 statistiques visualisation, 57 statuts du systme, 47 informations, 48 page des statuts, 47 ressources, 49 statistiques, 50 Syslog journalisation, 414 systme sans fil domaines rgulatoires, 92 filtrage des MAC, 96 interface LAN sans fil FortiWiFi, 92 numros des canaux IEEE 802.11x, 92 paramtres du systme, 94 surveillance du module, 97
V
VLAN en mode NAT/Route, 85 en mode Transparent, 88 introduction, 84 VPN IPSec, 294 auto key, 295 cl manuelle, 305 concentrateur, 308 cration dune phase 1, 296 cration dune phase 2 \r, 302 tunnels actifs, 30910 VPN PPTP, 312 plage PPTP, 312 VPN SSL, 313 configuration, 313 monitor, 31415
W
Web Trends journalisation, 415 wireless voir Systme sans fil, 92
Z
zone, 75 liste des zones, 75 paramtres d'une zone, 76
T
table de routage, 225 affichage des informations, 225
439