Professional Documents
Culture Documents
A
Addm
miinniissttrraattiioonn dduu F
FoorrttiiG
Gaattee
Pr. K. Zenkouar
Pr. A. Ben Abbou
Pr. A. Boushaba
A mon chre frre Soufiane et mes chres surs Hanane, Ilhame, Ghizlane,
Kawtare, Horiya, ma famille, mes chers amis Benjeddi Lamyae, Mimi
Houssame, Chahou salah, Mortaki Mohamed, Azzani hamza, Veuillez trouver
dans ce modeste travail lexpression de mon affection.
Bouchmi Amine.
Remerciements
Aprs DIEU, je tiens adresser mes remerciements les plus sincres tout le
corps professionnel et administratif de la Facult des Sciences et Techniques de
Fs.
1
II. Statuts du Systme .................................................................................................................... 32
1). Page des statuts................................................................................................................. 32
2). Menus du statut de system ............................................................................................... 32
3). Dashboard ......................................................................................................................... 33
4). System Information widget ............................................................................................... 34
5). Changer le nom d'hte de l'unit de FortiGate ................................................................. 35
6). Modification du mode de fonctionnement ....................................................................... 36
7). System Resources widget .................................................................................................. 37
8). Changement du firmware ................................................................................................. 37
9). Backing up the configuration ............................................................................................ 38
10). License Information widget ............................................................................................... 38
11). Alert Message Console widget .......................................................................................... 39
12). CLI Console widget ............................................................................................................ 40
13). Syntaxe de la commande .................................................................................................. 40
14). Top Sessions widget .......................................................................................................... 42
III. Systme Rseau..................................................................................................................... 43
1). Interface ............................................................................................................................ 43
2). Paramtres de linterface .................................................................................................. 43
3). Configuration additionnelle des interfaces ....................................................................... 47
4). Aperu sur les VLAN .......................................................................................................... 47
5). Equipements FortiGate et VLAN ....................................................................................... 48
6). VLAN en mode NAT/Route ................................................................................................ 48
7). VLAN en mode Transparent .............................................................................................. 50
IV. Systme DHCP ....................................................................................................................... 52
1). Serveurs et relais DHCP FortiGate ..................................................................................... 52
2). Configuration des services DHCP ...................................................................................... 52
V. Configuration du Systme ......................................................................................................... 55
1). Haute Disponibilit (high availability) ............................................................................... 55
2). Messages de remplacement ............................................................................................. 56
VI. Politiques de scurit et des Rgles de pare-feu .................................................................. 58
1). Politiques de scurit ........................................................................................................ 58
2). Dfinition des Rgles de pare-feu ..................................................................................... 59
3). Comment l'ordre de liste affecte l'assortiment de politique ............................................ 60
4). Visualisation de la liste des rgles pare-feu ...................................................................... 61
2
5). Options des rgles pare-feu .............................................................................................. 61
6). Service Pare-feu................................................................................................................. 67
7). Protger un serveur avec DMZ .......................................................................................... 74
VI. Utilisateurs ............................................................................................................................ 78
1). Configuration de lauthentification dun utilisateur.......................................................... 78
2). Serveurs Windows AD ....................................................................................................... 78
3). Conclusion ......................................................................................................................... 80
Conclusion Gnrale ............................................................................................................................. 81
Webographie ......................................................................................................................................... 82
3
Liste des abrviations
HA : Haute Disponibilit
4
ICMP : Internet Control Message Protocol
5
PADT: PPPoE Active Discovery Terminate
6
Liste des figures
7
Figure 39:illustration de visualisation de la liste des rgles pare-feu ...................................... 61
Figure 40:illustration d'option de rgle ACCEPT en mode NAT/route..................................... 62
Figure 41:illustration de regle ACCEPT en mode Transparent ................................................. 62
Figure 42:illustration d'option de rgle DENY .......................................................................... 63
Figure 43:illustration d'option de rgle pare-feu IPSec ........................................................... 65
Figure 44:illustration d'option de rgle pare-feu VPN SSL....................................................... 66
Figure 45:illustration des rgles d'authentification de loption VPN SSL ................................ 67
Figure 46:illustration de visualisation de la liste des services prdfinis ................................ 68
Figure 47:illustration de configuration d'un service personnalis........................................... 74
Figure 48:illustration de configuration de linterface DMZ ..................................................... 75
Figure 49:illustration de cration de premire d'IP virtuel ..................................................... 76
Figure 50: illustration de cration de deuxieme d'IP virtuel ................................................... 76
Figure 51:illustration de cration de la premire politique de scurit ................................. 77
Figure 52: illustration de cration de la deuxime politique de scurit ............................... 77
Figure 53:illustration de rsultat .............................................................................................. 78
Figure 54: illustration de configuration de serveur AD ............................................................ 79
8
Introduction Gnrale
Pour parer ces attaques, une architecture de rseau scurise est ncessaire.
L'architecture devant tre mise en place doit comporter un composant essentiel qui est le
firewall. Cet outil a pour but de scuriser au maximum le rseau local de l'entreprise, de
dtecter les tentatives d'intrusion et d'y parer au mieux possible. En plaant un firewall
limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les
activits se droulant dans son enceinte.
Lobjectif principal de mon stage cest de raliser un guide dadministration qui est
simple pour faciliter au service technique de la socit Webhelp dadministrer le boitier
FortiGate et utiliser ces fonctions pour mieux exploiter ces fonctions fin dlaborer une
meilleure solution rseau et de protger la socit contre les menaces malveillantes.
9
systme DHCP, la quatrime partie sera ddie au politique de scurit et rgles de pare-feu
et la cinquime sera ddie lutilisateur.
10
Chapitre 1 : Prsentation de la socit Webhelp MultiMedia et
cahier des charges
11
1). Introduction
Cr en juin 2000 par Frdric Jousset et Olivier Duha, Webhelp est prsent au Maroc
depuis 2002.
Avec plus de 6400 employs rpartis sur 11 sites et 4 villes du royaume (Rabat,
Kenitra, Fs et Agadir), Webhelp est un acteur majeur dans le domaine de la gestion de la
relation client.
2002 : Webhelp Maroc choisit la ville de Rabat pour limplantation de son premier
site au centre-ville avec un effectif de 400 personnes.
2003-2006 : Webhelp Maroc est dclar 1er oprateur off-shore, certifi ISO 9001
version 2000. Webhelp confirme son expertise et son professionnalisme en attirant
de plus en plus de clients. L'entreprise compte alors 2330 salaris, soit une croissance
de plus de 582% depuis le dbut de son activit. Confirmant son dveloppement,
cette priode marque aussi l'ouverture de 4 nouveaux sites : 3 sur Rabat et un
premier site Fs.
2006 (11 Mai) : Pionnier dans l'innovation, Webhelp est rcompens pour sa capacit
dinnovation conomique et sa capacit gnrer de la croissance porteuse demploi
en remportant le Grand Prix Maroc Innovation.
2006 (19 Mai) : Webhelp remporte le Trophe des extensions du SICCAM (Salon
International des Centres de Contact et dAppels au Maroc), pour avoir tendu
davantage ses activits au Maroc
2007-2008 : En 2007, Webhelp obtient la certification NF 345 pour l'ensemble de
ses centres de contact. La croissance rgulire de Webhelp Maroc continue avec
l'ouverture de 2 autres sites Fs et d'un site Rabat Hay Ryad.
2009-2011 : En 2009, Webhelp obtient la certification LRS (Label Responsabilit
Sociale). Webhelp Maroc confirme encore sa position de leader avec plus de 6400
collaborateurs en ouvrant 2 nouveaux sites sur Sal Al Jadida (Technopolis) et
Kenitra.
12
2012 : Webhelp fte ses 10 ans au Maroc avec l'ouverture de son 11me site
Agadir. Son Label Responsabilit Sociale est renouvel.
3). Organigramme
Direction
Gnrale
Direction de Direction de
Sites Production
13
Direction de Sites
Les Directeurs de Sites pilotent, sur leur site ou domaine de responsabilit, les
activits confies par nos clients dans le respect des engagements contractuels, ainsi que
des processus et normes du Groupe Webhelp. Pour cela, ils sappuient sur les Directeurs de
Production.
Direction de Production
Les quipes Ressources Humaines travaillent en forte proximit avec les quipes de
Production. Elles recrutent, forment et assurent la monte en comptence de nos salaris
tout le long de leur carrire. Elles grent galement l'administration du personnel et les
relations sociales.
Direction Technique
La Direction de la Qualit & Mthodes est le garant du respect des normes pour
lesquelles Webhelp est certifie (ISO, EN/NF, LRS, PCI). Elle accompagne les quipes de
production pour l'amlioration de la qualit de leurs projets. Elle met galement en place les
outils et processus d'amlioration continue.
Direction de la Communication
14
4). Architecture rseaux du WebHelp
IPVPLS
Virtual private LAN service (VPLS) est un service Ethernet multipoint--multipoint
fonctionnant au-dessus d'un rseau IP muni d'un mcanisme de tunnel (en gnral
MultiProtocol Label Switching(MPLS)). Il permet d'interconnecter des LAN de plusieurs sites
distincts qui apparaissent comme tant sur le mme LAN Ethernet. En ce qui concerne les
fournisseurs de services, le VPLS s'appuie sur le MPLS pour crer une solution fiable,
volutive et oprationnellement efficace. S'agissant des entreprises, le VPLS s'appuie sur
l'Ethernet pour fournir un service multipoint simple et conomique assorti d'accords sur la
qualit de service pour les diffrents types de trafic. L'avantage par rapport aux solutions de
Rseau priv virtuel de niveau-2 MPLS ou L2TPv3, qui ne fournissent que des services de
tunnels de niveau 2 en point point, est que les solutions VPLS fournissent des services de
connectivit multipoint (de tout point tout point).
15
Router
Un routeur est un lment intermdiaire dans un rseau informatique assurant le
routage des paquets. Son rle est de faire transiter des paquets d'une interface rseau vers
une autre, au mieux, selon un ensemble de rgles. Il y a habituellement confusion entre
routeur et relais, car dans les rseaux Ethernet les routeurs oprent au niveau de la couche 3
de l'OSI.
FIREWALL
Figure 3: Firewall
Dispositif informatique qui filtre les flux d'informations entre un rseau interne un
organisme et un rseau externe en vue de neutraliser les tentatives de pntration en
provenance de l'extrieur et de matriser les accs vers l'extrieur.
Le but est de fournir une connectivit contrle et matrise entre des zones de
diffrents niveaux de confiance, grce l'application de la politique de scurit et d'un
modle de connexion bas sur le principe du moindre privilge qui dicte que chaque
fonctionnalit ne doit possder que les privilges et ressources ncessaires son excution,
et rien de plus. Ainsi en cas de dfaillance grave du systme, les dommages ne peuvent pas
16
dpasser ce qui est autoris par les privilges et les ressources utiliss, ces derniers tant
eux-mmes limits par la sparation de privilge.
l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface rseau,
etc.).
les options contenues dans les donnes (fragmentation, validit, etc.).
les donnes elles-mmes (taille, correspondance un motif, etc.).
les utilisateurs pour les plus rcents.
Catgories de pare-feu :
Pare-feu tats
Les pare-feux tats vrifient la conformit des paquets une connexion en cours.
Cest--dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du
prcdent paquet et la rponse un paquet dans l'autre sens. Ils savent aussi filtrer
intelligemment les paquets ICMP qui servent la signalisation des flux IP.
Pare-feu applicatif
Pare-feu personnel
Les pare-feux personnels, gnralement installs sur une machine de travail, agissent
comme un pare-feu tats. Bien souvent, ils vrifient aussi quel programme est l'origine
des donnes. Le but est de lutter contre les virus informatiques et les logiciels espions.
Portail captif
Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un
rseau de consultation afin de leur prsenter une page web spciale (par exemple :
avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser
accder Internet. Ils sont utiliss pour assurer la traabilit des connexions et/ou limiter
l'utilisation abusive des moyens d'accs. On les dploie essentiellement dans le cadre de
rseaux de consultation Internet mutualiss filaires ou Wi-Fi.
17
Backbone ou Switch serveur
Backbone relie tous les Switch entre eux est Divisant le rseau en sous-rseaux.
Les menaces qui ciblent les entreprises ne cessent dvoluer. Ces attaques sont de
plus en plus cibles et de plus en plus sophistiques.
Les malwares et les botnets sont de plus en plus sophistiqus, de plus en plus
discrets, et ne sarrtent pas par un simple blocage de ports.
Les APT (Advanced Persistent Threats) sinstallent sur le long terme au cur des
infrastructures. Leur objectif principal consiste implanter des mcanismes qui permettent
de voler des informations et des identits sans tre reprs. Cest la cl du business des
cybercriminels. De fait, ces APT peuvent tre actives durant de nombreux moins et parfois
mme des annes avant dtre dtectes et radiques.
Les AET (Advanced Evasion Techniques) sont lun des nouveaux moyens
dimplantation des APTs. Les cybercriminels utilisent diffrentes techniques dvasion pour
chapper aux protections rseau. Les techniques les plus simples consistent altrer les
18
ports standards des applications protges pour les faire utiliser des ports autoriss, glisser
des activits interdites au sein dun protocole autoris (comme le VPN), chiffrer les
contenus malveillants. Aujourdhui, les techniques avances (AET) combinent plusieurs
mcanismes et divisent les attaques en actions autorises - car juges individuellement non
dangereuses - qui, une fois regroupes et combines, forment une menace.
Les attaques par dni de service (DDoS) sont de plus en plus rpandues et dsormais
la porte de nimporte qui. On trouve en effet trs aisment sur Internet des services en
ligne faon SaaS (Software As A Service) qui permettent, moyennant quelques euros, de
porter une telle attaque contre nimporte quel serveur, site ou entreprise. La plupart du
temps, ces attaques cherchent rendre inaccessible un site ou un e-commerce (commerce
lectronique) avec parfois du chantage la cl (arrt des attaques contre une ranon).
Quelquefois ces attaques sont aussi l pour crer un bruit de fond afin de masquer une
intrusion plus sournoise.
Parce quils sont au cur du rseau, les pare-feu conservent une place stratgique
pour parer les cybercriminels. Mais face cette varit de menaces et de techniques
cybercriminelles, les pare-feu classiques ne suffisent plus et ne peuvent plus jouer le rle de
gardien quon leur attribuait autrefois. Les techniques dvasion permettent de les
contourner bien trop facilement. Car les concepts des pare-feu classiques ont t crs bien
avant linvasion des malwares et du Web 2.0.
Ces dernier sont risque par les attaques quon cite avant, cest pour cela on a
besoin de protger le rseau de la socit contre ces attaques.
19
6). Pourquoi FortiGate
Parmi les fonctionnalits que lon peut croiser sur les UTM/NGFW et dont la prsence
doit tre vrifie lors des choix, on retiendra :
Le pare-feu est un lment cl du rseau par lequel gravite tout le trafic protger.
Un UTM/NGFW compte en gnral plusieurs ports Ethernet qui peuvent tre attribus
diffrents VLANs (rseaux virtuels) ou utiliss comme un Switch filtrant dun rseau unique.
20
6.3) Efficacit
L'efficacit commence par vrifier comment le Pare-feu nouvelle gnration gre les
flux chiffrs (typiquement https) de plus en plus utiliss dans tous les changes y compris
ceux relevant du trafic cybercriminel. Le botier doit tre en mesure de dchiffrer ces flux
pour que ses fonctionnalits antivirales, antispam et IPS puissent fonctionner. Certains
botiers peuvent se rvler aveugles sur de tels flux. D'autres vont imposer l'installation d'un
certificat sur chaque poste.
6.4) Performances
La figure ci-dessous montre une comparaison entre le FortiGate et les autres Firewall :
La socit Webhelp a choisi le FortiGate non seulement il est le leader mondial de la scurit
UTM mais aussi il assure un dbit pare-feu pouvant atteindre 16 Go/s et aussi une Souplesse
et simplicit de dploiement ainsi que La matrise il garantit Une scurit robuste et
exhaustive et Une gestion des menaces performante et acclre.
21
Les administrateurs se contentent parfois de rajouter des rgles au fur et mesure
des incidents et de lvolution des usages. Or la multiplication des rgles conduit vite
leffondrement des performances voire parfois rendre tout le systme totalement
inoprant. Il faut savoir adapter les rgles et supprimer celles devenues inutiles.
Cest pour cela la socit Webhelp veut un guide dadministration qui est simple et
applicable pour faciliter au service technique dadministrer le boitier FortiGate et utiliser ces
fonctions pour voluer la scurit rseau de la socit et de la protger contre les menaces
malveillants.
8). Conclusion
22
Chapitre 2 : Prsentation et Dploiement du FortiGate sur VMware
23
1). Introduction
24
de scurit et danalyse de contenu. Cette architecture unique base sur un Asic permet
d'analyser en temps rel les contenus applicatifs et les comportements du rseau.
25
Figure 8: illustration de configuration en mode CLI
26
Figure 9 illustartion de connexion au gestionnaire web du FortiGate
La page du statut systme apparat avec une bote de dialogue de licence d'valuation:
Figure 10: illustration du page statut de systme
Allez au System > Network > Interfaces et cliquez sur dit linterface.
27
Figure 11:illustration de configuration de port2
Si votre FortiGate se connecte directement votre FAI, rglez Mode d'adressage sur
Manuel et dfinissez le IP / Netmask l'adresse IP publique de votre FAI vous a fourni.
Si cet quipement utilise DHCP, dfinissez Mode d'adressage DHCP pour obtenir une
adresse IP attribue l'interface.
Si l'quipement de FAI ne pas utiliser DHCP, votre FAI peut vous fournir la bonne
adresse IP prive utiliser pour l'interface.
Allez au Router > Static > Static Routes and Crer une nouvelle route.
28
Dfinir la destination IP / Masque 0.0.0.0/0.0.0.0, l'appareil l'interface ct
Internet, et la Gateway la passerelle fournies par votre FAI ou au routeur de saut suivant,
en fonction de votre rseau exigences.
Pour changer ladresse du serveur DNS, allez au System> Network > DNS et ajouter
Les serveurs DNS primaires et secondaires.
Allez au Policy & Objects > Policy > IPv4 et de crer une nouvelle politique.
29
3.7) configuration dadresse de la machine virtuelle ubuntu
Figure 15: configuration de l'adresse IP de la machine
4). Conclusion
30
Chapitre 3: Elaboration dun manuel de FortiGate
31
I. Introduction
Dance chapitre on va prsenter un guide dutilisation de FortiGate et ces principe
Fonctionnalit.
Les administrateurs FortiGate dont les profils daccs prvoient les droits en criture
de la configuration du systme peuvent modifier ou mettre jour les informations du botier
FortiGate.
A tout moment, vous pouvez slectionner Systme > Statut pour visualiser la page
Statut du Systme. Pour visualiser cette page, votre profil daccs doit prvoir les droits en
lecture de la configuration du systme. Si vous avez galement les droits en criture de la
configuration du systme, vous pouvez modifier les informations du systme et mettre
jour les bases de connaissances antivirus et IPS FortiGuard.
System :
Configurer les paramtres du systme, tels que les interfaces rseau, les domaines
virtuels, les services DHCP et DNS, les administrateurs, les certificats, haute disponibilit
(HA), l'heure du systme, les options mis en systme et dfinir les options d'affichage sur le
gestionnaire bas sur le Web.
Router :
Policy :
32
Firewall Objects :
Security Profiles :
VPN :
Configurer l'appareil pour agir en tant que contrleur de rseau sans fil, la gestion de
la fonctionnalit de point d'accs sans fil (AP) de FortiWiFi et FortiAP units.
Log & Report :
Configurer la journalisation et alerte e-mail ainsi que des rapports. Voir les messages
du journal et des rapports.
3). Dashboard
Les diffrents menus du tableau de bord fournit un moyen d'accder des
informations sur les activits et les vnements rseau, ainsi que de configurer les
paramtres de base du systme. Vous pouvez facilement ajouter plus de tableaux de bord et
de modifier celles qui existent dj pour voir facilement le contenu dont vous avez besoin.
33
Les administrateurs doivent avoir lire et crire des privilges pour l'ajout et la
configuration des tableaux de bord et des widgets.
Vous pouvez galement rinitialiser le menu du tableau de bord ses paramtres par
dfaut en slectionnant Rinitialiser Dashboards.
34
HA Status : Le statut de la haute disponibilit (HA) au sein du cluster. Standalone
indique l'unit de FortiGate ne fonctionne pas en mode HA. Actif-passif ou actif-actif
indiquent l'unit de FortiGate fonctionne en mode HA.
System Time : La date et l'heure. Slectionnez Modifier, pour configurer l'heure du
systme.
Firmware Version : La version du firmware install sur le botier FortiGate.
Slectionnez Mise jour pour tlcharger une version diffrente du micrologiciel.
System Configuration : La priode de temps lorsque le fichier de configuration a t
sauvegard. Backup pour sauvegarder la configuration actuelle Pour restaurer un
fichier de configuration, slectionnez Restaurer.
Current : Le nombre d'administrateurs actuellement connect l'unit de FortiGate.
Administrator : Slectionnez Dtails pour afficher plus d'informations sur chaque
administrateur qui est actuellement connect.
Uptime : Le temps en jours, heures et minutes depuis l'unit de FortiGate a t
dmarr ou redmarr.
Virtual Domain : Statut des domaines virtuels sur votre unit de FortiGate.
Slectionnez ENABLE ou DESABLE pour modifier le statut de domaines virtuels
vedette Si vous activez ou dsactivez les domaines virtuels, votre session prendra fin
et vous devrez vous connecter nouveau.
35
6). Modification du mode de fonctionnement
Units FortiGate peuvent fonctionner en NAT ou en mode transparent. partir du
widget du tableau de bord Systme d'information, vous pouvez modifier le mode de
fonctionnement de votre unit de FortiGate ou pour une VDOM et effectuer la configuration
de rseau suffisante pour vous assurer que vous pouvez connecter au page statut du
systme dans le nouveau mode
Mode NAT
En mode NAT, le FortiGate est visible sur le rseau auquel il est connect et toutes
ses interfaces se trouvent sur diffrents sous-rseaux. Chaque interface qui est connecte
un rseau doit tre configure avec une adresse IP qui est valide pour ce sous-rseau.
Vous utiliserez gnralement le mode NAT lorsque l'unit de FortiGate est dploy
en tant que passerelle entre les rseaux publics et privs (ou entre tous les rseaux).
Le mode transparent
En mode transparent, le FortiGate est invisible pour le rseau. Toutes ses interfaces
sont sur le mme sous-rseau et partager la mme adresse IP. Pour connecter l'unit de
FortiGate votre rseau, tout ce que vous avez faire est de configurer une adresse IP et
une route par dfaut. Vous pouvez utiliser gnralement l'unit de FortiGate en mode
transparent sur un rseau priv derrire un pare-feu existant ou derrire un routeur. En
mode transparent, le FortiGate fonctionne galement comme un pare-feu. Les politiques de
36
scurit contrlent les communications travers l'unit de FortiGate l'Internet et le rseau
interne. Aucun trafic ne peut passer travers l'unit de FortiGate jusqu' ce que vous
ajoutez des politiques de scurit.
Par exemple, la socit dispose d'un routeur ou un autre pare-feu en place. Le rseau
est suffisamment simple pour que tous les utilisateurs soient sur le mme rseau interne. Ils
ont besoin de l'unit de FortiGate pour effectuer le contrle des applications, antivirus,
protection contre les intrusions et l'analyse du trafic similaire. Dans cette situation, l'unit de
FortiGate est en mode transparent. Le trafic passant par l'unit de FortiGate ne change pas
l'adressage du routeur vers le rseau interne. Les politiques de scurit et des profils de
scurit dfinissent le type danalyse de l'unit de FortiGate effectue sur le trafic entrant
dans le rseau.
37
Upgrade From : Slectionnez la source dans la liste des sources disponibles vers le bas du
firmware.
Upgrade File : Accdez l'emplacement de l'image du microprogramme sur votre disque dur
local. Ce champ est disponible pour le disque dur local et USB seulement.
38
Figure 23: illustration de license Information widgets
Support Contract : Affiche des dtails sur votre contrat actuel Fortinet Support.
FortiGuard Services : Affiche vos licences actuelles pour les services de FortiGuard.
Slectionnez Renouveler pour mettre jour l'une des licences.
FortiClient Software : Affiche les dtails de licence FortiClient et le nombre de registre
et les utilisateurs de FortiClient autoriss. Vous pouvez slectionner Dtails pour plus
d'informations sur les utilisateurs actuels FortiClient
Virtual Domain : Affiche le nombre maximum de domaines virtuels de l'unit de
FortiGate supporte avec la licence actuelle. Pour les modles haut de gamme, vous
pouvez slectionner l'achat Plus lien pour acheter une cl de licence par un appui
technique Fortinet pour augmenter le nombre maximum de VDOMs.
11). Alert Message Console widget
Le widget Console Alert Messages vous permet de surveiller les vnements du
systme sur votre unit de FortiGate tels que les changements de firmware, les vnements
de scurit rseau, ou des vnements de dtection de virus. Chaque message indique la
date et l'heure de l'vnement.
Figure 24: illustration d'Alert Message Console widgets
39
12). CLI Console widget
Le widget CLI Console vous permet d'accder la CLI sans quitter le gestionnaire
bas sur le Web.
Les deux commandes situes sur la barre de titre du widget CLI Console sont
Personnaliser et Dtacher.
Dtachez dplace la console CLI widget dans une fentre pop-up que vous pouvez
redimensionner et repositionner. Slectionnez Joindre. Pour dplacer le widget de retour
la page de la planche de bord.
Lors de la saisie d'une commande, l'interface de ligne de commande (CLI) exige que
vous utilisez la syntaxe correcte et se conformer aux contraintes d'entre attendues. Il
rejettera les commandes non valides. Documentation Fortinet utilise les conventions
suivantes pour dcrire la syntaxe de commande valide
13.1). Terminologie
40
Figure 26:Illustration de Terminologie de la Commande
command : Un mot qui commence la ligne de commande et indique une action que l'unit
de FortiGate doit effectuer sur une partie de la configuration ou de l'hte sur le rseau,
comme config ou excuter. Ensemble avec d'autres mots, tels que les champs ou les valeurs,
cette fin lorsque vous appuyez sur la touche Entre, il forme une ligne de commande. Les
exceptions incluent les lignes de commande multilignes, qui peuvent tre saisis l'aide d'une
squence d'chappement. Lignes de commande valides doivent tre sans ambigut si
abrge. Mots facultatifs ou d'autres permutations de ligne de commande sont indiqus par
la notation de syntaxe.
sub-command : Une sorte de commande qui est disponible uniquement lorsque imbriqu
dans le cadre d'une autre commande. Aprs avoir entr une commande, ses sous-
commandes applicables sont disponibles pour vous jusqu' ce que vous quittez le champ
d'application de la commande, ou jusqu' ce que vous descendez d'un niveau
supplmentaire dans une autre sous-commande. Dentelure est utilise pour indiquer les
niveaux de commandes imbriques.
Object : Une partie de la configuration qui contient des tables ou des champs. lignes de
commande valides doivent tre suffisamment prcis pour indiquer un objet individuel.
table : Un ensemble de champs qui est l'un des multiples ventuellement des ensembles
similaires qui ont chacun un nom ou un numro, comme un compte d'administrateur, de la
politique, ou de l'interface rseau. Ces ensembles nomms ou numrotes sont parfois
rfrencs par d'autres parties de la configuration qui les utilisent.
field : Le nom d'un paramtre, comme ip ou nom d'hte. Les champs dans certaines tables
doivent tre configurs avec des valeurs. Dfaut de configurer un champ obligatoire se
traduira par un message d'erreur de configuration d'objet non valide, et l'unit de FortiGate
rejettera la table non valide.
value : Un chiffre, une lettre, l'adresse IP, ou tout autre type d'entre qui est
habituellement votre configuration rglage tenue par un champ. Certaines commandes
41
ncessitent cependant des valeurs d'entre multiples qui ne peuvent tre nomms, mais
sont simplement entrs dans un ordre squentiel dans la mme ligne de commande. types
d'entre valides sont indiqus par la notation contrainte.
option : Une sorte de valeur qui doit tre un ou plusieurs mots partir d'un ensemble fixe
d'options.
The Top Sessions widget sondages l'unit FortiGate pour obtenir des informations de
session pour IPv4 ou les adresses IPv6, ou les deux. Redmarrage de l'unit de FortiGate se
rinitialise les statistiques Top Session zro. Lorsque vous slectionnez Dtails pour
afficher la liste des sessions en cours, une liste de toutes les sessions actuellement traites
par l'unit de FortiGate.
Figure 27: illustration de Top Sessions widgets
42
III. Systme Rseau
Cette partie dcrit comment configurer votre FortiGate pour oprer sur votre rseau.
Les paramtres rseaux de base comprennent la configuration des interfaces FortiGate et
des paramtres DNS. La configuration plus avance comprend lajout de sous-interfaces
VLAN et de zones la configuration rseau du FortiGate.
1). Interface
En mode NAT/Route, slectionnez Systme > Rseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
agrger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modles 800 et plus).
combiner des interfaces physiques en une interface redondante
ajouter et configurer des sous-interfaces VLAN
modifier la configuration dune interface physique
ajouter des interfaces sans fil (pour les modles WiFi-60 et WiFi-60 AM
uniquement).
43
Figure 29: illustration de paramtre de l'interface
Nom de linterface : Entrez un nom pour linterface. Il nest pas possible de modifier le nom
dune interface existante.
Type : vous pouvez crer des interfaces VLAN, agrges 802.3ad et redondantes.
Interface : Slectionnez le nom de linterface physique laquelle voulez adjoindre une sous-
interface VLAN. Une fois cr, le VLAN est repris dans la liste des interfaces en dessous de
son interface physique. Il est impossible de modifier linterface dune sous-interface VLAN
existante
ID VLAN : Entrez lID du VLAN qui correspond lID du VLAN des paquets destins cette
sous-interface VLAN. Il est impossible de modifier lID dune sous-interface VLAN existante.
Mode dadressage : Pour configurer une adresse IP statique dune interface slectionnez
Manuel et entrez adresse IP/masque de rseau dans le champ prvu cet effet. Ladresse IP
doit tre sous le mme sous-rseau que le rseau auquel linterface se connecte. Deux
interfaces ne peuvent pas avoir leurs adresses IP sur le mme sous-rseau.
Accs administratif : Slectionnez les types daccs administratifs permis sur cette interface
44
elle ne fait pas dj partie dune interface agrg ou redondante
elle na pas dadresse IP dfinie et nest pas configure partir de DHCP ou PPPoE
elle nest pas reprise dans une rgle pare-feu, VIP, IP Pool ou multicast
La diffrence entre un lien redondant et un lien dagrgation rside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface la fois (peu importe le
nombre de liens redondants). Cependant les interfaces redondantes permettent des
configurations plus robustes avec un risque de points de pannes plus faible. Ceci est
important dans une configuration en maillage intgral HA.
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou
slectionnez licne Editer dune interface existante. Dans la section de Mode dAdressage,
slectionnez DHCP.
45
Figure 30:illustration d'Addressing Mode
46
celles-ci. Par ailleurs, cette adresse IP peut tre identique celle dun interface ou
peut galement tre nimporte quelle adresse IP.
Initial Disc Timeout: Initial Discovery Timeout. Il sagit du temps dattende avant
quune nouvelle tentative de dcouverte PPPoE soit lance. Pour dsactiver cette
option, affectez-lui 0.
Initial PADT Timeout : Initial PPPoE Active Discovery Terminate Se dfinit en secondes.
Sert fermer la session PPPoE aprs un laps de secondes dinactivit dfini dans
cette option. PADT doit tre support par votre FAI. Pour dsactiver cette option,
affectez-lui 0.
Distance : Entrez la distance administrative de la passerelle par dfaut retrouve par
le serveur PPPoE.
Retrieve default gateway from server : Permet de retrouver une adresse IP dune
passerelle par dfaut partir dun serveur PPPoE. La passerelle par dfaut est
ajoute la table de routage statique.
Override internal DNS : Permet de remplacer les adresses IP du serveur DNS de la page
DNS par des adresses DNS retrouves par le serveur DHCP.
3.2). Modifier la taille MTU des paquets qui quittent une interface
1. Slectionnez Systme > Rseau > Interface.
2. Cliquez sur licne Editer de linterface choisie.
3. Slectionnez la valeur de Remplacer la valeur MTU par dfaut (1500).
4. Dfinissez une nouvelle valeur MTU.
3.3). Configurer la journalisation du trafic pour les connexions vers une interface
1. Slectionnez Systme > Rseau > Interface.
2. Cliquez sur licne Editer de linterface choisie.
3. Activez la case Journaliser pour enregistrer les messages journaliss lorsquune rgle
pare-feu accepte une connexion cette interface.
4. Cliquez sur OK porter les changements.
47
comptabilit peuvent tre disperss dans un btiment, connects plusieurs segments du
rseau et quand bien mme faire partie dun mme VLAN.
Un VLAN distingue les quipements en ajoutant des balises VLAN 802.1Q tous les
paquets reus et envoys par ces quipements. Ces balises sont des extensions de 4 octets
comprenant un identificateur VLAN ainsi que dautres informations.
Les VLAN offrent une grande flexibilit, une segmentation efficace du rseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de
la localisation physique.
Grce lutilisation dun VLAN, un seul botier FortiGate fournit des services de
scurit et des connexions sous contrle entre de multiples domaines scuris Le trafic
provenant de chaque domaine scuris reoit un identificateur VLAN diffrent. Le botier
FortiGate reconnat les identificateurs VLAN et applique les rgles de scurit pour protger
les rseaux et le trafic VPN IPSec entre les domaines scuriss. Le botier FortiGate
appliquent galement les fonctionnalits dauthentification, de profils de protection et
autres rgles pare-feu sur le trafic du rseau et le trafic VPN autoris circuler entre les
domaines scuriss.
48
vers un routeur Internet non balis. Le botier FortiGate peut alors appliquer diffrentes
rgles pour les trafics sur chaque VLAN connect linterface interne.
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels.
49
7). VLAN en mode Transparent
En mode Transparent, le botier FortiGate peut appliquer des rgles pare-feu et des
services tels que lauthentification, les profils de protection et autres fonctions pare feu au
trafic dun tronon VLAN IEEE 802.1. Le botier FortiGate peut tre insr en mode
Transparent dans le tronon sans quil soit ncessaire dapporter des modifications au
rseau. Dans une configuration classique, linterface interne du FortiGate accepte les
paquets VLAN sur un tronon VLAN provenant dun commutateur VLAN ou dun routeur
connect des VLAN internes. Linterface externe du FortiGate transfre les paquets baliss
par le tronon jusqu un commutateur VLAN externe ou un routeur connect
ventuellement Internet. Le botier FortiGate peut tre configur pour appliquer
diffrentes rgles au trafic pour chaque VLAN du tronon.
Il faut ajouter une sous-interface VLAN linterface interne et une autre linterface
externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du
FortiGate. Dans le cas o ces sous-interfaces VLAN ont les mmes identificateurs, le botier
FortiGate applique des rgles pare-feu au trafic de ce VLAN.
Dans le cas o par contre les sous-interfaces VLAN ont des identificateurs diffrents,
ou si plus de deux sous-interfaces sont ajoutes, vous pouvez galement crer des rgles
pare-feu qui contrlent les connexions entre les VLAN.
Lorsquun botier FortiGate reoit un paquet balis VLAN sur lune de ses interfaces,
ce paquet est dirig vers la sous-interface VLAN possdant lidentificateur VLAN
correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination
au paquet en fonction de son adresse MAC de destination. Les rgles pare-feu des sous-
interfaces VLAN source et de destination sappliquent au paquet. Si celui-ci est accept par
le pare-feu, le botier FortiGate le transfert vers la sous-interface VLAN de destination.
Lidentificateur du VLAN de destination est ajout au paquet par le botier FortiGate et il est
envoy au tronon VLAN.
50
Figure 33:illustration de Vlan transparent
51
IV. Systme DHCP
52
Figure 34: illustration de configuration d'une interface comme relais DHCP
Lease time: The lease time dtermine la dure d'une adresse IP reste affect un client.
Une fois le bail expire, l'adresse est libre pour l'allocation la prochaine demande du
client pour une adresse IP La dure de bail par dfaut est de sept jours.
53
Assigning IP address by MAC address : Pour empcher les utilisateurs de changer leurs
adresses IP et de provoquer des conflits d'adresses IP ou l'utilisation non autorise
d'adresses IP, vous pouvez lier une adresse IP une adresse MAC spcifique en utilisant
DHCP.
Utilisez la CLI pour rserver une adresse IP pour un client particulier identifi par son
adresse MAC du priphrique et le type de connexion. Le serveur DHCP attribue ensuite
toujours l'adresse IP rserve au client. Le nombre d'adresses rserves que vous pouvez
dfinir des plages entre 10 et 200 selon le modle FortiGate.
Aprs la mise en place d'un serveur DHCP sur une interface en allant dans Systme>
Rseau> Interface, slectionnez la flche bleue ct de Avanc pour dvelopper les
options. Si vous connaissez l'adresse MAC du systme slectionnez Crer un nouveau pour
l'ajouter, ou si le systme a dj connect, recherchez dans la liste, slectionnez la case
cocher et slectionnez Ajouter de la liste des clients DHCP.
Vous pouvez galement faire correspondre une adresse une adresse MAC dans le
CLI. Dans l'exemple ci-dessous, l'adresse IP 10.10.10.55 pour l'utilisateur 1 est affect
l'adresse MAC 00: 09: 0F: 30: CA: 4F.
54
V. Configuration du Systme
Cette partie dcrit la configuration de plusieurs fonctionnalits non lies au rseau,
telles que cluster HA, messages de remplacement personnaliss.
Au sein dun cluster, les quipements individuels FortiGate sont appels membres.
Ces membres partagent les informations sur leur tat et configuration. Dans le cas dune
dfaillance de lun des membres, les autres membres du cluster prennent en charge lactivit
du membre en panne. Aprs la panne, le cluster continue de traiter le trafic rseau et de
fournir les services FortiGate sans interruption du service.
Chaque cluster FortiGate est form dun membre primaire (aussi appel matre) et
dun ou plusieurs membres subordonns (aussi appels esclave ou redondants) Le membre
primaire contrle le fonctionnement du cluster. Les rles jous par les membres primaire et
subordonn(s) dans le cluster dpendent du mode dans lequel le cluster opre.
55
Lavantage quoffre le cluster de fournir continuellement un service pare-feu, mme
dans le cas dune dfaillance, est appel la redondance. La redondance HA FortiGate signifie
que votre rseau ne doit pas sappuyer sur un FortiGate pour continuer de fonctionner. Vous
pouvez installer des membres additionnels et former un cluster HA. Les autres membres du
cluster prendront le relais en cas de dfaillance dun des membres
Slectionnez Systme > Configuration > Messages de Remplacement pour modifier les
messages de remplacement et personnaliser les emails et informations sur les alertes que le
botier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et
sessions FTP.
56
2.1). Liste des messages de remplacement
57
peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs
reoivent le message de remplacement, la balise est remplace par un contenu en rapport
avec le message
Une fois qu'on permet le trafic, pratiquement toutes les caractristiques de FortiGate
sont appliques au trafic permis par des politiques de scurit. D'une politique de scurit,
vous pouvez contrler la translation d'adresse, commander les adresses et les services
employs par le trafic, et appliquer des caractristiques telles qu'UTM, authentification, et
VPNs.
Quand un utilisateur se relie l'Internet, ils s'attendent une rponse (par exemple,
quand vous vous reliez un site Web vous comptez voir une page Web). La mme politique
de scurit qui te permet de vous relier l'Internet galement permet des serveurs que vous
entrez en contact pour rpondre vous. En effet, une politique simple permet le trafic
bidirectionnel, mais le trafic entrant est seulement permis en rponse aux demandes
envoyes par vous.
Quoiqu'il n'y ait aucun risque du trafic non dsir provenant de l'Internet
obtenant sur votre rseau interne, les utilisateurs se relient l'Internet et tlchargent des
donnes. Ces tlchargements peuvent parfois inclure les articles non dsirs, tels que des
virus. Cela fait leur voie l'unit de FortiGate votre rseau. Pour protger votre rseau
contre ce problme, les politiques de scurit sont galement la manire d'allumer toutes
les caractristiques de FortiGate UTM. Par exemple, les utilisateurs peuvent tlcharger un
virus en passant en revue le Web ou en recherchant l'email. Vous pouvez protger votre
rseau contre ce danger en ajoutant le virus balayant la scurit maintient l'ordre qui
permettent des utilisateurs de se relier l'Internet. L'avantage de cette approche est que
vous pouvez appliquer des dispositifs de scurit directement au trafic permis. Ceci signifie
58
galement que vous pouvez appliquer les dispositifs de scurit faits sur commande
chaque politique de scurit et chaque type de trafic permis par l'unit de FortiGate. Les
dispositifs de scurit sont appliqus utilisant des objets et des profils d'UTM. Vous pouvez
crer autant de profils comme vous avez besoin et les mlangez et assortissez dans une
politique de scurit au besoin.
Les units de FortiGate incluent un large ventail de services rseau prdfinis qui
peuvent tre ajouts aux politiques de scurit. Par exemple, vous pouvez ajouter une
politique de scurit qui arrte tout le trafic de HTTP juste en ajoutant le service de HTTP
une politique de scurit. Les services prdfinis incluent des services rseau de base tels
que HTTP, FTP, TCP, SMTP et services plus spcialiss tels que H323 (utilis pour VoIP et le
media), MMS (le service de messagerie de multimdia employ par des tlphones
portables) et ainsi de suite. Vous pouvez galement facilement crer des services des
douanes si votre rseau emploie les services rseau qui ne sont pas dans la liste prdfinie
par FortiGate de services.
Vous devez ajouter au moins un service une politique de scurit. Vous pouvez
galement ajouter des multiples services une politique de scurit simple si vous voulez
la politique aux types multiples du trafic. N'importe quel service prdfini accepte le trafic
utilisant n'importe quel service rseau.
Les objets de pare-feu incluent galement des traffic shapers, utiliss pour
normaliser des crtes et des clats de trafic pour donner la priorit certains coulements
au-dessus d'autres. Une grande varit de trafic formant des options sont disponible, vous
permettant de personnaliser le lissage du trafic en fonction de vos besoins de rseaux et
d'appliquer le trafic personnalis de mise en forme de toute politique de scurit.
Firewall schedules contrle quand les politiques de scurit sont en activit. Vous
pouvez limiter quand une politique est en activit en s'ajoutant schedules dfinissant le
temps l'o la politique est en activit. Vous pouvez crer recurring schedules qui prennent
effet plusieurs reprises des moments prcis de certains jours de la semaine.
59
The Virtual IP sont des objets pare-feu ajouts aux politiques de scurit pour
effectuer diverses formes de traduction d'adresses de rseau de destination (D-NAT) y
compris l'adresse IP de destination et de translation de port de destination et la redirection
de port.
L'objet final de pare-feu est load balancing, qui est une extension de l'IPS virtuel
pour charger le trafic d'quilibre passant par l'unit de FortiGate aux serveurs multiples.
Programmes d'quilibrage de la charge de soutiens d'quilibrage de la charge de FortiGate
divers, vraie surveillance de la sant de serveur, persistance, et acclration de SSL.
Les rgles gnrales sont des rgles qui peuvent accepter des connexions avec de
multiples adresses sources et de destination, ainsi quavec des intervalles dadresses. Elles
peuvent galement accepter des connexions de multiples ports service ou avoir des horaires
trs ouverts. Si vous dsirez ajouter des rgles qui sont des exceptions aux rgles gnrales,
ces exceptions doivent tre ajoutes au-dessus des rgles gnrales, dans la liste de rgles.
Par exemple, vous pouvez avoir une rgle gnrale permettant tous les utilisateurs
de votre rseau interne daccder tous les services Internet. Si vous dsirez bloquer laccs
aux serveurs FTP sur Internet, vous devriez ajouter au-dessus de la rgle gnrale une rgle
qui bloque les connexions FTP. La rgle de dni bloque les connexions FTP mais les tentatives
de connexion de tous les autres types de services ne correspondent pas la rgle FTP mais
correspondent la rgle gnrale. De ce fait, la pare-feu accepte toutes les connexions du
rseau interne vers Internet, lexception des connexions FTP.
Les rgles qui ncessitent une authentification doivent tre ajoutes la liste de
rgles au-dessus des rgles correspondantes qui nen ncessitent pas Sinon, la rgle
qui ne ncessite pas dauthentification est slectionne en premier.
Les rgles sur le mode tunnel VPN IPSec doivent tre ajoutes la liste de rgles au-
dessus des rgles daccs ou de blocage correspondantes.
60
Les rgles sur le VPN SSL doivent tre ajoutes la liste de rgles au-dessus des
rgles daccs ou de blocage correspondantes.
Slectionnez Policy>Policy > Policy et cliquez sur Crer Nouveau pour ajouter une
rgle pare-feu.
61
Options des rgles rgle ACCEPT en mode NAT/Route :
62
Options des rgles rgle DENY :
Source : Spcifiez les caractristiques de la source des paquets IP qui seront sujets
la rgle.
Interface/Zone : Slectionnez le nom de linterface ou de la zone
FortiGate sur laquelle les paquets IP sont reus. Les interfaces et
zones sont configures sur la page Systme > Rseau.
Adresse : Slectionnez le nom dune adresse IP prcdemment
dfinie associer linterface ou zone source ; ou slectionnez
Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du
paquet doit contenir ladresse IP associe pour tre confront la
rgle.
Destination : Spcifiez les caractristiques de la destination des paquets IP qui seront
sujets la rgle.
Interface/Zone : Slectionnez le nom de linterface ou de la zone
FortiGate vers laquelle les paquets IP sont envoys. Les interfaces
et zones sont configures sur la page Systme > Rseau.
Adresse : Slectionnez le nom dune adresse IP prcdemment
dfinie associer linterface ou zone source ; ou slectionnez
Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du
paquet doit contenir ladresse IP associe pour tre confront la
rgle.
63
Horaire : Slectionnez une plage horaire ponctuelle ou rcurrente qui contrle la
priode de disponibilit de la rgle. Les horaires peuvent tre cres lavance dans
Pare-feu > Plage horaire.
Service : Slectionnez le nom du service ou du groupe de services qui correspond au
service ou protocole des paquets auquel sapplique cette rgle. Vous pouvez
slectionner les services partir dune longue liste de services prdfinis. Des
services personnaliss peuvent tre cres lavance dans
Pare-feu > Service > Personnalis. Des groupes de services peuvent galement tre
cres lavance dans Pare-feu > Service > Groupe.
Action : Slectionnez la rponse du pare-feu appliquer lorsquun paquet
correspond aux conditions de la rgle.
ACCEPT : Accepte le trafic correspondant la rgle. Vous pouvez
alors configurer les options NAT, profils de protection, log traffic,
shape traffic, authentification ou ajouter un commentaire la
rgle.
DENY : Rejette le trafic correspondant la rgle. La seule option
configurable est la journalisation (journaliser les connexions
refuses par la rgle).
IPSEC : Configure une rgle de cryptage pare-feu IPSEC, qui
entrane le traitement des paquets VPN IPSec par le botier
FortiGate.
SSL-VPN : Configure une rgle de cryptage pare-feu VPN SSL, qui
entrane lacceptation du trafic VPN SSL par le botier
FortiGate. Cette option nest disponible quaprs avoir ajout un
groupe dutilisateurs VPN SSL.
NAT : Activer loption NAT (Network Address Translation) pour la rgle. NAT
translate ladresse source et le port de paquets accepts par la rgle. Lorsque NAT
est activ, les fonctions Pool dAdresses et Port Fixe peuvent tre configurs. NAT
nest pas disponible en mode Transparent.
Pool dAdresses : Slectionnez pour translater ladresse source en
une adresse slectionne arbitrairement dans un pool
dadresses. Un pool dadresses peut se composer dune seule
adresse IP ou dune plage dadresses IP. Une liste de pools
dadresses apparat si ces pools ont t ajouts linterface de
destination. Slectionnez ANY IP Pool pour que le botier
FortiGate slectionne nimporte quelle adresse IP de nimporte
quel pool dadresses ajout linterface de destination.
Slectionnez le nom dun pool dadresses ajout linterface de
destination pour que le botier FortiGate translate ladresse
source en une des adresses dfinies dans ce pool.
64
Vous ne pouvez pas utiliser des pools dadresses lors de
lutilisation de zones. Un pool dadresses peut seulement tre
associ une interface.
Slectionnez un port fixe pour empcher NAT de translater le port
source. Certaines applications ne fonctionnent pas correctement
si le port source est modifi. Dans la plupart des cas, si Port fixe
est slectionn, Pool dAdresses est galement slectionn. Si
Pool dAdresses nest pas slectionn, une rgle qui a loption
Port Fixe slectionne ne peut permettre quune connexion la
fois.
Profil de protection : Slectionnez un profil de protection pour configurer la faon
dont lantivirus, filtrage web, filtrage par catgorie web, filtrage antispam, IPS,
archives et journaux sont appliqus la rgle pare-feu. Les profils de protection
peuvent tre cres lavance ou pendant la configuration dun profil.
Log Allowed Traffic : Slectionnez cette option pour les rgles ACCEPT, IPSEC ou VPN
SSL pour enregistrer les messages dans les journaux chaque fois que la rgle traite
une connexion.
Log Violation Traffic : Slectionnez cette option pour les rgles DENY pour enregistrer
les messages dans les journaux chaque fois que la rgle traite une connexion.
Authentification : Ajoutez des utilisateurs et un profil de protection pare-feu un
groupe dutilisateurs avant de slectionner Authentification.
Traffic Shaping : Cette option permet de contrler la bande passante disponible et
de dfinir les niveaux de priorit du trafic trait par la rgle.
Redirect URL : Si vous entrez un URL dans ce champ, lutilisateur est redirig vers
cette URL aprs authentification et/ou acceptation de la page dinformation
dauthentification de lutilisateur.
Commentaires : Ajoutez une description ou dautres informations sur cette rgle. Le
commentaire peut tre long de 63 caractres, espaces compris.
Lorsque laction est positionne sur IPSEC, les options suivantes sont disponibles :
VPN Tunnel
65
Slectionnez le nom du tunnel VPN dfini dans la configuration phase1 (VPN>IPsec).
Le tunnel spcifi sera sujet cette rgle de cryptage pare-feu.
Allow Inbound
Activez cette option pour permettre au trafic dun client ou dordinateurs dialup
dun rseau priv distant de dmarrer le tunnel.
Allow Outbound
Activez cette option pour permettre au trafic partir dordinateurs du rseau priv
local de dmarrer le tunnel.
Inbound NAT
Activez cette option pour translater les adresses IP source de paquets entrants
dcrypts en adresse IP de linterface FortiGate au rseau priv local.
Outbound NAT
Activez cette option en combinaison avec une valeur CLI natip pour translater les
adresses sources des paquets sortants en clair en une adresse IP que vous spcifiez. Ne pas
slectionnez cette option moins que vous nayez spcifi une valeur natip partir du CLI.
Dans ce cas, les adresses source de paquets IP sortants sont remplaces avant que les
paquets ne soient envoys travers le tunnel.
Remarque : Loption VPN SSL est disponible partir de la liste Action aprs quun ou plusieurs
groupes dutilisateurs aient t crs.
Autorise le trafic gnr par des titulaires dun certificat de groupe. Ces titulaires doivent
tre des membres dun groupe dutilisateurs VPN SSL.
66
Authentification Utilisateur
Pour ajouter des rgles dauthentification cliquez sur Add.
Mthode :
67
6.1). Visualisation de la liste des services prdfinis
Dans le menu principal, slectionnez Pare-feu > Service pour visualiser la liste des
services prdfinis.
ANY
Convient aux connexions nimporte quel port. Une connexion utilisant nimporte
lequel des services prdfinis est autorise travers le pare-feu.
AOL
68
BGP
DHCP
Dynamic Host Configuration Protocol alloue des adresses rseau et livre des
paramtres de configuration partir de serveurs DHCP vers les htes.
DNS
ESP
Encapsulating Security Payload. Ce service est utilis par les tunnels VPN en cl
manuelle pour communiquer des donnes cryptes.
FINGER
FTP
FTP_GET
FTP_PUT
GOPHER
GRE
H323
69
HTTP
HTTP est le protocole utilis par la toile web mondiale pour le transfert de
donnes pour les pages web.
HTTPS
HTTPS est un service SSL (Secure socket layer) pour des communications scurises des
serveurs web.
ICMP_ANY
IKE
IKE est charg de ngocier la connexion. Avant qu'une transmission IPSec puisse
tre possible, IKE est utilis pour authentifier les deux extrmits d'un tunnel scuris en
changeant des cls partages.
IMAP
INFO_ADDRESS
INFO_REQUEST
IRC
Internet Locator Service comprend LDAP, User Locator Service, et LDAP sur TLS
(Transport Layer Security protocoles de scurisation des changes sur Internet).
L2TP
70
LDAP
NFS
Network File System autorise les utilisateurs du rseau daccder des fichiers
partags stocks sur des ordinateurs de diffrents types.
NNTP
NTP
NetMeeting
OSPF
Open Shortest Path First est un protocole de routage commun dtat de lien.
PC-Anywhere
PING
ICMP echo request/reply pour tester des connexions vers dautres machines.
POP3
PPTP
RAUDIO
71
Pour fluer le trafic multimedia audio rel.
RIP
RLOGIN
SAMBA
Samba autorise les clients Microsoft Windows utiliser les services de fichier et
dimpression partir dhtes TCP/IP.
SIP
SIP- MSNmessenger
Session Initiation Protocol est utilis par Microsoft Messenger pour initier par
Microsoft Messenger pour initier.
SMTP
Simple Mail Transfer Protocol est utilis pour lenvoi de mail entre serveurs
emails sur Internet.
SNMP
SSH
SYSLOG
TALK
TCP
72
Tous les ports TCP de 0 jusqu 65535.
TELNET
TFTP
TIMESTAMP
UDP
UUCP
VDOLIVE
WAIS
WINFRAME
Pour des communications WinFrame entre des ordinateurs munis de Windows NT.
73
Figure 47:illustration de configuration d'un service personnalis
Le pare-feu bloquera donc les accs au rseau local pour garantir sa scurit. Et les
services susceptibles d'tre accds depuis Internet seront situs en DMZ.
Dans cet exemple, le rseau DMZ permet d'accder un serveur web en utilisant des
adresses diffrentes pour des utilisateurs internes et externes, tout en empchant l'accs
partir du serveur Web au rseau interne lorsque le serveur Web est compromis.
Une politique WAN-to-DMZ scurit avec une adresse IP virtuelle (VIP) cache
l'adresse DMZ du serveur Web, permettant aux utilisateurs externes d'accder au serveur
Web en utilisant une adresse IP publique (dans cet exemple, 172.20.120.22). Un interne la
politique de scurit DMZ avec NAT dsactiv permet aux utilisateurs internes d'accder au
serveur Web en utilisant son adresse DMZ (10.10.10.22). Ces deux politiques de scurit ne
permettent l'accs au serveur Web en utilisant HTTP et HTTPS. Aucun autre accs nest
autoris.
74
7.1). Configuration de l'interface FortiGate DMZ
Aller Systme> Rseau> Interfaces, dit l'interface DMZ.
Figure 48:illustration de configuration de linterface DMZ
75
Figure 49:illustration de cration de premire d'IP virtuel
Vous pouvez galement activer le logging pour toutes les sessions pour le rendre
plus facile tester la configuration.
76
Figure 51:illustration de cration de la premire politique de scurit
Crer une deuxime politique de scurit pour permettre trafic HTTP et HTTPS
partir du rseau interne l'interface DMZ et le serveur web.
77
7.4). Rsultat
Figure 53:illustration de rsultat
VI. Utilisateurs
Cette partie explique comment installer des comptes utilisateurs, des groupes
dutilisateurs et des serveurs dauthentification externes. Certains composants de
lauthentification de lutilisateur permettent de contrler laccs aux ressources du rseau.
78
droits et restrictions utilisateur. C'est aussi Active Directory qui gre l'authentification des
utilisateurs sur le rseau Windows. Active Directory exploite cette notion de hirarchie
intensivement, puisque l'entit de scurit appele domaine est galement hirarchise
dans un ensemble partageant un espace de nom commun, appel arborescence , enfin,
l'entit de plus haut niveau regroupant les arborescences de domaines constitue la fort
Active Directory.
Sur les rseaux utilisant des serveurs Windows Active Directory (AD) pour
lauthentification, les botiers FortiGate peuvent authentifier les utilisateurs de manire
transparente, sans avoir leur demander leur compte utilisateur et mot de passe. Vous
devez pour cela installer le Fortinet Server Authentication Extensions (FSAE) sur le rseau et
configurer le botier FortiGate pour retrouver les informations du serveur Windows AD.
Slectionnez Utilisateur > Remote>LDAP pour configurer les serveurs Windows AD.
Nom/Adresse IP
Port
Entrez le port utilis pour communiquer avec le serveur LDAP. Par dfaut, LDAP
utilise port 389.
Entrez lIdentifiant Nom Commun pour le serveur LDAP. Ce champ est limit 20
caractres. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains
serveurs utilisent un autre lidentifiant tel que uid.
79
Distinguished Name
Entrez le distinguished name utilis pour rechercher des entres sur le serveur LDAP.
Entrez le distinguished name de base pour le serveur utilisant le format LDAP. Le botier
FortiGate transfre ce distinguished name inchang au serveur.
3). Conclusion
On ce chapitre on a pu faire une description trs dtaill de diffrents outils
dadministration de boitier FortiGate (systme rseau, politique de scurit et firewall,
serveur AD), ainsi que comment les configurer.
80
Conclusion Gnrale
Lobjectif principal de mon stage cest de raliser un guide dadministration qui est
simple pour faciliter au service technique de la socit Webhelp dadministrer le boitier
FortiGate et maitris ces fonctions pour mieux les exploiter fin dlaborer une meilleure
solution rseau et de protger la socit contre les menaces malveillantes.
En effet, ce stage est une exprience significative dans notre parcours professionnel,
enfin, je tiens exprimer ma satisfaction davoir pu travailler dans des bonnes conditions
matrielles et un environnement agrable.
Cette exprience en march de travail nous a offert une bonne prparation notre
insertion professionnelle car elle fut pour nous une exprience enrichissante et complte qui
conforte notre dsir dexercer notre futur mtier dans le domaine de linformatique.
81
Webographie
http://www.tomshardware.fr
http://cookbook.fortinet.com/
docs.fortinet.com
http://searchsecurity.techtarget.com
82