Вы находитесь на странице: 1из 85

UNIVERSITE SIDI MOHAMED BEN ABDELLAH

FACULTE DES SCIENCES ET TECHNIQUES FES


DEPARTEMENT DINFORMATIQUE

Projet de Fin dEtudes


L
Liicceennccee SScciieenncceess eett T
Teecchhnniiqquueess G
Gnniiee IInnffoorrm
maattiiqquuee

A
Addm
miinniissttrraattiioonn dduu F
FoorrttiiG
Gaattee

Lieu de stage : Webhelp Multimedia

Ralis par : Encadr par :


Bouchmi Amine Pr. Zenkouar Khalid

Soutenu le 11/06/2016 devant le jury compos de :

Pr. K. Zenkouar
Pr. A. Ben Abbou
Pr. A. Boushaba

Anne Universitaire 2015-2016


Ddicaces
A mes chers parents, Aucune ddicace ne saurait exprimer mon respect, mon
amour ternel et ma considration pour les sacrifices que vous avez consenti
pour mon instruction et mon bien tre. Je vous remercie pour tout le soutien
et lamour que vous me portez depuis mon enfance et jespre que votre
bndiction maccompagne toujours. Que ce modeste travail soit lexaucement
de vos vux tant formuls, le fruit de vos innombrables sacrifices, bien que je
ne vous en acquitterai jamais assez.

A mon chre frre Soufiane et mes chres surs Hanane, Ilhame, Ghizlane,
Kawtare, Horiya, ma famille, mes chers amis Benjeddi Lamyae, Mimi
Houssame, Chahou salah, Mortaki Mohamed, Azzani hamza, Veuillez trouver
dans ce modeste travail lexpression de mon affection.

Bouchmi Amine.
Remerciements
Aprs DIEU, je tiens adresser mes remerciements les plus sincres tout le
corps professionnel et administratif de la Facult des Sciences et Techniques de
Fs.

Je souhaite exprimer mon gratitude mon encadrant de stage Monsieur


K.Zenkouar, enseignant la FSTF, pour avoir mencadr et me dirig, me
conseill et mapport son aide tout au long de ce stage.

Je remercie sincrement et tout particulirement nos professeurs Monsieur


R. BENABBOU responsable du dpartement informatique de la FSTF,
Monsieur A. ZAHI responsable de la licence gnie informatique de la FST qui
fournissent dnormes efforts pour ses tudiants, afin quils puissent profiter
dune formation complte, dans un climat de confiance et de convivialit.

Nous tenons galement adresser nos plus sincres remerciements lensemble


du corps du service technique de Webhelp multimedia Fs, et plus prcisment
mon encadrant professionnel Monsieur Chahou Salah au sein du service
informatique pour avoir accord son temps prcieux, son attention et son nergie
pour nous aider dans la ralisation de ce travail en vue de souvrir davantage et
proprement sur le mtier de demain.
Table des matires

Liste des abrviations .............................................................................................................................. 4


Liste des figures ....................................................................................................................................... 7
Introduction Gnrale ............................................................................................................................. 9
Chapitre 1 : Prsentation de la socit Webhelp MultiMedia et cahier des charges ........................... 11
1). Introduction........................................................................................................................... 12
2). Prsentation du Web Help .................................................................................................... 12
3). Organigramme....................................................................................................................... 13
4). Architecture rseaux du WebHelp ........................................................................................ 15
5). Pourquoi le pare-feu ............................................................................................................. 18
6). Pourquoi FortiGate ................................................................................................................ 20
6.1) Les fonctionnalits de scurit surveiller ....................................................................... 20
6.2) La gestion du rseau.......................................................................................................... 20
6.3) Efficacit ............................................................................................................................ 21
6.4) Performances .................................................................................................................... 21
7). Cahier de charge.................................................................................................................... 21
8). Conclusion ............................................................................................................................. 22
Chapitre 2 : Prsentation et Dploiement du FortiGate sur VMware .................................................. 23
1). Introduction........................................................................................................................... 24
2). Prsentation du FortiGate ..................................................................................................... 24
3). Dploiement du FortiGate sur VMware ................................................................................ 25
3.1) Configuration de ladresse IP du port 1 du FortiGate VM ................................................. 25
3.2) Connectez-vous au gestionnaire web du FortiGate .......................................................... 26
3.3) Configuration de port2 ...................................................................................................... 27
3.4) Ajout dune route par default ........................................................................................... 28
3.5) Configuration du FortiGate DNS servers ........................................................................... 29
3.6) Cration du politique......................................................................................................... 29
3.7) configuration dadresse de la machine virtuelle ubuntu .................................................. 30
3.8) Test de la connexion sur la machine virtuel ubuntu ......................................................... 30
4). Conclusion ............................................................................................................................. 30
Chapitre 3: Elaboration dun manuel de Fortigate ............................................................................... 31
I. Introduction............................................................................................................................... 32

1
II. Statuts du Systme .................................................................................................................... 32
1). Page des statuts................................................................................................................. 32
2). Menus du statut de system ............................................................................................... 32
3). Dashboard ......................................................................................................................... 33
4). System Information widget ............................................................................................... 34
5). Changer le nom d'hte de l'unit de FortiGate ................................................................. 35
6). Modification du mode de fonctionnement ....................................................................... 36
7). System Resources widget .................................................................................................. 37
8). Changement du firmware ................................................................................................. 37
9). Backing up the configuration ............................................................................................ 38
10). License Information widget ............................................................................................... 38
11). Alert Message Console widget .......................................................................................... 39
12). CLI Console widget ............................................................................................................ 40
13). Syntaxe de la commande .................................................................................................. 40
14). Top Sessions widget .......................................................................................................... 42
III. Systme Rseau..................................................................................................................... 43
1). Interface ............................................................................................................................ 43
2). Paramtres de linterface .................................................................................................. 43
3). Configuration additionnelle des interfaces ....................................................................... 47
4). Aperu sur les VLAN .......................................................................................................... 47
5). Equipements FortiGate et VLAN ....................................................................................... 48
6). VLAN en mode NAT/Route ................................................................................................ 48
7). VLAN en mode Transparent .............................................................................................. 50
IV. Systme DHCP ....................................................................................................................... 52
1). Serveurs et relais DHCP FortiGate ..................................................................................... 52
2). Configuration des services DHCP ...................................................................................... 52
V. Configuration du Systme ......................................................................................................... 55
1). Haute Disponibilit (high availability) ............................................................................... 55
2). Messages de remplacement ............................................................................................. 56
VI. Politiques de scurit et des Rgles de pare-feu .................................................................. 58
1). Politiques de scurit ........................................................................................................ 58
2). Dfinition des Rgles de pare-feu ..................................................................................... 59
3). Comment l'ordre de liste affecte l'assortiment de politique ............................................ 60
4). Visualisation de la liste des rgles pare-feu ...................................................................... 61

2
5). Options des rgles pare-feu .............................................................................................. 61
6). Service Pare-feu................................................................................................................. 67
7). Protger un serveur avec DMZ .......................................................................................... 74
VI. Utilisateurs ............................................................................................................................ 78
1). Configuration de lauthentification dun utilisateur.......................................................... 78
2). Serveurs Windows AD ....................................................................................................... 78
3). Conclusion ......................................................................................................................... 80
Conclusion Gnrale ............................................................................................................................. 81
Webographie ......................................................................................................................................... 82

3
Liste des abrviations

AD: Active Directory

AET: Advanced Evasion Techniques

AH: Authentication Header

AP: Access Point

APT: Advanced Persistent Threats

Asic: application-specific integrated circuit

BGP: Border Gateway Protocol

CLI: linterface de ligne de commande

CPU: Central processing unit

DHCP: Dynamic Host Configuration Protocol

DLP: Data Leak Prevention

DMZ: demilitarized zone

DNS: Domain Name System

DoS: Denial of Service

DTPS: Dynamic Threat Prevention System

ESP: Encapsulating Security Payload

FAI: Fournisseur d'accs Internet

FDN: FortiGuard Distribution Network

FTP: File Transfer protocol

GRE: Generic Routing Encapsulation

HA : Haute Disponibilit

HTML : HyperText Markup Language

HTTP : Hypertext Transfer Protocol

ICAP : Internet Content Adaptation Protocol

4
ICMP : Internet Control Message Protocol

ICSA: International Computer Security Association

IDS: intrusion detection system

IM/P2P: Instant Messaging/ peer-to-peer

IPS: Intrusion prevention systems

IPsec: Internet Protocol Security

IPv4: Internet Protocol version 4

IPv6: Internet Protocol version 6

IRC: Internet Relay Chat

ISO: International Organization for Standardization

ISAKMP: Internet Security Association and Key Management Protocol

ITU: International Telecommunication Union

LAN: Local area network

LDAP: The Lightweight Directory Access Protocol

LRC: Learning Records Service

LRS: Label Responsibility Social

L2TPv3: Layer 2 Tunneling Protocol Version 3

MPLS: Multiprotocol Label Switching

MTU: maximum transmission unit

NAT: Network Address Translation

NFS: Network File System

NGFW: Next-Generation Firewall

NNTP: Network News Transport Protocol

NTP: Network Time Protocol

OSI: Open Systems Interconnection

OSPF: Open Shortest Path

5
PADT: PPPoE Active Discovery Terminate

PCI: Payment Card Industry

POP3: Post Office Protocol

PPPoE: point-to-point protocol over Ethernet

PPTP: Point-to-Point Tunneling Protocol

RIP: Routing Information Protocol

SaaS: Software As A Service

SICCAM: Salon International des Centres de Contact et dAppels au Maroc

SIP: Session Initiation Protocol

SMTP: Simple Mail Transfer Protocol

SNMP: Simple Network Management Protocol

SSL: Secure Sockets Layer

TCP : Transmission Control Protocol

TFTP: Trivial File Transfer Protocol

UDP : User Datagram Protocol

UTM: Unified threat management

UUCP: Unix to Unix copy utility

VDOM: Virtual domains

VIP: virtual IP address

VOIP: Voice over IP

VPLS: Virtual private LAN service

VPN: Virtual private network

WAIS: Wide Area Information Server

WAN: wide area network

6
Liste des figures

Figure 1: Effectifs Webhelp Maroc ........................................................................................... 13


Figure 2:rseau Webhelp ......................................................................................................... 15
Figure 3: Firewall ...................................................................................................................... 16
Figure 4: Backbone switch........................................................................................................ 18
Figure 5:Comparaison de FortiGate et les autres firewalls ...................................................... 21
Figure 6 : Illustration FortiGate ................................................................................................ 24
Figure 7:Instalation du FortiGate ............................................................................................. 25
Figure 8: illustration de configuration en mode CLI ................................................................. 26
Figure 9 illustartion de connexion au gestionnaire web du FortiGate .................................... 27
Figure 10: illustration du page statut de systeme.................................................................... 27
Figure 11:illustration de configuration de port2...................................................................... 28
Figure 12: ajout d'une route par defaut ................................................................................... 28
Figure 13:Configuration de serveur DSN.................................................................................. 29
Figure 14: Illustration de creation de politique ....................................................................... 29
Figure 15: configuration de l'adresse IP de la machine ........................................................... 30
Figure 16: test de la connexion sur la machine........................................................................ 30
Figure 17: Systeme Information widget ................................................................................... 34
Figure 18:illustration de changement de nom de l'unit FortiGate ........................................ 35
Figure 19:Illustration de changement de mode de Fonctionnement de FortiGate................. 36
Figure 20: illustration de system Ressource widget ................................................................ 37
Figure 21: illustration de changement de Firmware ................................................................ 37
Figure 22: illustration de Backing up the configuration ........................................................... 38
Figure 23: illustration de license Information widgets ............................................................ 39
Figure 24: illustration d'Alert Message Console widgets ......................................................... 39
Figure 25:illustration de command line interface .................................................................... 40
Figure 26:Illustration de Terminologie de la Commande ........................................................ 41
Figure 27: illustration de Top Sessions widgets ....................................................................... 42
Figure 28: illustration des interfaces ........................................................................................ 43
Figure 29: illustration de paramtre de l'interface .................................................................. 44
Figure 30:illustration d'Addressing Mode ................................................................................ 46
Figure 31:illustration de configuration PPPoE d'une interface ................................................ 46
Figure 32: Vlan en Mode Nat/route ......................................................................................... 49
Figure 33:illustration de Vlan transparent ............................................................................... 51
Figure 34: illustration de configuration d'une interface comme relais DHCP ......................... 53
Figure 35:illustration de configuration d'une interface comme un serveur DHCP.................. 53
Figure 36:illustration de la configuration Haute disponinilit ................................................. 55
Figure 37:illustration des message de remplacement ............................................................. 57
Figure 38:illustration d'un message de remplacement ........................................................... 57

7
Figure 39:illustration de visualisation de la liste des rgles pare-feu ...................................... 61
Figure 40:illustration d'option de rgle ACCEPT en mode NAT/route..................................... 62
Figure 41:illustration de regle ACCEPT en mode Transparent ................................................. 62
Figure 42:illustration d'option de rgle DENY .......................................................................... 63
Figure 43:illustration d'option de rgle pare-feu IPSec ........................................................... 65
Figure 44:illustration d'option de rgle pare-feu VPN SSL....................................................... 66
Figure 45:illustration des rgles d'authentification de loption VPN SSL ................................ 67
Figure 46:illustration de visualisation de la liste des services prdfinis ................................ 68
Figure 47:illustration de configuration d'un service personnalis........................................... 74
Figure 48:illustration de configuration de linterface DMZ ..................................................... 75
Figure 49:illustration de cration de premire d'IP virtuel ..................................................... 76
Figure 50: illustration de cration de deuxieme d'IP virtuel ................................................... 76
Figure 51:illustration de cration de la premire politique de scurit ................................. 77
Figure 52: illustration de cration de la deuxime politique de scurit ............................... 77
Figure 53:illustration de rsultat .............................................................................................. 78
Figure 54: illustration de configuration de serveur AD ............................................................ 79

8
Introduction Gnrale

Les rseaux informatiques sont indispensables au bon fonctionnement gnral des


entreprises et des administrations. Tout problmes ou panne dans le systme informatique
dune entreprise peut avoir de lourd consquences aussi bien financires
quorganisationnelle. La protection des rseaux savre donc ncessaire et indispensable.
Elle permet de protger le rseau de la socit aux diffrentes menaces (piratage de
donnes, destruction,).

Pour parer ces attaques, une architecture de rseau scurise est ncessaire.
L'architecture devant tre mise en place doit comporter un composant essentiel qui est le
firewall. Cet outil a pour but de scuriser au maximum le rseau local de l'entreprise, de
dtecter les tentatives d'intrusion et d'y parer au mieux possible. En plaant un firewall
limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les
activits se droulant dans son enceinte.

La socit Webhelp a choisi le FortiGate pour protger son infrastructure rseaux et


le rendre plus puissant contre les attaques malveillantes. Le systme FortiGate utilise la
technologie de Dynamic Threat Prevention System (Systme Dynamique de Prvention des
Attaques). Celle-ci sappuie sur les dernires avances technologiques en matire de
conception de microcircuits, de gestion de rseaux, de scurit et danalyse de contenu.

Lobjectif principal de mon stage cest de raliser un guide dadministration qui est
simple pour faciliter au service technique de la socit Webhelp dadministrer le boitier
FortiGate et utiliser ces fonctions pour mieux exploiter ces fonctions fin dlaborer une
meilleure solution rseau et de protger la socit contre les menaces malveillantes.

Ce rapport est organis en trois chapitres :

Le premier chapitre prsente une description de la socit Webhelp ainsi son


architecture rseau. Le deuxime chapitre prsente une description du boitier FortiGate et
le dploiement du FortiGate sur VMware. Le troisime chapitre prsente un manuel de
FortiGate et sera divis en cinq parties. La premire partie sera ddie au statut de systme,
la deuxime partie sera ddie au systme rseaux, la troisime partie sera ddie au

9
systme DHCP, la quatrime partie sera ddie au politique de scurit et rgles de pare-feu
et la cinquime sera ddie lutilisateur.

10
Chapitre 1 : Prsentation de la socit Webhelp MultiMedia et
cahier des charges

11
1). Introduction

Dans ce chapitre on va prsenter la socit Webhelp, ainsi son architectures rseau


et cahier des charges

2). Prsentation du Web Help

Webhelp Maroc se positionne aujourdhui comme leader dans les mtiers de la


gestion de la relation client externalise, et comme le premier employeur de la capitale
chrifienne avec un portefeuille de clients prestigieux.

Cr en juin 2000 par Frdric Jousset et Olivier Duha, Webhelp est prsent au Maroc
depuis 2002.

Avec plus de 6400 employs rpartis sur 11 sites et 4 villes du royaume (Rabat,
Kenitra, Fs et Agadir), Webhelp est un acteur majeur dans le domaine de la gestion de la
relation client.

C'est une entreprise d'hommes et de femmes partageant la mme volont de


russite. Le dveloppement de Webhelp na cess de progresser depuis son implantation au
Maroc :

2002 : Webhelp Maroc choisit la ville de Rabat pour limplantation de son premier
site au centre-ville avec un effectif de 400 personnes.
2003-2006 : Webhelp Maroc est dclar 1er oprateur off-shore, certifi ISO 9001
version 2000. Webhelp confirme son expertise et son professionnalisme en attirant
de plus en plus de clients. L'entreprise compte alors 2330 salaris, soit une croissance
de plus de 582% depuis le dbut de son activit. Confirmant son dveloppement,
cette priode marque aussi l'ouverture de 4 nouveaux sites : 3 sur Rabat et un
premier site Fs.
2006 (11 Mai) : Pionnier dans l'innovation, Webhelp est rcompens pour sa capacit
dinnovation conomique et sa capacit gnrer de la croissance porteuse demploi
en remportant le Grand Prix Maroc Innovation.
2006 (19 Mai) : Webhelp remporte le Trophe des extensions du SICCAM (Salon
International des Centres de Contact et dAppels au Maroc), pour avoir tendu
davantage ses activits au Maroc
2007-2008 : En 2007, Webhelp obtient la certification NF 345 pour l'ensemble de
ses centres de contact. La croissance rgulire de Webhelp Maroc continue avec
l'ouverture de 2 autres sites Fs et d'un site Rabat Hay Ryad.
2009-2011 : En 2009, Webhelp obtient la certification LRS (Label Responsabilit
Sociale). Webhelp Maroc confirme encore sa position de leader avec plus de 6400
collaborateurs en ouvrant 2 nouveaux sites sur Sal Al Jadida (Technopolis) et
Kenitra.

12
2012 : Webhelp fte ses 10 ans au Maroc avec l'ouverture de son 11me site
Agadir. Son Label Responsabilit Sociale est renouvel.

Figure 1: Effectifs Webhelp Maroc

3). Organigramme

Direction
Gnrale

Direction de Direction de
Sites Production

Direction Admi- Direction de


Direction Direction Direction de la la Qualit &
nistrative &
des Technique Communication Mthodes
Financire
Ressources
Humaines

Prsidence et Direction Gnrale

Le Prsident et le Directeur Gnral dfinissent les priorits et les objectifs de


l'entreprise court, moyen & long terme, et coordonnent toutes les quipes pour atteindre
ces objectifs.

13
Direction de Sites

Les Directeurs de Sites pilotent, sur leur site ou domaine de responsabilit, les
activits confies par nos clients dans le respect des engagements contractuels, ainsi que
des processus et normes du Groupe Webhelp. Pour cela, ils sappuient sur les Directeurs de
Production.

Direction de Production

Les Directeurs de Production pilotent le personnel de production et sassurent quil


met en place chaque jour et chaque contact nos standards de qualit, de
professionnalisme et de qualit relationnelle.

Direction des Ressources Humaines

Les quipes Ressources Humaines travaillent en forte proximit avec les quipes de
Production. Elles recrutent, forment et assurent la monte en comptence de nos salaris
tout le long de leur carrire. Elles grent galement l'administration du personnel et les
relations sociales.

Direction Technique

La Direction Technique s'assure du bon fonctionnement au quotidien de l'entreprise


et notamment de la tlphonie, de l'informatique, des rseaux, du support, et des services
gnraux.

Direction de la Qualit & Mthodes

La Direction de la Qualit & Mthodes est le garant du respect des normes pour
lesquelles Webhelp est certifie (ISO, EN/NF, LRS, PCI). Elle accompagne les quipes de
production pour l'amlioration de la qualit de leurs projets. Elle met galement en place les
outils et processus d'amlioration continue.

Direction Administrative & Financire

La Direction Administrative et Financire, paule par la Direction Audit & Contrle


de Gestion, joue un triple rle : concevoir, mettre en uvre et dvelopper un systme
d'information et de gestion financire performant en vue de renforcer lorganisation interne
de Webhelp et damliorer sa gestion financire.

Direction de la Communication

La Direction de la Communication est garante de limage de marque et de la


notorit de lentreprise, en interne comme en externe. Elle assure les relations presse et
gre galement laspect vnementiel : convention, kermesse, soires, animations et week-
end.

14
4). Architecture rseaux du WebHelp

Figure 2:rseau Webhelp

IPVPLS
Virtual private LAN service (VPLS) est un service Ethernet multipoint--multipoint
fonctionnant au-dessus d'un rseau IP muni d'un mcanisme de tunnel (en gnral
MultiProtocol Label Switching(MPLS)). Il permet d'interconnecter des LAN de plusieurs sites
distincts qui apparaissent comme tant sur le mme LAN Ethernet. En ce qui concerne les
fournisseurs de services, le VPLS s'appuie sur le MPLS pour crer une solution fiable,
volutive et oprationnellement efficace. S'agissant des entreprises, le VPLS s'appuie sur
l'Ethernet pour fournir un service multipoint simple et conomique assorti d'accords sur la
qualit de service pour les diffrents types de trafic. L'avantage par rapport aux solutions de
Rseau priv virtuel de niveau-2 MPLS ou L2TPv3, qui ne fournissent que des services de
tunnels de niveau 2 en point point, est que les solutions VPLS fournissent des services de
connectivit multipoint (de tout point tout point).

15
Router
Un routeur est un lment intermdiaire dans un rseau informatique assurant le
routage des paquets. Son rle est de faire transiter des paquets d'une interface rseau vers
une autre, au mieux, selon un ensemble de rgles. Il y a habituellement confusion entre
routeur et relais, car dans les rseaux Ethernet les routeurs oprent au niveau de la couche 3
de l'OSI.

FIREWALL
Figure 3: Firewall

Dispositif informatique qui filtre les flux d'informations entre un rseau interne un
organisme et un rseau externe en vue de neutraliser les tentatives de pntration en
provenance de l'extrieur et de matriser les accs vers l'extrieur.

Le but est de fournir une connectivit contrle et matrise entre des zones de
diffrents niveaux de confiance, grce l'application de la politique de scurit et d'un
modle de connexion bas sur le principe du moindre privilge qui dicte que chaque
fonctionnalit ne doit possder que les privilges et ressources ncessaires son excution,
et rien de plus. Ainsi en cas de dfaillance grave du systme, les dommages ne peuvent pas

16
dpasser ce qui est autoris par les privilges et les ressources utiliss, ces derniers tant
eux-mmes limits par la sparation de privilge.

Le filtrage se fait selon divers critres. Les plus courants sont :

l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface rseau,
etc.).
les options contenues dans les donnes (fragmentation, validit, etc.).
les donnes elles-mmes (taille, correspondance un motif, etc.).
les utilisateurs pour les plus rcents.

Catgories de pare-feu :

Pare-feu tats

Les pare-feux tats vrifient la conformit des paquets une connexion en cours.
Cest--dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du
prcdent paquet et la rponse un paquet dans l'autre sens. Ils savent aussi filtrer
intelligemment les paquets ICMP qui servent la signalisation des flux IP.

Pare-feu applicatif

Dernire gnration de pare-feu, ils vrifient la complte conformit du paquet un


protocole attendu. Par exemple, ce type de pare-feu permet de vrifier que seul le protocole
HTTP passe par le port TCP 80. Ce traitement est trs gourmand en temps de calcul ds que
le dbit devient trs important. Il est justifi par le fait que de plus en plus de protocoles
rseaux utilisent un tunnel TCP afin de contourner le filtrage par ports.

Pare-feu personnel

Les pare-feux personnels, gnralement installs sur une machine de travail, agissent
comme un pare-feu tats. Bien souvent, ils vrifient aussi quel programme est l'origine
des donnes. Le but est de lutter contre les virus informatiques et les logiciels espions.

Portail captif

Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un
rseau de consultation afin de leur prsenter une page web spciale (par exemple :
avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser
accder Internet. Ils sont utiliss pour assurer la traabilit des connexions et/ou limiter
l'utilisation abusive des moyens d'accs. On les dploie essentiellement dans le cadre de
rseaux de consultation Internet mutualiss filaires ou Wi-Fi.

17
Backbone ou Switch serveur

Il constitue le centre nvralgique d'un rseau haut dbit. Littralement pine


dorsale. Dans le contexte des rseaux de tlcommunications dsigne la partie qui supporte
le gros du trafic, en utilisant les technologies les plus rapides et une grande bande passante
sur des distances importantes.

Backbone relie tous les Switch entre eux est Divisant le rseau en sous-rseaux.

Figure 4: Backbone switch

5). Pourquoi le pare-feu

Les menaces qui ciblent les entreprises ne cessent dvoluer. Ces attaques sont de
plus en plus cibles et de plus en plus sophistiques.

Les malwares et les botnets sont de plus en plus sophistiqus, de plus en plus
discrets, et ne sarrtent pas par un simple blocage de ports.

Les APT (Advanced Persistent Threats) sinstallent sur le long terme au cur des
infrastructures. Leur objectif principal consiste implanter des mcanismes qui permettent
de voler des informations et des identits sans tre reprs. Cest la cl du business des
cybercriminels. De fait, ces APT peuvent tre actives durant de nombreux moins et parfois
mme des annes avant dtre dtectes et radiques.

Les AET (Advanced Evasion Techniques) sont lun des nouveaux moyens
dimplantation des APTs. Les cybercriminels utilisent diffrentes techniques dvasion pour
chapper aux protections rseau. Les techniques les plus simples consistent altrer les

18
ports standards des applications protges pour les faire utiliser des ports autoriss, glisser
des activits interdites au sein dun protocole autoris (comme le VPN), chiffrer les
contenus malveillants. Aujourdhui, les techniques avances (AET) combinent plusieurs
mcanismes et divisent les attaques en actions autorises - car juges individuellement non
dangereuses - qui, une fois regroupes et combines, forment une menace.

Les attaques par dni de service (DDoS) sont de plus en plus rpandues et dsormais
la porte de nimporte qui. On trouve en effet trs aisment sur Internet des services en
ligne faon SaaS (Software As A Service) qui permettent, moyennant quelques euros, de
porter une telle attaque contre nimporte quel serveur, site ou entreprise. La plupart du
temps, ces attaques cherchent rendre inaccessible un site ou un e-commerce (commerce
lectronique) avec parfois du chantage la cl (arrt des attaques contre une ranon).
Quelquefois ces attaques sont aussi l pour crer un bruit de fond afin de masquer une
intrusion plus sournoise.

Parce quils sont au cur du rseau, les pare-feu conservent une place stratgique
pour parer les cybercriminels. Mais face cette varit de menaces et de techniques
cybercriminelles, les pare-feu classiques ne suffisent plus et ne peuvent plus jouer le rle de
gardien quon leur attribuait autrefois. Les techniques dvasion permettent de les
contourner bien trop facilement. Car les concepts des pare-feu classiques ont t crs bien
avant linvasion des malwares et du Web 2.0.

En effet la socit Webhelp propose un service d'assistance en ligne en temps rel


pour internautes nophytes. A la demande des clients, ils font rapidement voluer le
concept de dpart en intgrant une offre de centre d'appels qui permet Webhelp de
proposer des prestations de hotline, de tlmarketing, et de traitement de courriers et d'e-
mails. Dtecter et conqurir de nouveaux clients, les fidliser, les assister, optimiser la
gestion de son portefeuille clients, exploiter au mieux ses bases de donnes. Webhelp
adresse l'ensemble des besoins en matire de relation client au travers des diffrents canaux
de contact (voix, e-mail, chat...).

Les mtiers de Webhelp sont :

La conqute : acquisition, prise de commande, tlvente / tlmarketing, prise de


rendez-vous.
La gestion : assistance commerciale, assistance technique, service client / SAV,
recouvrement.
La fidlisation : gestion des rclamations, rtention, vente additionnelle.

Ces dernier sont risque par les attaques quon cite avant, cest pour cela on a
besoin de protger le rseau de la socit contre ces attaques.

19
6). Pourquoi FortiGate

Avant de choisir un UTM/NGFW, il faut sintresser diffrents points. Tout d'abord,


sa richesse fonctionnelle, autrement dit les diffrents boucliers incorpors et leur degr
dintelligence. Ensuite, Il faut sintresser sa puissance, autrement dit sa capacit grer
assez dutilisateurs pour satisfaire aux besoins de lentreprise. Enfin, il faut sintresser ses
fonctionnalits de gestion du rseau et la convivialit de son interface utilisateur.

6.1) Les fonctionnalits de scurit surveiller

Parmi les fonctionnalits que lon peut croiser sur les UTM/NGFW et dont la prsence
doit tre vrifie lors des choix, on retiendra :

IPS intgr : Tous les UTM/NGFW intgrent un systme de prvention et de


dtection dintrusion (IPS/IDS) sappuyant en gnral sur un mcanisme de rgles et
de signatures prdfinies.
Contrle applicatif : lune des grandes particularits des UTM/NGFW est de
comprendre la notion dapplication.
Bouclier Anti-DDOS : Les attaques par dni de service sont un grand classique.
Certains UTM/NGFW fournissent des filtres spciaux et combinent les boucliers IPS,
Rputation et Golocalisation des IP pour nettoyer les flux entrants.
Antivirus et dtection APT : Aujourdhui quasiment tous les UTM/NGFW embarquent
un antivirus intgr afin de dtecter et bloquer les malwares et les APT.
Antispam : la plupart des UTM/NGFW intgrent galement un antispam. Celui-ci
analyse tous les emails entrant et limine automatiquement ceux rputs comme
dangereux.
Fonction DLP (Data Leak Prevention) : certains UTM disposent d'une fonctionnalit
qui interdit certains utilisateurs de transfrer des informations sensibles.
Contrle des accs mobile et VPN : Aujourdhui les accs au systme dinformation
depuis lextrieur sont indispensables et permanents.
Contrle des utilisateurs : Les UTM/NGFW savent aussi contrler les utilisateurs et
permettent de dfinir des rgles en fonction des utilisateurs.

6.2) La gestion du rseau

Le pare-feu est un lment cl du rseau par lequel gravite tout le trafic protger.
Un UTM/NGFW compte en gnral plusieurs ports Ethernet qui peuvent tre attribus
diffrents VLANs (rseaux virtuels) ou utiliss comme un Switch filtrant dun rseau unique.

20
6.3) Efficacit

L'efficacit commence par vrifier comment le Pare-feu nouvelle gnration gre les
flux chiffrs (typiquement https) de plus en plus utiliss dans tous les changes y compris
ceux relevant du trafic cybercriminel. Le botier doit tre en mesure de dchiffrer ces flux
pour que ses fonctionnalits antivirales, antispam et IPS puissent fonctionner. Certains
botiers peuvent se rvler aveugles sur de tels flux. D'autres vont imposer l'installation d'un
certificat sur chaque poste.

6.4) Performances

La performance dun pare-feu se mesure sa bande passante, autrement dit la


quantit de donnes qu'il peut analyser et transfrer par seconde. Celle-ci influence
directement le nombre dutilisateurs simultanment supports et devrait - dans tous les cas
de figure - tre suprieure la bande passante Internet de votre entreprise.

La figure ci-dessous montre une comparaison entre le FortiGate et les autres Firewall :

Figure 5:Comparaison de FortiGate et les autres firewalls

La socit Webhelp a choisi le FortiGate non seulement il est le leader mondial de la scurit
UTM mais aussi il assure un dbit pare-feu pouvant atteindre 16 Go/s et aussi une Souplesse
et simplicit de dploiement ainsi que La matrise il garantit Une scurit robuste et
exhaustive et Une gestion des menaces performante et acclre.

7). Cahier de charge

Ladministration du pare-feu est en effet un souci quotidien. Un pare-feu install une


premire fois et oubli perd trs rapidement toute efficacit. Il faut adapter les rgles
lvolution des menaces, lvolution de linfrastructure, lvolution du parc de machines,
lvolution des applications et des usages.

21
Les administrateurs se contentent parfois de rajouter des rgles au fur et mesure
des incidents et de lvolution des usages. Or la multiplication des rgles conduit vite
leffondrement des performances voire parfois rendre tout le systme totalement
inoprant. Il faut savoir adapter les rgles et supprimer celles devenues inutiles.

Cest pour cela la socit Webhelp veut un guide dadministration qui est simple et
applicable pour faciliter au service technique dadministrer le boitier FortiGate et utiliser ces
fonctions pour voluer la scurit rseau de la socit et de la protger contre les menaces
malveillants.

Objectif : raliser un guide dadministration pour le boitier FortiGate.

8). Conclusion

Dans ce chapitre on a pu prsenter la socit WebHelp ainsi que le cahier de charges


le chapitre suivant traitera le boitier FortiGate ainsi le dploiement de FortiGate sur
VMware.

22
Chapitre 2 : Prsentation et Dploiement du FortiGate sur VMware

23
1). Introduction

Dans ce chapitre on va prsenter le Boitier FortiGate UTM, ainsi le dploy sur


Vmware.

2). Prsentation du FortiGate

Figure 6 : Illustration FortiGate

Les botiers FortiGate Unified Threat Management System (Systme de Gestion


Unifie des Attaques) scurisent les rseaux, rduisent les mauvais usages et abus rseaux
et contribuent une utilisation plus efficace des ressources de communication, sans
compromettre la performance de votre rseau. La gamme a reu les certifications ICSA pare-
feu, VPN IPSec et antivirus.

LAppliance FortiGate est un botier entirement ddi la scurit. Il est convivial et


fournit une gamme complte de services, que ce soit:

au niveau des applications (comme le filtrage antivirus, la protection contre les


intrusions, les filtrages antispam, de contenu web et IM/P2P).
au niveau du rseau (comme le pare-feu, la dtection et prvention dintrusion,
les VPN IPSec et VPN SSL et la qualit de service).
Au niveau de ladministration (comme lauthentification dun utilisateur, la
journalisation, les rapports du FortiAnalyzer, les profils dadministration, laccs
scuris au web et laccs administratif CLI et SNMP).

Le systme FortiGate utilise la technologie de Dynamic Threat Prevention System


(Systme Dynamique de Prvention des Attaques) (DTPS). Celle-ci sappuie sur les dernires
avances technologiques en matire de conception de microcircuits, de gestion de rseaux,

24
de scurit et danalyse de contenu. Cette architecture unique base sur un Asic permet
d'analyser en temps rel les contenus applicatifs et les comportements du rseau.

3). Dploiement du FortiGate sur VMware

Figure 7:Instalation du FortiGate

3.1) Configuration de ladresse IP du port 1 du FortiGate VM

1. Dans votre gestionnaire de l'hyperviseur, redmarrer le FortiGate VM et accder la


fentre de la console.

2. Au FortiGate VM invite de connexion entrez le nom d'utilisateur admin. Par dfaut il


n'y a pas mot de passe. Il suffit d'appuyer sur Retour.

3. Utilisation des commandes CLI de configurer l'adresse port1 IP et le masque. En


outre, l'accs HTTP doit tre activ.

25
Figure 8: illustration de configuration en mode CLI

3.2) Connectez-vous au gestionnaire web du FortiGate

Lorsque vous avez configur l'adresse IP port1 et le masque, lancez un navigateur


Web et saisissez l'adresse IP que vous avez configur pour port1. la page de connexion,
entrez le nom d'utilisateur admin et Le mot de passe par dfaut est aucun mot de passe et
slectionnez Connexion.

26
Figure 9 illustartion de connexion au gestionnaire web du FortiGate

La page du statut systme apparat avec une bote de dialogue de licence d'valuation:
Figure 10: illustration du page statut de systme

Chaque VM Fortinet inclut une licence d'essai de 15 jours. Pendant ce temps, la


machine virtuelle FortiGate fonctionne en mode d'valuation. Avant d'utiliser le FortiGate
VM vous devez entrer le fichier de licence que vous avez tlcharg le Service la clientle
et site Web du support lors de l'inscription.

3.3) Configuration de port2

Allez au System > Network > Interfaces et cliquez sur dit linterface.

27
Figure 11:illustration de configuration de port2

Si votre FortiGate se connecte directement votre FAI, rglez Mode d'adressage sur
Manuel et dfinissez le IP / Netmask l'adresse IP publique de votre FAI vous a fourni.

Si vous avez un quipement entre votre FortiGate et l'Internet (par exemple, un


routeur), puis le wan1 IP utilisera une adresse IP prive.

Si cet quipement utilise DHCP, dfinissez Mode d'adressage DHCP pour obtenir une
adresse IP attribue l'interface.

Si l'quipement de FAI ne pas utiliser DHCP, votre FAI peut vous fournir la bonne
adresse IP prive utiliser pour l'interface.

3.4) Ajout dune route par default

Allez au Router > Static > Static Routes and Crer une nouvelle route.

Figure 12: ajout d'une route par defaut

28
Dfinir la destination IP / Masque 0.0.0.0/0.0.0.0, l'appareil l'interface ct
Internet, et la Gateway la passerelle fournies par votre FAI ou au routeur de saut suivant,
en fonction de votre rseau exigences.

3.5) Configuration du FortiGate DNS servers

Pour changer ladresse du serveur DNS, allez au System> Network > DNS et ajouter
Les serveurs DNS primaires et secondaires.

Figure 13:Configuration de serveur DSN

3.6) Cration du politique

Allez au Policy & Objects > Policy > IPv4 et de crer une nouvelle politique.

Dfinir l'interface entrant l'interface source et l'interface de sortie l'interface


destination.

Figure 14: Illustration de creation de politique

29
3.7) configuration dadresse de la machine virtuelle ubuntu
Figure 15: configuration de l'adresse IP de la machine

3.8) Test de la connexion sur la machine virtuel ubuntu


Figure 16: test de la connexion sur la machine

4). Conclusion

Suite ce chapitre on a pu prsenter comment dploy FortiGate sur VMware. Le


chapitre suivant prsentera un manuel de FortiGate qui est devis en cinq parties : statut de
systme, systme rseaux, systme DHCP, politique de scurit et rgles de pare-feu et la
dernire sera ddie lutilisateur.

30
Chapitre 3: Elaboration dun manuel de FortiGate

31
I. Introduction
Dance chapitre on va prsenter un guide dutilisation de FortiGate et ces principe
Fonctionnalit.

II. Statuts du Systme


Ce chapitre dcrit la page Statut du Systme, le tableau de bord de votre FortiGate.
On y retrouve les statuts en cours du botier FortiGate, y compris le numro de srie, lusage
des ressources du systme, les informations sur la licence FortiGuard, les messages dalerte
et les informations sur la session.

1). Page des statuts


La page Statut du Systme, galement appele tableau de bord reprend les
statuts oprationnels en cours du systme. Tous les administrateurs FortiGate dont les
profils daccs prvoient les droits en lecture de la configuration du systme peuvent
visualiser les informations sur les statuts du systme.

Les administrateurs FortiGate dont les profils daccs prvoient les droits en criture
de la configuration du systme peuvent modifier ou mettre jour les informations du botier
FortiGate.

A tout moment, vous pouvez slectionner Systme > Statut pour visualiser la page
Statut du Systme. Pour visualiser cette page, votre profil daccs doit prvoir les droits en
lecture de la configuration du systme. Si vous avez galement les droits en criture de la
configuration du systme, vous pouvez modifier les informations du systme et mettre
jour les bases de connaissances antivirus et IPS FortiGuard.

2). Menus du statut de system


Page du statut de permet d'accder system aux options de configuration pour la
plupart des caractristiques FortiOS des menus principaux. Le gestionnaire Web contient les
menus principaux suivants :

System :

Configurer les paramtres du systme, tels que les interfaces rseau, les domaines
virtuels, les services DHCP et DNS, les administrateurs, les certificats, haute disponibilit
(HA), l'heure du systme, les options mis en systme et dfinir les options d'affichage sur le
gestionnaire bas sur le Web.

Router :

Configurer Routage statique, routage dynamique et multicast et afficher l'cran de


l'itinraire.

Policy :

Configuration du firewall policies, options du protocole et Central NAT Table.

32
Firewall Objects :

Configurer le contenu de support pour les politiques de pare-feu, y compris la


planification, services, shapers du trafic, les adresses IP virtuelles, et l'quilibrage de charge.

Security Profiles :

Configurer antivirus et de filtrage de messagerie, filtrage web, protection contre les


intrusions, les donnes de prvention des fuites, le contrle des applications, VOIP, ICAP et
la rputation du client.

VPN :

Configurer IPsec et SSL virtual private networking.

User & Device :

Configurer les comptes d'utilisateurs et l'authentification des utilisateurs, y compris le


menu de l'authentification externe comprend galement des fonctions de scurit des
terminaux, tels que la configuration de FortiClient et les modles de dtection d'application.
WAN Opt. & Cache :

Configurer l'optimisation WAN et de mise en cache Web pour amliorer les


performances et la scurit de passage du trafic entre les emplacements sur votre rseau
tendu (WAN) ou partir de l'Internet vos serveurs Web.

WiFi & Switch Controller:

Configurer l'appareil pour agir en tant que contrleur de rseau sans fil, la gestion de
la fonctionnalit de point d'accs sans fil (AP) de FortiWiFi et FortiAP units.
Log & Report :

Configurer la journalisation et alerte e-mail ainsi que des rapports. Voir les messages
du journal et des rapports.

3). Dashboard
Les diffrents menus du tableau de bord fournit un moyen d'accder des
informations sur les activits et les vnements rseau, ainsi que de configurer les
paramtres de base du systme. Vous pouvez facilement ajouter plus de tableaux de bord et
de modifier celles qui existent dj pour voir facilement le contenu dont vous avez besoin.

Chaque information "morceau" se trouve au sein d'un widget. Widgets offrent un


moyen facile et rapide pour afficher une varit d'informations, telles que les informations
statistiques ou l'activit du rseau. Il y a une slection de widgets choisir en slectionnant
l'option Widgets.

33
Les administrateurs doivent avoir lire et crire des privilges pour l'ajout et la
configuration des tableaux de bord et des widgets.

3.1) Ajout du dashboard et widgets


Dashboards que vous crez sont automatiquement ajouts dans le statut par dfaut
et d'utilisation des tableaux de bord. Vous pouvez ajouter, supprimer ou renommer un
tableau de bord, peu importe que ce soit par dfaut.

Vous pouvez galement rinitialiser le menu du tableau de bord ses paramtres par
dfaut en slectionnant Rinitialiser Dashboards.

Pour ajouter Dashboard:

1. Allez au System > Dashboard > Status.

2. Slectionner Dashboard, situ en haut gauche de la page.

3. Slectionner Add Dashboard.

4). System Information widget


System Information widget affiche des informations d'tat sur l'unit de FortiGate et
constitue le point d'accs pour mettre jour le firmware et la sauvegarde des
configurations.

Figure 17: Systeme Information widget

Host Name : Le nom de l'unit de FortiGate.


Serial Number : le numro de srie de l'unit de FortiGate. Le numro de srie est
spcifique cette unit de FortiGate et ne change pas avec les mises jour du
firmware.
Operation Mode : Le mode de fonctionnement actuel de l'unit de FortiGate. Une
unit de FortiGate peut fonctionner en mode NAT ou en mode transparent.
(Slectionnez Modifier pour basculer entre NAT et mode transparent).

34
HA Status : Le statut de la haute disponibilit (HA) au sein du cluster. Standalone
indique l'unit de FortiGate ne fonctionne pas en mode HA. Actif-passif ou actif-actif
indiquent l'unit de FortiGate fonctionne en mode HA.
System Time : La date et l'heure. Slectionnez Modifier, pour configurer l'heure du
systme.
Firmware Version : La version du firmware install sur le botier FortiGate.
Slectionnez Mise jour pour tlcharger une version diffrente du micrologiciel.
System Configuration : La priode de temps lorsque le fichier de configuration a t
sauvegard. Backup pour sauvegarder la configuration actuelle Pour restaurer un
fichier de configuration, slectionnez Restaurer.
Current : Le nombre d'administrateurs actuellement connect l'unit de FortiGate.
Administrator : Slectionnez Dtails pour afficher plus d'informations sur chaque
administrateur qui est actuellement connect.
Uptime : Le temps en jours, heures et minutes depuis l'unit de FortiGate a t
dmarr ou redmarr.
Virtual Domain : Statut des domaines virtuels sur votre unit de FortiGate.
Slectionnez ENABLE ou DESABLE pour modifier le statut de domaines virtuels
vedette Si vous activez ou dsactivez les domaines virtuels, votre session prendra fin
et vous devrez vous connecter nouveau.

5). Changer le nom d'hte de l'unit de FortiGate


Le nom d'hte apparat dans le nom d'hte de suite, dans le widget de System
Information. Le nom d'hte apparat galement l'invite de CLI lorsque vous tes connect
cette dernire et comme le nom du systme SNMP.
Pour modifier le nom d'hte de l'unit de FortiGate, dans le widget du Systme
d'information, slectionnez Change dans le nom de lhte. Les seuls administrateurs qui
peuvent changer le nom d'hte d'une unit FortiGate sont des administrateurs dont les
profils d'administration d'autoriser l'accs configuration du systme d'criture. Si l'unit de
FortiGate fait partie d'un cluster HA, vous devez utiliser un nom d'hte unique pour
distinguer l'unit de FortiGate des autres dans le cluster.

Figure 18:illustration de changement de nom de l'unit FortiGate

35
6). Modification du mode de fonctionnement
Units FortiGate peuvent fonctionner en NAT ou en mode transparent. partir du
widget du tableau de bord Systme d'information, vous pouvez modifier le mode de
fonctionnement de votre unit de FortiGate ou pour une VDOM et effectuer la configuration
de rseau suffisante pour vous assurer que vous pouvez connecter au page statut du
systme dans le nouveau mode

Figure 19:Illustration de changement de mode de Fonctionnement de FortiGate

Mode NAT

En mode NAT, le FortiGate est visible sur le rseau auquel il est connect et toutes
ses interfaces se trouvent sur diffrents sous-rseaux. Chaque interface qui est connecte
un rseau doit tre configure avec une adresse IP qui est valide pour ce sous-rseau.

Vous utiliserez gnralement le mode NAT lorsque l'unit de FortiGate est dploy
en tant que passerelle entre les rseaux publics et privs (ou entre tous les rseaux).

FortiGate fonction comme un routeur, il achemine le trafic de routage entre ses


interfaces. Les politiques de scurit contrlent la communication travers l'unit de
FortiGate la fois sur Internet et entre les rseaux internes. In NAT mode, the FortiGate unit
performs network address translation before IP packets are sent to the destination network.
For example, a company has a FortiGate unit as their interface to the Internet. L'unit de
FortiGate agit galement comme un routeur plusieurs sous-rseaux au sein de l'entreprise.
Dans cette situation, l'unit de FortiGate est rgl sur le mode NAT et dispose d'un port
dsign pour l'Internet, wan1, avec une adresse 172.20.120.129, qui est l'adresse IP
publique. Les segments de rseau internes sont derrire le botier FortiGate et invisible
l'accs du public, par exemple le port 2 une adresse de 10.10.10.1. L'unit de FortiGate
traduit les adresses IP qui le traverse pour acheminer le trafic vers le bon sous-rseau ou
Internet.

Le mode transparent

En mode transparent, le FortiGate est invisible pour le rseau. Toutes ses interfaces
sont sur le mme sous-rseau et partager la mme adresse IP. Pour connecter l'unit de
FortiGate votre rseau, tout ce que vous avez faire est de configurer une adresse IP et
une route par dfaut. Vous pouvez utiliser gnralement l'unit de FortiGate en mode
transparent sur un rseau priv derrire un pare-feu existant ou derrire un routeur. En
mode transparent, le FortiGate fonctionne galement comme un pare-feu. Les politiques de

36
scurit contrlent les communications travers l'unit de FortiGate l'Internet et le rseau
interne. Aucun trafic ne peut passer travers l'unit de FortiGate jusqu' ce que vous
ajoutez des politiques de scurit.

Par exemple, la socit dispose d'un routeur ou un autre pare-feu en place. Le rseau
est suffisamment simple pour que tous les utilisateurs soient sur le mme rseau interne. Ils
ont besoin de l'unit de FortiGate pour effectuer le contrle des applications, antivirus,
protection contre les intrusions et l'analyse du trafic similaire. Dans cette situation, l'unit de
FortiGate est en mode transparent. Le trafic passant par l'unit de FortiGate ne change pas
l'adressage du routeur vers le rseau interne. Les politiques de scurit et des profils de
scurit dfinissent le type danalyse de l'unit de FortiGate effectue sur le trafic entrant
dans le rseau.

7). System Resources widget

Le widget du System Ressources affiche lutilisation des ressources de base de


FortiGate. Ce widget affiche les informations de la CPU et de la mmoire soit en temps rel
ou des donnes historiques. Pour les units FortiGate avec plusieurs processeurs, vous
pouvez afficher l'utilisation du processeur comme une moyenne de tous les processeurs ou
chacun individuellement.

Figure 20: illustration de system Ressource widget

8). Changement du firmware


Pour modifier le firmware slectionner le lien de mise jour sur la ligne la version du
firmware.

Figure 21: illustration de changement de Firmware

37
Upgrade From : Slectionnez la source dans la liste des sources disponibles vers le bas du
firmware.

Upgrade File : Accdez l'emplacement de l'image du microprogramme sur votre disque dur
local. Ce champ est disponible pour le disque dur local et USB seulement.

9). Backing up the configuration


Slectionnez Sauvegarde dans la ligne de configuration du systme, pour sauvegarder
le fichier de configuration du firmware sur un ordinateur local, disque USB ou une unit de
FortiManager. Vous devez toujours sauvegarder votre configuration chaque fois que vous
apportez des modifications la configuration de l'appareil ou d'effectuer des mises jour du
firmware ou des changements.

Figure 22: illustration de Backing up the configuration

10). License Information widget


Le widget License d'information affiche l'tat de votre contrat de support technique
et abonnements FortiGuard. L'unit de FortiGate met jour les informations de licence des
indicateurs d'tat automatiquement lors de la connexion au rseau de distribution
FortiGuard (FDN). Abonnements FortiGuard indicateurs d'tat sont verts si le FDN tait
accessible et la licence tait valable au cours de la dernire tentative de connexion, gris si le
botier FortiGate ne peut pas se connecter au FDN, et orange si le FDN est accessible.

38
Figure 23: illustration de license Information widgets

Support Contract : Affiche des dtails sur votre contrat actuel Fortinet Support.
FortiGuard Services : Affiche vos licences actuelles pour les services de FortiGuard.
Slectionnez Renouveler pour mettre jour l'une des licences.
FortiClient Software : Affiche les dtails de licence FortiClient et le nombre de registre
et les utilisateurs de FortiClient autoriss. Vous pouvez slectionner Dtails pour plus
d'informations sur les utilisateurs actuels FortiClient
Virtual Domain : Affiche le nombre maximum de domaines virtuels de l'unit de
FortiGate supporte avec la licence actuelle. Pour les modles haut de gamme, vous
pouvez slectionner l'achat Plus lien pour acheter une cl de licence par un appui
technique Fortinet pour augmenter le nombre maximum de VDOMs.
11). Alert Message Console widget
Le widget Console Alert Messages vous permet de surveiller les vnements du
systme sur votre unit de FortiGate tels que les changements de firmware, les vnements
de scurit rseau, ou des vnements de dtection de virus. Chaque message indique la
date et l'heure de l'vnement.
Figure 24: illustration d'Alert Message Console widgets

39
12). CLI Console widget

Le widget CLI Console vous permet d'accder la CLI sans quitter le gestionnaire
bas sur le Web.

Les deux commandes situes sur la barre de titre du widget CLI Console sont
Personnaliser et Dtacher.

Dtachez dplace la console CLI widget dans une fentre pop-up que vous pouvez
redimensionner et repositionner. Slectionnez Joindre. Pour dplacer le widget de retour
la page de la planche de bord.

Personnaliser vous permet de modifier l'apparence de la console en slectionnant les


polices et couleurs pour le texte et les couleurs pour le texte et le fond

Figure 25:illustration de command line interface

13). Syntaxe de la commande

Lors de la saisie d'une commande, l'interface de ligne de commande (CLI) exige que
vous utilisez la syntaxe correcte et se conformer aux contraintes d'entre attendues. Il
rejettera les commandes non valides. Documentation Fortinet utilise les conventions
suivantes pour dcrire la syntaxe de commande valide

13.1). Terminologie

Chaque ligne de commande se compose d'un mot de commande qui est


gnralement suivie par des mots pour les donnes de configuration ou un autre lment
spcifique que la commande utilise ou affecte: obtenir administrateur systme Pour dcrire
la fonction de chaque mot dans la ligne de commande, surtout si cette nature a chang
entre les versions de firmware, Fortinet utilise des termes avec les dfinitions suivantes.

40
Figure 26:Illustration de Terminologie de la Commande

command : Un mot qui commence la ligne de commande et indique une action que l'unit
de FortiGate doit effectuer sur une partie de la configuration ou de l'hte sur le rseau,
comme config ou excuter. Ensemble avec d'autres mots, tels que les champs ou les valeurs,
cette fin lorsque vous appuyez sur la touche Entre, il forme une ligne de commande. Les
exceptions incluent les lignes de commande multilignes, qui peuvent tre saisis l'aide d'une
squence d'chappement. Lignes de commande valides doivent tre sans ambigut si
abrge. Mots facultatifs ou d'autres permutations de ligne de commande sont indiqus par
la notation de syntaxe.

sub-command : Une sorte de commande qui est disponible uniquement lorsque imbriqu
dans le cadre d'une autre commande. Aprs avoir entr une commande, ses sous-
commandes applicables sont disponibles pour vous jusqu' ce que vous quittez le champ
d'application de la commande, ou jusqu' ce que vous descendez d'un niveau
supplmentaire dans une autre sous-commande. Dentelure est utilise pour indiquer les
niveaux de commandes imbriques.

Toutes les commandes de haut niveau ont des sous-commandes. Sous-commandes


disponibles varient selon leur champ d'application contenant.

Object : Une partie de la configuration qui contient des tables ou des champs. lignes de
commande valides doivent tre suffisamment prcis pour indiquer un objet individuel.

table : Un ensemble de champs qui est l'un des multiples ventuellement des ensembles
similaires qui ont chacun un nom ou un numro, comme un compte d'administrateur, de la
politique, ou de l'interface rseau. Ces ensembles nomms ou numrotes sont parfois
rfrencs par d'autres parties de la configuration qui les utilisent.

field : Le nom d'un paramtre, comme ip ou nom d'hte. Les champs dans certaines tables
doivent tre configurs avec des valeurs. Dfaut de configurer un champ obligatoire se
traduira par un message d'erreur de configuration d'objet non valide, et l'unit de FortiGate
rejettera la table non valide.

value : Un chiffre, une lettre, l'adresse IP, ou tout autre type d'entre qui est
habituellement votre configuration rglage tenue par un champ. Certaines commandes

41
ncessitent cependant des valeurs d'entre multiples qui ne peuvent tre nomms, mais
sont simplement entrs dans un ordre squentiel dans la mme ligne de commande. types
d'entre valides sont indiqus par la notation contrainte.

option : Une sorte de valeur qui doit tre un ou plusieurs mots partir d'un ensemble fixe
d'options.

14). Top Sessions widget

The Top Sessions widget sondages l'unit FortiGate pour obtenir des informations de
session pour IPv4 ou les adresses IPv6, ou les deux. Redmarrage de l'unit de FortiGate se
rinitialise les statistiques Top Session zro. Lorsque vous slectionnez Dtails pour
afficher la liste des sessions en cours, une liste de toutes les sessions actuellement traites
par l'unit de FortiGate.
Figure 27: illustration de Top Sessions widgets

42
III. Systme Rseau
Cette partie dcrit comment configurer votre FortiGate pour oprer sur votre rseau.
Les paramtres rseaux de base comprennent la configuration des interfaces FortiGate et
des paramtres DNS. La configuration plus avance comprend lajout de sous-interfaces
VLAN et de zones la configuration rseau du FortiGate.

1). Interface
En mode NAT/Route, slectionnez Systme > Rseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
agrger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modles 800 et plus).
combiner des interfaces physiques en une interface redondante
ajouter et configurer des sous-interfaces VLAN
modifier la configuration dune interface physique
ajouter des interfaces sans fil (pour les modles WiFi-60 et WiFi-60 AM
uniquement).

Figure 28: illustration des interfaces

2). Paramtres de linterface


Pour configurer une interface, slectionnez Systme > Rseau > Interface. Cliquez sur
Crer Nouveau pour crer une nouvelle interface. Pour diter une interface existante,
slectionnez licne Editer de cette interface.

43
Figure 29: illustration de paramtre de l'interface

Nom de linterface : Entrez un nom pour linterface. Il nest pas possible de modifier le nom
dune interface existante.

Type : vous pouvez crer des interfaces VLAN, agrges 802.3ad et redondantes.

Interface : Slectionnez le nom de linterface physique laquelle voulez adjoindre une sous-
interface VLAN. Une fois cr, le VLAN est repris dans la liste des interfaces en dessous de
son interface physique. Il est impossible de modifier linterface dune sous-interface VLAN
existante

ID VLAN : Entrez lID du VLAN qui correspond lID du VLAN des paquets destins cette
sous-interface VLAN. Il est impossible de modifier lID dune sous-interface VLAN existante.

Mode dadressage : Pour configurer une adresse IP statique dune interface slectionnez
Manuel et entrez adresse IP/masque de rseau dans le champ prvu cet effet. Ladresse IP
doit tre sous le mme sous-rseau que le rseau auquel linterface se connecte. Deux
interfaces ne peuvent pas avoir leurs adresses IP sur le mme sous-rseau.

Accs administratif : Slectionnez les types daccs administratifs permis sur cette interface

2.1). Interface agrge 802.3ad


Vous pouvez agrger (combiner) deux ou plusieurs interfaces pour augmenter la
bande passante et fournir quelques redondances de lien. Cela offre lavantage dune plus
grande bande passante mais augmente le risque de points de panne potentiels par rapport
aux interfaces redondantes. Les interfaces doivent se connecter la mme destination du
prochain saut.

Une interface est disponible pour agrgation uniquement si:

il sagit dune interface physique et non pas dune interface VLAN

44
elle ne fait pas dj partie dune interface agrg ou redondante

elle est dans le mme VDOM que linterface agrge

elle na pas dadresse IP dfinie et nest pas configure partir de DHCP ou PPPoE

elle na pas de serveur DHCP ou de relais configur

elle na pas de sous-interfaces VLAN

elle nest pas reprise dans une rgle pare-feu, VIP, IP Pool ou multicast

2.2). Interface redondante


Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance de
liens. Cette fonctionnalit vous permet de vous connecter deux ou plusieurs commutateur
afin dassurer une connectivit continue mme dans le cas o une interface ou un des
quipements devait tomber en panne.

La diffrence entre un lien redondant et un lien dagrgation rside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface la fois (peu importe le
nombre de liens redondants). Cependant les interfaces redondantes permettent des
configurations plus robustes avec un risque de points de pannes plus faible. Ceci est
important dans une configuration en maillage intgral HA.

Une interface peut tre une interface redondante seulement si :

il sagit dune interface physique et non pas dune interface VLAN


elle ne fait pas dj partie dune interface agrge ou redondante
elle est dans le mme VDOM que linterface redondante
elle na pas dadresse IP dfinie et nest pas configure partir de DHCP ou PPPoE
elle na pas de serveur DHCP ou relais configur
elle na pas de sous-interface VLAN
elle nest pas prsente dans une rgle pare-feu, VIP, IP Pool ou multicast
elle nest pas contrle par un HA.

2.3). Configuration DHCP dune interface


Lorsque vous configurez une interface pour une utilisation DHCP, le botier FortiGate
met automatiquement une requte DHCP. Linterface est configure avec ladresse IP et
ventuellement les adresses serveur DNS, ainsi que les adresses des passerelles par dfaut
fournies par le serveur DHCP.

Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou
slectionnez licne Editer dune interface existante. Dans la section de Mode dAdressage,
slectionnez DHCP.

45
Figure 30:illustration d'Addressing Mode

Distance : Entrez la distance administrative de la passerelle par dfaut retrouve par


le serveur DHCP.la distance administrative, entre 1 et 255, indique la priorit relative
dune route lorsquil en existe plusieurs vers une mme destination.
Retrieve default gateway from server : Activez cette option pour retrouver ladresse IP
dune passerelle par dfaut partir dun serveur DHCP.
Override internal DNS : Permet de remplacer les adresses IP du serveur DNS de la page
DNS par des adresses DNS retrouves par le serveur DHCP.

2.4). Configuration PPPoE dune interface


Lorsque vous configurez une interface pour une utilisation PPPoE (Point-to-Point
Protocol over Ethernet), le botier FortiGate met automatiquement une requte PPPoE.
Vous pouvez dsactiver Connecter si vous configurez le botier. FortiGate hors ligne et ne
dsirez pas envoi de la requte PPPoE.

Le botier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y compris


les IP non numrotes, les timeouts decompris les IP non numrotes, les timeouts dActive
Discovery Terminate (PADT).

Figure 31:illustration de configuration PPPoE d'une interface

Username : Le nom dutilisateur du compte PPPoE.


Password : le mot de passe du compte PPPoE.
Unnumbered IP : Spcifiez ladresse IP de linterface. Dans le cas o votre FAI
(Fournisseur dAccs Internet) vous en a affectes plusieurs, choisissez-en une parmi

46
celles-ci. Par ailleurs, cette adresse IP peut tre identique celle dun interface ou
peut galement tre nimporte quelle adresse IP.
Initial Disc Timeout: Initial Discovery Timeout. Il sagit du temps dattende avant
quune nouvelle tentative de dcouverte PPPoE soit lance. Pour dsactiver cette
option, affectez-lui 0.
Initial PADT Timeout : Initial PPPoE Active Discovery Terminate Se dfinit en secondes.
Sert fermer la session PPPoE aprs un laps de secondes dinactivit dfini dans
cette option. PADT doit tre support par votre FAI. Pour dsactiver cette option,
affectez-lui 0.
Distance : Entrez la distance administrative de la passerelle par dfaut retrouve par
le serveur PPPoE.
Retrieve default gateway from server : Permet de retrouver une adresse IP dune
passerelle par dfaut partir dun serveur PPPoE. La passerelle par dfaut est
ajoute la table de routage statique.
Override internal DNS : Permet de remplacer les adresses IP du serveur DNS de la page
DNS par des adresses DNS retrouves par le serveur DHCP.

3). Configuration additionnelle des interfaces

3.1). Ajouter une adresse IP secondaire


Adresse secondaire ne peut pas se trouver sur le mme sous-rseau que linterface
primaire ou que toute autre interface ou adresse IP secondaire.

3.2). Modifier la taille MTU des paquets qui quittent une interface
1. Slectionnez Systme > Rseau > Interface.
2. Cliquez sur licne Editer de linterface choisie.
3. Slectionnez la valeur de Remplacer la valeur MTU par dfaut (1500).
4. Dfinissez une nouvelle valeur MTU.

3.3). Configurer la journalisation du trafic pour les connexions vers une interface
1. Slectionnez Systme > Rseau > Interface.
2. Cliquez sur licne Editer de linterface choisie.
3. Activez la case Journaliser pour enregistrer les messages journaliss lorsquune rgle
pare-feu accepte une connexion cette interface.
4. Cliquez sur OK porter les changements.

Remarque : Un redmarrage du FortiGate est ncessaire pour mettre jour la nouvelle


valeur du MTU des sous-interfaces VLAN sur cette interface.

4). Aperu sur les VLAN


Un VLAN est un groupe de PC, serveurs et autres quipements dun rseau qui
communiquent comme sils faisaient partie dun mme segment LAN, alors que ce nest pas
forcment le cas. Par exemple, les stations de travail et serveurs dun dpartement de

47
comptabilit peuvent tre disperss dans un btiment, connects plusieurs segments du
rseau et quand bien mme faire partie dun mme VLAN.

Dans un VLAN les quipements sont segments logiquement et non pas


physiquement. Chaque VLAN est trait comme un domaine de diffusion. Les quipements du
VLAN 1 peuvent se connecter avec dautres quipements du VLAN 1, mais ne peuvent pas se
connecter avec des quipements dautres VLAN. La communication entre les quipements
dun VLAN ne dpend pas du rseau physique.

Un VLAN distingue les quipements en ajoutant des balises VLAN 802.1Q tous les
paquets reus et envoys par ces quipements. Ces balises sont des extensions de 4 octets
comprenant un identificateur VLAN ainsi que dautres informations.

Les VLAN offrent une grande flexibilit, une segmentation efficace du rseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de
la localisation physique.

5). Equipements FortiGate et VLAN


Dans une configuration VLAN classique, des balises VLAN sont ajoutes aux paquets
par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore des pare-feu. Les
commutateurs niveau 2 grent les paquets cheminant entre des machines dun mme VLAN,
tandis que les paquets cheminant entre des machines de VLAN diffrents sont pris en charge
par des quipements niveau 3 tels que routeur, pare-feu ou commutateur niveau 3.

Grce lutilisation dun VLAN, un seul botier FortiGate fournit des services de
scurit et des connexions sous contrle entre de multiples domaines scuris Le trafic
provenant de chaque domaine scuris reoit un identificateur VLAN diffrent. Le botier
FortiGate reconnat les identificateurs VLAN et applique les rgles de scurit pour protger
les rseaux et le trafic VPN IPSec entre les domaines scuriss. Le botier FortiGate
appliquent galement les fonctionnalits dauthentification, de profils de protection et
autres rgles pare-feu sur le trafic du rseau et le trafic VPN autoris circuler entre les
domaines scuriss.

6). VLAN en mode NAT/Route


En mode rout, le botier FortiGate opre comme un quipement niveau 3 pour
contrler le flot de paquets entre les VLAN. Le botier FortiGate peut galement retirer les
balises VLAN des paquets VLAN entrants et transfrer les paquets non baliss vers dautres
rseaux, comme Internet.

En mode rout, le botier FortiGate supporte les VLAN pour la construction de


tronons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le botier
FortiGate. Normalement linterface interne du botier FortiGate se connecte un tronon
VLAN sur un commutateur interne, tandis que linterface externe se connecte en amont

48
vers un routeur Internet non balis. Le botier FortiGate peut alors appliquer diffrentes
rgles pour les trafics sur chaque VLAN connect linterface interne.

A partir de cette configuration, vous pouvez ajouter linterface interne du botier


FortiGate des sous-interfaces VLAN qui possdent les identificateurs VLAN correspondants
aux identificateurs des paquets du tronon VLAN. Le botier FortiGate dirige alors les
paquets avec les identificateurs VLAN vers les sous-interfaces avec les identificateurs
correspondants.

Figure 32: Vlan en Mode Nat/route

Ajout de sous-interfaces VLAN

1. Slectionnez Systme > Rseau > Interface.


2. Cliquez sur Crer Nouveau pour ajouter une sous-interface VLAN.
3. Entrez un nom pour identifier cette nouvelle sous-interface.
4. Slectionnez linterface physique qui doit recevoir les paquets VLAN
lattention de cette sous-interface VLAN.
5. Configurez les paramtres de la sous-interface VLAN telle que pour les autres
interfaces FortiGate.
6. Cliquez sur OK pour enregistrer les changements.

Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels.

49
7). VLAN en mode Transparent
En mode Transparent, le botier FortiGate peut appliquer des rgles pare-feu et des
services tels que lauthentification, les profils de protection et autres fonctions pare feu au
trafic dun tronon VLAN IEEE 802.1. Le botier FortiGate peut tre insr en mode
Transparent dans le tronon sans quil soit ncessaire dapporter des modifications au
rseau. Dans une configuration classique, linterface interne du FortiGate accepte les
paquets VLAN sur un tronon VLAN provenant dun commutateur VLAN ou dun routeur
connect des VLAN internes. Linterface externe du FortiGate transfre les paquets baliss
par le tronon jusqu un commutateur VLAN externe ou un routeur connect
ventuellement Internet. Le botier FortiGate peut tre configur pour appliquer
diffrentes rgles au trafic pour chaque VLAN du tronon.

Il faut ajouter une sous-interface VLAN linterface interne et une autre linterface
externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du
FortiGate. Dans le cas o ces sous-interfaces VLAN ont les mmes identificateurs, le botier
FortiGate applique des rgles pare-feu au trafic de ce VLAN.

Dans le cas o par contre les sous-interfaces VLAN ont des identificateurs diffrents,
ou si plus de deux sous-interfaces sont ajoutes, vous pouvez galement crer des rgles
pare-feu qui contrlent les connexions entre les VLAN.

Un botier FortiGate oprant en mode Transparent peut scuriser le trafic du rseau


passant entre les diffrents VLAN si ce rseau utilise des balises VLAN IEEE 802.1 pour
segmenter son trafic.

Lorsquun botier FortiGate reoit un paquet balis VLAN sur lune de ses interfaces,
ce paquet est dirig vers la sous-interface VLAN possdant lidentificateur VLAN
correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination
au paquet en fonction de son adresse MAC de destination. Les rgles pare-feu des sous-
interfaces VLAN source et de destination sappliquent au paquet. Si celui-ci est accept par
le pare-feu, le botier FortiGate le transfert vers la sous-interface VLAN de destination.
Lidentificateur du VLAN de destination est ajout au paquet par le botier FortiGate et il est
envoy au tronon VLAN.

50
Figure 33:illustration de Vlan transparent

Lillustration reprsente un quipement FortiGate oprant en mode Transparent et


configur avec trois sous-interfaces VLAN. Dans cette configuration un quipement
FortiGate peut tre ajout ce rseau pour fournir chaque VLAN une analyse antivirus, un
filtrage de contenu web ainsi que des services supplmentaires.

51
IV. Systme DHCP

Cette partie dcrit lutilisation du protocole DHCP fournissant une configuration


rseau automatique et pratique pour vos clients.

1). Serveurs et relais DHCP FortiGate


Le protocole DHCP permet aux htes dobtenir automatiquement leur adresse IP.
Eventuellement, ils peuvent aussi obtenir les paramtres de la passerelle par dfaut et du
serveur DNS.
Vous pouvez configurer un ou plusieurs serveurs DHCP sur nimporte quelle interface
FortiGate. Un serveur DHCP affecte dynamiquement des adresses IP aux htes du rseau
connects cette interface. Les ordinateurs htes doivent tre configurs de manire
obtenir leurs adresses IP via DHCP.
Dans le cas o une interface est connecte de multiples rseaux via des routeurs,
vous pouvez ajouter un serveur DHCP pour chaque rseau. La plage dadresses IP pour
chaque serveur DHCP doit correspondre la plage dadresses du rseau. Les routeurs
doivent tre configurs pour les relais DHCP.
Vous pouvez configurer une interface FortiGate comme relais DHCP. Linterface transfre
alors les requtes DHCP des clients DHCP vers un serveur externe DHCP, et renvoient ensuite
les rponses aux clients Le serveur DHCP doit avoir un routage appropri de manire ce
que ses paquets-rponses aux clients DHCP arrivent au botier FortiGate.

2). Configuration des services DHCP


Slectionnez System >Network > DHCP serveur et cliquer sur Create New pour ajouter
les services DHCP.
Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou
dajouter autant de serveurs DHCP que ncessaire.
Un serveur DHCP est configur par dfaut sur linterface Interne, avec les paramtres
suivants :
o Plage dadresses IP
o Masque de rseau
o Passerelle par dfaut
o Dure du bail
o Serveur DNS 1

2.1). Configuration dune interface comme relais DHCP


Slectionnez System > Network > DHCP serveur et cliquez sur Create New ou licne Edit
pour voir ou modifier la configuration du relais DHCP dune interface.

52
Figure 34: illustration de configuration d'une interface comme relais DHCP

2.2). Configuration dun serveur DHCP


Slectionnez System >Network > DHCP serveur et cliquer sur Create New pour ajouter
les services DHCP ou cliquer sur licne Editer pour modifier les paramtres.

Figure 35:illustration de configuration d'une interface comme un serveur DHCP

Lease time: The lease time dtermine la dure d'une adresse IP reste affect un client.
Une fois le bail expire, l'adresse est libre pour l'allocation la prochaine demande du
client pour une adresse IP La dure de bail par dfaut est de sept jours.

53
Assigning IP address by MAC address : Pour empcher les utilisateurs de changer leurs
adresses IP et de provoquer des conflits d'adresses IP ou l'utilisation non autorise
d'adresses IP, vous pouvez lier une adresse IP une adresse MAC spcifique en utilisant
DHCP.

Utilisez la CLI pour rserver une adresse IP pour un client particulier identifi par son
adresse MAC du priphrique et le type de connexion. Le serveur DHCP attribue ensuite
toujours l'adresse IP rserve au client. Le nombre d'adresses rserves que vous pouvez
dfinir des plages entre 10 et 200 selon le modle FortiGate.

Aprs la mise en place d'un serveur DHCP sur une interface en allant dans Systme>
Rseau> Interface, slectionnez la flche bleue ct de Avanc pour dvelopper les
options. Si vous connaissez l'adresse MAC du systme slectionnez Crer un nouveau pour
l'ajouter, ou si le systme a dj connect, recherchez dans la liste, slectionnez la case
cocher et slectionnez Ajouter de la liste des clients DHCP.

Vous pouvez galement faire correspondre une adresse une adresse MAC dans le
CLI. Dans l'exemple ci-dessous, l'adresse IP 10.10.10.55 pour l'utilisateur 1 est affect
l'adresse MAC 00: 09: 0F: 30: CA: 4F.

config system dhcp reserved-address


edit User1
set ip 10.10.10.55
set mac 00:09:0F:30:CA:4F
set type regular
end

2.3). DHCP Monitor


Pour afficher des informations sur les connexions de serveur DHCP, slectionnez
System > Monitor > DHCP Monitor.

54
V. Configuration du Systme
Cette partie dcrit la configuration de plusieurs fonctionnalits non lies au rseau,
telles que cluster HA, messages de remplacement personnaliss.

Les HA, messages de remplacement font partie de la configuration globale du


FortiGate.

1). Haute Disponibilit (high availability)


La Haute Disponibilit (HA) FortiGate offre une solution aux deux exigences les plus
critiques des rseaux dentreprises : une fiabilit perfectionne et une performance
croissante.

La Haute Disponibilit FortiGate simplmente en configurant deux ou plusieurs


quipements FortiGate afin quils oprent en un cluster HA. Pour le rseau, ce cluster HA
saffiche comme un seul quipement FortiGate, traitant le trafic du rseau et fournissant les
services de scurit tels que pare-feu, VPN, prvention contre les intrusions, analyse des
virus, filtrage web et antispam.

Figure 36:illustration de la configuration Haute disponinilit

Au sein dun cluster, les quipements individuels FortiGate sont appels membres.
Ces membres partagent les informations sur leur tat et configuration. Dans le cas dune
dfaillance de lun des membres, les autres membres du cluster prennent en charge lactivit
du membre en panne. Aprs la panne, le cluster continue de traiter le trafic rseau et de
fournir les services FortiGate sans interruption du service.

Chaque cluster FortiGate est form dun membre primaire (aussi appel matre) et
dun ou plusieurs membres subordonns (aussi appels esclave ou redondants) Le membre
primaire contrle le fonctionnement du cluster. Les rles jous par les membres primaire et
subordonn(s) dans le cluster dpendent du mode dans lequel le cluster opre.

55
Lavantage quoffre le cluster de fournir continuellement un service pare-feu, mme
dans le cas dune dfaillance, est appel la redondance. La redondance HA FortiGate signifie
que votre rseau ne doit pas sappuyer sur un FortiGate pour continuer de fonctionner. Vous
pouvez installer des membres additionnels et former un cluster HA. Les autres membres du
cluster prendront le relais en cas de dfaillance dun des membres

Une deuxime fonctionnalit HA, appele lquilibrage de charge, sert augmenter


les performances pare-feu. Un cluster de membres FortiGate peut augmenter la
performance du rseau grce un partage de la charge que reprsentent le traitement du
trafic et la fourniture des services de scurit. Le cluster saffiche sur le rseau comme un
seul quipement, ce qui augmente ses performances apporter de modifications votre
configuration rseau.

1.1). Modes HA (actif-actif et actif-passif)


Les membres FortiGate peuvent tre configurs pour oprer en mode HA actif-actif
(A-A) ou actif-passif (A-P) . Les clusters actif-actif et actif-passif fonctionnent aussi bien en
mode NAT/Route que Transparent. Un cluster HA actif-passif (A-P), aussi appel rplication
HA, se compose dun membre primaire qui analyse le trafic et dun ou plusieurs membre(s)
subordonn(s). Ces derniers sont connects au rseau et au membre primaire mais ne
traitent pas le trafic.

Le mode HA actif-actif (A A) quilibre la charge du traitement du trafic vers tous les


membres du cluster. Un cluster HA actif-actif se compose dun membre primaire et dun ou
plusieurs membre(s) subordonn(s) qui traitent ensemble tout le trafic. Le membre primaire
utilise algorithme dquilibrage de charge pour distribuer le traitement tous les membres
du cluster.

2). Messages de remplacement


Lquipement FortiGate adjoint des messages de remplacement plusieurs types de
flux de contenu. Par exemple, si un virus est trouv dans un email, le fichier contamin est
supprim de lemail et remplac par un message de remplacement. Cette procdure
sapplique galement aux pages Internet bloques par un filtrage web et aux emails bloqus
par un filtrage antispam.

Slectionnez Systme > Configuration > Messages de Remplacement pour modifier les
messages de remplacement et personnaliser les emails et informations sur les alertes que le
botier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et
sessions FTP.

56
2.1). Liste des messages de remplacement

Figure 37:illustration des messages de remplacement

Exemple dun message de remplacement dun virus HTTP

Figure 38:illustration d'un message de remplacement

Les messages de remplacements scrivent sous forme de texte ou de messages


HTML. Vous pouvez ajouter des messages HTML. De plus, les messages de remplacement

57
peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs
reoivent le message de remplacement, la balise est remplace par un contenu en rapport
avec le message

VI. Politiques de scurit et des Rgles de pare-feu


Le plus gnralement, des units de FortiGate sont employes pour commander
l'accs entre l'Internet et un rseau, permettant typiquement des utilisateurs sur le rseau
(tel qu'un rseau de bureau) de se relier l'Internet tout en protgeant le rseau contre
l'accs non dsir de l'Internet. Ainsi une unit de FortiGate doit savoir ce que l'accs devrait
tre admis et ce qui devrait tre bloqu. Cest pour on a les politiques de scurit,
commandant tout le trafic passer par une unit de FortiGate. Aucun trafic ne peut passer par
une unit de FortiGate moins que spcifiquement ait permis par une politique de scurit.

Une fois qu'on permet le trafic, pratiquement toutes les caractristiques de FortiGate
sont appliques au trafic permis par des politiques de scurit. D'une politique de scurit,
vous pouvez contrler la translation d'adresse, commander les adresses et les services
employs par le trafic, et appliquer des caractristiques telles qu'UTM, authentification, et
VPNs.

1). Politiques de scurit


Il est simple d'installer une unit de FortiGate pour permettre des utilisateurs sur
un rseau d'accder l'Internet tout en bloquant le trafic de l'Internet d'accder au rseau
protg. Tout ce qui est exig est une politique de scurit simple qui permet au trafic du
rseau interne de se relier l'Internet. Tant que vous n'ajoutez pas une politique de scurit
pour permettre le trafic de l'Internet sur votre rseau interne, votre rseau est protg.

Quand un utilisateur se relie l'Internet, ils s'attendent une rponse (par exemple,
quand vous vous reliez un site Web vous comptez voir une page Web). La mme politique
de scurit qui te permet de vous relier l'Internet galement permet des serveurs que vous
entrez en contact pour rpondre vous. En effet, une politique simple permet le trafic
bidirectionnel, mais le trafic entrant est seulement permis en rponse aux demandes
envoyes par vous.

Quoiqu'il n'y ait aucun risque du trafic non dsir provenant de l'Internet
obtenant sur votre rseau interne, les utilisateurs se relient l'Internet et tlchargent des
donnes. Ces tlchargements peuvent parfois inclure les articles non dsirs, tels que des
virus. Cela fait leur voie l'unit de FortiGate votre rseau. Pour protger votre rseau
contre ce problme, les politiques de scurit sont galement la manire d'allumer toutes
les caractristiques de FortiGate UTM. Par exemple, les utilisateurs peuvent tlcharger un
virus en passant en revue le Web ou en recherchant l'email. Vous pouvez protger votre
rseau contre ce danger en ajoutant le virus balayant la scurit maintient l'ordre qui
permettent des utilisateurs de se relier l'Internet. L'avantage de cette approche est que
vous pouvez appliquer des dispositifs de scurit directement au trafic permis. Ceci signifie

58
galement que vous pouvez appliquer les dispositifs de scurit faits sur commande
chaque politique de scurit et chaque type de trafic permis par l'unit de FortiGate. Les
dispositifs de scurit sont appliqus utilisant des objets et des profils d'UTM. Vous pouvez
crer autant de profils comme vous avez besoin et les mlangez et assortissez dans une
politique de scurit au besoin.

2). Dfinition des Rgles de pare-feu


Les objets de pare-feu incluent des adresses, des services, et des programmes qui
sont employs dans les politiques de scurit pour commander le trafic admis ou bloqu par
une politique de scurit. Des adresses sont assorties avec la source et l'adresse de
destination des paquets reus par l'unit de FortiGate. Les adresses de pare-feu peuvent
tre les adresses IPv4 ou IPv6 qui dfinissent un un dispositif ou un rseau. Vous pouvez
galement ajouter des Domain Name au lieu des adresses numriques et employer
l'adressage gographique pour spcifier tous les IP adresses du trafic provenant d'un pays
spcifique. Ces outils puissants d'adresse te permettent d'adapter des adresses aux besoins
du client pour n'importe quelle condition de politique de scurit.

Les units de FortiGate incluent un large ventail de services rseau prdfinis qui
peuvent tre ajouts aux politiques de scurit. Par exemple, vous pouvez ajouter une
politique de scurit qui arrte tout le trafic de HTTP juste en ajoutant le service de HTTP
une politique de scurit. Les services prdfinis incluent des services rseau de base tels
que HTTP, FTP, TCP, SMTP et services plus spcialiss tels que H323 (utilis pour VoIP et le
media), MMS (le service de messagerie de multimdia employ par des tlphones
portables) et ainsi de suite. Vous pouvez galement facilement crer des services des
douanes si votre rseau emploie les services rseau qui ne sont pas dans la liste prdfinie
par FortiGate de services.

Vous devez ajouter au moins un service une politique de scurit. Vous pouvez
galement ajouter des multiples services une politique de scurit simple si vous voulez
la politique aux types multiples du trafic. N'importe quel service prdfini accepte le trafic
utilisant n'importe quel service rseau.

Les objets de pare-feu incluent galement des traffic shapers, utiliss pour
normaliser des crtes et des clats de trafic pour donner la priorit certains coulements
au-dessus d'autres. Une grande varit de trafic formant des options sont disponible, vous
permettant de personnaliser le lissage du trafic en fonction de vos besoins de rseaux et
d'appliquer le trafic personnalis de mise en forme de toute politique de scurit.

Firewall schedules contrle quand les politiques de scurit sont en activit. Vous
pouvez limiter quand une politique est en activit en s'ajoutant schedules dfinissant le
temps l'o la politique est en activit. Vous pouvez crer recurring schedules qui prennent
effet plusieurs reprises des moments prcis de certains jours de la semaine.

59
The Virtual IP sont des objets pare-feu ajouts aux politiques de scurit pour
effectuer diverses formes de traduction d'adresses de rseau de destination (D-NAT) y
compris l'adresse IP de destination et de translation de port de destination et la redirection
de port.

L'objet final de pare-feu est load balancing, qui est une extension de l'IPS virtuel
pour charger le trafic d'quilibre passant par l'unit de FortiGate aux serveurs multiples.
Programmes d'quilibrage de la charge de soutiens d'quilibrage de la charge de FortiGate
divers, vraie surveillance de la sant de serveur, persistance, et acclration de SSL.

3). Comment l'ordre de liste affecte l'assortiment de politique


Lorsque le botier FortiGate reoit une tentative de connexion sur une interface, il
slectionne une liste de rgles dans laquelle il va chercher une rgle qui corresponde la
tentative de connexion. Le botier FortiGate choisit la liste de rgles en fonction des adresses
source et de destination de la tentative de connexion.

Le botier FortiGate commence alors sa recherche par le haut de la liste et descend


jusqu la premire rgle qui corresponde aux adresses source et de destination, au port
service et au jour et heure de la tentative de connexion reue. La premire rgle
correspondante sapplique la tentative de connexion. Si aucune rgle ne correspond, la
connexion est abandonne. En rgle gnrale, toujours organiser les rgles pare-feu de la
plus spcifique la plus gnrale.

Les rgles gnrales sont des rgles qui peuvent accepter des connexions avec de
multiples adresses sources et de destination, ainsi quavec des intervalles dadresses. Elles
peuvent galement accepter des connexions de multiples ports service ou avoir des horaires
trs ouverts. Si vous dsirez ajouter des rgles qui sont des exceptions aux rgles gnrales,
ces exceptions doivent tre ajoutes au-dessus des rgles gnrales, dans la liste de rgles.

Par exemple, vous pouvez avoir une rgle gnrale permettant tous les utilisateurs
de votre rseau interne daccder tous les services Internet. Si vous dsirez bloquer laccs
aux serveurs FTP sur Internet, vous devriez ajouter au-dessus de la rgle gnrale une rgle
qui bloque les connexions FTP. La rgle de dni bloque les connexions FTP mais les tentatives
de connexion de tous les autres types de services ne correspondent pas la rgle FTP mais
correspondent la rgle gnrale. De ce fait, la pare-feu accepte toutes les connexions du
rseau interne vers Internet, lexception des connexions FTP.

Concernant les correspondances de rgles, il faut galement savoir que :

Les rgles qui ncessitent une authentification doivent tre ajoutes la liste de
rgles au-dessus des rgles correspondantes qui nen ncessitent pas Sinon, la rgle
qui ne ncessite pas dauthentification est slectionne en premier.
Les rgles sur le mode tunnel VPN IPSec doivent tre ajoutes la liste de rgles au-
dessus des rgles daccs ou de blocage correspondantes.

60
Les rgles sur le VPN SSL doivent tre ajoutes la liste de rgles au-dessus des
rgles daccs ou de blocage correspondantes.

4). Visualisation de la liste des rgles pare-feu


La liste de politique de pare-feu montre des politiques de pare-feu dans leur ordre de
priorit assortie pour chaque paire de source et d'interface de destination. Si des domaines
virtuels sont permis sur l'unit de FortiGate, des politiques de pare-feu sont configures
sparment pour chaque domaine virtuel, vous devez accder au VDOM avant que vous
puissiez configurer ses politiques. Vous pouvez ajouter, supprimer, diter, et commander
nouveau des politiques dans la politique numrez. L'ordre de politique de pare-feu affecte
l'assortiment de politique.

Pour visualiser la liste des rgles, slectionnez Pare-feu > Policy.

Figure 39:illustration de visualisation de la liste des rgles pare-feu

5). Options des rgles pare-feu


Lutilisation de rgles pare-feu permet de dfinir la faon dont une rgle pare-feu est
slectionne pour tre applique une session une session de communication et de
dfinir comment le botier FortiGate traite les paquets pour cette session.

Slectionnez Policy>Policy > Policy et cliquez sur Crer Nouveau pour ajouter une
rgle pare-feu.

61
Options des rgles rgle ACCEPT en mode NAT/Route :

Figure 40:illustration d'option de rgle ACCEPT en mode NAT/route

Options des rgles rgle ACCEPT en mode Transparent :

Figure 41:illustration de regle ACCEPT en mode Transparent

62
Options des rgles rgle DENY :

Figure 42:illustration d'option de rgle DENY

Les options suivantes des rgles pare-feu sont configurables :

Source : Spcifiez les caractristiques de la source des paquets IP qui seront sujets
la rgle.
Interface/Zone : Slectionnez le nom de linterface ou de la zone
FortiGate sur laquelle les paquets IP sont reus. Les interfaces et
zones sont configures sur la page Systme > Rseau.
Adresse : Slectionnez le nom dune adresse IP prcdemment
dfinie associer linterface ou zone source ; ou slectionnez
Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du
paquet doit contenir ladresse IP associe pour tre confront la
rgle.
Destination : Spcifiez les caractristiques de la destination des paquets IP qui seront
sujets la rgle.
Interface/Zone : Slectionnez le nom de linterface ou de la zone
FortiGate vers laquelle les paquets IP sont envoys. Les interfaces
et zones sont configures sur la page Systme > Rseau.
Adresse : Slectionnez le nom dune adresse IP prcdemment
dfinie associer linterface ou zone source ; ou slectionnez
Crer Nouveau pour dfinir une nouvelle adresse IP. Len-tte du
paquet doit contenir ladresse IP associe pour tre confront la
rgle.

63
Horaire : Slectionnez une plage horaire ponctuelle ou rcurrente qui contrle la
priode de disponibilit de la rgle. Les horaires peuvent tre cres lavance dans
Pare-feu > Plage horaire.
Service : Slectionnez le nom du service ou du groupe de services qui correspond au
service ou protocole des paquets auquel sapplique cette rgle. Vous pouvez
slectionner les services partir dune longue liste de services prdfinis. Des
services personnaliss peuvent tre cres lavance dans
Pare-feu > Service > Personnalis. Des groupes de services peuvent galement tre
cres lavance dans Pare-feu > Service > Groupe.
Action : Slectionnez la rponse du pare-feu appliquer lorsquun paquet
correspond aux conditions de la rgle.
ACCEPT : Accepte le trafic correspondant la rgle. Vous pouvez
alors configurer les options NAT, profils de protection, log traffic,
shape traffic, authentification ou ajouter un commentaire la
rgle.
DENY : Rejette le trafic correspondant la rgle. La seule option
configurable est la journalisation (journaliser les connexions
refuses par la rgle).
IPSEC : Configure une rgle de cryptage pare-feu IPSEC, qui
entrane le traitement des paquets VPN IPSec par le botier
FortiGate.
SSL-VPN : Configure une rgle de cryptage pare-feu VPN SSL, qui
entrane lacceptation du trafic VPN SSL par le botier
FortiGate. Cette option nest disponible quaprs avoir ajout un
groupe dutilisateurs VPN SSL.
NAT : Activer loption NAT (Network Address Translation) pour la rgle. NAT
translate ladresse source et le port de paquets accepts par la rgle. Lorsque NAT
est activ, les fonctions Pool dAdresses et Port Fixe peuvent tre configurs. NAT
nest pas disponible en mode Transparent.
Pool dAdresses : Slectionnez pour translater ladresse source en
une adresse slectionne arbitrairement dans un pool
dadresses. Un pool dadresses peut se composer dune seule
adresse IP ou dune plage dadresses IP. Une liste de pools
dadresses apparat si ces pools ont t ajouts linterface de
destination. Slectionnez ANY IP Pool pour que le botier
FortiGate slectionne nimporte quelle adresse IP de nimporte
quel pool dadresses ajout linterface de destination.
Slectionnez le nom dun pool dadresses ajout linterface de
destination pour que le botier FortiGate translate ladresse
source en une des adresses dfinies dans ce pool.

64
Vous ne pouvez pas utiliser des pools dadresses lors de
lutilisation de zones. Un pool dadresses peut seulement tre
associ une interface.
Slectionnez un port fixe pour empcher NAT de translater le port
source. Certaines applications ne fonctionnent pas correctement
si le port source est modifi. Dans la plupart des cas, si Port fixe
est slectionn, Pool dAdresses est galement slectionn. Si
Pool dAdresses nest pas slectionn, une rgle qui a loption
Port Fixe slectionne ne peut permettre quune connexion la
fois.
Profil de protection : Slectionnez un profil de protection pour configurer la faon
dont lantivirus, filtrage web, filtrage par catgorie web, filtrage antispam, IPS,
archives et journaux sont appliqus la rgle pare-feu. Les profils de protection
peuvent tre cres lavance ou pendant la configuration dun profil.
Log Allowed Traffic : Slectionnez cette option pour les rgles ACCEPT, IPSEC ou VPN
SSL pour enregistrer les messages dans les journaux chaque fois que la rgle traite
une connexion.
Log Violation Traffic : Slectionnez cette option pour les rgles DENY pour enregistrer
les messages dans les journaux chaque fois que la rgle traite une connexion.
Authentification : Ajoutez des utilisateurs et un profil de protection pare-feu un
groupe dutilisateurs avant de slectionner Authentification.
Traffic Shaping : Cette option permet de contrler la bande passante disponible et
de dfinir les niveaux de priorit du trafic trait par la rgle.
Redirect URL : Si vous entrez un URL dans ce champ, lutilisateur est redirig vers
cette URL aprs authentification et/ou acceptation de la page dinformation
dauthentification de lutilisateur.
Commentaires : Ajoutez une description ou dautres informations sur cette rgle. Le
commentaire peut tre long de 63 caractres, espaces compris.

5.1). Options des rgles pare-feu IPSec


Figure 43:illustration d'option de rgle pare-feu IPSec

Lorsque laction est positionne sur IPSEC, les options suivantes sont disponibles :

VPN Tunnel

65
Slectionnez le nom du tunnel VPN dfini dans la configuration phase1 (VPN>IPsec).
Le tunnel spcifi sera sujet cette rgle de cryptage pare-feu.

Allow Inbound

Activez cette option pour permettre au trafic dun client ou dordinateurs dialup
dun rseau priv distant de dmarrer le tunnel.

Allow Outbound

Activez cette option pour permettre au trafic partir dordinateurs du rseau priv
local de dmarrer le tunnel.

Inbound NAT

Activez cette option pour translater les adresses IP source de paquets entrants
dcrypts en adresse IP de linterface FortiGate au rseau priv local.

Outbound NAT

Activez cette option en combinaison avec une valeur CLI natip pour translater les
adresses sources des paquets sortants en clair en une adresse IP que vous spcifiez. Ne pas
slectionnez cette option moins que vous nayez spcifi une valeur natip partir du CLI.
Dans ce cas, les adresses source de paquets IP sortants sont remplaces avant que les
paquets ne soient envoys travers le tunnel.

5.2). Options des rgles pare-feu VPN SSL


Lorsque lAction est positionne sur SSL-VPN, les options suivantes sont disponibles :

Remarque : Loption VPN SSL est disponible partir de la liste Action aprs quun ou plusieurs
groupes dutilisateurs aient t crs.

Figure 44:illustration d'option de rgle pare-feu VPN SSL

Certificat Client SSL Restrictive

Autorise le trafic gnr par des titulaires dun certificat de groupe. Ces titulaires doivent
tre des membres dun groupe dutilisateurs VPN SSL.

66
Authentification Utilisateur
Pour ajouter des rgles dauthentification cliquez sur Add.

Figure 45:illustration des rgles d'authentification de loption VPN SSL

Mthode :

Si le groupe dutilisateurs li cette rgle de pare-feu est un groupe dutilisateurs


local, slectionnez Local.
Si les clients distance seront authentifis par un serveur RADIUS externe,
slectionnez Radius.
Si les clients distance seront authentifis par un serveur LDAP externe,
slectionnez LDAP.
Slectionnez Any pour activer toutes les mthodes dauthentification ci-dessus.
Lauthentification Local est tente en premier, suivit de Radius et ensuite LDAP.

Slectionnez le nom du groupe dutilisateurs ncessitant un accs VPN SSL. Ne


slectionnez pas plus dun groupe dutilisateurs moins que tous les membres des groupes
dutilisateurs slectionns aient des exigences daccs identiques.

Pour dterminer le niveau de cryptage SSL utiliser slectionner traffic Shapping et


donnez une priorit au trafic slectionn.

6). Service Pare-feu


La fonctionnalit Service permet de dterminer les types de communication qui
seront accepts ou refuss par le pare-feu. Vous pouvez ajouter un ou plusieurs service(s)
prdfini(s) au choix une rgle. Vous pouvez galement crer des services personnaliss
pour chaque domaine virtuel et ajouter des services des groupes de services.

67
6.1). Visualisation de la liste des services prdfinis
Dans le menu principal, slectionnez Pare-feu > Service pour visualiser la liste des
services prdfinis.

Figure 46:illustration de visualisation de la liste des services prdfinis

Authentication Header (AH)

Authentication Header, AH fournit une authentification de lhte source et


lintgrit des donnes, mais pas de secret. Ce protocole est utilis pour lauthentification
par les passerelles IPSec distantes dfinies en mode agressif.

ANY

Convient aux connexions nimporte quel port. Une connexion utilisant nimporte
lequel des services prdfinis est autorise travers le pare-feu.

AOL

Protocole de messagerie instantane.

68
BGP

Protocole de routage Border Gateway Protocol. BGP est un protocole de routage


intrieur/extrieur.

DHCP

Dynamic Host Configuration Protocol alloue des adresses rseau et livre des
paramtres de configuration partir de serveurs DHCP vers les htes.

DNS

Domain Name Service pour la traduction de noms de domaines en adresse IP.

ESP

Encapsulating Security Payload. Ce service est utilis par les tunnels VPN en cl
manuelle pour communiquer des donnes cryptes.

FINGER

Un service rseau fournissant des informations sur les utilisateurs.

FTP

Service FTP pour le transfert de fichiers.

FTP_GET

Service FTP pour le tlchargement de fichiers reus.

FTP_PUT

Service FTP pour le tlchargement de fichiers envoyer .

GOPHER

Service de communications GOPHER. Il organise et affiche les contenus dun


serveur Internet sous forme de liste de fichiers structurs hirarchiquement.

GRE

Generic Routing Encapsulation. Un protocole permettant un protocole rseau


arbitraire dtre transmis sur tout autre protocole rseau arbitraire, en encapsulant les
paquets du protocole dans des paquets GRE.

H323

Protocole multimdia H.323. Il sagit dun standard approuv par ITU


(International Telecommunication Union) dfinissant comment les donnes de confrences
audiovisuelles sont transmis travers les rseaux.

69
HTTP

HTTP est le protocole utilis par la toile web mondiale pour le transfert de
donnes pour les pages web.

HTTPS

HTTPS est un service SSL (Secure socket layer) pour des communications scurises des
serveurs web.

ICMP_ANY

Internet Control Message Protocol est une console de messages et un protocole


de rapport derreurs entre un hte et une passerelle (Internet).

IKE

IKE est charg de ngocier la connexion. Avant qu'une transmission IPSec puisse
tre possible, IKE est utilis pour authentifier les deux extrmits d'un tunnel scuris en
changeant des cls partages.

IMAP

Internet Message Access Protocol est un protocole utilis pour la rception de


courriers lectroniques.

INFO_ADDRESS

Messages de requtes dinformations ICMP.

INFO_REQUEST

Messages de requtes de masque dadresses ICMP.

IRC

Internet Relay Chat permet aux personnes connectes Internet de rejoindre


des discussions en ligne.

Internet Locator Service

Internet Locator Service comprend LDAP, User Locator Service, et LDAP sur TLS
(Transport Layer Security protocoles de scurisation des changes sur Internet).

L2TP

L2TP est un protocole tunnel en mode PPP pour laccs distance.

70
LDAP

Lightweight Directory Access Protocol est un ensemble de protocoles utiliss


pour accder aux informations des services dannuaires.

NFS

Network File System autorise les utilisateurs du rseau daccder des fichiers
partags stocks sur des ordinateurs de diffrents types.

NNTP

Network News Transport Protocol est un protocole utilis pour envoyer,


distribuer et recevoir des messages USENET.

NTP

Network Time Protocol pour la synchronisation de la date et lheure avec un


serveur NTP.

NetMeeting

NetMeeting autorise les utilisateurs de participer des tlconfrences via


Internet comme moyen de transmission.

OSPF

Open Shortest Path First est un protocole de routage commun dtat de lien.

PC-Anywhere

PC-Anywhere est un protocole de contrle distance et de transfert de


fichiers.

PING

ICMP echo request/reply pour tester des connexions vers dautres machines.

POP3

Post Office Protocol est un protocole email pour le tlchargement de


courriers lectroniques partir dun serveur POP3.

PPTP

Point-to-Point Tunneling Protocol est un protocole permettant aux


organisations dtendre leur propre rseau organisationnel travers des tunnels privs sur
lInternet public.

RAUDIO

71
Pour fluer le trafic multimedia audio rel.

RIP

Routing Information Protocol est un protocole commun de routage vecteur


de distance.

RLOGIN

Service RLOGIN pour la connexion distance un serveur.

SAMBA

Samba autorise les clients Microsoft Windows utiliser les services de fichier et
dimpression partir dhtes TCP/IP.

SIP

Session Initiation Protocol dfinit comment les donnes de confrence


audiovisuelle sont transmises travers les rseaux.

SIP- MSNmessenger

Session Initiation Protocol est utilis par Microsoft Messenger pour initier par
Microsoft Messenger pour initier.

SMTP

Simple Mail Transfer Protocol est utilis pour lenvoi de mail entre serveurs
emails sur Internet.

SNMP

Simple Network Management Protocol est un ensemble de protocoles pour la


gestion de rseaux complexes.

SSH

Secure Shell est un service pour connexions scurises dordinateurs lors


dadministrations distantes.

SYSLOG

Service syslog pour connexion distance.

TALK

Un protocole supportant des conversations entre deux ou plusieurs utilisateurs.

TCP

72
Tous les ports TCP de 0 jusqu 65535.

TELNET

Service Telnet pour des connexions vers un ordinateur dadministration pour en


prendre les commandes.

TFTP

Trivial File Transfert Protocol est un protocole de transfert simple de fichiers


similaire FTP mais sans fonctionnalits de scurit.

TIMESTAMP

Messages de requtes ICMP timestamp.

UDP

Tous les ports UDP de 0 jusqu 65535.

UUCP

Unix to Unix copy utility, un protocole simple de copiage de fichiers.

VDOLIVE

Pour fluer le trafic multimedia VDO live.

WAIS

Wide Area Information Server est un protocole de recherche Internet.

WINFRAME

Pour des communications WinFrame entre des ordinateurs munis de Windows NT.

6.2). Configuration des services personnaliss


Des services personnaliss peuvent tre crs lors de la configuration dune rgle
pare-feu en slectionnant Crer Nouveau de la liste Service droulante.

Pour ajouter un service personnalis :

1. Slectionnez Pare-feu > Service > Personnalis.


2. Positionnez le Type de Protocole sur le Protocole que vous voulez.
3. Configurez les paramtres associs.

73
Figure 47:illustration de configuration d'un service personnalis

7). Protger un serveur avec DMZ


Une zone dmilitarise (ou DMZ, de l'anglais demilitarized zone) est un sous-rseau
spar du rseau local et isol de celui-ci et d'Internet (ou d'un autre rseau) par un pare-
feu. Ce sous-rseau contient les machines tant susceptibles d'tre accdes depuis
Internet.

Le pare-feu bloquera donc les accs au rseau local pour garantir sa scurit. Et les
services susceptibles d'tre accds depuis Internet seront situs en DMZ.

La configuration la plus rpandue pour un rseau connect Internet est une


configuration avec firewall et zone dmilitarise (DMZ). Un firewall est plac entre Internet,
le rseau local LAN, et une zone spciale appele DMZ, qui contient serveurs Web,
Extranets, FTP, etc, qui doit pouvoir tre accde dInternet et du LAN local. La DMZ est
une sorte de zone tampon entre lextrieur et le rseau interne:

Dans cet exemple, le rseau DMZ permet d'accder un serveur web en utilisant des
adresses diffrentes pour des utilisateurs internes et externes, tout en empchant l'accs
partir du serveur Web au rseau interne lorsque le serveur Web est compromis.

Une politique WAN-to-DMZ scurit avec une adresse IP virtuelle (VIP) cache
l'adresse DMZ du serveur Web, permettant aux utilisateurs externes d'accder au serveur
Web en utilisant une adresse IP publique (dans cet exemple, 172.20.120.22). Un interne la
politique de scurit DMZ avec NAT dsactiv permet aux utilisateurs internes d'accder au
serveur Web en utilisant son adresse DMZ (10.10.10.22). Ces deux politiques de scurit ne
permettent l'accs au serveur Web en utilisant HTTP et HTTPS. Aucun autre accs nest
autoris.

74
7.1). Configuration de l'interface FortiGate DMZ
Aller Systme> Rseau> Interfaces, dit l'interface DMZ.
Figure 48:illustration de configuration de linterface DMZ

7.2). Cration d'IP virtuelles (VIP)


Aller la Politique & Objets> Objets> IPs virtuels. Crer deux IPs virtuels: l'un pour
l'accs HTTP et un pour l'accs HTTPS.

Dans cet exemple, l'adresse Internet du serveur Web est 172.20.120.22.

75
Figure 49:illustration de cration de premire d'IP virtuel

Figure 50: illustration de cration de deuxieme d'IP virtuel

7.3). Cration du politique de scurit


Aller la Politique & Objets> Politique> IPv4. Crer une politique de scurit pour
permettre trafic HTTP et HTTPS partir d'Internet l'interface DMZ et le serveur web.

Vous pouvez galement activer le logging pour toutes les sessions pour le rendre
plus facile tester la configuration.

76
Figure 51:illustration de cration de la premire politique de scurit

Crer une deuxime politique de scurit pour permettre trafic HTTP et HTTPS
partir du rseau interne l'interface DMZ et le serveur web.

L'ajout de cette politique permet au trafic de passer directement partir de


l'interface interne l'interface DMZ.

Figure 52: illustration de cration de la deuxime politique de scurit

77
7.4). Rsultat
Figure 53:illustration de rsultat

VI. Utilisateurs
Cette partie explique comment installer des comptes utilisateurs, des groupes
dutilisateurs et des serveurs dauthentification externes. Certains composants de
lauthentification de lutilisateur permettent de contrler laccs aux ressources du rseau.

1). Configuration de lauthentification dun utilisateur


Lauthentification FortiGate contrle laccs par les groupes utilisateurs. La cration
de groupes dutilisateurs nest pas la premire tape de la configuration de
lauthentification. Vous devez configurer lauthentification dun utilisateur en utilisons les
choix suivant :

1. une authentification externe utilisant des serveurs RADIUS ou LDAP.


2. Configurez des comptes utilisateurs locaux dans Utilisateur > Local. Pour chaque
utilisateur, le mot de passe peut tre authentifi par le botier FortiGate.
3. utilisation dun serveur Microsoft Windows Active Directory pour lauthentification.
4. Crez des groupes dutilisateurs dans Utilisateur > Groupe utilisateur et ajoutez des
membres.

2). Serveurs Windows AD


L'objectif principal d'Active Directory est de fournir des services centraliss
d'identification et d'authentification un rseau d'ordinateurs utilisant le systme Windows.
Il permet galement l'attribution et l'application de stratgies, la distribution de logiciels, et
l'installation de mises jour critiques par les administrateurs. Active Directory rpertorie les
lments d'un rseau administr tels que les comptes des utilisateurs, les serveurs, les
postes de travail, les dossiers partags (en), les imprimantes, etc. Un utilisateur peut ainsi
facilement trouver des ressources partages, et les administrateurs peuvent contrler leur
utilisation grce des fonctionnalits de distribution, de duplication, de partitionnement et

Active Directory introduit la notion de hirarchie, inhrente aux annuaires objets


drivs de X.500, sous la forme d'une arborescence dans laquelle les utilisateurs et les
ordinateurs sont organiss en groupes et sous-groupes afin de faciliter l'administration des

78
droits et restrictions utilisateur. C'est aussi Active Directory qui gre l'authentification des
utilisateurs sur le rseau Windows. Active Directory exploite cette notion de hirarchie
intensivement, puisque l'entit de scurit appele domaine est galement hirarchise
dans un ensemble partageant un espace de nom commun, appel arborescence , enfin,
l'entit de plus haut niveau regroupant les arborescences de domaines constitue la fort
Active Directory.

Sur les rseaux utilisant des serveurs Windows Active Directory (AD) pour
lauthentification, les botiers FortiGate peuvent authentifier les utilisateurs de manire
transparente, sans avoir leur demander leur compte utilisateur et mot de passe. Vous
devez pour cela installer le Fortinet Server Authentication Extensions (FSAE) sur le rseau et
configurer le botier FortiGate pour retrouver les informations du serveur Windows AD.

Slectionnez Utilisateur > Remote>LDAP pour configurer les serveurs Windows AD.

Figure 54: illustration de configuration de serveur AD

Nom/Adresse IP

Entrez un nom de domaine ou une adresse IP du serveur LDAP.

Port

Entrez le port utilis pour communiquer avec le serveur LDAP. Par dfaut, LDAP
utilise port 389.

Identifiant Nom Commun

Entrez lIdentifiant Nom Commun pour le serveur LDAP. Ce champ est limit 20
caractres. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains
serveurs utilisent un autre lidentifiant tel que uid.

79
Distinguished Name

Entrez le distinguished name utilis pour rechercher des entres sur le serveur LDAP.
Entrez le distinguished name de base pour le serveur utilisant le format LDAP. Le botier
FortiGate transfre ce distinguished name inchang au serveur.

Par exemple, vous pouvez utiliser le distinguished name de base suivant :


ou=marketing,dc=fortinet,dc=com o ou est le dpartement dans lorganisation et dc, le
composant du domaine. Vous pouvez galement spcifier des instances multiples du mme
champ dans le distinguished name, par exemple, pour spcifier de multiples units
organisationnelles : ou=account,ou=marketing,dc=fortinet,dc=com

3). Conclusion
On ce chapitre on a pu faire une description trs dtaill de diffrents outils
dadministration de boitier FortiGate (systme rseau, politique de scurit et firewall,
serveur AD), ainsi que comment les configurer.

80
Conclusion Gnrale

Lobjectif principal de mon stage cest de raliser un guide dadministration qui est
simple pour faciliter au service technique de la socit Webhelp dadministrer le boitier
FortiGate et maitris ces fonctions pour mieux les exploiter fin dlaborer une meilleure
solution rseau et de protger la socit contre les menaces malveillantes.

On na pas pu traiter tous les fonctionnalits de fortiGate, mais pour enrichir ce


guide dadministration il est pralable dajouter ces fonctionnalit suivant : services
Fortiguard, Certificats VPN, IM/P2P, system sans fil.

En effet, ce stage est une exprience significative dans notre parcours professionnel,
enfin, je tiens exprimer ma satisfaction davoir pu travailler dans des bonnes conditions
matrielles et un environnement agrable.

Cette exprience en march de travail nous a offert une bonne prparation notre
insertion professionnelle car elle fut pour nous une exprience enrichissante et complte qui
conforte notre dsir dexercer notre futur mtier dans le domaine de linformatique.

81
Webographie

http://www.tomshardware.fr

http://cookbook.fortinet.com/

docs.fortinet.com

http://searchsecurity.techtarget.com

82

Оценить