Mode d'emploi | Watchguard Firebox, XTM & Dimension v11.3 Manuel utilisateur

WatchGuard System Manager v11.3 Guide de l’utilisateur
Fireware XTM
WatchGuard System Manager
v11.3 Guide de l’utilisateur
WatchGuard XTM Devices
Firebox X Peak e-Series
Firebox X Core e-Series
Firebox X Edge e-Series
À propos de ce guide de l’utilisateur
Le Guide de l’utilisateur Fireware XTM WatchGuard System Manager est mis à jour avec chaque mise à jour
importante du produit. Pour les mises à jour moins importantes, seule l’Aide Fireware XTM WatchGuard
System Manager est mise à jour. Le système d’aide comprend également des exemples spécifiques de
mise en œuvre basés sur les tâches, qui ne sont pas disponibles dans le Guide de l’utilisateur.
Pour accéder à la documentation produit la plus récente, voir l’Aide Fireware XTM WatchGuard System
Manager sur le site Web de WatchGuard à l’adresse suivante :
http://www.watchguard.com/help/documentation/.
Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de
sociétés, de noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce
guide ne peut être reproduite ou retransmise sous quelque format ou par quelque moyen que ce soit
(électronique ou mécanique), pour tout objet, sans l’autorisation écrite expresse de WatchGuard
Technologies, Inc.
Révision du guide : 07/15/2010
Informations sur le copyright, les marques déposées et les brevets
Copyright © 1998-2010 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées
ou les noms commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs.
Des informations complètes sur le copyright, les marques, les brevets et les licences sont disponibles dans
le guide disponible en ligne (Copyright et Licensing Guide)
http://www.watchguard.com/help/documentation/
Note Ce produit est destiné à une utilisation intérieure uniquement.
À propos de WatchGuard
WatchGuard propose des solutions de sécurité tout-en-un à prix abordable
pour les réseaux et les contenus afin d’offrir une protection en profondeur
et de permettre d’être en conformité avec la réglementation. La gamme
WatchGuard XTM associe pare-feu, réseau VPN, Gateway AV, IPS, blocage
de courrier indésirable et filtrage d’URL pour protéger votre réseau des
courriers indésirables, virus, logiciels malveillants et intrusions. La nouvelle
gamme XCS propose un système de sécurité pour les messages
électroniques et le contenu Web, associé à un système de prévention des
données. Les solutions extensibles de WatchGuard sont évolutives pour
assurer une sécurité parfaitement adaptée tant aux petites entreprises
qu’aux grands groupes de plus de 10 000 employés. WatchGuard fabrique
des appareils de sécurité simples, fiables et solides, qui disposent d’outils
complets de génération de rapports et de gestion très rapides à mettre en
œuvre. Les entreprises à travers le monde comptent sur nos boîtiers
rouges pour maximiser la sécurité sans sacrifier à l’efficacité et à la
productivité.
Pour plus d’informations, appelez le 206.613.6600 ou visitez notre site
www.watchguard.com.
ii
Adresse
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
Assistance technique
www.watchguard.com/support
États-Unis et Canada
+877.232.3531
Tous les autres pays
+1.206.521.3575
Ventes
États-Unis et Canada
+1.800.734.9905
Tous les autres pays
+1.206.613.0895
WatchGuard System Manager
Sommaire
Introduction à la sécurité des réseaux
À propos des réseaux et de leur sécurité
i
i
À propos d'Internet connexions
i
À propos des protocoles
ii
À propos de Adresses IP
iii
Adresses et passerelles privées
iii
À propos de masques de sous-réseau
iii
À propos de la notation de barre oblique
iv
À propos de la saisie Adresses IP
iv
Statique et dynamique Adresses IP
v
À propos de DNS (Domain Name System)
vi
À propos des pare-feu
vi
À propos des services et des stratégies
vii
À propos des ports
viii
Présentation de Fireware XTM
Présentation de Fireware XTM
11
11
Composants de Fireware XTM
12
WatchGuard System Manager
12
WatchGuard Server Center
13
Fireware XTM Web UI et interface Command Line Interface
14
Fireware XTM avec une mise à niveau Pro
Service et support
À propos de Assistance WatchGuard
14
17
17
LiveSecurity Service
17
LiveSecurity Service Or
18
Expiration du service
19
Mise en route
Avant de commencer
21
21
Vérifier les composants de base
21
Obtenir une clé de fonctionnalité pour périphérique WatchGuard
22
Guide de l’utilisateur
iii
Collecter les adresses réseau
22
Sélectionnez un pare-feu. mode de configuration
23
Déterminer l’emplacement d’installation du logiciel serveur
24
Installer le logiciel WatchGuard System Manager
25
Sauvegarder votre configuration précédente
25
Télécharger WatchGuard System Manager
25
À propos des niveaux de chiffrement logiciels
26
À propos de l’Assistant Quick Setup Wizard
27
Exécuter l’Assistant Web Setup Wizard
27
Exécution de l’Assistant WSM Quick Setup Wizard
31
Terminer votre installation
34
Personnalisez votre stratégie de sécurité
34
À propos de LiveSecurity Service
35
Démarrer WatchGuard System Manager
iv
35
Se connecter à un périphérique WatchGuard
35
Démarrer des applications de sécurité
37
Rubriques d’installation supplémentaires
39
Installer WSM et conserver une version antérieure
39
Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feux de bureau
39
Prise en charge des adresses IP dynamiques sur l’interface externe
39
À propos de la connexion des câbles Firebox
40
Se connecter à Firebox avec Firefox v3
40
Désactiver les proxys HTTP dans le navigateur
42
Trouvez vos propriétés TCP/IP
43
Principes de configuration et de gestion
45
À propos des tâches de base de configuration et de gestion
45
À propos des fichiers de configuration
45
Ouvrir un fichier de configuration
46
Créer un fichier de configuration
48
Enregistrer le fichier de configuration
48
Créer une sauvegarde de l’image Firebox
49
Restaurez un système Firebox. Image de sauvegarde
50
WatchGuard System Manager
Utiliser une clé USB pour la sauvegarde et la restauration du système
51
À propos de la clé USB
51
Enregistrer une image de sauvegarde sur une clé USB connectée
51
Restaurer une image de sauvegarde à partir d’une clé USB connectée
52
Restaurer automatiquement une image de sauvegarde à partir d’une clé USB
53
Structure de répertoire de la clé USB
55
Enregistrer une image de sauvegarde sur une clé USB connectée à votre station de gestion.
56
Utiliser une configuration existante pour créer un modèle Firebox
57
Configurer un périphérique Firebox de remplacement
58
Sauvegardez la configuration de votre Firebox original sur fichier.
59
Procurez-vous la clé de fonctionnalité du Firebox de remplacement
59
Configurez Edge à l’aide de l’Assistant Quick Setup Wizard.
59
Mettez à jour la clé de fonctionnalité sur le fichier de configuration de votre Firebox original et
enregistrez sur le nouveau.
59
Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle
configuration
61
Démarrer un périphérique Firebox ou XTM en mode sans échec
61
Restaurer les paramètres usine par défaut d’un périphérique Firebox X Edge e-Series ou
WatchGuard XTM 2 Series
62
Exécuter l’Assistant Quick Setup Wizard
62
À propos des paramètres usine par défaut
62
À propos de les clés de fonctionnalité
63
Lorsque vous achetez une nouvelle fonctionnalité
64
Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active
64
Vérifier la conformité à la clé de fonctionnalité
65
Obtenir une clé de fonctionnalité auprès de LiveSecurity
65
Ajouter une clé de fonctionnalité à Firebox
67
Voir les détails d’une clé de fonctionnalité
69
Télécharger une clé de fonctionnalité
70
Activer le protocole NTP et ajouter des serveurs NTP
71
Définir le fuseau horaire et les propriétés de base du périphérique
72
À propos du protocole SNMP
73
Interrogations et interruptions SNMP
Guide de l’utilisateur
73
v
Activer l’interrogation SNMP
73
Activer Stations de gestion et interruptions SNMP
75
À propos des bases d’informations MIB (Management Information Base)
77
À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard
Création d’un mot de passe, d’une clé de chiffrement ou d’une clé partagée sécurisés
78
Mots de passe Firebox
78
Mots de passe utilisateur
79
Mots de passe serveur
79
Clés de chiffrement et clés partagées
79
Modifier les mots de passe Firebox
80
À propos des alias
81
Membres de l’alias
81
Créer un alias
82
Définir les paramètres globaux de Firebox
83
Définir les paramètres globaux de gestion des erreurs ICMP
84
Activer le contrôle TCP SYN
85
Définir les paramètres globaux de réglage de la taille maximale de segment TCP
86
Désactiver ou activer la gestion du trafic et QoS
86
Modifier le port Web UI
86
Redémarrage automatique
86
Console externe
87
Gérer Firebox à partir d’un emplacement distant
87
Emplacements des fichiers de WatchGuard System Manager
89
Emplacement des fichiers créés par l’utilisateur et des applications
Mettre à niveau vers une nouvelle version de Fireware XTM
90
91
Installez la mise à niveau sur votre station de gestion
91
Mettre à niveau Firebox
92
Utiliser différentes versions de Policy Manager
93
À propos des options de mise à niveau
vi
78
93
Mises à niveau des services d’abonnement
93
Mises à niveau des logiciels et logiciels système
94
Comment appliquer une mise à niveau
94
WatchGuard System Manager
Renouveler les services de sécurité par abonnement
Renouvellement des abonnements dans Firebox System Manager
94
95
95
Définition et configuration réseau
À propos de Configuration d’interface réseau
97
97
Modes réseau
97
Types d’interface
98
À propos des interfaces réseau sur les modèles Edge e-Series
99
Mode de routage mixte
100
Configurer une interface externe
100
Configurer DHCP en mode de routage mixte
104
À propos du Service DNS dynamique
107
Utiliser DNS dynamique
107
À propos de la configuration du réseau en mode d’insertion
108
Utilisez le mode d’insertion pour la configuration de l’interface réseau
109
Configurer les hôtes associés
110
Configurer DHCP en mode d’insertion
111
Mode pont
114
Paramètres d’interface standard
115
Désactiver une interface
117
Configurer le relais DHCP
118
Limiter le trafic réseau par adresse MAC
118
Ajouter Serveurs WINS et Adresses du serveur DNS
119
Configurer un réseau secondaire
120
À propos des paramètres d’interface
121
Paramètres de carte réseau
122
Définir la bande passante de l’interface en sortie
123
Définir Bit DF pour IPSec
124
Paramètre PMTU pour IPSec
125
Utiliser la liaison d’adresse MAC statique
125
Rechercher l’adresse MAC d’un ordinateur
126
À propos des ponts LAN
Guide de l’utilisateur
127
vii
Créer une configuration de pont réseau
127
Attribuer une interface réseau à un pont
129
À propos des fichiers
131
Ajouter un itinéraire statique
131
À propos des réseaux locaux virtuels (VLAN)
132
Configuration logicielle requise pour les VLAN et restrictions associées
132
À propos de marquage
133
Définir un nouveau 802.1Q
133
Attribuer des interfaces à un 802.1Q
136
Exemples de configuration réseau
137
Utiliser Firebox X Edge avec le pont sans fil 3G Extend
137
Multi-WAN
141
À propos de l’utilisation de plusieurs interfaces externes
Configurations logicielles et conditions requises pour le mode multiWAN
141
multiWAN et DNS
142
multiWAN et FireCluster
142
À propos de Options multiWAN
142
Classement du tourniquet
143
Basculement
143
Dépassement de capacité d’interface
144
Table de routage
144
modem série (Firebox X Edge uniquement)
145
Configurer l’option tourniquet multiWAN
145
Avant de commencer
145
Configurer les interfaces
145
Découvrez comment affecter des pondérations aux interfaces
148
Configurer l’option basculement multiWAN
148
Avant de commencer
148
Configurer les interfaces
148
Configurer l’option Dépassement de capacité d’interface multiWAN
viii
141
150
Avant de commencer
150
Configurer les interfaces
150
WatchGuard System Manager
Configurer l’option Option de table de routage
151
Avant de commencer
151
Option de table de routage et équilibrage de charge
151
Configurer les interfaces
152
À propos de la table de routage de Firebox
153
Quand utiliser les options multiWAN et le routage
153
Basculement de modem série
154
Activer le basculement de modem série
154
Paramètres du compte
155
Paramètres DNS
155
Paramètres d’accès à distance
156
Paramètres avancés
156
Paramètres de contrôle des liaisons
157
À propos des Paramètres multiWAN avancés
158
À propos de connexions persistantes
158
Définissez une durée de connexion persistante globale
159
Définissez l’action de restauration
159
À propos de État de l’interface WAN
160
Temps nécessaire à Firebox pour mettre à jour sa table de routage
161
Définir un hôte de contrôle des liaisons
161
Traduction d’adresses réseau (NAT)
À propos de Traduction d’adresses réseau (Network Address Translation) (NAT)
Types de NAT
À propos de la traduction dynamique traduction d'adresses réseau (NAT)
163
163
163
164
Ajouter des entrées NAT dynamiques de pare-feu
165
Configurer une traduction d’adresses dynamique à base de stratégie Traduction d'adresses
réseau (NAT)
167
À propos de 1-to-1 NAT
169
À propos de 1-to-1 NAT et des tunnels VPN
170
Configurer 1-to-1 NAT pour le pare-feu
171
Configurer 1-to-1 NAT pour une stratégie
173
Configurer le bouclage NAT avec la traduction d’adresses réseau statique
Guide de l’utilisateur
174
ix
Ajouter une stratégie pour le bouclage NAT sur le serveur
175
Bouclage NAT et 1-to-1 NAT
176
À propos de NAT statique
180
Configurer la traduction d’adresses réseau statique
181
Configurer les équilibrage de charge côté serveur
182
Exemples de traduction d’adresses réseau (NAT)
187
Exemple de règle 1-to-1 NAT
187
Configuration sans fil
189
À propos de la configuration sans fil
189
À propos de configuration Point d’accès sans fil
190
Avant de commencer
191
Présentation des paramètres paramètres de configuration
191
Activer/Désactiver Diffusions SSID
192
Modifier SSID
193
Journal événements d’authentification
193
Modifier seuil de fragmentation
193
Modifier Seuil RTS
195
Présentation des paramètres paramètres de sécurité
196
Définissez sans fil méthode d'authentification
196
Définir le niveau de chiffrement
197
Autoriser des connexions sans fil au réseau facultatif ou approuvé
197
Activer un réseau invité sans fil
200
Activer un point d’accès sans fil
203
Configurer les paramètres de délai pour les utilisateurs
204
Personnaliser l’écran de démarrage du point d’accès
204
Se connecter à un point d’accès sans fil
206
Afficher les connexions aux points d’accès sans fil
207
Configurer l’interface externe en tant qu’interface sans fil
208
Configurer l’interface externe principale en tant qu’interface sans fil
208
Configurer un tunnel BOVPN pour plus de sécurité
210
Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series
Réglage de la région d’exploitation et du canal
x
211
211
WatchGuard System Manager
Définissez mode d’exploitation sans fil
Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2
212
213
Le réglage du pays est automatique
214
Sélectionnez la Bande passante et le mode sans fil
215
Sélection du canal
216
Configurer carte sans fil sur votre ordinateur
Routage dynamique
216
217
À propos du routage dynamique
217
À propos des fichiers de configuration du démon de routage
217
À propos du protocole RIP (Routing Information Protocol)
218
Commandes du protocole RIP
218
Configurer Firebox pour qu’il utilise RIP v1
220
Configurer Firebox pour qu’il utilise RIP v2
222
Exemple de fichier de configuration de routage RIP
224
À propos du protocole OSPF (Open Shortest Path First)
226
Commandes OSPF
226
Tableau des coûts d’interface OSPF
229
Configurer Firebox pour utiliser OSPF
229
Exemple de fichier de configuration d’un routage OSPF
231
À propos du protocole BGP (Border Gateway Protocol)
234
Commandes BGP
234
Configurer Firebox pour qu’il utilise BGP
237
Exemple de fichier de configuration de routage BGP
239
FireCluster
À propos de WatchGuard FireCluster
État de FireCluster
À propos du basculement FireCluster
241
241
243
243
Les événements qui déclenchent un basculement
243
Que se passe-t-il lorsqu’un basculement se produit ?
245
Basculement de FireCluster et équilibrage de charge côté serveur
245
Contrôler le cluster pendant un basculement
246
Fonctionnalités non prises en charge en cas d’utilisation de FireCluster
Guide de l’utilisateur
246
xi
Limites de configuration du réseau FireCluster
246
Limites de gestion de FireCluster
246
À propos de l’adresse IP de l’interface de gestion
246
Configurer l’adresse IP de l’interface de gestion
247
Utiliser l’adresse IP de l’interface de gestion pour restaurer une image de sauvegarde
247
Utiliser l’adresse IP de l’interface de gestion pour effectuer une mise à niveau depuis un
emplacement externe
247
Configurer FireCluster
Conditions et restrictions de FireCluster
248
Synchronisation et analyse de l’état du cluster
249
Rôles des périphériques de FireCluster
249
Étapes de la configuration de FireCluster
249
Avant de commencer
250
Connecter le matériel FireCluster
252
Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif
253
Utiliser l’assistant FireCluster Setup Wizard
259
Configurer FireCluster manuellement
264
Trouver les adresses MAC de multidiffusions d’un cluster actif/actif
270
Contrôler et analyser les membres de FireCluster
271
État du contrôle des membres FireCluster
272
Contrôler et analyser les membres du cluster
273
Découvrir un membre de cluster
273
Forcer le basculement d’un cluster maître
274
Redémarrer un membre du cluster
275
Arrêter un membre du cluster
276
Se connecter à un membre du cluster
276
Faire quitter le cluster à un membre
277
Permettre à un membre de rejoindre un cluster
278
Supprimer ou ajouter un membre du cluster
Ajouter un nouveau périphérique au FireCluster
xii
247
278
280
Mettre à jour la configuration de FireCluster
280
Configurer la journalisation et la notification de FireCluster
280
WatchGuard System Manager
À propos des clés de fonctionnalité et de FireCluster
281
Afficher les clés de fonctionnalité et les fonctionnalités associées à un cluster
282
Afficher ou mettre à jour la clé de fonctionnalité pour un membre du cluster
283
Afficher la clé de fonctionnalité FireCluster dans Firebox System Manager
285
Créer une image de sauvegarde de FireCluster
286
Restaurer une image de sauvegarde de FireCluster
287
Faire quitter le cluster au maître de sauvegarde
287
Restaurer l’image de sauvegarde dans le maître de sauvegarde
287
Restaurer l’image de sauvegarde dans le cluster maître
287
Faire rejoindre le cluster au maître de sauvegarde
288
Mettre à niveau Fireware XTM pour les membres FireCluster
288
Désactiver FireCluster
289
Authentification
À propos de l’authentification des utilisateurs
291
291
Utilisateur étapes de l’authentification
292
Gérer les utilisateurs authentifiés
293
Utiliser l’authentification pour restreindre le trafic entrant
Utiliser l’authentification via une passerelle Firebox
Définir les valeurs d’authentification globale
294
295
295
Définir des délais d’authentification globale
297
Autoriser plusieurs connexions simultanées
297
Limiter les sessions de connexion
298
Rediriger automatiquement les utilisateurs vers le portail de connexion
299
Utiliser une page de démarrage par défaut personnalisée
299
Définir les délais d’une session de gestion
299
Activer Single Sign-On
300
À propos de la stratégie d’authentification WatchGuard (WG)
300
À propos de Single Sign-On (SSO)
300
Avant de commencer
301
Configurer SSO
302
Installer l’agent WatchGuard Single Sign-On (SSO)
302
Installez le client WatchGuard Single Sign-On (SSO)
303
Guide de l’utilisateur
xiii
Activer Single Sign-On (SSO)
304
Types de serveurs d’authentification
307
À propos de l’utilisation de serveurs d’authentification tierce
307
Utiliser un serveur d’authentification de sauvegarde
307
Configurer Firebox en tant que serveur d’authentification
308
Types d’authentification Firebox
308
Définir un nouvel utilisateur pour l’authentification sur Firebox
310
Définir un nouveau groupe d’authentification sur Firebox
313
Configurer l’authentification sur le serveur RADIUS
Clé d’authentification
314
Méthodes d’authentification sur RADIUS
314
Avant de commencer
314
Utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard
314
Fonctionnement de l’authentification sur le serveur RADIUS
316
Configurer les Authentification sur le serveur VASCO
319
Configurer l’authentification SecurID
321
Configurer l’Active Directory Authentication
323
À propos des paramètres Active Directory facultatifs
325
Trouver votre base de recherche Active Directory
326
Changer le port par défaut de l’Active Directory Server
327
Configurer l’authentification LDAP
À propos des paramètres LDAP facultatifs
Utilisez les paramètres Active Directory ou LDAP facultatifs
328
330
331
Avant de commencer
331
Spécifier Paramètres Active Directory ou LDAP facultatifs
331
Utiliser un compte d’utilisateur local pour l’authentification
335
Utiliser les utilisateurs et groupes autorisés dans les stratégies
335
Stratégies
À propos des stratégies
xiv
313
339
339
Stratégies de filtres de paquets et stratégies de proxies
339
À propos de l'ajout de stratégies à votre Firebox
340
À propos de Policy Manager
340
WatchGuard System Manager
Ouvrir Policy Manager
341
Modifier l’affichage de Policy Manager
342
Modifier les couleurs utilisées pour le texte de Policy Manager
344
Rechercher une stratégie par adresse, par port ou par protocole
345
Ajouter stratégies à votre configuration
346
Voir la liste des modèles de stratégie
347
Ajouter une stratégie à partir de la liste des modèles
348
Ajouter plusieurs stratégies du même type
349
Afficher les détails d’un modèle et modifier des modèles de stratégie
349
Désactiver ou supprimer une stratégie
351
À propos de l’ordre de priorité des stratégies
351
Ordre de priorité automatique des stratégies
351
Spécificité de stratégie et protocoles
352
Règles de trafic
352
Actions de pare-feu
353
Calendriers
353
Types et noms de stratégie
353
Définir la priorité manuellement
353
Créer des calendriers pour les actions Firebox
354
Définir un calendrier d'application
355
À propos des stratégies personnalisées
356
Créer ou modifier un modèle de stratégie personnalisée
357
Importer et exporter des modèles de stratégie personnalisée
358
À propos des propriétés de stratégie
359
Onglet Stratégie
359
Onglet Propriétés
359
Onglet Avancé
359
Paramètres de proxy
360
Définir des règles d’accès pour une stratégie
360
Configurer le routage basé sur stratégie
363
Définir un délai d'inactivité personnalisé
365
Définir la gestion des erreurs ICMP
366
Guide de l’utilisateur
xv
Appliquer les règles NAT
366
Définir la durée de connexion persistante pour une stratégie
367
Paramètres proxy
369
À propos de stratégies de proxy et passerelles ALG
Configuration de proxy
370
Proxy et antivirus les alarmes
370
À propos de règles et ensembles de règles
371
À propos des actions de proxy
381
Utiliser des types de contenus prédéfinis
384
À propos des configurations de blocage d’applications
384
Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy
388
Ajouter une stratégie de proxy à votre configuration
388
À propos de DNS proxy
391
Proxy DNS : Paramètres généraux
392
DNS proxy : OPcodes
393
Proxy DNS : Types de requêtes
394
DNS proxy : Noms des requêtes
396
À propos des enregistrements MX (Mail eXchange)
396
À propos de la Proxy FTP
398
Onglet Stratégie
399
Onglet Propriétés
399
Onglet Avancé
400
Proxy FTP : Paramètres généraux
400
Proxy FTP : Commandes
402
FTP proxy : Contenu
403
Proxy FTP : Antivirus
404
À propos de la Passerelle ALG H.323
405
Passerelle ALG H.323 : Paramètres généraux
407
Passerelle ALG H.323 : Contrôle d’accès
408
Passerelle ALG H.323 : Codecs refusés
409
À propos du proxy HTTP
Onglet Stratégie
xvi
369
411
411
WatchGuard System Manager
Onglet Propriétés
412
Onglet Avancé
412
Requête HTTP : Paramètres généraux
413
Requête HTTP : Méthodes de requête
414
Requête HTTP : Chemins URL
416
Requête HTTP : En-tête champs
417
Requête HTTP : Autorisation
417
Réponse HTTP : Paramètres généraux
418
Réponse HTTP : Champs d’en-tête
419
Réponse HTTP : Types de contenus
419
Réponse HTTP : Cookies
420
Réponse HTTP : Types de contenus d’ensemble
421
Proxy HTTP exceptions
422
Proxy HTTP : WebBlocker
423
Proxy HTTP : bloqueur d’application
423
Proxy HTTP : Antivirus
424
Proxy HTTP : Intrusion Prevention
424
Proxy HTTP : Reputation Enabled Defense
425
Proxy HTTP : Message de refus
425
Autoriser les mises à jour Windows via le proxy HTTP
426
Utiliser un serveur proxy de mise en cache
427
À propos de la Proxy HTTPS
428
Onglet Stratégie
428
Onglet Propriétés
429
Onglet Avancé
429
Proxy HTTPS : Inspection du contenu
430
Proxy HTTPS : Noms de certificats
432
Proxy HTTPS : WebBlocker
433
Proxy HTTPS : Paramètres généraux
433
À propos de la Proxy POP3
434
Onglet Stratégie
435
Onglet Propriétés
435
Guide de l’utilisateur
xvii
Onglet Avancé
436
Proxy POP3 : Paramètres généraux
436
Proxy POP3 : Authentification
437
Proxy POP3 : Types de contenus
438
Proxy POP3 : Noms de fichiers
440
Proxy POP3 : En-têtes
441
Proxy POP3 : Antivirus
442
Proxy POP3 : Message de refus
443
Proxy POP3 : spamBlocker
444
À propos de la Proxy SIP
Passerelle ALG SIP : Paramètres généraux
448
Passerelle ALG SIP : Contrôle d’accès
449
Passerelle ALG SIP : Codecs refusés
451
À propos de la Proxy SMTP
452
Onglet Stratégie
452
Onglet Propriétés
452
Onglet Avancé
453
Proxy SMTP : Paramètres généraux
453
Proxy SMTP : Règles de salutation
456
Proxy SMTP : Paramètres ESMTP
457
Proxy SMTP : Authentification
458
Proxy SMTP : Types de contenus
458
Proxy SMTP : Noms de fichiers
460
Proxy SMTP : E-mail de/Récept à
461
Proxy SMTP : En-têtes
462
Proxy SMTP : Antivirus
462
Proxy SMTP : Refuser message
463
Proxy SMTP : spamBlocker
464
Configurer le proxy SMTP pour placer du courrier en quarantaine
465
Protéger votre serveur SMTP du relais d’e-mails
465
À propos de la Proxy TCP-UDP
Onglet Stratégie
xviii
445
466
466
WatchGuard System Manager
Onglet Propriétés
467
Onglet Avancé
467
Proxy TCP-UDP : Paramètres généraux
467
Proxy TCP-UDP : Blocage de l’application
468
Gestion du trafic et QoS
À propos de Gestion du trafic et QoS
471
471
Activer la gestion du trafic et la fonction QoS
471
Garantir la bande passante
472
Restreindre la bande passante
473
Marquage QoS
473
Priorité du trafic
473
Limiter le nombre de connexions
474
À propos de Marquage QoS
474
Avant de commencer
475
Marquage QoS pour interfaces et stratégies
475
Marquage Qos et trafic IPSec
475
Types et valeurs de marquage
476
Activer le marquage QoS pour une interface
477
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
478
Activer le marquage QoS pour un tunnel BOVPN géré
480
Contrôle du trafic et définition de stratégies
482
Définir un Action de gestion de trafic
482
Ajouter une une action de gestion de trafic à une stratégie
483
Ajouter une action de gestion de trafic à une stratégie de pare-feu BOVPN
484
Default Threat Protection
487
À propos de default threat protection
487
À propos de options de gestion des paquets par défaut
488
Définir des options de journalisation et de notification
489
À propos de attaques d’usurpation
489
À propos de Attaques d’Itinéraire source des adresses IP
490
À propos de exploration des espaces de ports et d’adresses
491
À propos de Attaques Flood
493
Guide de l’utilisateur
xix
À propos de À propos des paquets non gérés
494
À propos des attaques de prévention répartie contre les refus de service
496
À propos de sites bloqués
497
Sites bloqués de façon permanente
497
Liste des sites automatiquement bloqués/sites bloqués de façon temporaire
497
Bloquer un site de façon permanente
497
Créer Exceptions aux sites bloqués
499
Importer une liste des sites bloqués ou des exceptions aux sites bloqués
499
Bloquer temporairement les sites avec des paramètres de stratégie
500
Modifier la durée du blocage automatique des sites
500
À propos de Ports bloqués
501
Ports bloqués par défaut
502
Bloquer un port
503
Configuration de WatchGuard Server
xx
505
Présentation des serveurs WatchGuard System Manager
505
Configurer les serveurs WatchGuard System Manager
507
Avant de commencer
507
Démarrage de l’assistant
507
Paramètres généraux
508
Paramètres de Management Server
508
Paramètres Log Server et Report Server
508
Paramètres du Quarantine Server
509
Paramètres WebBlocker Server
509
Vérification et achèvement
509
À propos de la passerelle Firebox
510
Recherche de votre clé de licence de Management Server
511
Surveiller l’état des serveurs WatchGuard
511
Configuration de vos serveurs WatchGuard
512
Ouvrir WatchGuard Server Center
513
Arrêter et démarrer vos serveurs WatchGuard
513
Installer ou configurer les serveurs WatchGuard à partir du WatchGuard Server Center
514
Quitter ou ouvrir l’application WatchGuard Server Center
515
WatchGuard System Manager
Configuration et administration de Management Server
À propos de WatchGuard Management Server
dxvii
dxvii
Installer Management Server
dxvii
Installation du Management Server
dxviii
Configuration du Management Server
dxviii
Définir les paramètres pour le Management Server
dxviii
Configurer l’autorité de certification sur Management Server
dxix
Mettre à jour Management Server avec une nouvelle adresse de passerelle
dxxii
Changer l’adresse IP d’un Management Server
dxxiv
Changer le mot de passe Administrateur
dxxvii
Définir les paramètres Clé de licence, Notification et Journalisation
dxxix
Activer et configurer Active Directory Authentication.
dxxxi
Configurer les paramètres de journalisation pour Management Server
Sauvegarder ou restaurer Management Server configuration
dxxxiii
dxxxiv
Sauvegarde de votre configuration
dxxxv
Rétablissement de votre configuration
dxxxv
Transférer WatchGuard Management Server sur un nouvel ordinateur
dxxxv
Sauvegarde, transfert et rétablissement de votre Management Server
dxxxvi
Configuration d’autres serveurs installés WatchGuard Servers
dxxxvi
Utilisation de WSM pour la connexion au Management Server
Déconnexion de Management Server
Importer ou exporter Management Server configuration
dxxxvii
dxxxviii
dxxxviii
Exporter une configuration
dxxxviii
Importer une configuration
dxxxviii
Gérer des périphériques et des VPN
À propos de WatchGuard System Manager
539
539
État du périphérique
539
Gestion des périphériques
540
À propos de la page Gestion des périphériques
541
Afficher les informations des périphériques gérés
542
À propos des modes Centralized Management
À propos du mode géré complet
Guide de l’utilisateur
543
544
xxi
Changer le mode Centralized Management de votre Firebox géré
Ajouter des périphériques gérés à Management Server
547
Si vous connaissez l’adresse IP actuelle du périphérique
549
Si vous ne connaissez pas l’adresse IP du périphérique
550
Définir les propriétés de gestion des périphériques
550
Paramètres de connexion
550
Préférences du tunnel IPSec
552
Informations de contact
552
Tâches planifiées pour périphériques gérés
553
Planifier la mise à jour SE
554
Planifier la synchronisation des clés de fonctionnalité
556
Redémarrage planifié
557
Consulter, annuler ou supprimer des tâches planifiées
560
Mettre à jour la configuration d’un périphérique en mode géré complet
562
Gérer les licences Manage Server
563
Affichage de l'information courante sur les clés de licence
563
Ajout ou suppression d’une clé de licence
564
Enregistrement ou annulation des modifications
564
Gérer les informations de contact des clients
565
Ajout d'un contact au Management Server
565
Modification d’un contact dans la liste de contacts
565
Afficher et gérer la liste des serveurs Report Server analysés
566
Ajout d’un Report Server dans la liste
567
Modification de l’information d’un Report Server
567
Suppression d’un Report Server de la liste
568
Ajouter et gérer des tunnels et ressources VPN
568
Afficher les tunnels VPN
568
Ajouter un tunnel VPN
568
Modifier un tunnel VPN
569
Supprimer un tunnel VPN
569
Ajouter une ressource VPN
570
Configurer un périphérique Firebox en tant que périphérique géré
xxii
545
570
WatchGuard System Manager
Modifier la stratégie WatchGuard
570
Configurer le périphérique géré
572
Configurer un périphérique Firebox III ou Firebox X Core exécutant WFS en tant que
périphérique géré
573
À propos des périphériques Edge (v10.x et suivantes) et SOHO en tant que clients gérés
575
Préparer un Firebox X Edge (v10.x et suivantes) à ordinateur de gestion
575
Configurer un Firebox SOHO 6 en tant que périphérique géré
579
Démarrer WatchGuard System Manager outils
580
Mettre fin au bail d’un périphérique géré
581
Configurer les paramètres réseau (périphériques Edge version 10.x et suivantes uniquement)
À propos de la section Modèle de configuration
Mettre à jour ou redémarrer un périphérique, ou supprimer la gestion d’un périphérique
582
583
583
Mettre à jour un périphérique
583
Redémarrer un périphérique
584
Supprimer la gestion d’un périphérique
584
Créer et appliquer des modèles de configuration de périphérique
585
Configuration d’un modèle pour un périphérique géré Edge
586
Configurer un modèle pour les autres périphériques Fireware XTM
587
Ajouter une stratégie prédéfinie sur un modèle de configuration de périphérique Edge
589
Ajouter une stratégie personnalisée sur un modèle de configuration de périphérique Edge
590
Cloner un modèle de configuration de périphériques
593
Changer le nom d’un modèle de configuration de périphérique
593
Affectation de périphériques gérés à des modèles de configuration de périphérique
595
Gestion des alias sur les périphériques Firebox X Edge
597
Renommer un alias
597
Définir un alias sur un périphérique Firebox X Edge
599
Supprimer un périphérique de Centralized Management
600
Administration à base de rôles
À propos de l’administration à base de rôles
dciii
dciii
Rôles et stratégies de rôles
dciii
Suivi d’audit
dciv
À propos des rôles prédéfinis
dciv
Guide de l’utilisateur
xxiii
Utilisation d’une administration à base de rôles avec un Management Server externe
dcviii
Définir ou supprimer des utilisateurs ou des groupes
dcviii
Utilisation de WatchGuard System Manager pour configurer les utilisateurs ou groupes
Utilisation de WatchGuard Server Center pour configurer des utilisateurs ou groupes
dcx
Suppression d’un utilisateur ou d’un groupe
dcxi
Définir les rôles et les propriétés de rôles
dcxii
Définir des rôles dans WatchGuard Server Center
dcxii
Définir des rôles dans WatchGuard System Manager
dcxii
Configuration des rôles et stratégies de rôles
dcxiii
Suppression d’un rôle
dcxiv
Attribuer des rôles à un utilisateur ou à un groupe
dcxiv
Attribution de rôles dans WatchGuard System Manager
dcxv
Attribution de rôles dans WatchGuard Server Center
dcxvi
Journalisation et notification
À propos de la journalisation et des fichiers journaux
xxiv
dcviii
619
619
Serveurs Log Server
619
LogViewer
620
Journalisation et notification dans les applications et sur les serveurs
620
À propos de messages de journaux
621
Fichiers journaux
621
Bases de données
621
Performances et espace disque
622
Types de messages de journaux
622
Niveau d’un message du journal
623
À propos de la notification
624
Démarrage rapide — Configurer la journalisation pour votre réseau
625
Configurer un serveur Log Server
627
Installer Log Server
628
Avant de commencer
628
Configurer les paramètres du système
629
Configurer le serveur Log Server
629
Configurer les paramètres de base de données et de clé de chiffrement
630
WatchGuard System Manager
Configurer les paramètres de base de données
631
Configurer les paramètres de notification
634
Configurer les paramètres de journalisation
637
Déplacer le répertoire de données de journal
639
Démarrer et arrêter Serveur Log Server
641
Configurer les paramètres de journalisation pour vos serveurs WatchGuard
641
Configurer la connexion à un serveur WatchGuard Log Server
642
Configurer la journalisation vers l’Observateur d’événements Windows
643
Enregistrer les messages du journal dans un fichier journal
643
Définir la destination des messages du journal envoyés par Firebox
644
Ajouter un Serveur Log Server
645
Définir la priorité d’un serveur Log Server
648
Configurer Syslog
649
Définir la journalisation des statistiques de performances
651
Définir le niveau du journal de diagnostic
653
Configurer la journalisation et la notification pour une stratégie
655
Définir les préférences de journalisation et de notification
656
Utiliser des scripts, des utilitaires et des logiciels tiers avec Log Server
658
Sauvegarder et restaurer la base de données Log Server
658
Restaurer un fichier journal de sauvegarde
659
Importer un fichier journal sur un serveur Log Server
660
Utiliser Crystal Reports avec le serveur Log Server
661
Utiliser LogViewer pour afficher les fichiers journaux
662
Ouvrir LogViewer
662
Se connecter à un périphérique
663
Ouvrir les journaux du serveur Log Server principal
665
Définir les préférences utilisateur de LogViewer
666
Détails des messages du journal
669
Utiliser le Gestionnaire de recherche
671
Configurer les paramètres de recherche
673
Filtrer les messages du journal par type et heure, ou exécuter une recherche de chaîne
674
Utilisez l’Extrait du journal (Log Excerpt) pour filtrer les résultats de recherche
676
Guide de l’utilisateur
xxv
Exécuter des tâches de diagnostic locales
678
Importer et exporter des données dans LogViewer
679
Imprimer, enregistrer ou envoyer les messages des journaux par e-mail
679
Surveiller votre périphérique Firebox
681
À propos de Firebox System Manager (FSM)
681
Démarrer Firebox System Manager
682
Se déconnecter de Firebox et se connecter à nouveau
682
Définir l’intervalle d’actualisation et la mise en pause de l’affichage
683
État de base de Firebox et état du réseau (onglet Panneau avant)
684
Avertissements et notifications
684
Développer et fermer les arborescences
686
686
Affichage visuel du trafic entre les interfaces
686
Volume du trafic, charge du processeur et état de base
688
État de Firebox
688
Messages des journaux Firebox (Moniteur du trafic)
690
Trier et filtrer les messages des journaux du Moniteur du trafic
691
Modifier les paramètres du Moniteur du trafic
692
Copier des messages dans une autre application
694
En savoir plus sur les messages du journal du trafic messages
694
Activer la notification des messages spécifiques
697
Affichage visuel de l’utilisation de la bande passante (onglet Mesure de la bande passante)
Modifier les paramètres de mesure de la bande passante
698
Modifier l’échelle
699
Ajouter et supprimer des lignes
699
Changer les couleurs
700
Changer l’apparence des interfaces
700
Affichage visuel de utilisation des stratégies (onglet Suivi du service)
xxvi
698
700
Modifier les paramètres de Suivi du service
701
Modifier l’échelle
702
Afficher la bande passante utilisée par une stratégie
702
Ajouter et supprimer des lignes
703
WatchGuard System Manager
Changer les couleurs
703
Changer le mode d’affichage des noms de stratégie
703
Statistiques du trafic et des performances (onglet Rapport d’état)
703
Modifier l’intervalle d’actualisation
706
Vérifier les informations de trace de paquet pour le dépannage
706
Utilisateurs authentifiés (Liste d’authentification)
707
Utiliser la liste des accès sortants
709
Connexions aux points d’accès sans fil
710
Afficher ou modifier la liste des sites bloqués (onglet Sites bloqués)
Modifier la liste des sites bloqués
711
712
Sites bloqués et Moniteur du trafic
713
Statistiques des services d’abonnement (onglet Services d’abonnement)
714
Statistiques de Gateway AntiVirus
715
Statistiques du service Intrusion Prevention Service
716
Statistiques de spamBlocker
717
À propos de HostWatch
717
Fenêtre HostWatch
717
Résolution DNS et HostWatch
718
Ouvrir HostWatch
718
Mettre en pause et démarrer l’affichage d’HostWatch
718
Sélectionner les connexions et les interfaces à analyser
719
Filtrer le contenu d’une fenêtre HostWatch
720
Modifier les propriétés visuelles d’HostWatch
721
Visiter ou bloquer un site à partir d’ HostWatch
722
À propos de Performance Console
723
Démarrer Performance Console
723
Créer des graphiques avec Performance Console
724
Types de compteurs
724
Arrêter l’analyse ou fermer la fenêtre
725
Définir les compteurs de performances
725
Ajouter des graphiques ou modifier les intervalles d’interrogation
728
À propos des certificats et de FSM
Guide de l’utilisateur
729
xxvii
Journal des communications
730
Utiliser Firebox System Manager (FSM)
731
Synchroniser l’heure
731
Redémarrer ou arrêter votre Firebox ;
732
Effacer le cache ARP
733
Afficher et synchroniser les clés de fonctionnalité
733
Calculer la somme de contrôle de Fireware XTM
736
Effacer les alarmes
736
Renouveler la clé des tunnels BOVPN
737
Contrôler FireCluster
738
Mettre à jour la région sans fil d’un périphérique XTM 2 Series
738
Changer mots de passe
738
Rapports WatchGuard
À propos de Report Server
741
Installer Report Server
741
Démarrer ou arrêter Report Server
758
À propos de WatchGuard Report Manager
758
Ouvrir Report Manager
759
Définirles options de rapport
760
Liste de rapports prédéfinis
764
Sélectionner les paramètres de rapport
767
Sélectionner les rapports à générer
770
Afficher un rapport
771
Afficher les rapports d’utilisation d’Internet des clients
773
Filtrer les données du rapport
774
Sélectionner le format de rapport
779
Imprimer, enregistrer ou envoyer un rapport par e-mail
780
Certificats et autorité de certification
À propos des certificats
xxviii
741
781
781
Utiliser plusieurs certificats pour établir la confiance
781
Mode d’utilisation des certificats sur Firebox
782
Durée de vie des certificats et listes de révocation de certificats (CRL)
783
WatchGuard System Manager
Autorités de certification et demandes de signatures
783
Autorités de certification approuvées par Firebox
784
Afficher et gérer les certificats Firebox
789
Examiner et gérer les certificats Management Server
794
Créer un certificat à l’aide de FSM ou de Management Server
795
Créer un certificat à l’aide de FSM
796
Créer un certificat autosigné avec CA Manager
799
Créer une demande de signature de certificat à l’aide d’OpenSSL
Utiliser OpenSSL pour générer une demande de signature de certificat
Signer un certificat avec l’autorité de certification Microsoft
799
799
800
Délivrer le certificat
801
Télécharger le certificat
801
Utiliser des certificats pour authentification
801
Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification
802
Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN
803
Configurer le certificat de serveur Web pour Firebox authentification
805
Utiliser des certificats pour le proxy HTTPS
807
Protéger un serveur HTTPS privé
807
Examiner le contenu des serveurs HTTPS externes
808
Exporter le certificat d’inspection de contenu de HTTPS
809
Importer les certificats sur les périphériques clients
809
Dépanner les problèmes de l’inspection de contenu HTTPS
809
Importer un certificat sur un périphérique client
809
Importer un certificat au format PEM sous Windows XP
810
Importer un certificat au format PEM sous Windows Vista
810
Importer un certificat au format PEM dans Mozilla Firefox 3.x
810
Importer un certificat au format PEM sous Mac OS X 10.5
811
Réseaux Privés Virtuel (VPN)
Introduction aux VPN
dcccxiii
dcccxiii
VPN pour succursale
dcccxiii
Mobile VPN
dcccxiv
À propos des VPN IPSec
Guide de l’utilisateur
dcccxiv
xxix
À propos des algorithmes IPSec et des protocoles
dcccxiv
À propos des négociations VPN IPSec
dcccxvi
Configurer les paramètres de phase 1 et 2
dcccxix
À propos de Mobile VPN
Sélectionner un Mobile VPN
dcccxx
Options d’accès Internet pour les utilisateurs Mobile VPN
dcccxxii
Vue d’ensemble de la configuration Mobile VPN
dcccxxiii
Tunnels BOVPN gérés
À propos des tunnels BOVPN gérés
825
825
Comment créer un tunnel BOVPN géré
825
Options de tunnel
826
Basculement VPN
826
Paramètres VPN globaux
826
État du tunnel BOVPN
827
Renouveler la clé des tunnels BOVPN
827
Ajouter des ressources VPN
827
Récupérer les ressources actuelles d’un périphérique
827
Créer une ressource VPN
828
Ajouter un hôte ou un réseau
829
Ajouter des modèles de stratégie de pare-feu VPN
829
Définir le calendrier d’un modèle de stratégie
831
Utiliser le marquage QoS dans un modèle de stratégie
831
Configurer la gestion du trafic dans un modèle de stratégie
832
Ajouter des modèles de sécurité
832
Créer des tunnels gérés entre les périphériques
835
Modifier une définition de tunnel
836
Supprimer des tunnels et des périphériques
837
Supprimer un tunnel
837
Supprimer un périphérique
837
État du tunnel VPN et des services d’abonnement
xxx
dcccxx
838
État du Tunnel Mobile VPN
838
État des services d’abonnement
839
WatchGuard System Manager
Tunnels BOVPN manuels
839
Comment créer un réseau BOVPN manuel
839
À propos des tunnels BOVPN manuels
840
Comment créer un réseau privé virtuel (VPN)
840
Comment créer un tunnel BOVPN manuel
841
Stratégies de tunnel personnalisées
841
Tunnels unidirectionnels
841
Basculement VPN
841
Paramètres VPN globaux
842
État du tunnel BOVPN
842
Renouveler la clé des tunnels BOVPN
842
Tableau d’exemple d’informations sur l’adresse VPN
842
Configurer les passerelles
844
Définir les points de terminaison de passerelle
846
Configurer les modes et les transformations (Paramètres de phase 1)
848
Modifier et supprimer des passerelles
852
Désactiver le démarrage automatique du tunnel
853
Si votre Firebox se trouve derrière un périphérique NAT
853
Créer des tunnels entre des points de terminaison de passerelle
854
Définir un tunnel
854
Ajouter des itinéraires à un tunnel
857
Configurer les Paramètres de phase 2
858
Ajouter une proposition de phase 2
860
Modifier l’ordre des tunnels
862
À propos des paramètres VPN globaux
862
Activer le transit IPSec
863
Activer le type de service (TOS) pour IPSec
863
Activer le serveur LDAP pour la vérification du certificat
863
Notification BOVPN
864
Définir une stratégie de tunnel personnalisée
864
Choisissez un nom pour les stratégies
864
Sélectionnez le type de stratégie
864
Guide de l’utilisateur
xxxi
Sélectionnez les tunnels BOVPN
864
Créez un alias pour les tunnels
864
Fin de l’Assistant BOVPN Policy Wizard
865
Configurer la traduction d’adresses réseau (NAT) dynamique pour le trafic sortant via un tunnel
BOVPN
865
Configurez le point de terminaison où tout le trafic doit sembler venir de la même adresse (site
A).
865
Configurez le point de terminaison qui s’attend à ce que tout le trafic provienne d’une seule
adresse IP (Site B).
Utiliser 1-to-1 NAT via un tunnel BOVPN
869
1-to-1 NAT et réseaux VPN
870
Autres raisons d’utiliser 1-to-1 NAT via un réseau VPN
870
Alternative à l’utilisation de la traduction d’adresses réseau (NAT)
870
Configuration du réseau VPN
870
Exemple
871
Configurer le tunnel local
872
Configurer le tunnel distant
874
Définir un itinéraire pour tout le trafic Internet
875
Configurer le tunnel BOVPN sur le Firebox distant
876
Configurer le tunnel BOVPN sur le Firebox central
876
Ajouter une entrée de traduction d’adresses réseau (NAT) dynamique au Firebox central
877
Activer le routage de multidiffusion via un tunnel BOVPN
878
Activer un périphérique WatchGuard pour qu’il envoie du trafic de multidiffusions via un
tunnel
879
Activer l’autre périphérique WatchGuard pour qu’il reçoive le trafic de multidiffusions via un
tunnel
880
Activer le routage de diffusion par un tunnel BOVPN
881
Activez le routage de diffusion pour le Firebox local
881
Configurez le routage de diffusion pour le Firebox de l’autre extrémité du tunnel.
883
Basculement de tunnel sur les réseaux BOVPN
884
Configurer le basculement VPN
885
Définir plusieurs paires de passerelles
Forcer le renouvellement d’une clé de tunnel BOVPN
xxxii
867
886
888
WatchGuard System Manager
Pour renouveler une clé pour un tunnel BOVPN
888
Pour renouveler la clé de tous les tunnels BOVPN, procédez comme suit :
888
Questions liées à la configuration du réseau BOVPN
888
Pourquoi avez-vous besoin d’une adresse externe statique ?
888
Comment obtenir une adresse IP externe statique ?
889
Comment dépanner la connexion ?
889
Pourquoi le test ping ne fonctionne-t-il pas ?
889
Comment définir plus de tunnels VPN que le nombre autorisé sur un périphérique Edge ?
889
Augmenter la disponibilité du tunnel BOVPN
Mobile VPN with PPTP
890
895
À propos de Mobile VPN with PPTP
895
Spécifications de Mobile VPN with PPTP
895
Niveaux de chiffrement
Configurer Mobile VPN with PPTP
896
897
Authentification
898
Définir le chiffrement pour les tunnels PPTP
898
MTU et MRU
898
Définir les paramètres de délai pour les tunnels PPTP
899
Ajouter au pool d’adresses IP
899
Enregistrer les modifications
900
Configurer des serveurs WINS et DNS
900
Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP
901
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with PPTP
903
VPN avec route par défaut
904
VPN avec tunneling fractionné
904
Configuration de l’itinéraire VPN par défaut pour Mobile VPN with PPTP
904
Divisez la configuration du tunnel VPN pour Mobile VPN with PPTP
904
Configurer des stratégies pour contrôler l’accès client Mobile VPN with PPTP
905
Autoriser les utilisateurs PPTP à accéder à un réseau approuvé
905
Utilisez d’autres groupes ou utilisateurs dans une stratégie PPTP
908
Préparer les ordinateurs clients pour PPTP
Guide de l’utilisateur
909
xxxiii
Préparer un ordinateur client Windows NT ou 2000 : installer l’Accès réseau à distance de
Microsoft et les Services Packs
909
Créer et connecter un Mobile VPN PPTP pour Windows Vista
910
Créer et connecter un PPTP Mobile VPN pour Windows XP
911
Créer et connecter un PPTP Mobile VPN pour Windows 2000
912
Établir des connexions PPTP sortantes derrière un système Firebox
913
Mobile VPN with IPSec
915
À propos de Mobile VPN with IPSec IPSec
915
Configurer une connexion Mobile VPN with IPSec
915
Configuration système requise
916
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with IPSec
917
À propos des fichiers de configuration client Mobile VPN
917
Configurer Firebox pour Mobile VPN with IPSec
918
Ajouter des utilisateurs à un groupe Firebox Mobile VPN
923
Modifier un profil de groupe existant Mobile VPN with IPSec
925
Configurer les Serveurs WINS et DNS
936
Verrouiller le profil d’un utilisateur final
937
Enregistrer le profil dans Firebox
938
Fichiers de configuration Mobile VPN with IPSec
938
Configurer les stratégies à filtrer Trafic Mobile VPN
939
Distribuer les logiciels et les profils
940
Rubriques supplémentaires sur Mobile VPN
941
Configurer Mobile VPN with IPSec sur une adresse IP dynamique
942
À propos du Client Mobile VPN with IPSec
Spécifications du client
944
Installer le logiciel client Mobile VPN with IPSec
945
Connecter et déconnecter le Client Mobile VPN
947
Afficher les messages de journaux Mobile VPN
949
Sécurisez votre ordinateur avec le pare-feu Mobile VPN
950
Instructions à destination de l’utilisateur final pour l’installation du client WatchGuard Mobile
VPN with IPSec
958
Configuration Mobile VPN pour Windows Mobile
xxxiv
944
964
WatchGuard System Manager
Configurations logicielles requises pour le client Mobile VPN WM Configurator et Windows
Mobile IPSec
964
Installer le logiciel Mobile VPN WM Configurator
965
Sélectionner certificat et entrer le PIN
965
Importer un profil de l’utilisateur final
966
Installer le logiciel client Windows Mobile sur le périphérique Windows Mobile
966
Télécharger le profil de l’utilisateur sur le périphérique Windows Mobile
968
Connecter et déconnecter le Mobile VPN pour client Windows Mobile
969
Sécurisez votre périphérique Windows Mobile à l’aide du pare-feu Mobile VPN
972
Arrêter le service WatchGuard Mobile VPN
972
Désinstaller le Configurateur, le Service et le Moniteur
973
Mobile VPN with SSL
975
À propos de Mobile VPN with SSL
975
Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL
975
Configurer les paramètres d’authentification et de connexion
976
Configurer les paramètres Mise en réseau et Pool d’adresses IP
977
Configurer les paramètres avancés de Mobile VPN with SSL
979
Configurer l’authentification de l’utilisateur pour Mobile VPN with SSL
981
Configurer des stratégies pour contrôler l’accès client Mobile VPN with SSL
981
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with SSL
983
Résolution de nom pour Mobile VPN with SSL
984
Installer et connecter le client Mobile VPN with SSL
985
Spécifications de l’ordinateur client
986
Télécharger le logiciel client
986
Installer le logiciel client
987
Connectez-vous à votre réseau privé
988
Contrôles du client Mobile VPN with SSL
988
Distribuer et installer manuellement le logiciel client et le fichier de configuration Mobile VPN
with SSL
989
Désinstaller le client Mobile VPN with SSL
WebBlocker
À propos de WebBlocker
Guide de l’utilisateur
991
993
993
xxxv
Configurer WebBlocker Server
994
Installation du logiciel WebBlocker Server
994
Gestion du WebBlocker Server
994
Télécharger la base de données WebBlocker
995
Garder à jour la base de données de WebBlocker
996
Changer le port WebBlocker Server
998
Copier la base de données WebBlocker d’un WebBlocker Server à un autre
999
Démarrer avec WebBlocker
1001
Avant de commencer
1001
Activation de WebBlocker sur le périphérique WatchGuard
1001
Définir des stratégies pour WebBlocker
1001
Identification des serveurs WebBlocker
1002
Sélectionner les catégories à bloquer
1004
Utiliser des règles d’exception pour limiter l’accès à des sites Web
1004
Configurer WebBlocker
1004
Paramétrage de WebBlocker pour une stratégie
1004
Copier des paramètres WebBlocker entre stratégies
1005
Ajouter de nouveaux serveurs WebBlocker ou modifier leur ordre
1006
À propos des catégories WebBlocker
1007
Changer catégories à bloquer
1008
Vérifier si un site appartient à une catégorie
1009
Ajouter, supprimer ou modifier une catégorie
1010
Définir les Options WebBlocker
1011
Paramétrage des alarmes WebBlocker
1014
À propos de les exceptions WebBlocker
xxxvi
1014
Définir l’action à entreprendre pour les sites qui ne correspondent pas exceptions
1014
Composants des règles d’exception
1015
Exceptions avec une partie d’une URL
1015
Ajouter des exceptions de serveurs WebBlocker
1015
Modifier l’ordre des règles d’exception
1018
Importer ou exporter des règles d’exception WebBlocker
1019
Interdire aux utilisateurs un ensemble spécifique de sites Web
1020
WatchGuard System Manager
Utiliser des actions WebBlocker dans des définitions de proxy
1024
Définir des actions WebBlocker supplémentaires
1025
Ajouter des actions WebBlocker à une stratégie
1025
Planification des actions WebBlocker
1026
Présentation de l’expiration des services d’abonnements WebBlocker
1027
Exemples
1027
Utilisation de la fonction de contournement local WebBlocker
1027
Utilisation d’un WebBlocker Server protégé par un autre périphérique WatchGuard
1028
Configurer les stratégies WebBlocker pour les groupes avec Active Directory Authentication
Configuration des stratégies WebBlocker pour les groupes avec authentification Firebox
spamBlocker
À propos de spamBlocker
1035
1050
1067
1067
Caractéristiques de spamBlocker
1068
Actions, indicateurs et catégories de spamBlocker
1068
Activation spamBlocker
1070
Appliquer les paramètres spamBlocker à vos stratégies
1071
Créer des stratégies de proxy
1071
Configurer spamBlocker
1072
À propos des exceptions spamBlocker
1074
Configurer les actions de Virus Outbreak Detection pour une stratégie :
1078
Configuration de spamBlocker placer du courrier en quarantaine
1079
À propos de l’utilisation de spamBlocker avec plusieurs proxies
1080
Définir les paramètres globaux spamBlocker
1080
Utilisation d’un serveur proxy HTTP pour spamBlocker
1082
Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score de
probabilité de courrier indésirable
1083
Activer VOD (Virus Outbreak Detection) et définir ses paramètres
1084
spamBlocker et les limites d’analyse VOD
1084
Création de règles pour votre lecteur de messagerie
Envoyer Courrier indésirable ou messages en masse dans des dossiers Outlook spéciaux
Envoi d’un rapport sur les faux positifs ou les faux négatifs
Guide de l’utilisateur
1085
1086
1086
xxxvii
Utiliser la référence RefID à la place du texte du message
1087
Établir la catégorie attribuée à un e-mail
1088
Reputation Enabled Defense
mlxxxix
À propos de Reputation Enabled Defense
mlxxxix
Seuils de réputation
mlxxxix
Scores de réputation
mxc
Résultats de Reputation Enabled Defense
mxc
Configurer Reputation Enabled Defense
mxc
Avant de commencer
mxc
Activer Reputation Enabled Defense
mxci
Configurer les seuils de réputation
mxci
Configurer la notification d’alarme pour les actions de RED
mxcii
Envoyer les résultats d’analyse de Gateway AV à WatchGuard
mxciii
Gateway AntiVirus et Intrusion Prevention
1095
À propos de Gateway AntiVirus et Intrusion Prévention
1095
Installer et mettre à niveau Gateway AV/IPS
1096
Présentation de Gateway AntiVirus/Intrusion Prevention et stratégies de proxies
1096
Activer Gateway AntiVirus
1097
Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager
1097
Activation Gateway AntiVirus à partir de définitions de proxy
1100
Actions de configuration de Gateway AntiVirus
1101
Configuration des actions de Gateway AV pour une action de proxy
1102
Configuration de la notification d’alarme pour les actions antivirus
1104
Déverrouiller un fichier verrouillé par Gateway AntiVirus
1105
Configurer les Gateway AntiVirus : placer du courrier en quarantaine
1105
À propos des limites d’analyse Gateway AntiVirus
1106
Mettez à jour les paramètres Gateway AV/IPS
Si vous utilisez un client antivirus tiers
1106
Configuration les paramètres de décompression de Gateway AV
1107
Configurer le serveur de mise à jour Gateway AV/IPS
1108
Afficher l’état des services d’abonnement et mettre à jour manuellement les signatures
1109
Activation Intrusion Prevention Service
xxxviii
1106
1111
WatchGuard System Manager
Sélection des stratégies de proxy à activer
1112
Créer des stratégies de proxy
1113
Sélection des paramètres avancés de la fonction Intrusion Prevention.
1114
Configurer les Intrusion Prevention Service
1115
Configurer les actions IPS
1115
Configurer les Exceptions de signatures
1118
Copie des paramètres d’IPS vers d’autres stratégies
1120
Activer et configurer Intrusion Prevention Service pour TCP-UDP
Quarantine Server
1120
1121
À propos de Quarantine Server
1121
Configurer Quarantine Server
1122
Installer le logiciel Quarantine Server
1122
Lancez l’assistant Server Center Setup Wizard de WatchGuard
1122
Configurer les paramètres de Quarantine Server
1123
Configurer Firebox pour mettre en quarantaine le courrier
1123
Configurer les paramètres du serveur Quarantine Server
1124
Définir paramètres du serveur
1125
Configurer les paramètres de suppression et les domaines acceptés
1126
Configurer les paramètres de notification d’utilisateur
1128
Configurer les paramètres de journalisation pour Quarantine Server
1130
Configurer les règles de Quarantine Server
1131
Définir l’emplacement de Quarantine Server sur Firebox
1132
À propos de Quarantine Server Client
1133
Gérer les messages mis en quarantaine
1134
Gérer les utilisateurs de Quarantine Server
1137
Obtenir des statistiques sur l’activité de Quarantine Server
1140
Exemples
Configuration de la notification d’utilisateur avec Microsoft Exchange 2003 ou 2007
Guide de l’utilisateur
1141
1141
xxxix
Guide de l’utilisateur
xl
1
Introduction à la sécurité des
réseaux
À propos des réseaux et de leur sécurité
Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut être
composé de deux ordinateurs dans la même pièce, de douzaines d'ordinateurs dans une entreprise ou
d'une multitude d'ordinateurs dans le monde entier connectés entre eux via Internet. Les ordinateurs
faisant partie du même réseau peuvent fonctionner ensemble et partager des données.
Les réseaux tels qu'Internet vous donnent accès à un large éventail d'informations et d'opportunités
commerciales, mais ils rendent également votre réseau accessible aux personnes malveillantes. De
nombreuses personnes pensent que leurs ordinateurs ne contiennent pas d'informations importantes ou
que les hackers ne sont pas intéressés par leurs ordinateurs. La réalité en est tout autrement. Un pirate
informatique peut utiliser votre ordinateur en tant que plate-forme d'attaque contre d'autres ordinateurs
ou réseaux. Les informations concernant votre organisation, y compris les données personnelles des
utilisateurs ou clients, sont également très prisées des hackers.
Votre périphérique WatchGuard et votre abonnement LiveSecurity peuvent vous aider à prévenir ce type
d'attaques. Une bonne stratégie de sécurité réseau ou un jeu de règles d'accès pour les utilisateurs et les
ressources peuvent également vous aider à découvrir et à prévenir les attaques dirigées contre votre
ordinateur et votre réseau. Nous vous conseillons de configurer votre Firebox de manière à correspondre à
votre stratégie de sécurité et de prendre en compte les menaces de l'extérieur aussi bien que de
l'intérieur de votre organisation.
À propos d'Internet connexions
Les fournisseurs de services Internet sont des sociétés qui donnent accès à Internet via des connexions
réseau. Le débit avec lequel une connexion réseau peut envoyer des données est appelé bande passante :
par exemple, 3 mégabits par seconde (Mbits/s).
User Guide
i
Introduction à la sécurité des réseaux
Une connexion Internet à haut débit, telle qu’un modem câble ou DSL (Digital Subscriber Line), est appelée
connexion large bande. Les connexions large bande sont beaucoup plus rapides que les connexions d’accès
à distance. La bande passante d’une connexion d’accès à distance est inférieure à .1 Mbits, alors qu’avec un
modem câble elle peut être de 5 Mbits ou plus.
Les débits des modems câbles sont généralement inférieurs aux débits maximaux, car chaque ordinateur
d’un voisinage appartient à un LAN. Chaque ordinateur d’un LAN utilise une partie de la bande passante. À
cause de ce système média partagé , les connexions modem câble peuvent être ralenties lorsque
davantage d’utilisateurs se connectent au réseau.
Les connexions DSL offrent une bande passante constante, mais sont généralement plus lentes que les
connexions modem câble. De plus, la bande passante est seulement constante entre votre domicile ou
votre bureau et le bureau central DSL. Le bureau central DSL ne peut pas garantir une bonne connexion à
un site Web ou un réseau.
Mode de transmission des informations sur Internet
Les données que vous envoyez via Internet sont découpées en unités ou paquets. Chaque paquet inclut
l’adresse Internet de la destination. Les paquets d’une connexion peuvent utiliser différents itinéraires via
Internet. Lorsqu’ils arrivent à destination, ils sont assemblés dans l’ordre initial. Pour garantir que les
paquets arrivent à destination, les informations d’adresse sont ajoutées aux paquets.
À propos des protocoles
Un protocole est un ensemble de règles qui autorise les ordinateurs à se connecter au sein d’un réseau. Les
protocoles sont la « grammaire » du langage que les ordinateurs utilisent lorsqu'ils communiquent entre
eux sur un réseau. Le protocole standard de connexion à Internet est le protocole IP (Internet Protocol). Ce
protocole est le langage commun des ordinateurs sur Internet.
ii
WatchGuard System Manager
Introduction à la sécurité des réseaux
Un protocole indique également le mode d’envoi des données à travers un réseau. Les protocoles les plus
fréquemment utilisés sont TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). TCP/IP est
le protocole de base utilisé par des ordinateurs qui se connectent à Internet.
Vous devez connaître certains des paramètres TCP/IP lorsque vous installez votre périphérique
WatchGuard. Pour plus d'information sur le protocole TCP (Transmission Control Protocol)/IP, voir Trouvez
vos propriétés TCP/IP à la page 43.
À propos de Adresses IP
Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu'un
ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit
connaître l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous
les périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également
sur Internet de les trouver et d’interagir avec eux.
Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés
par des points. Chaque chiffre entre les points doit être compris entre 0 et 255. Voici quelques exemples
d'adresses IP :
n
n
n
206.253.208.100
4.2.2.2
10.0.4.1
Adresses et passerelles privées
De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses
10.x.x.x et 192.168.x.x sont réservées pour les adresses IP privées. Les ordinateurs sur Internet ne peuvent
pas utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un
périphérique de passerelle doté d’une adresse IP publique.
La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après
l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs
connectés à ses interfaces approuvées ou facultatives.
À propos de masques de sous-réseau
Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites
appelées sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par
exemple, tous les périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50
appartiennent au même sous-réseau.
Un masque de sous-réseau d'une adresse IP de réseau, ou masque de sous-réseau, est une série d'octets
servant à masquer les sections de l'adresse IP qui identifient quelles parties de l'adresse IP sont consacrées
au réseau et quelles parties sont pour l'hôte. Un masque de sous-réseau peut être rédigé de la même façon
qu'une adresse IP ou en notation slash ou CIDR.
User Guide
iii
Introduction à la sécurité des réseaux
À propos de la notation de barre oblique
Votre Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. La
notation de barre oblique, appelée également notation CIDR (Classless Inter-Domain Routing) , est un
moyen compact d'afficher ou d'écrire un masque de sous-réseau. Lorsque vous utilisez la notation de barre
oblique, vous écrivez l'adresse IP, une barre oblique droite (/) et le numéro de masque de sous-réseau.
Pour trouver le numéro de masque de sous-réseau :
1. Convertissez la représentation décimale du masque de sous-réseau en une représentation binaire.
2. Comptez chaque « 1 » dans le masque de sous-réseau. Le total est le numéro de masque de sousréseau.
Par exemple, vous souhaitez écrire l'adresse IP 192.168.42.23 avec un masque de sous-réseau de
255.255.255.0 en notation de barre oblique.
1. Convertissez le masque de sous-réseau en notation binaire.
Dans cet exemple, la représentation binaire de 255.255.255.0 est :
11111111.11111111.11111111.00000000.
2. Comptez chaque « 1 » dans le masque de sous-réseau.
Dans cet exemple, il y en a vingt-quatre (24).
3. Écrivez l'adresse IP originale, une barre oblique droite (/), puis le chiffre de l'étape 2.
Le résultat est 192.168.42.23/24.
Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques.
Masque de réseau Équivalent avec des barres obliques
255.0.0.0
/8
255.255.0.0
/16
255.255.255.0
/24
255.255.255.128
/25
255.255.255.192
/26
255.255.255.224
/27
255.255.255.240
/28
255.255.255.248
/29
255.255.255.252
/30
À propos de la saisie Adresses IP
Lorsque vous saisissez des adresses IP dans l'Assistant Quick Setup Wizard ou dans les boîtes de dialogue,
saisissez les chiffres et les points dans le bon ordre. N'utilisez pas la touche TABULATION, les touches de
direction, la barre d'espacement ou la souris pour placer votre curseur après les points.
iv
WatchGuard System Manager
Introduction à la sécurité des réseaux
Si, par exemple, vous entrez l'adresse IP 172.16.1.10, ne saisissez pas d'espace après « 16 ». N'essayez pas
de placer votre curseur après le point suivant pour entrer « 1 ». Saisissez un point directement après « 16
», puis saisissez « 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau.
Statique et dynamique Adresses IP
Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette
adresse IP peut être statique ou dynamique.
Adresse IP statique
Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur
FTP ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de
services Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus
chère qu’une adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas
d’adresse IP statique. Vous devez configurer une adresse IP statique manuellement.
Adresse IP dynamique
Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser
de façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée
automatiquement à un autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou
de PPPoE.
À propos de DHCP
DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau
utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque
vous vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de
services Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez
avant ou d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP
dynamique, le fournisseur de services Internet peut attribuer cette adresse IP à un autre client.
Vous pouvez configurer votre périphérique WatchGuard en tant que serveur DHCP pour les réseaux
derrière le périphérique. Vous attribuez une série d'adresse à l'usage du serveur DHCP.
À propos de PPoE
Certains fournisseurs attribuent des adresses IP via PPPoE (Point-to-Point Protocol over Ethernet). PPPoE
ajoute certaines des fonctionnalités Ethernet et PPP à une connexion d’accès à distance standard. Ce
protocole de réseau permet au fournisseur de services Internet d’utiliser les systèmes de sécurité,
d’authentification et de facturation de leur infrastructure d’accès à distance avec un modem DSL et des
modems câblés.
User Guide
v
Introduction à la sécurité des réseaux
À propos de DNS (Domain Name System)
Vous pouvez fréquemment trouver l'adresse d'une personne que vous ne connaissez pas dans l'annuaire
téléphonique. Sur Internet, l'équivalent d'un annuaire téléphonique est le DNS(Domain Name System) DNS
est un réseau de serveurs qui traduit des adresses IP numériques en adresses Internet lisibles et
inversement. DNS prend le nom de domaine convivial que vous saisissez lorsque vous souhaitez voir un
certain site Web, tel que www.exemple.com, et trouve l'adresse IP correspondante, telle que 50.50.50.1.
Les périphériques réseau ont besoin de l'adresse IP réelle pour trouver le site Web, mais les noms de
domaine sont plus faciles à saisir et à mémoriser pour les utilisateurs que les adresses IP.
Un serveur DNS est un serveur qui effectue cette traduction. De nombreuses organisations ont dans leur
réseau des serveurs DNS privés qui répondent aux requêtes DNS. Vous pouvez également utiliser un
serveur DNS sur votre réseau externe, tel qu'un serveur DNS fourni par votre fournisseur de services
Internet.
À propos des pare-feu
Un système de sécurité réseau, tel qu'un pare-feu, sépare vos réseaux internes des connexions réseau
externes afin de réduire le risque d'attaque externe. La figure ci-dessous montre comment un pare-feu
protège les ordinateurs d'un réseau approuvé d’Internet.
vi
WatchGuard System Manager
Introduction à la sécurité des réseaux
Les pare-feu utilisent des stratégies d’accès pour identifier et filtrer les différents types d’informations. Ils
peuvent également contrôler quelles stratégies ou quels ports les ordinateurs protégés utilisent sur
Internet (accès sortants). Par exemple, de nombreux pare-feu ont des stratégies de sécurité sélectives
n'admettant que des types spécifiés de trafic. Les utilisateurs peuvent sélectionner la stratégie qui leur
convient le mieux. D'autres pare-feu, tels que les périphériques WatchGuard du type Firebox, permettent à
l'utilisateur de personnaliser ces stratégies.
Pour plus d’informations, voir À propos des services et des stratégies à la page vii et À propos des ports à la
page viii
Les pare-feu peuvent être matériels ou logiciels. Un pare-feu protège les réseaux privés contre les
utilisateurs non autorisés sur Internet. Le trafic entrant dans ou sortant des réseaux protégés est examiné
par le pare-feu. Le pare-feu refuse le trafic réseau qui ne répond pas aux critères ou stratégies de sécurité.
Dans certains pare-feu fermés, ou refus par défaut , toutes les connexions réseau sont refusées sauf si une
règle spécifique autorise la connexion. Pour déployer ce type de pare-feu, vous devez disposer
d’informations détaillées sur les applications réseau requises pour répondre aux besoins de votre
organisation. D’autres pare-feu autorisent toutes les connexions réseau qui n’ont pas été refusées de façon
explicite. Ce type de pare-feu ouvert est plus facile à déployer, mais n’est pas aussi sécurisé.
À propos des services et des stratégies
Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou
des commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent
des protocoles. Les services Internet fréquemment utilisés sont les suivants :
n
n
n
n
n
L'accès World Wide Web utilise le protocole Hypertext Transfer Protocol (HTTP)
L'e-mail utilise le protocole Simple Mail Transfer Protocol (SMTP) ou le protocole Post Office
Protocol (POP3)
Le transfert de fichiers utilise File Transfer Protocol (FTP)
La conversion d'un nom de domaine en adresse Internet utilise Domain Name Service (DNS)
L'accès aux terminaux distants utilise Telnet ou SSH (Secure Shell)
User Guide
vii
Introduction à la sécurité des réseaux
Lorsque vous admettez ou refusez un service, vous devez ajouter une stratégie à votre configuration de
périphérique WatchGuard. Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour
envoyer et recevoir des données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose
votre réseau à des risques. Il est conseillé d’ajouter uniquement des stratégies indispensables à votre
société.
Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société
souhaite activer une connexion de services de terminal Windows au serveur Web public de sa société, via
l’interface facultatif de la Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote
Desktop. Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux
services de terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise
les connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public.
Lorsque vous configurez votre périphérique WatchGuard avec l'assistant Quick Setup Wizard, l'assistant
n'ajoute que de la connectivité sortante limitée. Si vous avez d’autres applications logicielles et davantage
de trafic réseau que votre Firebox doit inspecter, vous devez :
n
n
n
Configurer les stratégies sur votre Firebox pour faire passer le trafic nécessaire
Définir les hôtes approuvés et les propriétés pour chaque stratégie
Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès
aux ressources externes
À propos des ports
Bien que les ordinateurs aient des ports matériels utilisables comme points de connexion, les ports sont
également des numéros utilisés pour mapper le trafic vers un processus particulier sur un ordinateur. Ces
ports, également appelés ports TCP et UDP, sont le lieu de transmission de données des programmes. Si
une adresse IP est comparable à une adresse de rue, un numéro de port est comme un numéro
d'appartement ou d'immeuble à l'intérieur de cette rue. Lorsqu'un ordinateur envoie du trafic via Internet
vers un serveur ou un autre ordinateur, il utilise une adresse IP pour identifier le serveur ou l'ordinateur
distant et un numéro de port pour identifier le processus sur le serveur ou ordinateur recevant les
données.
Par exemple, supposez que vous souhaitez voir une page Web précise. Votre navigateur Web essaie de
créer une connexion sur le port 80 (le port utilisé pour le trafic HTTP) pour chaque élément de la page
Web. Lorsque votre navigateur reçoit les données qu'il demande du serveur HTTP, par exemple une image,
il ferme la connexion.
De nombreux ports sont utilisés pour un seul type de trafic, tel que le port 25 pour SMTP (Simple Mail
Transfer Protocol). Certains protocoles, tels que SMTP, comportent des ports avec des numéros attribués.
D'autres programmes sont des numéros de port attribués dynamiquement pour chaque connexion. L'IANA
(Internet Assigned Numbers Authority) conserve une liste des ports connus. Vous pouvez consulter cette
liste à l’adresse suivante :
http://www.iana.org/assignments/port-numbers
La plupart des stratégies que vous ajoutez à votre configuration de Firebox ont un numéro de port entre 0
et 1024, mais les numéros de port possibles vont de 0 à 65535.
viii
WatchGuard System Manager
Introduction à la sécurité des réseaux
Les ports sont soit ouverts, soit fermés. Si un port est ouvert, votre ordinateur accepte les informations et
utilise le protocole identifié avec ce port pour créer des connexions vers d'autres ordinateurs. Cependant,
un port ouvert constitue un risque de sécurité. Pour vous protéger contre les risques créés par les ports
ouverts, vous pouvez bloquer les ports utilisés par les hackers pour attaquer votre réseau. Pour plus
d’informations, voir À propos de Ports bloqués à la page 501.
Vous pouvez également bloquer les explorations d'espaces : il s'agit de trafic TCP ou UDP envoyé par un
hôte à une série de ports afin d'obtenir des informations sur des réseaux et leurs hôtes. Pour plus
d’informations, voir À propos de exploration des espaces de ports et d’adresses à la page 491.
User Guide
ix
Introduction à la sécurité des réseaux
User Guide
x
2
Présentation de Fireware XTM
Présentation de Fireware XTM
Fireware XTM vous offre une manière simple et efficace d'afficher, de gérer et de surveiller chaque
Firebox de votre réseau. La solution Fireware XTM comprend quatre applications logicielles :
n
n
n
n
WatchGuard System Manager (WSM)
Fireware XTM Web UI
Fireware XTM Command Line Interface (CLI)
WatchGuard Server Center
Il se peut que vous ayez besoin de plus d'une application Fireware XTM pour configurer le réseau de votre
entreprise. Par exemple, si vous ne possédez qu'un produit Firebox X Edge e-Series, vous pouvez effectuer
la plupart des tâches de configuration avec Fireware XTM Web UI ou l'interface Command Line Interface.
Cependant, pour les fonctionnalités de journalisation et de génération de rapports plus avancées, vous
devez utiliser WatchGuard Server Center. Si vous gérez plusieurs périphériques WatchGuard, ou si vous
avez acheté Fireware XTM avec une mise à jour Pro, il est conseillé d'utiliser le gestionnaire WatchGuard
System Manager (WSM). Si vous choisissez de gérer et de contrôler votre configuration avec l'IU Web de
Fireware XTM, vous ne pourrez pas configurer certaines fonctionnalités.
Pour plus d'informations concernant ces restrictions, voir l'aide sur l'IU Web de Fireware XTM à l'adresse :
http://www.watchguard.com/help/docs/webui/11/fr-FR/index.html.
Pour plus d'informations sur la façon de vous connecter à votre Firebox avec Fireware XTM Web UI ou
l'interface Fireware XTM Command Line Interface, voir l'aide en ligne ou le guide de l'utilisateur
correspondants à ces produits. Vous pouvez consulter et télécharger la documentation la plus récente
concernant ces produits sur la page de documentation sur les produits Fireware XTM :
http://www.watchguard.com/help/documentation/xtm.asp
Note Les termes Firebox et périphérique WatchGuard employés dans cette
documentation se réfèrent aux produits WatchGuard utilisant Fireware XTM, tels
que le périphérique Firebox X Edge e-Series.
User Guide
11
Présentation de Fireware XTM
Composants de Fireware XTM
Pour démarrer le gestionnaire WatchGuard System Manager ou WatchGuard Server Center depuis votre
bureau Windows, sélectionnez le raccourci dans le menu Démarrer. Vous pouvez également démarrer
WatchGuard Server Center à partir de l'icône de la barre d'état système. Depuis ces applications, vous
pouvez lancer d'autres outils qui vous aident à gérer votre réseau. Par exemple, vous pouvez lancer
HostWatch ou Policy Manager depuis le gestionnaire WatchGuard System Manager (WSM).
WatchGuard System Manager
Le gestionnaire WatchGuard System Manager (WSM) est la principale application pour la gestion de réseau
via votre Firebox. Vous pouvez utiliser WSM pour gérer plusieurs périphériques Firebox différents, même
ceux qui utilisent des versions logicielles différentes. WSM comprend une suite complète d'outils pour vous
aider à surveiller et à contrôler le trafic réseau.
Policy Manager
Vous pouvez utiliser Policy Manager pour configurer votre pare-feu. Policy Manager comprend un
ensemble complet de filtres de paquets, de stratégies proxy et de passerelles ALG préconfigurés.
Vous pouvez également créer un filtre de paquets, une stratégie de proxy ou une passerelle ALG
personnalisé(e) pour lequel/laquelle vous définissez les ports, les protocoles ainsi que d'autres
options. D'autres fonctionnalités de Policy Manager vous permettent d'arrêter les tentatives
d'intrusions dans le réseau, telles que les attaques SYN Flood, les attaques par usurpation et les
explorations d'espaces d'adresses ou de ports.
Pour plus d’informations, voir À propos de Policy Manager à la page 340.
Firebox System Manager (FSM)
Le gestionnaire Firebox System Manager vous offre une interface afin de surveiller tous les
composants de votre périphérique WatchGuard. Depuis FSM, vous pouvez voir l'état en temps réel
de votre Firebox et de sa configuration.
12
WatchGuard System Manager
Présentation de Fireware XTM
Pour plus d’informations, voir À propos de Firebox System Manager (FSM) à la page 681.
HostWatch
HostWatch est un moniteur de connexion en temps réel qui indique le trafic réseau entre
différentes interfaces Firebox. HostWatch donne également des informations sur les utilisateurs, les
connexions, les ports et les services.
Pour plus d’informations, voir À propos de HostWatch à la page 717.
LogViewer
LogViewer est l’outil WatchGuard System Manager qui vous permet de consulter les données des
fichiers journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et
afficher du contenu en utilisant des mots clés ou en spécifiant des champs du journal.
Pour plus d’informations, voir À propos de la journalisation et des fichiers journaux à la page 619.
Report Manager
Vous pouvez utiliser Report Manager pour générer des rapports sur les données recueillies depuis
vos serveurs de journal concernant tous vos périphériques WatchGuard. Dans Report Manager, vous
pouvez consulter les rapports WatchGuard disponibles concernant vos périphériques WatchGuard.
Pour plus d’informations, voir À propos de WatchGuard Report Manager à la page 758.
CA Manager
Le gestionnaire Certificate Authority (CA) Manager affiche une liste complète de certificats de
sécurité installés sur votre ordinateur de gestion avec Fireware XTM. Vous pouvez utiliser cette
application pour importer, configurer et générer des certificats à utiliser avec les tunnels VPN et à
d'autres fins d'authentification.
WatchGuard Server Center
WatchGuard Server Center est l'application qui vous permet de configurer et de surveiller tous vos
serveurs WatchGuard.
Pour plus d'informations sur WatchGuard Server Center, voir Configurer les serveurs WatchGuard System
Manager à la page 507.
Management Server
Le serveur Management Server fonctionne sous Windows. À l’aide de ce serveur, vous pouvez
gérer tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) en
utilisant une simple fonction glisser-déplacer. Les fonctions de base de Management Server sont les
suivantes :
n
n
n
Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol
Security).
Gestion de configuration des tunnels VPN
Gestion de périphériques Firebox et Firebox X Edge multiples
Pour plus d'informations sur Management Server, voir À propos de WatchGuard Management
Server à la page dxvii.
User Guide
13
Présentation de Fireware XTM
Serveur Log Server
Le serveur Log Server collecte les messages des journaux de chaque système WatchGuard Firebox.
Ces messages des journaux sont chiffrés lorsqu'ils sont envoyés au serveur Log Server. Le format
d’un message du journal est XML (texte brut). Les informations collectées à partir des périphériques
de pare-feu incluent les messages de types Trafic, Événement, Alarme, Débogage (diagnostic) et
Statistiques.
Pour plus d’informations, voir Configurer un serveur Log Server à la page 627.
WebBlocker Server
Le serveur WebBlocker Server utilise le proxy HTTP de Firebox pour refuser l’accès utilisateur à des
catégories spécifiques de sites Web. Au cours de la configuration de Firebox, l’administrateur définit
les catégories de sites Web à autoriser ou à bloquer.
Pour plus d'informations sur WebBlocker et le serveur WebBlocker Server, voir À propos de
WebBlocker à la page 993.
Quarantine Server
Le serveur Quarantine Server collecte et isole les e-mails susceptibles d'être du courrier indésirable
ou de contenir un virus à l'aide de spamBlocker.
Pour plus d’informations, voir À propos de Quarantine Server à la page 1121.
Report Server
Le serveur Report Server consolide périodiquement des données collectées par les serveurs Log
Server sur vos périphériques WatchGuard et génère régulièrement des rapports. Une fois les
données transmises à Report Server, vous pouvez utiliser Report Manager pour afficher les rapports.
Pour plus d'informations sur les rapports et Report Server, voir À propos de Report Server à la page 741.
Fireware XTM Web UI et interface Command Line Interface
Fireware XTM Web UI et l'interface Command Line Interface sont des solutions alternatives de gestion
capables d'effectuer la plupart des tâches du gestionnaire WatchGuard System Manager et de Policy
Manager. Certaines options et fonctionnalités avancées de configuration, telles que les paramétrages
Firecluster ou de stratégie proxy, ne sont pas disponibles sur Fireware XTM Web UI et l'interface Command
Line Interface.
Fireware XTM avec une mise à niveau Pro
La mise à jour Pro pour Fireware XTM propose plusieurs fonctionnalités avancées pour les clients
expérimentés, telles que l'équilibrage de charge de serveur et des tunnels VPN SSL supplémentaires. Les
fonctionnalités disponibles avec une mise à jour Pro dépendent du type et du modèle de votre Firebox :
Fonctionnalité
FireCluster
14
Core eSeries
Core/Peak e-Series
et XTM 1050 (Pro)
Edge eSeries
Edge e-Series
(Pro)
Q
WatchGuard System Manager
Présentation de Fireware XTM
Fonctionnalité
les réseaux locaux virtuels
(VLAN).
Core eSeries
75 maxi.
Core/Peak e-Series
et XTM 1050 (Pro)
75 maxi. (Core)
200 maxi. (Peak/XTM
1050)
Edge eSeries
20 maxi.
Edge e-Series
(Pro)
50 maxi.
Routage dynamique (OSPF et
BGP)
Q
Routage basé sur stratégie
Q
Équilibrage de charge côté
serveur
Q
Nombre maximum de tunnels
VPN SSL
Q
Q
Q
Q
Q
Q
Basculement multi-WAN
Équilibrage de charge multi-WAN
Q
Q
Pour acheter Fireware XTM avec une mise à jour Pro, contactez votre revendeur local.
User Guide
15
Présentation de Fireware XTM
User Guide
16
3
Service et support
À propos de Assistance WatchGuard
WatchGuard® saisit toute l’importance d’une assistance technique lorsque votre réseau doit être sécurisé
avec des ressources ayant été limitées. Nos clients exigent de notre part des connaissances et une
assistance plus étendues dans un univers où la sécurité est vitale. Le Service LiveSecurity® vous fournit
l’aide d’urgence qu’il vous faut, par l’entremise d’un abonnement qui vous assiste aussitôt que vous
enregistrez votre périphérique WatchGuard.
LiveSecurity Service
Votre périphérique WatchGuard inclut un abonnement à notre service high-tech LiveSecurity Service, que
vous activez en ligne lorsque vous enregistrez votre produit. Dès l’activation, votre abonnement au
LiveSecurity Service vous donne accès à un programme d’assistance et de maintenance exceptionnel, sans
égal dans l’industrie.
Le LiveSecurity Service est accompagné des avantages suivants :
Garantie de votre matériel, avec remplacement à l’avance
Un abonnement en vigueur LiveSecurity prolonge la garantie du matériel, incluse avec chaque
périphérique WatchGuard. En outre, l’abonnement vous fournit un remplacement à l’avance de
votre matériel pour minimiser le temps d’indisponibilité en cas de panne matérielle. C’est ainsi
qu’en cas de défaillance d’un matériel, vous recevrez de WatchGuard un appareil de rechange avant
même d’avoir à retourner le matériel d’origine.
Mises à jour logicielles
Votre abonnement au LiveSecurity Service vous donne accès aux toutes dernières mises à jour
logicielles et à des perfectionnements du fonctionnement de vos produits WatchGuard.
Assistance technique
Lorsque vous avez besoin d’une assistance, nos équipes d’experts sont fin prêtes :
User Guide
17
Service et support
n
n
n
Représentants disponibles 12 heures par jour, 5 jours par semaine dans votre fuseau horaire*
Délai d’intervention maximum ciblé de 4 heures
Accès à des forums en ligne d’utilisateurs, animés par des ingénieurs d’assistance chevronnés.
Ressources et alertes d’assistance
Votre abonnement au LiveSecurity Service vous donne accès à une panoplie de vidéos éducatifs
professionnels, de cours en ligne interactifs et d’outils en ligne, spécialement étudiés pour répondre
à vos questions sur la sécurité de réseau en général ou sur les aspects techniques de l’installation, la
configuration et la maintenance de vos produits WatchGuard.
Notre équipe d’intervention d’urgence, un groupe dévoué d’experts en sécurité réseau, surveille
Internet pour identifier les menaces émergentes. Ils diffusent ensuite des communiqués
LiveSecurity, vous informant avec précision sur ce que vous pouvez faire pour faire face à chaque
nouvelle menace. Vous pouvez personnaliser vos préférences et filtrer les conseils et alertes que
vous recevez du LiveSecurity Service.
LiveSecurity Service Or
Le LiveSecurity Service Or est proposé aux entreprises exigeant une disponibilité 24 heures. Ce service
haut de gamme vous donne des heures étendues de couverture et un délai d’intervention encore plus
rapide pour une assistance technique à distance de 24 heures. Afin de vous protéger par une couverture
totale, chaque appareil de votre entreprise doit bénéficier du LiveSecurity Service Or.
Caractéristiques du service
LiveSecurity Service
LiveSecurity
Service Or
Heures d’assistance technique
6 h – 18 h, lundivendredi*
24/7
Nombre d’incidents pour assistance
(en ligne ou par téléphone)
5 par année
Illimité
Délai d’intervention initial ciblé
4 heures
1 heure
Forum d’assistance interactif
Oui
Oui
Mises à jour logicielles
Oui
Oui
Développement personnel et outils de formation en ligne
Oui
Oui
Diffusions LiveSecurity
Oui
Oui
Assistance d’installation
Facultatif
Facultatif
Forfait d’assistance trois incidents
Facultatif
N/D
Une heure, mise à niveau SIPRU (Single Incident Priority
Response Upgrade)
Facultatif
N/D
Mise à niveau SIPRU
Facultatif
N/D
* Dans la région Asie-Pacifique, les heures d’assistance régulières sont 9 h – 21 h, lundi-vendredi (GMT +8).
18
WatchGuard System Manager
Service et support
Expiration du service
Nous vous recommandons de garder votre abonnement en vigueur, afin de garantir la sécurité de votre
entreprise. Lorsque votre abonnement LiveSecurity arrive à échéance, vous perdez l’accès aux toutes
dernières alertes de sécurité et aux mises à jour logicielles régulières, ce qui risque de rendre votre réseau
vulnérable. Des dommages à votre réseau coûteront beaucoup plus chers qu’un simple renouvellement au
LiveSecurity Service. Un renouvellement fait dans les 30 jours n’a aucun frais de remise en vigueur.
User Guide
19
Service et support
User Guide
20
4
Mise en route
Avant de commencer
Avant de commencer le processus d’installation, assurez-vous d’effectuer les tâches décrites dans les
rubriques suivantes.
Note Dans ces instructions d’installation, nous supposons que votre périphérique
WatchGuard dispose d’une interface approuvée, d’une interface externe et d’une
interface configurées. Pour configurer des interfaces supplémentaires sur le
périphérique WatchGuard, utilisez les outils et procédures de configuration décrits
dans les rubriques Configuration réseauet Configuration.
Vérifier les composants de base
Assurez-vous de disposer des éléments suivants :
n
n
n
Un ordinateur doté d’une carte d’interface réseau Ethernet 10/100BaseT et d’un navigateur Web
Un périphérique WatchGuard Firebox ou XTM
Un câble série (bleu)
Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM
n
un câble inverseur Ethernet (rouge)
Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM
n
n
Un câble Ethernet droit (vert)
Câble d’alimentation ou adaptateur courant alternatif
User Guide
21
Mise en route
Obtenir une clé de fonctionnalité pour périphérique
WatchGuard
Pour activer toutes les fonctionnalités sur votre périphérique WatchGuard, vous devez enregistrer le
périphérique sur le site Web WatchGuard LiveSecurity et obtenir une clé de fonctionnalité. Tant que vous
n’avez pas appliqué votre clé de fonctionnalité, vous ne disposez que d’une seule licence d’utilisateur
(licence par siège) pour Firebox.
Si vous procédez à l’enregistrement de votre périphérique WatchGuard avant d’utiliser l’assistant Quick
Setup Wizard, vous pouvez coller une copie de votre clé de fonctionnalité dans l’assistant. L’assistant
l’applique ensuite à votre périphérique. Si vous ne collez pas votre clé de fonctionnalité dans l’assistant,
vous pouvez le fermer. Mais tant que vous n’aurez pas ajouté votre clé de fonctionnalité, une seule
connexion à Internet sera autorisée.
Vous obtenez également une nouvelle clé de fonctionnalité pour tout produit ou service facultatif que vous
achetez. Après que vous ayez enregistré votre périphérique WatchGuard ou toute autre nouvelle
fonctionnalité, vous pouvez synchroniser la clé de fonctionnalité de votre périphérique WatchGuard avec
les clés de fonctionnalité stockées dans votre profil d’enregistrement sur le site WatchGuard LiveSecurity.
Vous pouvez utiliser WatchGuard System Manager (WSM) à n’importe quel moment pour vous procurer
votre clé de fonction.
Pour apprendre comment enregistrer votre périphérique WatchGuard et obtenir une clé de fonctionnalité,
cf. Obtenir une clé de fonctionnalité auprès de LiveSecurity à la page 65.
Collecter les adresses réseau
Nous vous recommandons d’enregistrer vos informations réseau avant et après la configuration de votre
périphérique WatchGuard. Utilisez le premier tableau pour vos adresses IP réseau avant la mise en service
du périphérique.
WatchGuard utilise la notation de barre oblique pour indiquer le masque de sous-réseau. Pour plus
d’informations, voir À propos de la notation de barre oblique à la page iv. Pour de plus amples informations
sur les adresses IP, cf. À propos de Adresses IP à la page iii.
Tableau 1 : Adresses IP réseau sans le périphérique WatchGuard
Réseau étendu (WAN)
_____._____._____._____ / ____
Passerelle par défaut
_____._____._____._____
Réseau local (LAN)
_____._____._____._____ / ____
Réseau secondaire (le cas échéant)
_____._____._____._____ / ____
Serveur(s) public(s) (le cas échéant)
_____._____._____._____
_____._____._____._____
_____._____._____._____
22
WatchGuard System Manager
Mise en route
Utilisez le deuxième tableau pour vos adresses IP réseau après la mise en service du périphérique
WatchGuard.
Interface externe
Assure la connexion au réseau externe (en général Internet) non approuvé.
Interface approuvée
Assure la connexion au réseau local privé ou au réseau interne que vous voulez protéger.
Interface(s) facultative(s)
Se connecte généralement à une zone de confiance mixte de votre réseau, comme des serveurs
dans une DMZ (zone démilitarisée). Vous pouvez utiliser des interfaces facultatives pour créer des
zones sur votre réseau disposant de différents niveaux d’accès.
Tableau 2 : Adresses IP réseau avec le périphérique WatchGuard
Passerelle par défaut
_____._____._____._____
Interface externe
_____._____._____._____/ ____
Interface approuvée
_____._____._____._____ / ____
Interface facultative
_____._____._____._____ / ____
Réseau secondaire (le cas échéant)
_____._____._____._____ / ____
Sélectionnez un pare-feu. mode de configuration
Vous devez décider du mode de connexion du périphérique WatchGuard sur votre réseau avant de
démarrer l’assistant Quick Setup Wizard. Le mode d’installation du périphérique détermine la configuration
des interfaces. Lorsque vous connectez le périphérique, sélectionnez le mode de configuration (routé ou
d’insertion) qui correspond le mieux aux besoins de votre réseau actuel.
De nombreux réseaux fonctionnent de manière optimale avec une configuration routée, mais nous
recommandons le mode d’insertion dans les cas suivants :
n
n
Vous avez déjà affecté un grand nombre d’adresses IP statiques et vous ne souhaitez pas modifier
votre configuration réseau.
Vous ne pouvez pas configurer avec des adresses IP privées les ordinateurs sur vos réseaux
approuvés et facultatifs qui ont des adresses IP publiques.
Ce tableau et les descriptions qui suivent illustrent trois conditions qui peuvent vous aider à sélectionner un
mode de configuration de pare-feu.
Mode de routage mixte
Mode d’insertion
Toutes les interfaces du périphérique WatchGuard
Toutes les interfaces du périphérique WatchGuard
se trouvent sur le même réseau et disposent d’une
se trouvent sur des réseaux différents.
adresse IP identique.
Les interfaces approuvées et facultatives doivent
être sur différents réseaux. Chaque interface
User Guide
Les ordinateurs des interfaces approuvées ou
23
Mise en route
Mode de routage mixte
Mode d’insertion
possède une adresse IP sur son réseau.
facultatives peuvent avoir une adresse IP publique.
Utilisez la traduction d’adresses réseau (NAT)
statique pour mapper les adresses publiques aux
adresses privées derrière les interfaces
approuvées ou facultatives.
Les ordinateurs qui ont un accès public ayant des
adresses IP publiques, aucune traduction NAT n’est
nécessaire.
Pour de plus amples informations sur le mode d’insertion, cf. À propos de la configuration du réseau en
mode d’insertion à la page 108.
Pour de plus amples informations sur le routage mixte, cf. Mode de routage mixte à la page 100.
Le périphérique WatchGuard prend également en charge un troisième mode de configuration appelé
mode pont. Il s’agit de l’option la moins couramment utilisée. Pour de plus amples informations sur le mode
pont, cf. Mode pont à la page 114.
Note Vous pouvez utiliser l’assistant Web Setup Wizard ou l’assistant WSM Quick Setup
Wizard pour créer votre configuration de base. Lorsque vous exécutez l’assistant
Web Setup Wizard, la configuration du pare-feu est automatiquement configurée
en mode routage mixte. Lorsque vous exécutez l’assistant WSM Quick Setup
Wizard, vous pouvez configurer le périphérique en mode routage mixte ou en
mode d’insertion.
Déterminer l’emplacement d’installation du logiciel serveur
Lorsque vous exécutez WatchGuard System Manager Installer, vous pouvez installer WatchGuard System
Manager et les serveurs WatchGuard sur le même ordinateur. Vous pouvez également utiliser la même
procédure d’installation pour installer les serveurs WatchGuard sur différents ordinateurs. Ce système
permet de répartir la charge côté serveur et de disposer de redondance. Pour veiller au bon
fonctionnement du Management Server, vous devez l’installer sur un ordinateur sur lequel WSM est aussi
installé. Pour déterminer l’emplacement d’installation du logiciel serveur, vous devez examiner la capacité
de votre station de gestion et sélectionner la méthode d’installation correspondant à votre environnement.
Si vous installez un logiciel serveur sur un ordinateur avec un pare-feu de bureau actif autre que le Pare-feu
Windows, vous devez ouvrir les ports nécessaires à la connexion des serveurs à travers le pare-feu. Les
utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur configuration de pare-feu de bureau,
car le programme d’installation ouvre les ports nécessaires automatiquement.
Pour plus d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feux de
bureau à la page 39 .
Pour commencer le processus d’installation, Installer le logiciel WatchGuard System Manager.
24
WatchGuard System Manager
Mise en route
Installer le logiciel WatchGuard System Manager
Installez le logiciel WatchGuard System Manager (WSM) sur un ordinateur désigné comme station de
gestion. Vous pouvez utiliser des outils sur la station de gestion pour accéder à des informations concernant
Firebox, telles que l’état des connexions et des tunnels, des statistiques sur le trafic et des messages du
journal.
Désignez un ordinateur Windows sur votre réseau comme station de gestion et installez le logiciel de
gestion. Pour installer le logiciel WatchGuard System Manager, vous devez disposer des privilèges
d’administrateur sur la station de gestion. Après l’installation, vous pouvez opérer avec des privilèges
d’utilisateur expérimenté Windows XP ou Windows 2003.
Vous pouvez installer plusieurs versions de WatchGuard System Manager sur la même station de gestion.
Cependant, vous ne pouvez installer qu’une seule version des logiciels serveur à la fois sur un ordinateur.
Par exemple, vous ne pouvez installer deux Serveurs de gestion sur le même ordinateur.
Sauvegarder votre configuration précédente
Si vous utilisez une version antérieure de WatchGuard System Manager, faites une sauvegarde de votre
configuration de stratégie de sécurité avant d’installer une nouvelle version. Pour obtenir des instructions
sur la méthode pour effectuer une sauvegarde de votre configuration, cf. Créer une sauvegarde de l’image
Firebox à la page 49.
Télécharger WatchGuard System Manager
Vous pouvez télécharger la version la plus récente du logiciel WatchGuard System Manager à tout moment
à partir du site Web à l’adresse https://www.watchguard.com/archive/softwarecenter.asp. Vous devez
ouvrir une session à l’aide de vos informations d’identification LiveSecurity. Si vous êtes un nouvel
utilisateur, créez un profil utilisateur et activez votre produit à l’adresse
http://www.watchguard.com/activate avant d’essayer de télécharger le logiciel WSM.
Le logiciel de station de gestion estdisponible endeux niveauxde chiffrement.Veillez àsélectionner le bon
niveaude chiffrement.Pour plusd’informations, voir À proposdes niveauxde chiffrementlogiciels àla page 26.
Note Si vous installez l’un des serveurs WSM sur un ordinateur doté d’un pare-feu
personnel autre que le Pare-feu Microsoft Windows, vous devez ouvrir certains
ports pour que les serveurs puissent se connecter à travers le pare-feu. Pour
autoriser les connexions à WebBlocker Server, ouvrez le port UDP 5003. Il n’est pas
nécessaire de modifier votre configuration si vous utilisez le pare-feu Microsoft
Windows. Pour de plus amples informations, cf. Installer les serveurs WatchGuard
sur des ordinateurs dotés de pare-feux de bureau à la page 39.
Pour installer Management Server :
1. Sur l’ordinateur que vous utiliserez comme station de gestion, téléchargez le logiciel WatchGuard
System Manager (WSM) le plus récent.
2. Sur le même ordinateur, téléchargez le logiciel système Fireware Appliance Software le plus récent.
3. Ouvrez le programme d’installation et utilisez les instructions d’installation pour la mener à bien.
User Guide
25
Mise en route
Le programme d’installation contient une page Sélectionner les composants où vous sélectionnez
les composants logiciels ou les mises à jour à installer.
Veillez à activer uniquement les cases à cocher correspondant aux composants que vous souhaitez
installer.
Certains composants logiciels nécessitent une licence différente.
4. Exécutez l’assistant Quick Setup Wizard. Cet assistant s’exécute à partir du Web ou en tant
qu’application Windows.
n
n
Pour plus d’informations sur la façon d’exécuter l’assistant à partir du Web, cf. Exécuter
l’Assistant Web Setup Wizard à la page 27.
Pour plus d’informations sur la façon d’exécuter l’assistant en tant qu’application Windows, cf.
Exécution de l’Assistant WSM Quick Setup Wizard à la page 31.
À propos des niveaux de chiffrement logiciels
Le logiciel de station de gestion est disponible en deux niveaux de chiffrement :
De base
Prend en charge le chiffrement 40 bits pour tunnels Mobile VPN with PPTP. Vous ne pouvez pas
créer de tunnel VPN IPSec avec ce niveau de chiffrement.
Fort
Prend en charge le chiffrement 40 bits et 128 bits pour Mobile VPN with PPTP. Prend également en
charge le chiffrement DES 56 bits et 168 bits, ainsi que le chiffrement AES 128 bits, 192 bits et 256
bits.
Pour utiliser la mise en réseau privé virtuel avec IPSec, vous devez télécharger le logiciel de chiffrement
fort. Des restrictions d’exportation rigoureuses sont applicables au logiciel de chiffrement fort. Il est
possible qu’il ne soit pas disponible au téléchargement dans votre région.
26
WatchGuard System Manager
Mise en route
À propos de l’Assistant Quick Setup Wizard
Vous pouvez utiliser la Assistant Quick Setup Wizard pour créer une configuration de base pour le
périphérique WatchGuard. Ce dernier utilise ce fichier de configuration de base lors de son premier
démarrage. Il peut ainsi fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même
procédure chaque fois que vous souhaitez réinitialiser le périphérique WatchGuard avec une nouvelle
configuration de base. Ce système est pratique pour la récupération système.
Lorsque vous configurez le périphérique WatchGuard avec l’assistant Quick Setup Wizard, vous définissez
uniquement les stratégies de base (trafic sortant TCP et UDP, filtre de paquets FTP, ping et WatchGuard) et
les adresses IP des interfaces. Si vous avez d’autres applications logicielles et davantage de trafic réseau que
le périphérique WatchGuard doit inspecter, vous devez :
n
n
n
Configurer les stratégies sur le périphérique WatchGuard pour laisser passer le trafic nécessaire
Définir les hôtes approuvés et les propriétés pour chaque stratégie
Équilibrer les exigences pour protéger votre réseau contre les exigences de vos utilisateurs pour se
connecter aux ressources externes
Vous pouvez exécuter l’assistant Quick Setup Wizard à partir d’un navigateur Web ou en tant qu’application
Windows.
Pour de plus amples informations sur la façon d’exécuter l’assistant à partir du Web, cf. Exécuter l’Assistant
Web Setup Wizard à la page 27.
Pour plus d’informations sur la façon d’exécuter l’assistant en tant qu’application Windows, cf. Exécution de
l’Assistant WSM Quick Setup Wizard à la page 31.
Exécuter l’Assistant Web Setup Wizard
Note Ces instructions concernent l’assistant Web Setup Wizard sur un Firebox exécutant
Fireware XTM v11.0 ou ultérieure. Si votre périphérique WatchGuard utilise une
version antérieure du logiciel, vous devez le mettre à jour vers Fireware XTM avant
de suivre ces instructions. Reportez-vous aux Notes de version pour obtenir des
instructions de mise à niveau pour votre modèle de Firebox.
Vous pouvez utiliser l’assistant Web Setup Wizard pour une configuration de base sur n’importe quel
périphérique Firebox X e-Series ou WatchGuard XTM. L’assistant Web Setup Wizard configure
automatiquement le Firebox pour le mode routage mixte.
Pour utiliser l’assistant Web Setup Wizard, vous devez établir une connexion réseau directe avec le
périphérique WatchGuard et utiliser un navigateur Web pour démarrer l’assistant. Lorsque vous configurez
votre périphérique WatchGuard, ce dernier utilise le protocole DHCP pour envoyer une nouvelle adresse IP
à votre ordinateur de gestion ordinateur.
Avant de démarrer l’assistant Web Setup Wizard, assurez-vous d’avoir :
n
n
Enregistré votre périphérique WatchGuard auprès de LiveSecurity Service ;
Stocké une copie de la clé de fonctionnalité de votre périphérique WatchGuard dans un fichier
texte sur votre ordinateur de gestion ordinateur.
User Guide
27
Mise en route
Démarrer l’assistant Web Setup Wizard
1. Utilisez le câble Ethernet inverseur rouge fourni avec Firebox pour connecter la station de gestion à
l’interface approuvée de Firebox.
n
n
L’interface approuvée pour un Firebox X Core, Peak e-Series ou un périphérique XTM est le
numéro d’interface 1.
Pour un Firebox X Edge e-Series, l’interface approuvée est LAN0
2. Raccordez le câble d’alimentation à l’entrée d’alimentation du périphérique WatchGuard et à une
source d’alimentation.
3. Démarrez le système Firebox en mode paramètres par défaut. Sur les modèles Core, Peak et XTM,
ce mode est connu sous le nom de mode sans échec.
Pour plus d’informations, voir Rétablir une configuration antérieure d’un périphérique Firebox ou
XTM ou créer une nouvelle configuration à la page 61.
4. Assurez-vous que votre ordinateur de gestion ordinateur est configuré pour accepter les adresses IP
affectées par le biais du protocole DHCP.
Si votre ordinateur ordinateur de gestion est sous Windows XP :
n
n
n
n
Dans le menu Démarrer de Windows, sélectionnez Tous les programmes > Panneau de
configuration > Connexions réseau > Connexions au réseau local .
Cliquez sur Propriétés.
Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés.
Assurez-vous que l’option Obtenir une adresse IP automatiquement est sélectionnée.
5. Si votre navigateur utilise un serveur proxy HTTP, vous devez momentanément désactiver le
paramètre de proxy HTTP dans votre navigateur.
Pour plus d’informations, voir Désactiver les proxys HTTP dans le navigateur à la page 42.
6. Ouvrez un navigateur Web et entrez l’adresse IP par défaut de l’interface 1.
Pour un Firebox X Core ou Peak ou pour un périphérique WatchGuard XTM, l’adresse IP est :
https://10.0.1.1:8080 .
Pour un Firebox X Edge, l’adresse est : https://192.168.111.1:8080 .
Si vous utilisez Internet Explorer, assurez-vous d’entrer https:// au début de l’adresse IP. Une
connexion HTTP sécurisée est alors établie entre votre station de gestion et le périphérique
WatchGuard.
L’assistant Web Setup Wizard démarre automatiquement.
7. Connectez-vous en utilisant les informations d’identification par défaut du compte administrateur :
Nom d’utilisateur : admin
Mot de passe : lecture/écriture
8. Passez aux écrans suivants et terminez l’assistant.
L’assistant Web Setup Wizard inclut les boîtes de dialogue suivantes. Certaines d’entre elles ne
s’affichent que si vous sélectionnez certaines méthodes de configuration :
Connexion
28
WatchGuard System Manager
Mise en route
Connectez-vous en utilisant les informations d’identification par défaut du compte
administrateur. Pour le Nom d’utilisateur, sélectionnez admin. Pour un Mot de passe, utilisez
le mot de passe : lecture/écriture.
Bienvenue
Le premier écran vous présente l’assistant.
Sélectionnez un type de configuration.
Choisissez de créer une nouvelle configuration ou de restaurer une configuration à partir d’une
image de sauvegarde enregistrée.
Contrat de licence
Vous devez accepter les termes du contrat de licence pour passer aux étapes suivantes de
l’assistant.
Récupérer la clé de fonctionnalité, appliquer la clé de fonctionnalité, options de clé de fonctionnalité.
Si votre Firebox ne possède pas déjà une clé de fonctionnalité, l’assistant vous propose de
télécharger ou d’importer une clé de fonctionnalité. L’assistant ne peut télécharger une clé de
fonctionnalité que s’il peut se connecter à Internet. Si vous avez téléchargé une copie locale de
la clé de fonctionnalité sur votre ordinateur, vous pouvez la coller dans l’assistant installation.
Si le Firebox n’est pas connecté à Internet lorsque vous exécutez l’assistant, et que vous n’avez
pas enregistré le périphérique ni téléchargé la clé de fonctionnalité sur votre ordinateur avant
de lancer l’assistant, vous pouvez choisir de ne pas appliquer de clé de fonctionnalité.
Avertissement
Si vous n’appliquez pas de clé de fonctionnalité dans l’assistant Web Setup Wizard,
vous devez enregistrer le périphérique et appliquer la clé de fonctionnalité dans
Fireware XTM Web UI. La fonctionnalité du périphérique est limitée jusqu’à ce que
vous appliquiez une clé de fonctionnalité.
Configurez l’interface externe de votre Firebox.
Sélectionnez la méthode utilisée par votre fournisseur de services Internet pour affecter votre
adresse IP. Vous pouvez choisir entre les protocoles DHCP ou PPPoE, ou bien une adresse IP
statique.
Configurer l’interface externe pour DHCP
Entrez votre identification DHCP, telle que fournie par votre fournisseur de services Internet.
Configurer l’interface externe pour PPPoE
Entrez vos informations PPPoE, telles que fournies par votre fournisseur de services Internet.
Configurer l’interface externe à l’aide d’une adresse IP statique.
Entrez vos informations d’adresse IP statique, telles que fournies par votre fournisseur de
services Internet.
Configurer les serveurs DNS et WINS
User Guide
29
Mise en route
Entrez les adresses des serveurs des DNS et WINS de domaine que vous souhaitez que Firebox
utilise.
Configurer l’interface approuvée de Firebox
Entrez l’adresse IP de l’interface approuvée. De manière facultative, vous pouvez activer
l’option Serveur DHCP de l’interface approuvée.
Connexion sans fil (Firebox X Edge e-Series Wireless uniquement)
Définissez la région d’utilisation, le canal et le mode sans fil. La liste des régions d’exploitation
sans fil que vous pouvez sélectionner peut différer selon l’endroit où vous avez acheté Firebox.
Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur
Firebox X Edge e-Series à la page 211.
Créez des mots de passe pour votre périphérique.
Entrez un mot de passe d’état (lecture seule) et de compte de gestion administrateur
(lecture/écriture) sur Firebox.
Activer la gestion à distance
Activez la gestion à distance si vous voulez gérer ce périphérique à partir de l’interface externe.
Ajoutez les informations de contact sur votre périphérique.
Vous pouvez entrer un nom de périphérique, un emplacement et des informations de contact
pour enregistrer des informations de gestion pour ce périphérique. Par défaut, le nom de
périphérique est défini selon le numéro de modèle de Firebox. Nous vous recommandons de
choisir un nom unique que vous pouvez utiliser pour identifier facilement ce périphérique, en
particulier si vous utilisez la gestion à distance.
Définissez le fuseau horaire.
Sélectionnez le fuseau horaire correspondant à l’emplacement de Firebox.
L’Assistant Quick Setup Wizard est terminé.
Une fois l’Assistant terminé, le périphérique WatchGuard redémarre.
Si vous laissez l’Assistant Web Setup Wizard en veille pendant plus de 15 minutes, vous devez revenir à
l’étape 3 et recommencer.
Note Si vous modifiez l’adresse IP de l’interface approuvée, vous devez modifier vos
paramètres réseau de sorte que votre adresse IP corresponde au sous-réseau du
réseau approuvé avant de vous connecter à Firebox. Si vous utilisez le protocole
DHCP, redémarrez votre ordinateur.
30
WatchGuard System Manager
Mise en route
Après l’exécution de l’assistant
Après l’exécution de l’assistant, le périphérique WatchGuard est configuré avec une configuration de base
qui inclut quatre stratégies (trafic TCP sortant, filtre de paquets FTP, ping et WatchGuard) et les adresses IP
d’interface que vous avez spécifiées. Vous pouvez utiliser Policy Manager pour développer ou modifier la
configuration du périphérique WatchGuard.
n
n
Pour obtenir des informations sur la façon de mener à bien l’installation de votre périphérique
WatchGuard, une fois l’assistant Web Setup Wizard terminé, cf. Terminer votre installation à la page 34.
Pour des informations concernant le lancement de WatchGuard System Manager, cf. Démarrer
WatchGuard System Manager à la page 35.
Si vous rencontrez des problèmes avec l’assistant
Si l’assistant Web Setup Wizard ne parvient pas à installer le logiciel système Fireware sur le périphérique
WatchGuard, le délai d’attente de l’assistant expire. Si vous rencontrez des problèmes avec l’assistant,
vérifiez les points suivants :
n
Le fichier d’application Fireware XTM que vous avez téléchargé sur le site Web LiveSecurity pourrait
être endommagé. Si l’image logicielle est endommagée, le message suivant s’affiche sur l’interface
LCD d’un Firebox X Core, Peak ou XTM : File Truncate Error (Erreur - Fichier tronqué)
Si ce message s’affiche, téléchargez de nouveau le logiciel et réessayez d’exécuter l’assistant.
n
Si vous utilisez Internet Explorer 6, effacez le cache de fichiers dans votre navigateur Web et
réessayez.
Pour effacer le cache, dans Internet Explorer, sélectionnez Outils > Options Internet > Supprimer
les fichiers.
Exécution de l’Assistant WSM Quick Setup Wizard
Note Ces instructions concernent l’Assistant Quick Setup Wizard sur un périphérique
Firebox ou XTM exécutant Fireware XTM v11.0 ou ultérieure. Si votre périphérique
utilise une version antérieure du logiciel, vous devez le mettre à niveau vers
Fireware XTM avant de suivre ces instructions. Consultez les Notes de version
fournies avec votre périphérique pour obtenir des instructions sur la mise à niveau.
L’Assistant Quick Setup Wizard s’exécute en tant qu’application Windows afin de vous aider à créer un
fichier de configuration de base. Vous pouvez utiliser l’Assistant Quick Setup Wizard avec tous les
périphériques Firebox X Core e-Series, Firebox X Peak e-Series ou WatchGuard XTM. Grâce à ce fichier de
configuration de base, votre périphérique peut fonctionner comme un pare-feu de base la première fois
que vous le démarrez. Après avoir exécuté l’Assistant Quick Setup Wizard, vous pouvez utiliser Policy
Manager pour développer ou modifier la configuration.
L’Assistant Quick Setup Wizard utilise une procédure de découverte de périphériques pour déterminer le
modèle de périphérique Firebox ou XTM à configurer. Cette procédure utilise une multidiffusion UDP. Les
pare-feu logiciels (par exemple, le pare-feu Microsoft Windows XP SP2) peuvent provoquer des problèmes
lors de la détection de périphérique.
User Guide
31
Mise en route
Avant de commencer
Avant de démarrer l’Assistant Quick Setup Wizard, assurez-vous d’avoir :
n
n
n
n
n
enregistré votre périphérique Firebox ou XTM auprès de LiveSecurity Service ;
enregistré une copie de votre clé de fonctionnalité dans un fichier texte sur votre station de gestion ;
téléchargé les fichiers d’installation de WSM et Fireware XTM depuis le site Web de LiveSecurity
Service vers votre station de gestion ;
installé les logiciels WSM et Fireware XTM sur votre station de gestion ;
configuré la station de gestion avec une adresse IP statique sur le même réseau que l’interface
approuvée de votre périphérique.
Sinon, configurez votre station de gestion pour accepter une adresse IP affectée par le biais du
protocole DHCP.
Démarrer l’Assistant Quick Setup Wizard
1. Utilisez le câble inverseur Ethernet rouge fourni avec votre périphérique Firebox ou XTM pour
connecter la station de gestion à l’interface approuvée de votre périphérique.
n
n
Pour un périphérique Firebox X Core e-Series, Firebox X Peak e-Series ou XTM, l’interface
approuvée est la numéro 1.
Pour un Firebox X Edge e-Series, l’interface approuvée est LAN0.
2. Dans le menu Démarrer de Windows, sélectionnez Tous les programmes > WatchGuard System
Manager 11.x > Quick Setup Wizard.
Une autre méthode, en partant de WatchGuard System Manager, est de sélectionner Outils> Quick
Setup Wizard.
L’Assistant Quick Setup Wizard démarre.
3. Terminez l’Assistant pour configurer votre périphérique Firebox ou XTM avec une configuration de
base. Les étapes incluent les suivantes :
Identifier et détecter votre périphérique
Suivez les instructions relatives à la découverte de périphériques. Vous devrez peut-être
sélectionner votre modèle de périphérique Firebox ou XTM ou reconnecter le câble inverseur
Ethernet. Une fois que l’Assistant a détecté le périphérique Firebox ou XTM, donnez-lui un nom
qui l’identifie dans WatchGuard System Manager, ainsi que dans les fichiers journaux et les
rapports.
Sélectionner une procédure d’installation
Indiquez si vous souhaitez installer le système d’exploitation Fireware XTM, puis créer une
configuration ou si vous souhaitez seulement créer une configuration pour votre périphérique
Firebox ou XTM.
Ajouter une clé de fonctionnalité
Suivez les instructions relatives au téléchargement de la clé de fonctionnalité à partir du site
Web de LiveSecurity Service ou accédez à l’emplacement du fichier de clé de fonctionnalité
que vous avez précédemment téléchargé.
Configurer l’interface externe
32
WatchGuard System Manager
Mise en route
Vous pouvez configurer l’interface externe avec une adresse IP statique ou la configurer pour
qu’elle utilise une adresse IP affectée par le biais du protocole DHCP ou PPPoE. Vous devez
également ajouter une adresse IP pour la passerelle par défaut du périphérique Firebox ou
XTM. Il s’agit de l’adresse IP de votre routeur de passerelle.
Configurer les interfaces externes
Sélectionnez les adresses IP à utiliser pour les interfaces approuvées et facultatives. Si vous
souhaitez configurer le périphérique Firebox ou XTM en mode d’insertion, vous pouvez aussi
utiliser l’adresse IP d’interface externe de ces interfaces.
Pour de plus amples informations sur le mode d’insertion, cf. À propos de la configuration du
réseau en mode d’insertion à la page 108.
Définir les mots de passe
Vous devez créer deux mots de passe pour les connexions au périphérique Firebox ou XTM :
un mot de passe d’état pour les connexions en lecture seule et un mot de passe de
configuration pour les connexions en lecture/écriture. Les deux mots de passe doivent
comporter au moins huit caractères et être différents.
4. Cliquez sur Terminer pour fermer l’Assistant.
L’Assistant enregistre la configuration de base sur le périphérique Firebox ou XTM et dans un fichier de
configuration local.
Après l’exécution de l’Assistant
Si vous avez modifié l’adresse IP de votre station de gestion lors de l’exécution de l’Assistant Quick Setup
Wizard, il sera peut-être nécessaire de modifier à nouveau cette adresse IP une fois l’Assistant exécuté. De
plus, vous devrez peut-être patienter environ une minute avant que votre périphérique Firebox ou XTM
soit prêt, en particulier pour les modèles de périphériques Firebox X Peak suivants : X5500e, X6500e,
X8500e et X8500e-F.
Après l’exécution de l’Assistant, le périphérique Firebox ou XTM utilise une configuration de base qui inclut
cinq stratégies (trafics TCP et UDP sortants, filtre de paquets FTP, ping, WatchGuard et WatchGuard Web UI)
et les adresses IP d’interface que vous avez indiquées. Vous pouvez utiliser Policy Manager pour modifier
cette configuration de base.
n
n
Pour obtenir des informations sur l’installation de votre périphérique Firebox ou XTM une fois
l’Assistant Quick Setup Wizard terminé, cf. Terminer votre installation à la page 34.
Pour des informations concernant le lancement de WatchGuard System Manager, cf. Démarrer
WatchGuard System Manager à la page 35.
Terminer votre installation
Une fois que vous avez terminé l’assistant Web Setup Wizard ou l’assistant WSM Quick Setup Wizard,vous
devez terminer l’installation de votre périphérique WatchGuard sur votre réseau.
1. Placez le périphérique WatchGuard dans son emplacement physique permanent.
2. Assurez-vous que la passerelle de la station de gestion et du reste du réseau approuvé est l’adresse
IP de l’interface approuvée de votre périphérique WatchGuard.
User Guide
33
Mise en route
3. Ouvrez WatchGuard System Manager et sélectionnez Fichier>Se connecter au périphérique pour
connecter la station de gestion au périphérique WatchGuard.
Note Vous devez utiliser le mot de passe d’état (lecture seule) pour vous connecter au
périphérique WatchGuard.
4. Si vous utilisez une configuration routée, veillez à modifier la passerelle par défaut sur tous les
ordinateurs qui se connectent sur votre périphérique WatchGuard afin qu’elle corresponde à
l’adresse IP de l’interface approuvée du périphérique WatchGuard.
5. Personnalisez votre configuration conformément aux besoins de sécurité de votre entreprise.
Pour de plus amples informations, reportez-vous à la rubrique suivante Personnaliser votre stratégie
de sécurité.
6. Si vous avez installé un ou plusieurs serveurs WatchGuard, Configurer les serveurs WatchGuard
System Manager.
Note Si vous installez le logiciel serveur WatchGuard sur un ordinateur équipé d’un parefeu de bureau actif autre que le Pare-feu Windows, vous devez ouvrir les ports
nécessaires à la connexion des serveurs à travers le pare-feu. Les utilisateurs du
Pare-feu Windows n’ont pas besoin de modifier la configuration. Pour plus
d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs dotés de
pare-feux de bureau à la page 39.
Personnalisez votre stratégie de sécurité
Votre stratégie de sécurité contrôle qui peut rentrer et sortir du réseau et détermine les autorisations
d’accès des utilisateurs de votre réseau. Le fichier de configuration du périphérique WatchGuard gère les
stratégies de sécurité.
Lorsque vous avez terminé l’assistant Quick Setup Wizard, le fichier de configuration que vous avez créé ne
constituait qu’une configuration de base. Vous pouvez modifier un fichier de configuration pour aligner la
stratégie de sécurité aux conditions de sécurité de votre entreprise. Vous pouvez ajouter des stratégies de
filtre de paquets et de proxy afin de définir ce qui est autorisé à pénétrer et à sortir de votre réseau.
Chaque stratégie peut avoir un effet sur votre réseau. Les stratégies qui augmentent la sécurité du réseau
peuvent diminuer les possibilités d’accès au réseau. Les stratégies qui augmentent les possibilités d’accès au
réseau peuvent rendre le réseau plus vulnérable. Pour de plus amples informations sur les stratégies, cf. À
propos des stratégies à la page 339.
Pour une nouvelle installation, nous recommandons d’utiliser uniquement des stratégies de filtre de
paquets, jusqu’à ce que tous vos systèmes fonctionnent correctement. Si nécessaire, vous pouvez ajouter
des stratégies de proxy.
À propos de LiveSecurity Service
Vote périphérique WatchGuard inclut un abonnement à LiveSecurity Service Votre abonnement vous
permet :
34
WatchGuard System Manager
Mise en route
n
n
n
n
n
n
De vous assurer que vous bénéficiez de la protection réseau la plus à jour avec les mises à niveau
logicielles les plus récentes ;
De trouver des solutions à vos problèmes, grâce à un accès complet aux ressources de support
technique ;
D’éviter les interruptions de service avec des messages et une aide sur la configuration pour les
problèmes de sécurité les plus récents ;
D’en savoir plus sur la sécurité réseau grâce aux ressources de formation ;
D’étendre la sécurité de votre réseau à l’aide de logiciels et autres fonctionnalités ;
D’étendre la garantie de votre matériel avec un remplacement avancé.
Pour de plus amples informations concernant LiveSecurity Service, cf. À propos de Assistance WatchGuard
à la page 17.
Démarrer WatchGuard System Manager
Sur l’ordinateur où vous avez installé WatchGuard System Manager (WSM) :
Sélectionnez Démarrez > Tous les programmes > WatchGuard System Manager 11.x >
WatchGuard System Manager 11.x.
Remplacez 11.x dans le chemin du programme par la version actuelle de WSM que vous avez installé.
WatchGuard System Manager s’affiche.
Pour des informations concernant l’utilisation de WatchGuard System Manager (WSM), cf. À propos de
WatchGuard System Manager à la page 539.
Se connecter à un périphérique WatchGuard
1. Démarrer WatchGuard System Manager.
2. Cliquez sur .
Vous pouvez également sélectionner Fichier> Se connecter au périphérique.
Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez Se
connecter au périphérique.
La boîte de dialogue Se connecter à Firebox s’affiche.
User Guide
35
Mise en route
3. Dans la liste déroulante Nom/Adresse IP, entrez le nom ou l’adresse IP du périphérique
WatchGuard.
Lors des connexions suivantes, dans la liste déroulante Nom/Adresse IP, vous pouvez sélectionner
le nom ou l’adresse IP du périphérique WatchGuard.
4. Dans la zone de texte Mot de passe, entrez le mot de passe d’état (lecture seule) du périphérique
WatchGuard.
Vous utilisez le mot de passe d’état pour contrôler les conditions du trafic et l’état du périphérique
WatchGuard. Vous devez taper le mot de passe de configuration lors de l’enregistrement d’une
nouvelle configuration dans le périphérique WatchGuard.
5. Modifiez la valeur du champ Délai d’attente (facultatif). Cette valeur définit la durée (en secondes)
pendant laquelle la station de gestion reste à l’écoute des données de Firebox avant d’envoyer un
message signalant qu’elle ne parvient pas à recevoir de données du périphérique.
Si votre réseau ou votre connexion Internet est lent, vous pouvez augmenter la valeur du délai. La
diminution de cette valeur réduit la durée d’attente avant réception d’un message de dépassement
de délai si vous essayez de vous connecter à un périphérique Firebox non disponible.
6. Cliquez sur Connexion.
Le périphérique WatchGuard apparaît dans la fenêtre WatchGuard System Manager.
Déconnexion d’un périphérique WatchGuard
1. Sélectionnez l’onglet État du périphérique.
2. Sélectionnez le périphérique.
3. Cliquez sur
.
Vous pouvez également sélectionner Fichier> Se déconnecter.
Vous pouvez aussi faire un clic droit et sélectionner Se déconnecter.
Se déconnecter de tous les périphériques WatchGuard
Si vous êtes connecté à plusieurs périphériques WatchGuard, vous pouvez vous déconnecter de tous ceuxci simultanément.
1. Sélectionnez l’onglet État du périphérique.
2. Sélectionnez Fichier > Déconnecter tout.
Vous pouvez aussi faire un clic droit et sélectionner Déconnecter tout.
Démarrer des applications de sécurité
Vous pouvez démarrer ces outils à partir de WatchGuard System Manager.
Policy Manager
Policy Manager vous permet d’installer, de configurer et de personnaliser des stratégies de sécurité réseau
pour un périphérique WatchGuard.
Pour de plus amples informations sur Policy Manager, cf. À propos de Policy Manager à la page 340.
Pour démarrer Policy Manager :
Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
36
WatchGuard System Manager
Mise en route
Firebox System Manager
Firebox System Manager vous permet de démarrer de nombreux outils de sécurité à partir d’une même
interface conviviale. Vous pouvez également utiliser Firebox System Manager pour analyser le trafic du
pare-feu en temps réel.
Pour plus d’informations sur Firebox System Manager, cf. À propos de Firebox System Manager (FSM) à la
page 681.
Pour démarrer Firebox System Manager :
Cliquez sur .
Sinon, sélectionnez Outils > Firebox System Manager.
HostWatch
HostWatch affiche les connexions par le biais d’un périphérique WatchGuard provenant du réseau
approuvé à destination du réseau externe (ou provenant d’autres interfaces ou VLAN de votre choix et y
étant destinées). Il indique les connexions actuelles ou peut afficher l’historique des connexions enregistré
dans un fichier journal.
Pour de plus amples informations sur HostWatch, cf. À propos de HostWatch à la page 717 .
Pour démarrer HostWatch :
Cliquez sur .
Sinon, sélectionnez Outils > HostWatch.
LogViewer
LogViewer fournit une vue statique d’un fichier journal. Vous pouvez utiliser LogViewer pour :
n
n
n
Appliquer un filtre par type de données
Rechercher des mots et des champs
Imprimer et enregistrer dans un fichier
Pour de plus amples informations sur LogViewer, cf. Utiliser LogViewer pour afficher les fichiers journaux à
la page 662.
Pour démarrer LogViewer :
Cliquez sur .
Sinon, sélectionnez Outils > Journaux > LogViewer.
Report Manager
Les rapports WatchGuard sont des résumés des données que vous avez choisi d’extraire à partir des fichiers
journaux du périphérique WatchGuard. Vous pouvez utiliser Report Manager pour afficher les informations
dans vos rapports WatchGuard.
Pour de plus amples informations sur Report Manager, cf. À propos de WatchGuard Report Manager à la
page 758.
Pour démarrer Report Manager :
User Guide
37
Mise en route
Cliquez sur .
Sinon, sélectionnez Outils > Journaux > LogViewer.
Assistant Quick Setup Wizard
Vous pouvez utiliser l’assistant Quick Setup Wizard pour créer une configuration de base pour le
périphérique WatchGuard. Le périphérique WatchGuard utilise ce fichier de configuration de base lors de
son premier démarrage. Le périphérique WatchGuard peut ainsi fonctionner comme un pare-feu de base.
Vous pouvez appliquer cette même procédure chaque fois que vous souhaitez réinitialiser le périphérique
WatchGuard avec une nouvelle configuration de base à des fins de récupération ou autre.
Pour de plus amples informations sur l’assistant Quick Setup Wizard, cf. À propos de l’Assistant Quick Setup
Wizard à la page 27.
Pour démarrer l’assistant Quick Setup Wizard :
Cliquez sur .
Sinon, sélectionnez Outils >Assistant Quick Setup Wizard.
CA Manager
Dans WatchGuard System Manager, la station de travail configurée en tant que serveur Management Server
fonctionne également en tant qu’autorité de certification (CA). L’autorité de certification donne des
certificats aux clients Firebox gérés lorsqu’ils contactent Management Server pour recevoir des mises à jour
de configuration.
Avant de pouvoir utiliser Management Server en tant qu’autorité de certification, vous devez Configurer
l’autorité de certification sur Management Server.
Pour configurer ou modifier les paramètres de l’autorité de certification :
Cliquez sur .
Sinon, sélectionnez Outils > CA Manager.
Rubriques d’installation supplémentaires
Installer WSM et conserver une version antérieure
Vous pouvez installer la version actuelle de WSM (WatchGuard System Manager) et conserver la version
antérieure si vous n’installez pas deux versions du logiciel serveur WatchGuard (Management Server, Log
Server, Report Server, Quarantine Server et WebBlocker Server). Étant donné qu’une seule version des
serveurs peut être installée, vous devez supprimer la version antérieure du logiciel serveur de WSM ou
installer la nouvelle version de WSM sans le logiciel serveur. Nous vous recommandons de supprimer la
version antérieure du logiciel serveur avant d’installer la version actuelle de WSM avec le logiciel serveur
actuel.
38
WatchGuard System Manager
Mise en route
Installer les serveurs WatchGuard sur des ordinateurs dotés de
pare-feux de bureau
Les pare-feux de bureau peuvent bloquer les ports nécessaires au fonctionnement des composants du
serveur WatchGuard. Avant d’installer Management Server, Log Server, Report Server, Quarantine Server
ou WebBlocker Server sur un ordinateur doté d’un pare-feu de bureau actif, vous devrez peut-être ouvrir
les ports nécessaires sur le pare-feu de bureau. Les utilisateurs du Pare-feu Windows n’ont pas besoin de
modifier leur configuration, car le programme d’installation ouvre les ports nécessaires automatiquement.
Le tableau suivant indique les ports que vous devez ouvrir sur un pare-feu de bureau.
Type de serveur/Logiciel système
Protocole/Port
Management Server
TCP 4109, TCP 4110, TCP 4112, TCP 4113
Log Server avec logiciel système Fireware
Appliance Software
TCP 4115
Log Server avec logiciel système WFS
TCP 4107
WebBlocker Server
TCP 5003, UDP 5003
Quarantine Server
TCP 4119, TCP 4120
Report Server
TCP 4122
Serveur Log Server
TCP 4121
Prise en charge des adresses IP dynamiques sur l’interface
externe
Si vous utilisez des adresses IP dynamiques, vous devez configurer le périphérique WatchGuard en mode
routé lorsque vous utilisez l’assistant Quick Setup Wizard.
Si vous sélectionnez le protocole DHCP, le périphérique WatchGuard demande à un serveur DHCP contrôlé
par votre fournisseur de services Internet de lui fournir son adresse IP, sa passerelle et son masque réseau.
Ce serveur peut également fournir des informations de serveur DNS au périphérique WatchGuard. S’il ne
vous procure pas ces informations, vous devez les ajouter manuellement à votre configuration. Si
nécessaire, vous pouvez modifier les adresses IP fournies par votre fournisseur de services Internet.
Vous pouvez également utiliser le protocole PPPoE. Comme avec le protocole DHCP, le périphérique
WatchGuard établit une connexion PPPoE au serveur PPPoE de votre fournisseur de services Internet.
Cette connexion configure automatiquement votre adresse IP, votre passerelle et votre masque réseau.
Si vous utilisez le protocole PPPoE sur l’interface externe, vous devez posséder le nom d’utilisateur et le
mot de passe PPP lors de la configuration de votre réseau. Si votre fournisseur de services Internet vous
donne un nom de domaine à utiliser, entrez votre nom d’utilisateur au format « utilisateur@domaine » lors
de l’utilisation de l’assistant Quick Setup Wizard.
User Guide
39
Mise en route
Une adresse IP statique est nécessaire pour que le périphérique WatchGuard puisse utiliser certaines
fonctions. Lorsque vous configurez le périphérique WatchGuard de façon à recevoir des adresses IP
dynamiques, il ne peut pas utiliser les fonctions suivantes :
n
n
n
n
FireCluster
Mode d’insertion
1-to-1 NAT sur une interface externe
Mobile VPN with PPTP
Note Si votre fournisseur de services Internet utilise une connexion PPPoE pour affecter
une adresse IP statique, le périphérique WatchGuard vous autorise à activer Mobile
VPN with PPTP car l’adresse IP est statique.
À propos de la connexion des câbles Firebox
n
n
n
n
Raccordez le câble d’alimentation à l’entrée d’alimentation Firebox et à une source d’alimentation.
Utilisez un câble Ethernet droit (vert) pour raccorder la station de gestion à un concentrateur ou un
commutateur.
Utilisez un câble Ethernet droit différent pour raccorder Firebox aux mêmes concentrateurs ou
commutateurs.
Utilisez un câble inverseur rouge pour raccorder l’interface approuvée Firebox au port Ethernet de
la station de gestion.
Se connecter à Firebox avec Firefox v3
Les navigateurs Web s’assurent que le dispositif de l’autre côté d’une connexion HTTPS est bien celui que
vous attendez à l’aide de certificats. Lorsqu’un certificat est autosigné, et en cas de conflit entre l’adresse IP
ou nom d’hôte demandé et l’adresse IP ou nom d’hôte du certificat, les utilisateurs reçoivent une alerte.
Par défaut, votre Firebox emploie un certificat autosigné dont vous pouvez vous servir pour configurer
rapidement votre réseau. En revanche, quand les utilisateurs se connectent à Firebox sur navigateur Web,
un message d’avertissement Échec de la connexion sécurisée apparaît.
Pour éviter de voir ce message s’afficher, nous vous recommandons d’ajouter à votre configuration un
certificat valide signé par une autorité de certification. Ce certificat d’autorité de certification peut
également servir à renforcer la sécurité de l’authentification VPN. Pour plus d’informations sur l’utilisation
de dispositifs Firefox, voir À propos des certificats à la page 781.
Si vous continuez avec un certificat autosigné par défaut, vous pouvez ajouter une exception pour le
Firebox de chaque ordinateur client. La plupart des navigateurs Web récents comportent un lien sur le
message d’alerte permettant à l’utilisateur de cliquer pour permettre la connexion. Si votre établissement
utilise Mozilla Firefox v3, les utilisateurs doivent ajouter une exception de certificat permanente avant de se
connecter au Firebox.
Font partie des actions imposant une exception :
n
n
n
40
À propos de l’authentification des utilisateurs
Installer et connecter le client Mobile VPN with SSL
Exécuter l’Assistant Web Setup Wizard
WatchGuard System Manager
Mise en route
n
n
Se connecter à Fireware XTM Web UI
À propos des périphériques Edge (v10.x et suivantes) et SOHO en tant que clients gérés
Font partie des URL imposant une exception :
https:// Adresse IP ou nom d’hôte d’une interface Firebox:8080
https://adresse IP/nom d’hôte d’interface Firebox :4100
https://adresse IP ou nom d’hôte de Firebox:4100/sslvpn.html
Ajouter une exception de certificat permanente à Mozilla Firefox v3
Si vous ajoutez une exception à Firefox v3 pour le Firebox Certificate, le message d’alerte ne s’affichera plus
lors des connexions suivantes. Vous devez ajouter une exception indépendante pour chaque adresse IP,
nom d’hôte et port utilisé pour connexion au Firebox. Par exemple, une exception utilisant un nom d’hôte
ne fonctionnera pas correctement en cas de connexion avec une adresse IP. Parallèlement, une exception
spécifiant le port 4100 n’est pas applicable à une connexion sans aucun port spécifié.
Note Une exception de certificat ne nuit pas à la sécurité de votre ordinateur. Tout le
trafic réseau entre votre ordinateur et le dispositif WatchGuard reste chiffré par
protocole SSL.
Il existe deux méthodes d’ajout d’exception. Vous devez être capable d’envoyer du trafic au Firebox pour
ajouter une exception.
n
n
Cliquez sur le lien du message Échec de la connexion sécurisée.
Utilisez une exception de certificat permanente à Firefox v3.
Dans le message Échec de la connexion sécurisée :
1. Cliquez sur Ou vous pouvez ajouter une exception.
2. Cliquez sur Ajout d’exceptions.
La boîte de dialogue Ajouter une exception de sécurité apparaît.
3. Cliquez sur Obtenir un certificat.
4. Sélectionnez la case Enregistrer cette exception définitivement.
5. Cliquez sur Confirmer exception de sécurité.
Ajout d’exceptions multiples :
1. Dans Firefox, sélectionnez Outils >Options.
La boîte de dialogue Options s’affiche.
2. Sélectionnez Avancé.
3. Cliquez sur l’onglet Chiffrement, puis cliquez sur Afficher les certificats.
La boîte de dialogue Gestionnaire de certificats s’ouvre.
4. Cliquez sur l’onglet Serveurs, puis sur Ajouter exception.
5. Dans la zone de texte Emplacement, ressaisissez l’URL pour se connecter au Firebox. Les URL les
plus fréquentes sont sur la liste ci-dessus.
6. Lorsque l’information de certificat apparaît dans la zone État de certificat, cliquez sur Confirmer
exception de sécurité.
7. Cliquez sur OK. Répétez les étapes 4 à 6 pour ajouter d’autres exceptions.
User Guide
41
Mise en route
Désactiver les proxys HTTP dans le navigateur
De nombreux navigateurs Web sont configurés de façon à utiliser un serveur proxy HTTP afin d’améliorer la
vitesse de téléchargement des pages Web. Pour gérer ou configurer Firebox avec l’interface de gestion
Web, votre navigateur doit se connecter directement au périphérique. Si vous utilisez un serveur proxy
HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur. Vous
pouvez activer le paramètre de serveur proxy HTTP dans votre navigateur, une fois Firebox configuré.
Utilisez les instructions suivantes pour désactiver le proxy HTTP dans Firefox, Safari ou Internet Explorer. Si
vous utilisez un autre navigateur, utilisez son système d’aide pour rechercher les informations nécessaires.
De nombreux navigateurs désactivent automatiquement la fonctionnalité de proxy HTTP.
Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x
1. Ouvrez Internet Explorer.
2. Sélectionnez >Outils Options Internet.
La boîte de dialogue Options Internet s’affiche.
3. Cliquez sur l’onglet Connexions.
4. Cliquez sur Paramètres réseau.
La boîte de dialogue Paramètres de réseau local s’affiche.
5. Désactivez la case à cocher Utiliser un serveur proxy pour votre réseau local.
6. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de réseau local.
7. Cliquez sur OK pour fermer la boîte de dialogue Options Internet.
Désactiver le proxy HTTP dans Firefox 2.x
1. Ouvrez Firefox.
2. Sélectionnez Outils>Options.
La boîte de dialogue Options s’affiche.
3. Cliquez sur l’icône Avancé.
4. Cliquez sur l’icône Réseau. Cliquez sur Paramètres.
5. Cliquez sur Paramètres de connexion
La boîte de dialogue Paramètres de connexion s’affiche.
6. Assurez-vous que l’option Connexion directe à Internet est sélectionnée.
7. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de connexion.
8. Cliquez sur OK pour fermer la boîte de dialogue Options.
Désactiver le proxy HTTP dans Safari 2.0
1. Ouvrez Safari.
2. Sélectionnez Préférences
La boîte de dialogue Préférences Safari s’affiche.
3. Cliquez sur l’icône Avancé.
4. Cliquez sur le bouton Modifier les paramètres.
La boîte de dialogue Préférence système s’affiche.
5. Désactivez la case à cocher Proxy Web (HTTP).
6. Cliquez sur Appliquer.
42
WatchGuard System Manager
Mise en route
Trouvez vos propriétés TCP/IP
Pour en savoir plus sur les propriétés de votre réseau, examinez les propriétés TCP/IP de votre ordinateur
ou de tout autre ordinateur du réseau. Vous devez connaître les éléments suivants pour installer votre
périphérique WatchGuard :
n
n
n
n
Adresse IP
Masque de sous-réseau
Passerelle par défaut
Votre ordinateur a une adresse IP statique ou dynamique
Note Si votre fournisseur de services Internet affecte à votre ordinateur une adresse IP
commençant par 10, 192.168 ou 172.16 à 172.31, cela signifie qu’il utilise la
traduction d’adresses réseau (NAT, Network Address Translation) et que votre
adresse IP est privée. Nous vous conseillons d'obtenir une adresse IP publique pour
votre adresse IP externe de Firebox. Si vous utilisez une adresse IP privée, vous
pouvez rencontrer des problèmes avec certaines fonctionnalités, telles que la mise
en réseau privé virtuel.
Pour rechercher les propriétés TCP/IP du système d'exploitation de votre ordinateur, suivez les instructions
figurant dans les sections suivantes.
Trouvez vos propriétés TCP/IP sur Microsoft Windows Vista
1. Sélectionnez Démarrer> Programmes > Accessoires > Invite de commande.
La boîte de dialogue Invite de boîte de dialogue s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Microsoft Windows 2000, Windows
2003 et Windows XP
1. Sélectionnez Démarrer > Tous les programmes >Accessoires > Invite de commandes.
La boîte de dialogue Invite de boîte de dialogue s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Microsoft Windows NT
1. Sélectionnez Démarrer > Programmes > Invite de commandes.
La boîte de dialogue Invite de boîte de dialogue s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Macintosh OS 9
1. Sélectionnez le Menu Pomme > Tableaux de bord >TCP/IP.
La boîte de dialogue TCP/IP s'affiche.
User Guide
43
Mise en route
2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Macintosh OS X 10.5
1. Sélectionnez le menu Pomme > Préférences système ou cliquez sur l’icône dans le Dock.
La boîte de dialogue Préférences système s'affiche.
2. Cliquez sur l’icône Réseau.
Le volet de préférences réseau s’affiche.
3. Sélectionnez la carte réseau utilisée pour la connexion à Internet.
4. Notez les valeurs qui s’affichent pour l'adaptateur réseau.
Trouvez vos propriétés TCP/IP sur d’autres systèmes d’exploitation
(Unix, Linux)
1. Reportez-vous au guide d’utilisation de votre système d’exploitation pour rechercher les propriétés
TCP/IP.
2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
44
WatchGuard System Manager
5
Principes de configuration et de
gestion
À propos des tâches de base de configuration et
de gestion
Une fois le périphérique WatchGuard installé sur votre réseau et configuré à partir d’un fichier de
configuration de base, vous pouvez commencer à ajouter des paramètres personnalisés. Les rubriques de
cette section vous permettent d’effectuer ces tâches de base de gestion et de maintenance.
À propos des fichiers de configuration
Un fichier de configuration inclut toutes les données de configuration, options, adresses IP et autres
informations qui constituent votre stratégie de sécurité pour le périphérique WatchGuard. Les fichiers de
configuration ont l’extension .xml.
Policy Manager est un outil logiciel WatchGuard qui vous permet de créer, modifier et enregistrer des
fichiers de configuration. Vous pouvez utiliser Policy Manager pour examiner ou modifier facilement votre
fichier de configuration.
Avec Policy Manager, vous pouvez :
n
n
n
n
Ouvrir un fichier de configuration , soit le fichier de configuration actuellement utilisé sur le
périphérique WatchGuard, soit un fichier de configuration local (enregistré sur votre disque dur)
Créer un fichier de configuration
Enregistrer le fichier de configuration
Apporter des modifications à des fichiers de configuration existants
User Guide
45
Principes de configuration et de gestion
Ouvrir un fichier de configuration
Les administrateurs réseau ont souvent besoin de modifier les stratégies de sécurité de leur réseau. Votre
entreprise a par exemple acheté un nouveau logiciel et vous devez ouvrir un port et un protocole sur un
serveur se trouvant chez le fournisseur. Votre entreprise a peut-être également acheté une nouvelle
fonctionnalité pour le périphérique WatchGuard ou embauché un nouvel employé qui doit pouvoir
accéder aux ressources réseau. Pour toutes ces tâches et pour d’autres encore, vous devez ouvrir le fichier
de configuration, le modifier à l’aide de Policy Manager, puis l’enregistrer.
Ouvrir le fichier de configuration avec WatchGuard System Manager
1. Sur le bureau Windows, sélectionnez
Démarrer > Tous les programmes > WatchGuard System Manager 11.x > WatchGuard System
Manager 11.x.
WatchGuard System Manager 11.x est le nom par défaut du dossier regroupant les icônes dans le
menu Démarrer. Vous ne pouvez pas modifier le nom de ce dossier au cours de l’installation, mais
vous pouvez le modifier via l’interface Windows.
2. Cliquez sur .
Vous pouvez également sélectionner Fichier > Se connecter au périphérique.
La boîte de dialogue Se connecter à Firebox apparaît.
3. Dans la liste déroulante Nom/Adresse IP, entrez ou sélectionnez l’adresse IP de l’interface
approuvée de votre périphérique WatchGuard. Entrez le mot de passe d’état (lecture seule). Cliquez
sur OK.
Le périphérique apparaît dans l’onglet État du périphérique de WatchGuard System Manager.
4. Sélectionnez le périphérique Firebox dans l’onglet État du périphérique. Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
Policy Manager s’ouvre et affiche le fichier de configuration utilisé sur le périphérique sélectionné.
Les modifications apportées à la configuration ne prennent effet qu’une fois que vous avez
enregistré la configuration sur le périphérique WatchGuard.
46
WatchGuard System Manager
Principes de configuration et de gestion
Ouvrir un fichier de configuration local
Vous pouvez ouvrir les fichiers de configuration enregistrés sur n’importe quelle unité locale ou réseau
auxquels votre station de gestion peut se connecter.
Si vous souhaitez utiliser un fichier de configuration Firebox d’usine par défaut, nous vous recommandons
d’exécuter d’abord l’Assistant Quick Setup Wizard pour créer une configuration de base, puis d’ouvrir le
fichier de configuration.
1. Dans WatchGuard System Manager, cliquez sur
Sinon, sélectionnez Outils > Policy Manager.
.
La boîte de dialogue Policy Manager s’ouvre.
2. Sélectionnez Ouvrir un fichier de configuration et cliquez sur Parcourir.
3. Sélectionnez le fichier de configuration.
4. Cliquez sur Ouvrir.
Le fichier de configuration s’ouvre dans Policy Manager.
Ouvrir le fichier de configuration avec Policy Manager
1. Cliquez sur Fichier > Ouvrir > Firebox.
La boîte de dialogue Ouvrir Firebox s’affiche.
2. Dans la liste déroulante Adresse ou nom Firebox, sélectionnez un périphérique.
Vous pouvez également taper l’adresse IP ou le nom d’hôte.
3. Dans la zone de texte Mot de passe d’état, entrez le mot de passe d’état (lecture seule) de Firebox.
Vous devez utiliser le mot de passe de configuration pour enregistrer une nouvelle configuration sur
le périphérique WatchGuard.
4. Cliquez sur OK.
Le fichier de configuration s’ouvre dans Policy Manager.
Si vous ne parvenez pas à vous connecter à Firebox, procédez comme suit :
n
n
Si la boîte de dialogue Se connecter à Firebox ou Ouvrir Firebox s’affiche immédiatement dès que
vous avez entré le mot de passe, vérifiez que le verrouillage des majuscules n’est pas activé et que
vous avez entré le mot de passe correctement. Le mot de passe respecte la casse.
Si la boîte de dialogue Se connecter à Firebox ou Ouvrir Firebox ne s’affiche plus, vérifiez qu’il existe
une liaison sur l’interface approuvée et sur l’ordinateur. Vérifiez que vous avez entré une adresse IP
correcte pour l’interface approuvée de Firebox. Vérifiez également que l’adresse IP de votre
ordinateur figure dans le même réseau que l’interface approuvée de Firebox.
User Guide
47
Principes de configuration et de gestion
Créer un fichier de configuration
L’Assistant Quick Setup Wizard crée un fichier de configuration de base pour Firebox. Nous vous
recommandons d’utiliser ce fichier comme point de départ pour tous vos fichiers de configuration. Vous
pouvez également créer un fichier de configuration contenant uniquement les propriétés de configuration
par défaut à l’aide de Policy Manager.
1. Dans WatchGuard System Manager, cliquez sur
Sinon, sélectionnez Outils > Policy Manager.
.
Policy Manager apparaît.
2. Sélectionnez Créer un fichier de configuration pour.
3. Dans la liste déroulante Firebox, sélectionnez un type de configuration.
4. Cliquez sur OK.
La boîte de dialogue Sélectionner le modèle de Firebox et le nom apparaît.
5. Dans les listes déroulantes Modèle, sélectionnez le modèle de votre Firebox. Certains groupes de
fonctionnalités étant uniques à des modèles, sélectionnez le même modèle que celui de votre
périphérique matériel.
6. Dans la zone de texte Nom, entrez le nom de votre Firebox et du fichier de configuration. Il permet
aussi d’identifier Firebox si celui-ci est géré par un serveur WatchGuard Management Server et il est
utilisé pour la journalisation et la génération de rapports.
7. Cliquez sur OK.
Policy Manager crée un fichier de configuration portant le nom <name>.xml , où <name> est le nom
attribué à Firebox.
Enregistrer le fichier de configuration
Si vous créez un fichier de configuration ou modifiez le fichier de configuration actuel et si vous souhaitez
que vos modifications prennent effet sur le périphérique WatchGuard, vous devez enregistrer le fichier de
configuration directement sur le périphérique.
Vous pouvez aussi enregistrer le fichier de configuration actuel sur une unité locale ou un réseau auxquels
votre station de gestion peut se connecter. Si vous prévoyez d’apporter une ou plusieurs modifications
importantes au fichier de configuration, nous vous recommandons de sauvegarder au préalable une copie
de l’ancien fichier. En cas de problème avec la nouvelle configuration, vous pourrez restaurer l’ancienne.
Enregistrer une configuration directement dans Firebox
Vous pouvez utiliser Policy Manager pour enregistrer votre fichier de configuration directement dans
Firebox.
48
WatchGuard System Manager
Principes de configuration et de gestion
1. Cliquez sur Fichier > Enregistrer > Dans Firebox.
La boîte de dialogue Enregistrer dans Firebox apparaît.
2. Dans la liste déroulante Adresse ou nom Firebox, sélectionnez ou entrez un nom ou une adresse IP.
Si vous entrez un nom, ce nom doit pouvoir être résolu via DNS.
N’oubliez pas d’entrer tous les numéros et les points. N’utilisez ni la touche de tabulation ni la
touche de direction.
3. Entrez le mot de passe de configuration de Firebox. Vous devez utiliser le mot de passe de
configuration pour enregistrer la configuration dans Firebox.
4. Cliquez sur OK.
Enregistrer une configuration sur un disque dur local ou en réseau
Vous pouvez utiliser Policy Manager pour enregistrer votre fichier de configuration sur un disque dur local
ou en réseau.
1. Cliquez sur Fichier > Enregistrer > En tant que fichier.
Vous pouvez également utiliser la combinaison de touches Ctrl + S. Une boîte de dialogue d’enregistrement de
fichier Windows standard apparaît.
2. Entrez le nom du fichier.
L’emplacement par défaut est le répertoire Mes Documents\Mon WatchGuard\configs . Vous
pouvez aussi enregistrer le fichier dans le dossier de votre choix, sous réserve que vous puissiez
vous y connecter depuis la station de gestion. Pour une sécurité optimale, nous vous
recommandons d’enregistrer les fichiers dans un dossier sûr auquel aucun autre utilisateur ne peut
avoir accès.
3. Cliquez sur Enregistrer.
Le fichier de configuration est enregistré dans le répertoire indiqué.
Créer une sauvegarde de l’image Firebox
Une image de sauvegarde Firebox consiste en une copie chiffrée et enregistrée de l’image du disque flash
obtenue à partir du disque flash Firebox. Cette image inclut le logiciel système Firebox, le fichier de
configuration, les licences et les certificats. Vous pouvez enregistrer une image de sauvegarde sur votre
ordinateur de gestion ou sur un répertoire réseau. L’image de sauvegarde de Firebox X Edge n’inclut pas le
logiciel système Firebox.
Il est conseillé de réaliser des sauvegardes régulières de l’image Firebox. Il est également conseillé de créer
une image de sauvegarde de Firebox avant d’apporter des modifications importantes à la configuration ou
avant de mettre à jour le périphérique ou son logiciel système.
User Guide
49
Principes de configuration et de gestion
1. Sélectionnez Fichier > Sauvegarde.
La boîte de dialogue Sauvegarde s’affiche.
2. Entrez le mot de passe de configuration de Firebox.
La deuxième partie de la boîte de dialogue Sauvegarde s’affiche.
3. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde.
En cas de perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le
fichier de sauvegarde.
4. Cliquez sur Parcourir pour sélectionner le répertoire dans lequel vous souhaitez enregistrer le
fichier de sauvegarde.
L’emplacement par défaut des fichiers de sauvegarde dont l’extension est « .fxi » est :
C:\Documents and Settings\All Users\Shared WatchGuard\backups\<Firebox IP
address>-<date>.<wsm_version>.fxi
5. Cliquez sur OK.
Restaurez un système Firebox. Image de
sauvegarde
1. Sélectionnez Fichier > Restaurer.
La boîte de dialogue Restaurer s’affiche.
50
WatchGuard System Manager
Principes de configuration et de gestion
2. Entrez le mot de passe de configuration de votre périphérique Firebox. Cliquez sur OK.
3. Entrez la clé de chiffrement utilisée à la création de l’image de sauvegarde.
Le périphérique Firebox restaure l’image de sauvegarde. Il redémarre et utilise l’image de sauvegarde.
Veillez à patienter deux minutes avant de vous reconnecter au périphérique Firebox.
Par défaut, l’emplacement d’un fichier de sauvegarde portant une extension « .fxi » est
C:\Documents and Settings\All Users\Shared WatchGuard\backups\<Firebox IP
address>-<date>.<wsm_version>.fxi
Si vous ne parvenez pas à restaurer l’image Firebox, vous pouvez réinitialiser le périphérique Firebox. Selon
votre modèle Firebox, vous pouvez restaurer les paramètres par défaut d’un périphérique Firebox ou créer
une nouvelle configuration à l’aide de l’Assistant Quick Setup Wizard.
Pour de plus amples informations, cf. : Rétablir une configuration antérieure d’un périphérique Firebox ou
XTM ou créer une nouvelle configuration à la page 61.
Utiliser une clé USB pour la sauvegarde et la
restauration du système
Une image de sauvegarde d’un périphérique WatchGuard XTM consiste en une copie chiffrée et
enregistrée de l’image du disque flash obtenue à partir du périphérique XTM. Le fichier de l’image de
sauvegarde comprend le système d’exploitation du périphérique XTM, le fichier de configuration, la clé de
fonctionnalité et des certificats.
Pour les périphériques WatchGuard XTM 2 Series, 5 Series, 8 Series ou XTM 1050, vous pouvez connecter
une clé USB ou tout autre dispositif de stockage au port USB du périphérique XTM pour les sauvegardes et
restaurations du système. Lorsque vous enregistrez une image de sauvegarde du système sur une clé USB
connectée, vous pouvez restaurer votre périphérique XTM vers un état connu plus rapidement.
Note Cette fonctionnalité n’est pas disponible sur les périphériques e-Series, car ils ne
possèdent pas de port USB.
À propos de la clé USB
La clé USB doit être formatée à l’aide du système de fichiers FAT ou FAT32. Si la clé USB possède plus d’une
partition, Fireware XTM n’utilise que la première. La taille maximale par image de sauvegarde du système
est de 30 Mo. Nous vous recommandons d’utiliser une clé USB disposant de suffisamment d’espace pour
pouvoir stocker plusieurs images de sauvegarde.
Enregistrer une image de sauvegarde sur une clé USB
connectée
Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM.
1. Démarrer Firebox System Manager.
2. Sélectionnez Outils > Clé USB.
La boîte de dialogue Sauvegarder/Restaurer vers clé USB s’affiche.
User Guide
51
Principes de configuration et de gestion
3. Dans la rubrique Nouvelle image de sauvegarde, tapez un nom de fichier pour l’image de
sauvegarde.
Vous pouvez aussi utiliser le nom de fichier par défaut proposé.
4. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde. Si
vous perdez ou oubliez cette clé de chiffrement, vous ne pourrez pas restaurer le fichier de
sauvegarde.
5. Cliquez sur Enregistrer sur clé USB.
Une fois l’enregistrement terminé, l’image enregistrée apparaît dans la liste des images de sauvegarde de
périphérique disponibles.
Restaurer une image de sauvegarde à partir d’une clé USB
connectée
Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM.
1. Démarrer Firebox System Manager.
2. Sélectionnez Outils > Clé USB.
La boîte de dialogue Sauvegarder/Restaurer vers clé USB s’affiche.
3. À partir de la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde
à restaurer.
4. Cliquez sur Restaurer l’image sélectionnée.
5. Entrez la clé de chiffrement que vous avez utilisée lors de la création de l’image de sauvegarde.
52
WatchGuard System Manager
Principes de configuration et de gestion
6. Entrez le mot de passe de configuration de votre périphérique XTM. Cliquez sur OK.
7. Cliquez sur Rétablir.
Le périphérique XTM restaure l’image de sauvegarde. Il redémarre, puis utilise l’image de sauvegarde.
Restaurer automatiquement une image de sauvegarde à partir
d’une clé USB
Si une clé USB (dispositif de stockage) est connectée à un périphérique WatchGuard XTM en mode
récupération, celui-ci peut restaurer automatiquement l’image sauvegardée précédemment sur la clé.
Pour utiliser la fonctionnalité d’autorestauration, vous devez d’abord sélectionner l’image de sauvegarde
sur la clé USB que vous souhaitez utiliser pour la restauration. Pour sélectionner cette image de sauvegarde,
vous devez utiliser l’interface utilisateur Fireware XTM Web UI, Firebox System Manager ou Fireware XTM
Command Line Interface.
Vous pouvez utiliser la même image de sauvegarde pour plusieurs périphériques, à condition qu’ils fassent
tous partie de la famille de modèles WatchGuard XTM. Par exemple, vous pouvez utiliser une image de
sauvegarde enregistrée à partir d’un périphérique XTM 530 pour tout autre périphérique XTM 5 Series.
Sélectionner l’image de sauvegarde à utiliser pour l’autorestauration
1. Démarrer Firebox System Manager.
2. Sélectionnez Outils > Clé USB.
La boîte de dialogue Sauvegarder/Restaurer vers clé USB s’affiche.
3. Dans la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde.
4. Cliquez sur Utiliser l’image sélectionnée pour l’autorestauration.
5. Entrez la clé de chiffrement utilisée pour créer l’image de sauvegarde. Cliquez sur OK.
User Guide
53
Principes de configuration et de gestion
6. Entrez le mot de passe de configuration de votre périphérique XTM. Cliquez sur OK.
Le périphérique XTM enregistre une copie de l’image de sauvegarde sélectionnée en tant qu’image
d’autorestauration auto-restore.fxi. L’image est enregistrée dans le répertoire d’autorestauration, sur la clé
USB, puis chiffrée avec une clé de chiffrement aléatoire qui ne peut être utilisée que par le processus de
restauration automatique.
Si vous avez déjà enregistré une image d’autorestauration, le fichier auto-restore.fxi est remplacé par la
copie de l’image de sauvegarde sélectionnée.
Avertissement
Si votre périphérique XTM utilise une version du système d’exploitation Fireware
XTM antérieure à la version 11.3, vous devez mettre à jour l’image logicielle du
mode récupération du périphérique vers la version 11.3 pour activer la
fonctionnalité d’autorestauration. Reportez-vous aux Notes de version Fireware
XTM 11.3 pour obtenir des instructions de mise à niveau.
Restaurer l’image de sauvegarde pour un périphérique XTM 5 Series, 8
Series ou XTM 1050
1. Connectezla clé USBsur laquelle figure l’image d’autorestauration àun port USBdu périphérique XTM.
2. Mettez le périphérique XTM hors tension.
3. Pendant que vous mettez le périphérique sous tension, appuyez sur le bouton Flèche vers le haut
situé sur le panneau avant du périphérique.
4. Maintenez le bouton enfoncé jusqu’à ce que le message Démarrage du mode récupération
apparaisse sur l’affichage LCD.
Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise
automatiquement l’image restaurée.
Si la clé USB contient une image d’autorestauration non valide pour cette famille de modèles de
périphériques XTM, le périphérique ne redémarre pas mais se lance en mode récupération. Si vous
redémarrez à nouveau le périphérique, il utilisera votre configuration actuelle. Lorsque le périphérique est
en mode récupération, vous pouvez utiliser l’Assistant WSM Quick Setup Wizard pour créer une nouvelle
configuration de base.
Pour obtenir des informations sur l’Assistant WSM Quick Setup Wizard, cf. Exécution de l’Assistant WSM
Quick Setup Wizard à la page 31.
Restaurer l’image de sauvegarde pour un périphérique XTM 2 Series
1. Connectez la clé USB sur laquelle figure l’image d’autorestauration à un port USB du périphérique
XTM 2 Series.
2. Déconnectez l’alimentation.
3. Maintenez enfoncé le bouton Rétablir situé à l’arrière du périphérique.
4. Connectez l’alimentation tout en appuyant sur le bouton Rétablir.
5. Après 10 secondes, relâchez le bouton.
Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise
automatiquement l’image restaurée.
54
WatchGuard System Manager
Principes de configuration et de gestion
Si la clé USB contient une image d’autorestauration 2 Series non valide, l’autorestauration échoue et le
périphérique ne redémarre pas. Si le processus d’autorestauration échoue, vous devez déconnecter puis
reconnecter l’alimentation afin de démarrer le périphérique 2 Series avec ses paramètres usine par défaut.
Pour plus d’informations, voir À propos des paramètres usine par défaut.
Structure de répertoire de la clé USB
Lorsque vous enregistrez une image de sauvegarde sur une clé USB, le fichier est enregistré dans un
répertoire correspondant au numéro de série de votre périphérique XTM. Autrement dit, vous pouvez
stocker des images de sauvegarde pour plusieurs périphériques XTM sur une même clé USB. Lorsque vous
restaurez une image de sauvegarde, le logiciel récupère automatiquement la liste des images de
sauvegarde stockées dans le répertoire associé à ce périphérique.
Pour chaque périphérique, la structure de répertoire sur la clé USB se présente comme suit, sn
correspondant au numéro de série du périphérique XTM :
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
Les images de sauvegarde d’un périphérique sont enregistrées dans le répertoire \sn\flash-images . Le
fichier d’image de sauvegarde enregistré dans le répertoire flash-images contient le système d’exploitation
Fireware XTM, la configuration du périphérique, les clés de fonctionnalité et des certificats. Les sousrépertoires \configs , \feature-keys et \certs ne sont pas utilisés pour les opérations de sauvegarde
et de restauration sur clé USB. Vous pouvez les utiliser pour stocker des clés de fonctionnalité, des fichiers
de configuration et des certificats supplémentaires pour chaque périphérique.
Un répertoire situé à la racine de la structure de répertoire est également utilisé pour stocker l’image de
sauvegarde d’autorestauration désignée.
\auto-restore\
Lorsque vous désignez une image de sauvegarde à utiliser pour une restauration automatique, une copie du
fichier d’image de sauvegarde sélectionné est chiffrée et enregistrée dans le répertoire \auto-restore ,
sous le nom de auto-restore.fxi . Vous ne pouvez enregistrer qu’une seule image d’autorestauration
par clé USB. Vous pouvez utiliser la même image de sauvegarde d’autorestauration pour plusieurs
périphériques à condition que les deux dispositifs appartiennent à la même famille de modèles
WatchGuard XTM. Par exemple, vous pouvez utiliser une image d’autorestauration enregistrée à partir d’un
périphérique XTM 530 pour tout autre périphérique XTM 5 Series.
Vous devez utiliser la commande Firebox System Manager Outils > Clé USB pour créer une image
d’autorestauration. Si vous copiez et renommez manuellement une image de sauvegarde et que vous la
stockez dans ce répertoire, le processus de restauration automatique ne fonctionne pas correctement.
User Guide
55
Principes de configuration et de gestion
Enregistrer une image de sauvegarde sur une clé USB
connectée à votre station de gestion.
Vous pouvez utiliser Policy Manager pour enregistrer une image de sauvegarde sur une clé USB ou un
dispositif de stockage connecté(e) à votre station de gestion. Si vous enregistrez les fichiers de configuration
correspondant à divers périphériques sur la même clé USB, vous pouvez connecter la clé à chacun de ces
périphériques XTM à des fins de récupération.
Si vous utilisez la commande Firebox System Manager Outils > Clé USB pour cela, les fichiers sont
automatiquement enregistrés dans le répertoire correspondant sur la clé USB. Si vous utilisez la commande
Policy Manager Fichier > Sauvegarde ou si vous utilisez Windows ou un autre système d’exploitation pour
copier manuellement des fichiers de configuration sur la clé USB, vous devez créer manuellement le numéro
de série et les répertoires d’images flash corrects pour chaque périphérique (s’ils n’existent pas déjà).
Avant de commencer
Avant de commencer, il est important de comprendre la Structure de répertoire de la clé USB utilisée par la
fonctionnalité de sauvegarde et de restauration sur clé USB. Si vous n’enregistrez pas l’image de sauvegarde
au bon endroit, le périphérique sera incapable de la retrouver lorsque vous y connecterez la clé USB.
Enregistrer l’image de sauvegarde
Pour enregistrer une image de sauvegarde sur une clé USB connectée à votre station de gestion, suivez les
étapes décrites dans Créer une sauvegarde de l’image Firebox. Au moment de choisir l’emplacement où
enregistrer le fichier, sélectionnez la lettre du lecteur correspondant à la clé USB connectée sur votre
ordinateur. Si vous souhaitez que l’image de sauvegarde soit reconnue par le périphérique XTM lorsque
vous y connectez la clé USB, assurez-vous de l’enregistrer dans le répertoire \flash-images se trouvant
dans le répertoire nommé avec le numéro de série de votre périphérique XTM.
Par exemple, si le numéro de série de votre périphérique XTM est le 70A10003C0A3D , enregistrez le
fichier de l’image de sauvegarde à cet emplacement sur la clé USB :
\70A10003C0A3D\flash-images\
Désigner une image de sauvegarde pour une autorestauration
Pour désigner une image de sauvegarde à utiliser avec la fonctionnalité d’autorestauration, vous devez
connecter la clé USB au périphérique puis désigner l’image de sauvegarde à utiliser pour une
autorestauration tel que décrit dans Utiliser une clé USB pour la sauvegarde et la restauration du système. Si
vous enregistrez manuellement une image de sauvegarde dans le répertoire d’autorestauration, le
processus de restauration automatique ne fonctionne pas correctement.
56
WatchGuard System Manager
Principes de configuration et de gestion
Utiliser une configuration existante pour créer un
modèle Firebox
Quand vous mettez à niveau votre modèle Firebox, vous pouvez continuer d’utiliser le même fichier de
configuration. Lorsque vous importez une nouvelle clé de fonctionnalité, Firebox peut modifier
automatiquement le fichier de configuration existant pour qu’il fonctionne correctement sur un nouveau
modèle de périphérique. Procédez comme suit si vous voulez utiliser une configuration existante avec un
nouveau Firebox :
1. Si ce n’est pas déjà fait, Obtenir une clé de fonctionnalité auprès de LiveSecurity pour votre nouveau
Firebox.
2. Sur votre Firebox existant, Ouvrir Policy Manager.
3. Sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît.
User Guide
57
Principes de configuration et de gestion
4. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active.
5. Cliquez sur Importer.
La boîte de dialogue Importer la clé de fonctionnalité Firebox apparaît.
6. Quand vous avez obtenu une clé de fonctionnalité pour votre nouveau Firebox, vous avez copié
l’intégralité de la clé dans un fichier texte que vous avez enregistré sur votre ordinateur. Ouvrez ce
fichier et collez le contenu du fichier de la clé de fonctionnalité du nouveau Firebox dans la boîte de
dialogue Importer la clé de fonctionnalité Firebox.
7. Cliquez sur OK.
Les informations et fonctionnalités du modèle qui figurent sur la nouvelle clé apparaissent dans la boîte de
dialogue Clés de fonctionnalité Firebox.
8. Cliquez sur OK.
9. Si votre nouveau Firebox compte un nombre d’interfaces différent de l’ancien modèle, Policy
Manager affiche un message qui vous conseille de vérifier la configuration des interfaces réseau.
Pour vérifier la configuration des interfaces réseau, sélectionnez Réseau > Configuration.
10. Sélectionnez Fichier > Enregistrer > Dans Firebox pour enregistrer la configuration dans le nouveau
Firebox.
Configurer un périphérique Firebox de
remplacement
Si votre périphérique Firebox tombe en panne durant la période de garantie, WatchGuard peut le
remplacer par un périphérique RMA (Return Merchandise Agreement ou contrat de retour de
marchandise) du même modèle. Lors d’un échange entre un Firebox et un périphérique RMA de
remplacement, le service à la clientèle WatchGuard transfère les licences du numéro de série original vers
le numéro de série du nouveau Firebox. Toutes les fonctions sous licence du Firebox original sont
transférées vers le Firebox de remplacement.
58
WatchGuard System Manager
Principes de configuration et de gestion
Suivez les étapes des sections suivantes pour que votre nouveau Firebox se serve de la même configuration
que votre Firebox original.
Sauvegardez la configuration de votre Firebox original sur
fichier.
Pour ce faire, vous devez disposer d’un fichier de configuration de votre Firebox original. Par défaut, le
fichier de configuration est enregistré dans le répertoire Mes documents\Mon WatchGuard\configs .
Pour connaître les instructions de sauvegarde de configuration sur fichier local, voir Enregistrer le fichier de
configuration à la page 48.
Procurez-vous la clé de fonctionnalité du Firebox de
remplacement
Le numéro de série du Firebox de remplacement étant différent, il vous faut un nouveau numéro de série
clé de fonctionnalité à vous procurer via la section Assistance du site Web WatchGuard. Le Firebox de
remplacement est listé dans vos produits activés au même nom de produit que le Firebox original, mais son
numéro de série correspond au Firebox de remplacement. Pour savoir comment vous procurer la clé de
fonctionnalité, cf. Obtenir une clé de fonctionnalité auprès de LiveSecurity à la page 65.
Configurez Edge à l’aide de l’Assistant Quick Setup Wizard.
Tout comme sur un nouveau Firebox quelconque, vous pouvez à l’aide de l’Assistant Quick Setup Wizard
créer une configuration de base pour le Firebox de remplacement. L’Assistant Quick Setup Wizard
s’exécute à partir du Web ou en tant qu’application Windows.
n
n
Pour plus d’informations sur l’exécution de l’Assistant à partir du Web, cf. Exécuter l’Assistant Web
Setup Wizard à la page 27.
Pour plus d’informations sur l’exécution de l’assistant en tant qu’application Windows, cf. Exécution
de l’Assistant WSM Quick Setup Wizard à la page 31.
Mettez à jour la clé de fonctionnalité sur le fichier de
configuration de votre Firebox original et enregistrez sur le
nouveau.
1. Dans le gestionnaire WatchGuard System Manager, sélectionnez Outils > Policy Manager.
2. Sélectionnez Ouvrir le fichier de configuration.
3. Cliquez sur Parcourir et sélectionnez le fichier de configuration sauvegardée de votre Firebox
original.
4. Cliquez sur Ouvrir. Cliquez sur OK.
5. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité.
6. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active.
7. Cliquez sur Importer pour importer la nouvelle clé de fonctionnalité.
User Guide
59
Principes de configuration et de gestion
8. Cliquez sur Parcourir pour sélectionner le fichier de clé de fonctionnalité que vous avez téléchargé
à partir du site LiveSecurity.
Ou cliquez sur Coller pour coller le contenu de la clé de fonctionnalité pour le dispositif de
remplacement.
9. Cliquez deux fois sur OK pour refermer les boîtes de dialogue Clés de fonctionnalité Firebox .
10. Pour enregistrer la configuration sur la Firebox, sélectionnez Fichier> Enregistrer> Vers Firebox.
La configuration du Firebox de remplacement est maintenant terminée. Le Firebox de remplacement
utilise à présent toutes les stratégies et paramètres de configuration de la Firebox originale.
60
WatchGuard System Manager
Principes de configuration et de gestion
Rétablir une configuration antérieure d’un
périphérique Firebox ou XTM ou créer une
nouvelle configuration
Si votre périphérique Firebox ou XTM présente un grave problème de configuration, vous pouvez restaurer
ses paramètres usine par défaut. Par exemple, si vous ignorez le mot de passe de configuration ou si une
coupure de courant a endommagé le système d’exploitation Fireware XTM, vous pouvez utiliser l’Assistant
Quick Setup Wizard pour définir de nouveau votre configuration ou restaurer une configuration
enregistrée.
Pour obtenir la description des paramètres usine par défaut, cf. À propos des paramètres usine par défaut à
la page 62.
Note Si vous possédez un périphérique WatchGuard XTM, vous pouvez également utiliser
le mode sans échec pour restaurer automatiquement une image de sauvegarde du
système à partir d’un dispositif de stockage USB. Pour plus d’informations, cf.
Restaurer automatiquement une image de sauvegarde à partir d’une clé USB.
Démarrer un périphérique Firebox ou XTM en mode sans échec
Pour restaurer les paramètres usine par défaut d’un périphérique Firebox X Core e-Series, Peak e-Series,
WatchGuard XTM 5 Series, 8 Series ou 10 Series, vous devez d’abord démarrer le périphérique Firebox ou
XTM en mode sans échec.
1. Mettez le périphérique Firebox ou XTM hors tension.
2. Appuyez sur le bouton Flèche vers le bas situé sur le panneau avant du périphérique pendant que
vous mettez le périphérique Firebox ou XTM sous tension.
3. Maintenez le bouton enfoncé jusqu’à ce que le message de démarrage du périphérique apparaisse
sur l’affichage LCD :
n
n
Pour un périphérique Firebox X Core e-Series ou Peak e-Series, le message WatchGuard
Technologies s’affiche.
Pour un périphérique WatchGuard XTM, vous lirez Démarrage en mode sans échec .
Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du
mot « sans échec ».
Lorsque vous démarrez un périphérique en mode sans échec :
n
n
n
Les paramètres de réseau et de sécurité usine par défaut sont utilisés.
La clé de fonctionnalité active n’est pas supprimée. Si vous exécutez l’Assistant Quick Setup Wizard
pour créer une nouvelle configuration, la clé de fonctionnalité précédemment importée est utilisée.
Votre configuration actuelle n’est supprimée qu’une fois une nouvelle configuration enregistrée. Si
vous redémarrez le périphérique Firebox ou XTM avant d’avoir enregistré une nouvelle
configuration, l’ancienne configuration sera à nouveau utilisée.
User Guide
61
Principes de configuration et de gestion
Restaurer les paramètres usine par défaut d’un périphérique
Firebox X Edge e-Series ou WatchGuard XTM 2 Series
Lorsque vous réinitialisez un périphérique Firebox X Edge e-Series ou XTM 2 Series, les paramètres de la
configuration d’origine sont remplacés par les paramètres usine par défaut. Pour restaurer les paramètres
usine par défaut du périphérique :
1.
2.
3.
4.
Déconnectez l’alimentation.
Maintenez enfoncé le bouton Rétablir à l’arrière du périphérique.
Connectez l’alimentation tout en appuyant sur le bouton Rétablir.
Continuez de maintenir enfoncé le bouton Rétablir jusqu’à ce que le témoin jaune Attn devienne
fixe. Ceci indique que les paramètres usine par défaut ont bien été restaurés.
Pour un périphérique Firebox X Edge e-Series, ce processus peut prendre 45 secondes ou plus. Pour un
périphérique 2 Series, il faut compter environ 75 secondes.
5. Relâchez le bouton Rétablir.
Note Vous devez redémarrer le périphérique avant de vous y connecter. Si vous essayez
d’accéder au périphérique sans l’avoir redémarré, une page Web contenant le
message suivant apparaît : Votre périphérique s’exécute à partir d’une copie de
sauvegarde du microprogramme. Ce message peut également s’afficher si le
bouton Rétablir reste enfoncé. Si ce message continue de s’afficher, vérifiez l’état
du bouton Rétablir, puis redémarrez le périphérique.
6. Déconnectez l’alimentation.
7. Connectez de nouveau l’alimentation.
Le témoin lumineux d’alimentation s’allume et votre périphérique est réinitialisé.
Exécuter l’Assistant Quick Setup Wizard
Une fois les paramètres usine par défaut rétablis, vous pouvez utiliser l’Assistant Quick Setup Wizard pour
créer une configuration de base ou restaurer une image de sauvegarde enregistrée.
Pour plus d’informations, cf. À propos de l’Assistant Quick Setup Wizard à la page 27.
À propos des paramètres usine par défaut
Le terme paramètres usine par défaut fait référence à la configuration du périphérique WatchGuard
lorsque vous recevez le système et avant de le modifier. Vous pouvez également rétablir les paramètres
usine par défaut de Firebox selon la procédure décrite dans la section Rétablir une configuration antérieure
d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 61.
Les paramètres de configuration et de réseau par défaut du périphérique WatchGuard sont les suivants :
Réseau approuvé (Firebox X Edge e-Series)
L’adresse IP par défaut du réseau approuvé est 192.168.111.1. Le masque de sous-réseau du réseau
approuvé est 255.255.255.0.
L’adresse IP et le port par défaut de Fireware XTM Web UI est https://192.168.111.1:8080.
62
WatchGuard System Manager
Principes de configuration et de gestion
Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via
DHCP. Ces adresses IP sont par défaut comprises entre 192.168.111.2 et 192.168.111.254.
Réseau approuvé (Firebox X Core et Peak e-Series et périphériques WatchGuard XTM)
L’adresse IP par défaut du réseau approuvé est 10.0.1.1. Le masque de sous-réseau du réseau
approuvé est 255.255.255.0.
L’adresse IP et le port par défaut de Fireware XTM Web UI est https://10.0.1.1:8080.
Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via
DHCP. Ces adresses IP sont par défaut comprises entre 10.0.1.2 et 10.0.1.254.
Réseau externe
Firebox est configuré de façon à obtenir une adresse IP avec DHCP.
Réseau facultatif
Le réseau facultatif est désactivé.
Paramètres du pare-feu
Toutes les stratégies entrantes sont refusées. La stratégie sortante autorise tout le trafic sortant. Les
requêtes ping reçues sur le réseau externe sont refusées.
Sécurité du système
Firebox possède deux comptes d’administrateur intégrés, admin (accès en lecture-écriture) et
status (état -- lecture seule). Lors de la première configuration du périphérique avec l’Assistant
Quick Setup Wizard, vous définissez les mots de passe d’état et de configuration. Une fois l’Assistant
Quick Setup Wizard terminé, vous pouvez vous connecter à Fireware XTM Web UI à partir des
comptes d’administrateur admin et status. Pour obtenir un accès intégral d’administrateur,
connectez-vous avec le nom d’utilisateur admin et entrez le mot de passe de configuration. Pour un
accès en lecture seule, connectez-vous avec le nom d’utilisateur status et entrez le mot de passe de
lecture seule.
Par défaut, Firebox est configuré pour être géré localement uniquement à partir du réseau
approuvé. La configuration doit être modifiée pour autoriser des tâches d’administration à partir du
réseau externe.
Options de mise à niveau
Pour activer des options de mise à niveau telles que WebBlocker, spamBlocker et Gateway AV/IPS,
vous devez coller ou importer la clé de fonctionnalité qui active ces fonctionnalités sur la page de
configuration ou activer les options de mise à niveau à l’aide de la commande Obtenir une clé de
fonctionnalité. Si vous démarrez Firebox en mode sans échec, il n’est pas nécessaire de réimporter
la clé de fonctionnalité.
À propos de les clés de fonctionnalité
Une clé de fonctionnalité est une licence qui vous permet d’utiliser une série de fonctionnalités sur votre
périphérique WatchGuard. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une
nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités du périphérique.
User Guide
63
Principes de configuration et de gestion
Lorsque vous achetez une nouvelle fonctionnalité
Lorsque vous achetez une nouvelle fonctionnalité pour votre périphérique WatchGuard, il vous faut :
n
n
Obtenir une clé de fonctionnalité auprès de LiveSecurity
Ajouter une clé de fonctionnalité à Firebox
Afficher les fonctionnalités disponibles avec la clé de
fonctionnalité active
Une clé de fonctionnalité est toujours active dans les périphériques WatchGuard. Pour afficher les
fonctionnalités disponibles avec cette clé de fonctionnalité :
1. Ouvrir Policy Manager.
2. Sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît.
La boîte de dialogue Clés de fonctionnalité Firebox comprend :
64
WatchGuard System Manager
Principes de configuration et de gestion
n
n
n
n
n
n
n
La liste des fonctionnalités disponibles
L’indication qu’une fonctionnalité est activée ou désactivée
La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées
La date d’expiration de la fonctionnalité
L’état actuel relatif à l’expiration, par exemple le nombre de jours restants avant expiration
Le nombre maximal d’adresses IP dont l’accès sortant sera autorisé (périphériques Firebox X Edge
XTM uniquement)
La version du logiciel concernée par la clé de fonctionnalité
Vérifier la conformité à la clé de fonctionnalité
Pour vérifier que toutes les fonctionnalités de Firebox sont activées correctement sur la clé de
fonctionnalité, procédez comme suit :
1. Ouvrir Policy Manager.
2. Cliquez sur .
La boîte de dialogue Conformité à la clé de fonctionnalité apparaît. Le champ Description comprend une note
qui indique si une fonctionnalité est en conformité à la clé, ou si elle a expiré.
Pour obtenir une nouvelle clé de fonctionnalité :
1. Dans la boîte de dialogue Conformité à la clé de fonctionnalité, cliquez sur Ajouter une clé de
fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît.
2. Il faut soit Ajouter une clé de fonctionnalité à Firebox ou Télécharger une clé de fonctionnalité.
Obtenir une clé de fonctionnalité auprès de LiveSecurity
Avant de pouvoir activer une nouvelle fonctionnalité, ou renouveler un service d’abonnement, vous devez
avoir reçu de WatchGuard un certificat de clé de licence qui ne soit pas déjà enregistré sur le site Web
LiveSecurity. En activant la clé de licence, vous obtenez la clé de fonctionnalité qui vous permettra d’activer
la fonctionnalité concernée sur le périphérique WatchGuard. Vous pouvez également récupérer une clé de
fonctionnalité existante par la suite.
Activer la clé de licence d’une fonctionnalité
Pour activer une clé de licence et obtenir la clé de fonctionnalité de la fonctionnalité activée :
1. À l’aide de votre navigateur Web, allez sur https://www.watchguard.com/activate.
Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche.
2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity.
La page d’activation des produits s’affiche.
3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé.
N’oubliez pas les tirets.
Le numéro de série vous permet d’enregistrer le nouveau périphérique WatchGuard, et la clé de
licence d’enregistrer les fonctionnalités supplémentaires.
User Guide
65
Principes de configuration et de gestion
4. Cliquez sur Continuer.
La page Choisir le produit à mettre à niveau apparaît.
5. Dans la liste déroulante, sélectionnez le produit à mettre à nouveau ou à renouveler.
Si vous avez ajouté un nom de périphérique au moment de l’enregistrement de votre périphérique,
celui-ci apparaît sur la liste.
6. Cliquez sur Activer.
La page Récupérer la clé de fonctionnalité apparaît.
7. Copiez l’intégralité de la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre
ordinateur.
8. Cliquez sur Terminer.
Obtenir une clé de fonctionnalité active
Vous pouvez vous connecter au site Web de LiveSecurity pour obtenir une clé de fonctionnalité. Vous
pouvez aussi utiliser Firebox System Manager pour récupérer la clé de fonctionnalité active et l’ajouter
directement à votre périphérique WatchGuard.
Lorsque vous allez sur le site Web de LiveSecurity pour récupérer votre clé, vous pouvez télécharger une
ou plusieurs clés de fonctionnalités dans un fichier compressé. Si vous sélectionnez plusieurs
périphériques, le fichier compressé comprend une clé pour chaque périphérique.
Pour récupérer une clé de fonctionnalité active sur le site Web de LiveSecurity :
1. À l’aide de votre navigateur Web, allez sur
https://www.watchguard.com/archive/manageproducts.asp.
Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche.
2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity.
La page Gestion des produits apparaît.
3. Sélectionnez Clés de fonctionnalité.
La page Récupérer une clé de fonctionnalité s’affiche avec une liste déroulante permettant de sélectionner un
produit.
4. Dans la liste déroulante, sélectionnez votre périphérique WatchGuard.
5. Cliquez sur Obtenir la clé.
Une liste de tous les périphériques que vous avez enregistrés apparaît. Une coche apparaît à côté du
périphérique sélectionné.
6. Sélectionnez Afficher les clés de fonctionnalité à l’écran.
66
WatchGuard System Manager
Principes de configuration et de gestion
7. Cliquez sur Obtenir la clé.
La page Récupérer la clé de fonctionnalité apparaît.
8. Copiez la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre ordinateur.
Pour récupérer la clé de fonctionnalité active à l’aide de Firebox System Manager (FSM) :
1. Démarrer Firebox System Manager.
2. Sélectionnez Outils > Synchroniser la clé de fonctionnalité.
La boîte de dialogue Synchroniser la clé de fonctionnalité s’affiche.
3. Cliquez sur Oui pour synchroniser votre clé de fonctionnalité.
Firebox récupère la clé de fonctionnalité sur le site Web de LiveSecurity et procède à la mise à jour sur le
périphérique WatchGuard.
Ajouter une clé de fonctionnalité à Firebox
Si vous achetez une nouvelle option ou une mise à niveau de votre périphérique WatchGuard, vous pouvez
ajouter une clé de fonctionnalité pour activer les nouvelles fonctionnalités. Avant d’installer la nouvelle clé,
vous devez entièrement supprimer l’ancienne.
1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît.
Les fonctionnalités disponibles pour cette clé apparaissent dans la boîte de dialogue. Ainsi, boîte de
dialogue inclue également :
n
n
n
n
User Guide
Si une fonctionnalité est activée ou désactivée
La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées
La date d’expiration de la fonctionnalité
Le délai restant avant l’expiration de la fonctionnalité
67
Principes de configuration et de gestion
2. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active.
Toutes les informations sur la clé de fonctionnalité sont effacées de la page.
3. Cliquez sur Importer.
Importer la clé de fonctionnalité Firebox boîte de dialogue s’affiche.
68
WatchGuard System Manager
Principes de configuration et de gestion
4. Cliquez sur Parcourir et sélectionnez la clé de fonctionnalité à importer.
Sinon, copiez le texte du fichier de la clé de fonctionnalité et cliquez sur Coller pour l’insérer dans la
zone de texte.
5. Cliquez sur OK.
La boîte de dialogue Importer une clé de fonctionnalité Firebox se ferme et les informations sur la nouvelle clé
s’affichent dans la boîte de dialogue Clé de fonctionnalité Firebox.
6. Cliquez sur OK.
Dans certains cas, d’autres boîtes de dialogue et commandes de menu permettant de configurer la
fonctionnalité apparaissent dans Policy Manager.
7. Enregistrer le fichier de configuration.
La clé de fonctionnalité ne fonctionne pas sur Firebox tant que vous n’aurez pas enregistré le fichier de
configuration sur le périphérique.
Supprimer une clé de fonctionnalité
1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît.
2. Cliquez sur Supprimer.
Toutes les informations sur la clé de fonctionnalité sont effacées de la boîte de dialogue.
3. Cliquez sur OK..
4. Enregistrer le fichier de configuration.
Voir les détails d’une clé de fonctionnalité
Dans Policy Manager, vous pouvez consulter les détails de la clé de fonctionnalité active.
Les détails disponibles incluent :
n
n
Le numéro de série du périphérique WatchGuard auquel s’applique la clé de fonctionnalité
L’ID et le nom du périphérique WatchGuard
User Guide
69
Principes de configuration et de gestion
n
n
Le modèle et le numéro de version du périphérique
Les fonctionnalités disponibles
Pour consulter les détails de votre clé de fonctionnalité :
1. Sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît.
2. Cliquez sur Détails.
La boîte de dialogue Détails de la clé de fonctionnalité s’affiche.
3. Servez-vous de la barre de défilement pour consulter les détails de votre clé de fonctionnalité.
Télécharger une clé de fonctionnalité
Vous pouvez télécharger une copie de votre clé de fonctionnalité active du périphérique WatchGuard vers
l’ordinateur de gestion.
1. Sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité apparaît.
2. Cliquez sur Télécharger.
La boîte de dialogue Obtenir les clés de fonctionnalité Firebox apparaît.
3. Entrez le mot de passe d’état du périphérique.
4. Cliquez sur OK.
Si vous avez déjà créé un compte d’utilisateur LiveSecurity, vous pouvez aussi télécharger une clé de
fonctionnalité active à partir de Firebox System Manager.
1. Démarrer Firebox System Manager.
2. Sélectionnez Outils > Synchroniser la clé de fonctionnalité.
Le périphérique WatchGuard contacte le site Web de LiveSecurity et télécharge la clé de fonctionnalité active
sur votre périphérique.
70
WatchGuard System Manager
Principes de configuration et de gestion
Activer le protocole NTP et ajouter des serveurs
NTP
Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des ordinateurs
d’un réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte sur des
serveurs NTP qui se trouvent sur Internet. Dans la mesure où Firebox utilise l’heure de son horloge système
dans chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez modifier
le serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP, de
même que définir l’heure manuellement.
Pour utiliser NTP, votre configuration Firebox doit autoriser le DNS. Celui-ci est autorisé dans la stratégie
Sortant de la configuration par défaut. Vous devez également configurer des serveurs DNS pour l’interface
externe avant de configurer le protocole NTP.
Pour plus d’informations sur ces adresses, voir Ajouter Serveurs WINS et Adresses du serveur DNS à la page 119.
1. Sélectionner Configuration > NTP.
La boîte de dialogue Paramètres NTP s’affiche.
2. Sélectionnez Activer NTP .
3. Pour ajouter un serveur NTP, entrez l’adresse IP ou le nom d’hôte du serveur à utiliser dans la zone
de texte et cliquez sur Ajouter.
Vous pouvez configurer jusqu’à trois serveurs NTP
4. Pour supprimer un serveur, sélectionnez son entrée dans la liste Noms/Adresses IP du serveur
NTPet cliquez sur Supprimer.
5. Cliquez sur OK.
User Guide
71
Principes de configuration et de gestion
Définir le fuseau horaire et les propriétés de base
du périphérique
Quand vous exécutez l’Assistant Web Setup Wizard, vous définissez le fuseau horaire et d’autres propriétés
de base du périphérique.
Pour modifier les propriétés de base du périphérique :
1. Ouvrez Policy Manager.
2. Cliquez sur Configurer > Système.
La boîte de dialogue Configuration du périphérique s’affiche.
3. Configurez les options suivantes :
Modèle de Firebox
Le modèle de Firebox et le numéro de modèle, définis par l’Assistant Quick Setup Wizard. Vous
n’avez généralement pas besoin de modifier ces paramètres. Si vous ajoutez une nouvelle clé
de fonctionnalité à Firebox lors d’une mise à niveau de modèle, le modèle de Firebox est
automatiquement mis à jour dans la configuration du périphérique.
Nom
Le nom convivial de Firebox. Vous pouvez donner au périphérique Firebox un nom convivial
qui sera utilisé dans les fichiers journaux et les rapports. À défaut, ces derniers utilisent
l’adresse IP de l’interface externe de Firebox. De nombreux clients utilisent un nom de
domaine complet comme nom convivial s’ils enregistrent un tel nom sur le système DNS. Vous
devez attribuer un nom convivial au périphérique Firebox si vous utilisez Management Server
pour configurer des tunnels VPN et des certificats.
Emplacement, Contact
Entrez toute information susceptible d’aider à identifier et à assurer la maintenance de Firebox.
Ces champs sont renseignés par l’Assistant Quick Setup Wizard si vous avez entré ces
informations. Elles apparaissent également sous l’onglet Panneau avant de Firebox System
Manager.
Fuseau horaire
72
WatchGuard System Manager
Principes de configuration et de gestion
Sélectionnez le fuseau horaire de l’emplacement matériel de Firebox. Ce paramètre contrôle la
date et l’heure qui apparaissent dans le fichier journal et sur les outils tels que LogViewer,
Rapports WatchGuard et WebBlocker.
4. Cliquez sur OK.
À propos du protocole SNMP
Le protocole SNMP (Simple Network Management Protocol) permet de gérer les périphériques de votre
réseau. SNMP utilise des bases de données MIB (Management Information Base) pour définir les informations
et les événements à surveiller. Vous devez configurer une application logicielle séparée, généralement
appelée observateur d’événements ou navigateur MIB, pour collecter et gérer les données SNMP.
Il existe deux types de bases de données MIB : standard et entreprise. Les bases de données MIB standards
sont des définitions des événements matériel et réseau employées par différents périphériques. Les bases
de données MIB d’entreprise permettent de donner des informations sur des événements spécifiques à un
seul fabricant. Firebox prend en charge huit bases de données MIB standards : IP-MIB, IF-MIB, TCP-MIB,
UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB et RFC1155 SMI-MIB. Il prend également en charge
deux bases de données MIB d’entreprise : WATCHGUARD-PRODUCTS-MIB et WATCHGUARD-SYSTEMCONFIG-MIB.
Interrogations et interruptions SNMP
Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP.
Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface,
le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu
la dernière modification de chaque interface réseau de Firebox.
Une interruption SNMP est une notification d’événement envoyée par Firebox au système de gestion
SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant
un seuil prédéfini. Firebox peut envoyer une interruption pour chacune des stratégies présentes dans
Policy Manager.
Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire
envoie une réponse. Si Firebox n’obtient pas de réponse, il envoie de nouveau la demande d’informations
jusqu’à ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le
destinataire n’envoie pas d’accusé de réception.
Activer l’interrogation SNMP
Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP.
Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface,
le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu
la dernière modification de chaque interface réseau.
1. Sélectionnez Configurer > SNMP.
User Guide
73
Principes de configuration et de gestion
2. Sélectionnez la version de SNMP que vous souhaitez utiliser : v1/v2c ou v3.
Si vous choisissez v1/v2c, tapez la Chaîne de communauté que Watchguard doit utiliser lorsqu’il se
connecte au serveur SNMP.
Si vous choisissez v3 :
n
n
n
n
n
Nom d’utilisateur : tapez le nom d’utilisateur de l’authentification et de la protection de la
confidentialité SNMPv3.
Protocole d’identification : sélectionnez MD5 (Message Digest 5) ou SHA (Secure Hash
Algorithm).
Mot de passe d’authentification : entrez et confirmez le mot de passe d’authentification.
Protocole de confidentialité : sélectionnez DES (Data Encryption Standard) pour chiffrer le
trafic ou Aucun pour ne pas chiffrer le trafic SNMP.
Mot de passe de confidentialité : entrez un mot de passe pour chiffrer les messages sortants
et déchiffrer les messages entrants.
3. Cliquez sur OK.
Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez ajouter une stratégie
SNMP. Policy Manager vous invite à ajouter automatiquement une stratégie SNMP.
Dans la boîte de dialogue Propriétés de la nouvelle stratégie :
1. Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
2. Cliquez sur Ajouter autre.
La boîte de dialogue Ajouter un membre s’affiche.
74
WatchGuard System Manager
Principes de configuration et de gestion
3. Dans la liste déroulante Choisir le type, sélectionnez Adresse IP de l’hôte.
4. Dans le champ Valeur, tapez l’adresse IP de votre ordinateur serveur SNMP.
5. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un membre et Ajouter une adresse.
L’onglet Stratégie de la nouvelle stratégie s’affiche.
6. En dessous de la liste À, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
7. Dans le champ Membres disponibles, sélectionnez Firebox. Cliquez sur Ajouter.
Firebox s’affiche dans le champ Membres et adresses sélectionnés.
8. Cliquez sur OK pour fermer les boîtes de dialogue Ajouter une adresse et Propriétés de la nouvelle
stratégie.
9. Cliquez sur Fermer.
Activer Stations de gestion et interruptions SNMP
Une interruption SNMP est une notification d’événement que le périphérique WatchGuard envoie à un
système de gestion SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une
valeur dépassant un seuil prédéfini. Le périphérique peut envoyer une interruption pour n’importe quelle
stratégie.
Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire
envoie une réponse. S’il n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à
ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le
destinataire n’envoie pas d’accusé de réception.
Une demande d’informations est plus fiable qu’une interruption dans le sens où le périphérique
WatchGuard sait si elle a été reçue. Toutefois, les demandes d’informations nécessitent davantage de
ressources. Elles sont conservées en mémoire jusqu’à ce que l’expéditeur reçoive une réponse. Si une
demande d’informations est envoyée plusieurs fois, les nouvelles tentatives intensifient le trafic. Nous vous
recommandons de bien réfléchir au fait de savoir si la réception de chaque notification SNMP fait le poids
face à l’utilisation accrue de la mémoire dans le routeur et à l’augmentation du trafic réseau que cela
engendre.
Pour activer les demandes d’informations SNMP, vous devez utiliser SNMPv2 ou SNMPv3. SNMPv1 prend
uniquement en charge les interruptions, pas les demandes d’informations.
Configurer les stations de gestion SNMP
1. Sélectionnez Configurer > SNMP.
La fenêtre Paramètres SNMP s’ouvre.
User Guide
75
Principes de configuration et de gestion
2. Dans la liste déroulante Interruptions SNMP, sélectionnez la version des interruptions ou des
demandes d’informations que vous souhaitez utiliser.
SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations.
3. Dans la zone de texte Stations de gestion SNMP, entrez l’adresse IP de votre station de gestion
SNMP. Cliquez sur Ajouter.
Répétez les étapes 2 et 3 pour ajouter d’autres stations de gestion.
4. Cliquez sur OK.
Ajouter une stratégie SNMP
Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez aussi ajouter une
stratégie SNMP.
1. Cliquez sur
.
Sinon, sélectionnez Modifier > Ajouter une stratégie.
La boîte de dialogue Ajouter des stratégies s’ouvre.
2. Développez Filtres de paquets, sélectionnez SNMP, puis cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
3. Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
4. Cliquez sur Ajouter autre.
La boîte de dialogue Ajouter un membre s’affiche.
5. Dans la liste déroulante Choisir le type, sélectionnez IP de l’hôte.
6. Dans le champ Valeur, tapez l’adresse IP de votre ordinateur serveur SNMP.
76
WatchGuard System Manager
Principes de configuration et de gestion
7. Cliquez deux fois sur OK pour fermer les boîtes de dialogue Ajouter un membre et Ajouter une
adresse.
L’onglet Stratégie de la nouvelle stratégie s’affiche.
8. Dans la section Vers, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
9. Dans la section Membres disponibles, sélectionnez Firebox. Cliquez sur Ajouter.
10. Cliquez sur OK dans chaque boîte de dialogue pour la fermer. Cliquez sur Fermer.
11. Enregistrez la configuration.
Envoyer une interruption SNMP pour une stratégie
Firebox peut envoyer une interruption SNMP lorsque le trafic est filtré par une stratégie. Il faut qu’une
station de gestion SNMP au moins soit configurée pour activer les interruptions.
1. Double-cliquez sur la stratégie SNMP.
Dans la boîte de dialogue Modifier les propriétés de stratégie :
2. Sélectionnez l’onglet Propriétés.
3. Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s’ouvre.
4. Activez la case à cocher Envoyer une interruption SNMP.
5. Cliquez sur OK pour fermer la boîte de dialogue Journalisation et notification.
6. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
À propos des bases d’informations MIB (Management
Information Base)
Fireware XTM prend en charge deux types de bases de données MIB :
Bases de données MIB standards
Les bases de données MIB standards sont des définitions des événements matériel et réseau
employées par différents périphériques. Votre périphérique WatchGuard prend en charge huit
bases de données MIB standards :
n
n
n
n
n
n
n
n
IP-MIB
IF-MIB
TCP-MIB
UDP-MIB
SNMPv2-MIB
SNMPv2-SMI
RFC1213-MIB
RFC1155 SMI-MIB
Ces bases de données comprennent des informations standards sur les réseaux, comme les
adresses IP et les paramètres d’interface réseau.
Bases de données MIB d’entreprise
Les bases de données MIB d’entreprise permettent de donner des informations sur des
événements spécifiques à un seul fabricant. Firebox prend en charge les bases de données MIB
d’entreprise suivantes :
User Guide
77
Principes de configuration et de gestion
n
n
n
WATCHGUARD-PRODUCTS-MIB
WATCHGUARD-SYSTEM-CONFIG-MIB
UCD-SNMP-MIB
Ces bases de données comprennent des informations plus spécifiques sur le matériel du
périphérique.
Lorsque vous installez le gestionnaire WatchGuard System Manager, les bases de données MIB sont
installées dans :
\My Documents\My WatchGuard\Shared WatchGuard\SNMP
À propos des mots de passe, clés de chiffrement
et clés partagées de WatchGuard
Votre solution de sécurité du réseau englobe l’utilisation de mots de passe, de clés de chiffrement et de
clés partagées. Cette rubrique donne l’information sur la plupart des mots de passe, clés de chiffrement et
clés partagées que vous utilisez pour vos produits WatchGuard. Elle ne vous renseigne pas sur les mots de
passe de tiers. L’information sur les restrictions au sujet des mots de passe, clés de chiffrement et clés
partagées est aussi incluse dans les procédures relatives.
Création d’un mot de passe, d’une clé de chiffrement ou d’une
clé partagée sécurisés
Pour créer un mot de passe, une clé de chiffrement ou une clé partagée sécurisés, il est conseillé ce qui suit :
n
n
n
Utilisez une combinaison de caractères en ASCII minuscules et majuscules, de nombres et de
caractères spéciaux (par exemple, Im4e@tiN9).
N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou
une langue différente.
N’utilisez pas de noms. Une personne malveillante peut très facilement trouver un nom
d’entreprise, familier ou encore le nom d’une personnalité.
Par mesure de sécurité supplémentaire, il est conseillé de changer fréquemment les mots de passe, clés de
chiffrement et clés partagées.
Mots de passe Firebox
Firebox utilise deux mots de passe :
Mot de passe d’état
Mot de passe de lecture seule qui permet d’accéder à Firebox. Lorsque vous vous connectez avec
ce mot de passe, vous pouvez vérifier votre configuration, mais vous ne pouvez enregistrer des
modifications dans le Firebox. Le mot de passe d’état est associé à l’état.
78
WatchGuard System Manager
Principes de configuration et de gestion
Mot de passe de configuration
Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox. Vous
devez utiliser ce mot de passe pour enregistrer dans Firebox des modifications à la configuration. Ce
mot de passe doit aussi être utilisé pour changer vos mots de passe Firebox. Le mot de passe de
configuration est associé au nom d’utilisateur admin.
Chacun de ces mots de passe Firebox doit comporter au moins 8 caractères.
Mots de passe utilisateur
Vous pouvez créer des noms et mots de passe utilisateur destinés à l’authentification et l’administration à
base de rôles Firebox.
Mots de passe utilisateur pour authentification Firebox
Une fois ce mot de passe utilisateur défini, les caractères sont masqués et ils n’apparaissent plus en
texte simple. Si vous égarez le mot de passe, vous devez en définir un nouveau. La plage autorisée
pour ce mot de passe est 8 – 32 caractères.
Mots de passe utilisateur pour administration à base de rôles
Une fois ce mot de passe utilisateur défini, il n’est plus affiché dans la boîte de dialogue Propriétés
de l’utilisateur et du groupe. Si vous égarez le mot de passe, vous devez en définir un nouveau. Ce
mot de passe doit comporter au moins huit caractères.
Mots de passe serveur
Mot de passe administrateur
Le mot de passe Administrateur sert à contrôler l’accès au WatchGuard Server Center. Vous utilisez
également ce mot de passe lorsque vous vous connectez à votre Management Server à partir de
WatchGuard System Manager (WSM). Ce mot de passe doit comporter au moins huit caractères. Le
mot de passe Administrateur est associé au nom d’utilisateur admin.
Secret partagé du serveur d’authentification
Le secret partagé est la clé utilisée par Firebox et le serveur d’authentification pour sécuriser
l’information d’authentification qui circule entre eux. Le secret partagé respecte la casse et il doit
être identique sur Firebox et sur le serveur d’authentification. Les serveurs d’authentification
RADIUS, SecurID et VASCO utilisent tous une clé partagée.
Clés de chiffrement et clés partagées
Log Server Encryption Key
La clé de chiffrement sert à créer une connexion sécurisée entre le Firebox et les Log Servers, et
d’empêcher les « attaques de l’intercepteur ». La clé de chiffrement peut comprendre entre 8 et
32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres
obliques (/ ou \).
User Guide
79
Principes de configuration et de gestion
Clé de chiffrement Sauvegarder/Restaurer
Il s’agit de la clé de chiffrement que vous créez pour chiffrer un fichier de sauvegarde de votre
configuration Firebox. Lorsque vous restaurez un fichier de sauvegarde, vous devez utiliser la clé de
chiffrement sélectionnée lors de la création du fichier de sauvegarde de la configuration. En cas de
perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le fichier
de sauvegarde. La clé de chiffrement doit avoir au moins 8 caractères, et 15 caractères au
maximum.
Clé partagée VPN
La clé partagée est un mot de passe utilisé par deux périphériques pour chiffrer et déchiffrer les
données qui traversent le tunnel VPN. Les deux périphériques utilisent le même mot de passe. S’ils
n’ont pas le même mot de passe, ils ne peuvent pas chiffrer et déchiffrer correctement les
données.
Modifier les mots de passe Firebox
Firebox utilise deux mots de passe :
Mot de passe d’état
Mot de passe de lecture seule qui permet d’accéder à Firebox.
Mot de passe de configuration
Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox.
Pour plus d’informations sur les mots de passe, voir À propos des mots de passe, clés de chiffrement et clés
partagées de WatchGuard à la page 78.
Pour modifier les mots de passe :
1. Ouvrez le fichier de configuration Firebox.
2. Cliquez sur Fichier > Modifier les mots de passe.
La boîte de dialogue Modifier les mots de passe s’affiche.
80
WatchGuard System Manager
Principes de configuration et de gestion
3. Dans la liste déroulante Nom ou adresse de Firebox, sélectionnez un périphérique Firebox ou tapez
l’adresse IP ou le nom du périphérique Firebox.
4. Dans la zone de texte Mot de passe de configuration, entrez le mot de passe de configuration
(lecture/écriture).
5. Tapez et confirmez le nouveau mot de passe d’état (lecture seule) et le nouveau mot de passe de
configuration (lecture/écriture). Le mot de passe d’état et le mot de passe de configuration doivent
être différents.
6. Cliquez sur OK.
À propos des alias
Un alias est un raccourci permettant d’identifier un groupe d’hôtes, de réseaux ou d’interfaces. L’utilisation
d’un alias simplifie la création d’une stratégie de sécurité car Firebox vous autorise à utiliser des alias
lorsque vous créez des stratégies.
Les alias par défaut dans Policy Manager comprennent :
n
n
n
n
n
n
Tout — Tout alias de source ou destination correspondant aux interfaces de la Firebox , tels que
Approuvé ou Externe.
Firebox — Un alias pour toutes les interfaces Firebox.
Tout-Approuvé — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces
approuvées, et tout réseau accessible via ces interfaces.
Tout-Externe — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces
externes, et tout réseau accessible via ces interfaces.
Tout-Facultatif — Des alias pour toutes les interfaces Firebox configurées en tant qu'interfaces
facultatives, et tout réseau accessible via ces interfaces.
Tout-BOVPN – Un alias pour tous les tunnels BOVPN (IPSec).
Lorsque vous utilisez l’assistant BOVPN Policy Wizard pour créer une stratégie autorisant le trafic à
transiter par un tunnel BOVPN, l’assistant crée automatiquement des alias .in et .out pour les tunnels
entrants et sortants.
Il faut distinguer les noms d’alias des noms d’utilisateurs ou de groupes utilisés pour l’authentification des
utilisateurs. Lorsque vous authentifiez des utilisateurs, vous pouvez contrôler une connexion à l’aide d’un
nom et non d’une adresse IP. L’utilisateur est authentifié à l’aide d’un nom d’utilisateur et d’un mot de passe
pour accéder aux protocoles Internet.
Pour plus d’informations sur l’authentification des utilisateurs, voir À propos de l’authentification des
utilisateurs à la page 291.
Membres de l’alias
Vous pouvez ajouter les objets suivants à un alias :
n
n
n
n
n
n
L’adresse IP de l’hôte
L’adresse IP du réseau
Une plage d'adresses IP d'hôte
Nom DNS pour un hôte
Adresse de tunnel – définie par un utilisateur ou un groupe, adresse et nom du tunnel
Adresse personnalisée – définie par un utilisateur ou un groupe, adresse et interface Firebox
User Guide
81
Principes de configuration et de gestion
n
n
Un autre alias
Un utilisateur ou groupe autorisé
Créer un alias
Pour créer un alias à utiliser avec vos stratégies de sécurité :
1. Sélectionnez Installation > Alias.
La page boîte de dialogue s’affiche. Les alias prédéfinis s'affichent en bleu et les alias définis par l'utilisateur
s'affichent en noir.
2. Cliquez sur Ajouter.
Ajouter un alias boîte de dialogue s’affiche.
82
WatchGuard System Manager
Principes de configuration et de gestion
3. Dans la zone de texte Nom d'alias, saisissez un nom unique pour identifier l'alias.
Ce nom s’affiche dans les listes lorsque vous configurez une stratégie de sécurité.
4. Dans le champ Description, saisissez une description de l’alias.
5. Cliquez sur OK.
Ajouter une adresse, une plage d'adresse, un nom DNS, ou un autre
alias vers l'alias
1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s’affiche.
2. Dans la Choisir le type liste déroulante, sélectionnez le type de membre que vous souhaitez ajouter.
3. Saisissez l’adresse ou le nom dans le champ de texte Valeur zone de texte.
4. Cliquez sur OK.
Le nouveau membre apparaît dans la section Membres de l’alias de la boîte de dialogue Ajouter un alias boîte
de dialogue.
5. Répétez les étapes 1 à 4 pour ajouter d'autres membres.
6. Cliquez sur OK.
Ajouter un utilisateur ou un groupe autorisé à l’alias
1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Utilisateur.
La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche.
2. Dans la liste déroulante Type de gauche, indiquez si l’utilisateur ou le groupe que vous souhaitez
ajouter est autorisé en tant qu’utilisateur de pare-feu, utilisateur PPTP ou utilisateur VPN SSL.
3. Dans la liste déroulante Type de droite, cliquez sur Utilisateur pour ajouter un utilisateur ou Groupe
pour ajouter un groupe.
4. Si l’utilisateur ou le groupe apparaît dans la liste en bas de la boîte de dialogue Ajouter des
utilisateurs ou groupes autorisés, sélectionnez-le et cliquez sur Sélectionner.
Si l’utilisateur ou le groupe n’apparaît pas dans la liste, il n’a pas encore été défini comme utilisateur
ou groupe autorisé. L’utilisateur ou le groupe doit avoir été autorisé pour que vous puissiez l’ajouter
à un alias.
5. Répétez les étapes 1 à 4 pour ajouter autant de membres que nécessaire.
Pour ajouter une adresse, une plage d’adresses, un nom DNS ou un autre alias à l’alias, vous pouvez
également utiliser la procédure précédente.
6. Cliquez sur OK.
Pour plus d'informations sur la manière de définir un utilisateur ou groupe autorisé, voir :
n
n
n
Définir un nouvel utilisateur pour l’authentification sur Firebox
Définir un nouveau groupe d’authentification sur Firebox
Utiliser les utilisateurs et groupes autorisés dans les stratégies
Pour supprimer une entrée de la liste des membres, sélectionnez l'entrée et cliquez sur Supprimer.
Définir les paramètres globaux de Firebox
Dans Policy Manager , vous pouvez sélectionner des paramètres qui contrôlent les actions de plusieurs
fonctions Firebox et périphérique XTM. Vous pouvez définir des paramètres de base pour :
User Guide
83
Principes de configuration et de gestion
n
n
n
n
n
Gestion des erreurs ICMP
Contrôle TCP SYN
Réglage de la taille maximale du TCP
Gestion du trafic et QoS
Port IU Web
Pour modifier les paramétrages globaux :
1. Sélectionner Installation > Paramètres globaux.
La boîte de dialogue Paramètres globaux s’affiche.
2. Configurer les différentes catégories de paramètres globaux tels que décrits dans les sections
suivantes.
3. Cliquez sur OK..
4. Enregistrez votre fichier de configuration sur votre périphérique.
Définir les paramètres globaux de gestion des erreurs ICMP
Le protocole Internet Control Message Protocol (ICMP) contrôle les erreurs au cours des connexions. Il est
utilisé pour deux types d’opérations :
n
n
84
Informer les hôtes clients des conditions d’erreur.
Sonder un réseau pour en découvrir les caractéristiques générales
WatchGuard System Manager
Principes de configuration et de gestion
Le périphérique Firebox envoie un message d’erreur ICMP à chaque fois qu’un événement correspondant
à l’un des paramètres que vous avez sélectionnés se produit. Si ces messages vous permettent de résoudre
des problèmes, ils peuvent également faire baisser le niveau de sécurité car ils exposent des informations
sur votre réseau. Si vous refusez ces messages ICMP, vous pouvez augmenter votre niveau de sécurité en
empêchant l'exploration du réseau cette action peut cependant provoquer des retards pour des
connexions incomplètes et entraîner des problèmes d'application.
Les paramètres de la gestion globale des erreurs ICMP sont :
Fragmentation req) (PMTU)
Activez cette case à cocher pour autoriser les messages Fragmentation Req (Fragmentation req)
ICMP. Le périphérique Firebox utilise ces messages pour repérer le chemin MTU.
Délai expiré
Activez cette case à cocher pour autoriser les messages Délai expiré ICMP. Un routeur envoie
généralement ces messages en cas de boucle de route.
Réseau non joignable
Activez cette case à cocher pour autoriser les messages Réseau non joignables ICMP. Un routeur
envoie généralement ces messages en cas de rupture de liaison réseau.
Hôte non joignable
Activez cette case à cocher pour autoriser les messages Hôte non joignable ICMP. Le réseau envoie
généralement ces messages lorsqu’il ne peut pas utiliser d’hôte ou de service.
Port non joignable
Activez cette case à cocher pour autoriser les messages Port non joignables ICMP. Un hôte ou un
pare-feu envoie généralement ces messages lorsqu’un service réseau n’est pas disponible ou
autorisé.
Protocole non joignable
Activez cette case à cocher pour autoriser les messages Protocole non joignables ICMP.
Pour contourner ces paramètres ICMP généraux pour une stratégie spécifique, depuis Policy Manager:
1. Sur l'onglet Pare-feu, sélectionnez la stratégie spécifique.
2. Double-cliquez sur la stratégie pour la modifier.
La boîte de dialogue Modifier les propriétés de stratégie s'affiche.
3. Sélectionnez l’onglet Avancé.
4. Dans la liste déroulante Gestion des erreurs ICMP, sélectionnezSpécifier un paramètre.
5. Cliquez sur Paramètre ICMP.
La boîte de dialogue Paramètres de gestion des erreurs ICMP s'affiche.
6. Cochez la case pour les seuls paramètres que vous souhaitez activer.
7. Cliquez sur OK.
Activer le contrôle TCP SYN
Le contrôle TCP SYN permet de s'assurer que la liaison handshake à trois voies TCP est réalisée avant que le
périphérique Firebox ou XTM n'autorise une connexion de données.
User Guide
85
Principes de configuration et de gestion
Définir les paramètres globaux de réglage de la taille maximale
de segment TCP
Le segment TCP peut être paramétré sur une taille définie pour une connexion d'une liaison TCP/IP
supérieure à 3 voies (ex. : PPPoE, ESP ou AH). Certains sites web seront inaccessibles aux utilisateurs si
cette taille n’est pas correctement configurée. Les paramètres globaux d’ajustement de taille de segment
maximum TCP sont les suivants :
Ajustement automatique
Le périphérique Firebox ou XTM examine toutes les négociations de taille de segment maximale
(MSS) et adopte la valeur MSS applicable.
Aucun ajustement
Le périphérique Firebox ou XTM ne modifie pas la valeur MSS.
Limiter à
Vous définissez une limite d’ajustement de taille.
Désactiver ou activer la gestion du trafic et QoS
Pour des opérations de test de performance ou de débogage de réseau, vous pouvez désactiver les
fonctionnalités de gestion du trafic et de QoS.
Pour activer ces fonctionnalités :
Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de
service).
Pour désactiver ces fonctionnalités :
Décochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de
service).
Modifier le port Web UI
Par défaut, Fireware XTM Web UI utilise le port 8080.
Pour changer ce port :
1. Dans la zone de texte Port Web UI , entrez ou sélectionnez un autre numéro de port.
2. Utilisez le nouveau port pour vous connecter à Fireware XTM Web UI et tester la connexion au
nouveau port.
Redémarrage automatique
Vous pouvez programmer votre périphérique Firebox ou XTM pour qu'il effectue un redémarrage
automatique au jour et à l'heure de votre choix.
Pour programmer un redémarrage automatique de votre périphérique :
86
WatchGuard System Manager
Principes de configuration et de gestion
1. Cochez la case Programmer la date et l'heure de redémarrage.
2. Dans la liste déroulante située à côté, sélectionnez Tous les jours pour redémarrer le périphérique
tous les jours à la même heure, ou sélectionnez un jour de la semaine pour un redémarrage
hebdomadaire.
3. Dans les zones de texte situées à côté, entrez ou sélectionnez l'heure et la minute de la journée (au
format 24 h) auxquelles vous souhaitez que le redémarrage ait lieu.
Console externe
Cette option est disponible uniquement pour les périphériques et configurations Firebox X Edge. Cochez
cette case pour utiliser le port série pour les connexions de console, comme l'interface CLI (Command Line
Interface) XTM. Vous ne pouvez pas utiliser le port série pour un basculement du modem lorsque cette
option est sélectionnée et vous devez redémarrer le périphérique pour modifier ce réglage.
Gérer Firebox à partir d’un emplacement distant
Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, une stratégie intitulée stratégie
WatchGuard se crée automatiquement. Elle vous permet de vous connecter à Firebox et de l’administrer
depuis n’importe quel ordinateur d’un réseau approuvé ou facultatif. Si vous souhaitez gérer Firebox à
partir d’un emplacement distant (tout emplacement externe à Firebox), vous devez alors modifier votre
stratégie WatchGuard de manière à autoriser les connexions administratives à partir de l’adresse IP de
votre emplacement distant.
Cette stratégie contrôle l’accès à Firebox sur les quatre ports TCP suivants : 4103, 4105, 4117, 4118.
Lorsque vous autorisez des connexions dans la stratégie WatchGuard, vous autorisez les connexions à
chacun de ces quatre ports.
Avant de modifier la stratégie WatchGuard, nous vous recommandons d’envisager de vous connecter à
Firebox par VPN. Cela améliore nettement la sécurité de la connexion. Si ce n’est pas possible, il est
recommandé d’autoriser l’accès depuis le réseau externe à certains utilisateurs autorisés uniquement, et
au plus petit nombre d’ordinateurs possible. Par exemple, votre configuration sera plus sûre si vous
autorisez les connexions à partir d’un seul ordinateur plutôt qu’à partir de l’alias « Any-External » (TousExternes).
1. Double-cliquez sur la stratégie WatchGuard.
Vous pouvez également cliquer avec le bouton droit sur la stratégie WatchGuard et sélectionner
Modifier.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
User Guide
87
Principes de configuration et de gestion
2. Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
3. Ajoutez l’adresse IP de l’ordinateur externe qui se connecte à Firebox : cliquez sur Ajouter autre,
vérifiez que le type IP de l’hôte est sélectionné, puis tapez l’adresse IP.
88
WatchGuard System Manager
Principes de configuration et de gestion
4. Si vous voulez donner un accès à un utilisateur autorisé, dans la boîte de dialogue Ajouter une
adresse, cliquez sur Ajouter un utilisateur.
La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche.
Pour en savoir sur la création d’un alias, voir Créer un alias à la page 82.
Emplacements des fichiers de WatchGuard
System Manager
Le tableau ci-dessous donne les emplacements où les fichiers de données courants sont rangés par le
logiciel WatchGuard System Manager. Comme il est possible de configurer le système d’exploitation
Windows pour qu’il place ces répertoires sur différents lecteurs de disque, vous devez connaître
l’emplacement précis de ces fichiers d’après la configuration Windows de votre ordinateur. Il est
également possible de conserver les fichiers journaux dans un répertoire différent de celui des autres
fichiers d’installation. Si vous modifiez l’emplacement par défaut des fichiers journaux, ces emplacements
par défaut ne s’appliquent pas.
Si la version de votre système d’exploitation n’est pas en anglais, vous devrez parfois traduire les noms de
répertoires (tels que « Documents and Settings » ou « Program Files »).
Type de fichier
Emplacement
Données créées par l’utilisateur
(partagées)
C:\Documents and Settings\All Users\WatchGuard partagé
Certificats
Mes documents\Mon WatchGuard\certs\<IP Address of
Management Server>
Applications WatchGuard
C:\Program Files\WatchGuard\wsm11.0
Bibliothèques d’applications
partagées
C:\Program Files\Fichiers communs\WatchGuard\wsm11.0
Données de Management Server
C:\Documents and Settings\WatchGuard\wmserver
Données de Quarantine Server
C:\Documents and Settings\WatchGuard\wqserver
Données de l’autorité de certification
C:\Documents and Settings\WatchGuard\wgca
Données de Report Server
C:\Documents and Settings\WatchGuard\wrserver
Données de Log Server
C:\Documents and Settings\WatchGuard\wlogserver
Données de WebBlocker Server
C:\Documents and Settings\WatchGuard\wbserver
Images des futures mises à niveau
des produits
C:\Program Files\Fichiers
communs\WatchGuard\ressources\FirewareXTM\11.0
Fichiers d’aide (Fireware et WSM)
C:\Program Files\WatchGuard\wsm11.0\aide\fireware
Fichiers d’aide (WFS)
C:\Program Files\WatchGuard\wsm11.0\aide\wfs
User Guide
89
Principes de configuration et de gestion
Emplacement des fichiers créés par l’utilisateur et des
applications
Ces tableaux indiquent les emplacements par défaut dans lesquels les serveurs et applications du logiciel
WatchGuard recherchent leurs fichiers de données ou les fichiers de données créés par les utilisateurs (tels
que les fichiers de configuration Firebox). Dans certains cas, l’emplacement par défaut change en fonction
de l’emplacement dans lequel l’application logicielle a ouvert un fichier de type similaire. Dans ces cas-là,
l’application logicielle mémorise le dernier emplacement d’écriture/de lecture du fichier et recherche
d’abord à cet endroit.
Policy Manager pour le logiciel système Fireware Appliance Software
Opération
Type de fichier
Lecture/écriture Sauvegardes Firebox
Emplacement par défaut
C:\Documents and Settings\All Users\WatchGuard
partagé\sauvegardes
Lecture
Images des mises à
niveau des produits
C:\Program Files\Fichiers
communs\WatchGuard\ressources\FirewareXTM\11.0
Lecture
Sites bloqués
Mes documents\Mon WatchGuard
Lecture
Exceptions aux sites
bloqués
Mes documents\Mon WatchGuard
Lecture/écriture
Fichiers de configuration
Mes documents\Mon WatchGuard/configs
Firebox
Lecture/écriture
Fichiers de licence
Firebox
Lecture
Importation de la licence
Mes documents\Mon WatchGuard
initiale
Écriture
Fichiers de configuration
C:\Documents and Settings\All Users\WatchGuard
du client Mobile
partagé\muvpn
VPN.wgx et ini
Mes documents\Mon WatchGuard/configs
Logiciel système WFS
90
Opération
Type de fichier
Emplacement par défaut
Lecture
Notification de journalisation
Répertoire de travail en cours
Lecture
Importation de règles de
courrier indésirable
Répertoire de travail en cours
Écriture
Sauvegardes enregistrées
C:\Documents and Settings\All Users\WatchGuard
partagé\sauvegardes
Écriture
MUVPN SPDs (.wgx)
C:\Documents and Settings\All Users\WatchGuard
partagé\muvpn
WatchGuard System Manager
Principes de configuration et de gestion
Opération
Type de fichier
Emplacement par défaut
Lecture
Importations de sites bloqués
Répertoire de travail en cours
Lecture/écriture Image de sauvegarde
C:\Documents and Settings\All Users\WatchGuard
partagé\sauvegardes
Report Manager
Type de fichier
Emplacement par défaut
Journal de rapports
C:\Documents and Settings\<user name>\Application
Data\WatchGuard\wgreports
Fichiers de rapport
C:\Documents and Settings\<user name>\Application
Data\WatchGuard\wgreports
LogViewer
Type de fichier
Emplacement par défaut
Fichiers de configuration de
LogViewer
C:\Documents and Settings\<user name>\Application
Data\WatchGuard\logviewer_amélioré
Fichiers journaux de
débogage de LogViewer
C:\Documents and Settings\<user name>\Application
Data\WatchGuard\logviewer_amélioré
Fichiers exportés de
LogViewer
C:\Documents and Settings\WatchGuard\journaux
Fichiers journaux enregistrés
de LogViewer
C:\Documents and Settings\WatchGuard\rapports
Fichiers de requêtes de
recherche de LogViewer
C:\Documents and Settings\<user name>\Application
Data\WatchGuard\logviewer_amélioré\recherches
Mettre à niveau vers une nouvelle version de
Fireware XTM
À intervalles réguliers, WatchGuard publie de nouvelles versions de WatchGuard System Manager (WSM) et
des logiciels système Fireware XTM disponibles pour les utilisateurs Firebox disposant d’un abonnement
actif à LiveSecurity. Pour mettre à niveau d’une version de WSM avec Fireware XTM vers une nouvelle
version de WSM avec Fireware XTM, utilisez les procédures dans les rubriques suivantes.
Installez la mise à niveau sur votre station de gestion
1. Téléchargez le Fireware XTM mis à jour et le logiciel WatchGuard System Manager dans la rubrique
Téléchargements de logiciels du site Web WatchGuard à l’adresse http://www.watchguard.com.
User Guide
91
Principes de configuration et de gestion
2. Sauvegardez votre fichier de configuration du périphérique WatchGuard et les fichiers Management
Server configuration.
Pour de plus amples informations sur la façon de créer une image de sauvegarde de votre
configuration du périphérique WatchGuard, cf. Créer une sauvegarde de l’image Firebox à la page 49.
Pour sauvegarder les paramètres de Management Server, cf. Sauvegarder ou restaurer
Management Server configuration à la page dxxxiv.
3. Utilisez l’application Ajouter ou supprimer des programmes de Windows pour désinstaller votre
installation existante de WatchGuard System Manager et WatchGuard Fireware XTM. Vous pouvez
avoir plusieurs versions du logiciel client WatchGuard System Manager installées sur votre station de
gestion, mais une seule version du logiciel serveur WatchGuard.
Pour de plus amples informations, cf. Installer WSM et conserver une version antérieure à la page 39.
4. Lancez le fichier ou les fichiers que vous avez téléchargés à partir du site Web LiveSecurity.
5. Utilisez la procédure à l’écran pour installer le fichier de mise à niveau Fireware XTM dans le
répertoire d’installation WatchGuard sur votre station de gestion.
Mettre à niveau Firebox
1. Pour enregistrer la mise à niveau dans Firebox, utilisez Policy Manager pour ouvrir le fichier de
configuration du périphérique WatchGuard.
WatchGuard System Manager détecte que le fichier de configuration correspond à une version antérieure et
affiche une boîte de dialogue de mise à niveau.
2. Cliquez sur Ouipour enregistrer le fichier de configuration. Utilisez les instructions à l’écran pour
convertir le fichier de configuration afin de le rendre compatible avec la version la plus récente.
Note L’aspect de la boîte de dialogue de mise à niveau est différent si vous avez plusieurs
versions de WatchGuard System Manager installées sur votre ordinateur de
gestion. Pour plus d’informations, voir Utiliser différentes versions de Policy
Manager à la page 93.
Si vous ne voyez pas la boîte de dialogue de mise à niveau lorsque vous ouvrez Policy Manager :
1. Sélectionnez Fichier >Mettre à jour.
2. Tapez le mot de passe de configuration.
La mise à niveau — Entrez le chemin vers l’image de mise à niveau. La boîte de dialogue s’affiche.
3. Le chemin par défaut est automatiquement sélectionné. Si votre chemin d’installation est différent,
cliquez sur Parcourir pour modifier le chemin vers l’image de mise à niveau.
4. Cliquez sur OK.
La procédure de mise à niveau peut nécessiter jusqu’à 15 minutes. Elle redémarre automatiquement le
périphérique WatchGuard.
Si au moment de la mise à niveau, le périphérique WatchGuard est opérationnel depuis quelque temps,
vous devrez peut-être redémarrer le périphérique avant de commencer la mise à niveau afin d’effacer sa
mémoire temporaire.
92
WatchGuard System Manager
Principes de configuration et de gestion
Utiliser différentes versions de Policy Manager
Dans WatchGuard System Manager v11, si vous ouvrez un fichier de configuration créé par une version
antérieure de Policy Manager, et si la version antérieure de WatchGuard System Manager est également
installée sur l’ordinateur de gestion, la boîte de dialogue Mise à niveau disponible s’affiche. Vous pouvez
choisir de lancer la version antérieure de Policy Manager ou de mettre à niveau le fichier de configuration
vers la version plus récente.
Si vous ne souhaitez pas que WatchGuard System Manager affiche cette boîte de dialogue lorsque vous
ouvrez un fichier de configuration d’une version antérieure, activez la case à cocher Ne plus afficher ce
message .
Pour activer la boîte de dialogue Mise à niveau disponible si vous l’avez désactivé :
1. Dans WatchGuard System Manager, sélectionnez Modifier > Options.
La boîte de dialogue Options s’affiche.
2. Activez la case à cocher Afficher la boîte de dialogue de mise à niveau au lancement de Policy
Manager.
3. Cliquez sur OK.
À propos des options de mise à niveau
Vous pouvez ajouter des mises à niveau à votre périphérique WatchGuard afin d’activer des services
d’abonnement, fonctionnalités et capacités supplémentaires.
Pour connaître la liste des options de mise à niveau disponibles, voir
www.watchguard.com/products/options.asp.
Mises à niveau des services d’abonnement
WebBlocker
La mise à niveau WebBlocker vous permet de contrôler l’accès au contenu Web.
Pour plus d’informations, voir À propos de WebBlocker à la page 993.
spamBlocker
La mise à niveau spamBlocker vous permet de filtrer le courrier indésirable et les messages en
masse.
Pour plus d’informations, voir À propos de spamBlocker à la page 1067.
Gateway AV/IPS
La mise à niveau Gateway AV/IPS vous permet de bloquer les virus et d’empêcher les tentatives
d’intrusion par les pirates informatiques.
Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prévention à la page 1095.
User Guide
93
Principes de configuration et de gestion
Mises à niveau des logiciels et logiciels système
Pro
La mise à niveau Pro de Fireware XTM confère plusieurs fonctionnalités avancées aux clients
expérimentés, notamment l’équilibrage de charge côté serveur et d’autres tunnels VPN SSL. Les
fonctionnalités disponibles avec une mise à niveau Pro dépendent du type et du modèle de votre
Firebox.
Pour plus d’informations, voir Fireware XTM avec une mise à niveau Pro à la page 14.
Mises à niveau des modèles
Pour certains modèles Firebox, vous pouvez acheter une clé de licence afin de mettre à niveau le
périphérique à un modèle de niveau supérieur dans la même famille de produits. Une mise à
niveau de modèle confère à Firebox les mêmes fonctions qu’un modèle supérieur.
Pour comparer les fonctionnalités et capacités des différents modèles Firebox, allez sur
http://www.watchguard.com/products/compare.asp.
Comment appliquer une mise à niveau
Quand vous achetez une mise à niveau, vous enregistrez celle-ci sur le site Web de WatchGuard
LiveSecurity. Ensuite vous téléchargez une clé de fonctionnalité qui active cette mise à niveau sur votre
périphérique WatchGuard.
Pour plus d’informations sur les clés de fonctionnalité, voir À propos de les clés de fonctionnalité à la page 63.
Renouveler les services de sécurité par
abonnement
Une mise à jour régulière des services par abonnement WatchGuard (Gateway AntiVirus, Intrusion
Prevention Service, WebBlocker et spamBlocker) garantit un fonctionnement efficace.
Le périphérique WatchGuard donne des rappels de renouvellement pour vos abonnements. Lorsque vous
enregistrez des changements vers un fichier de configuration, WatchGuard System Manager vous informe
graduellement sur la date d’expiration d’un abonnement : 60 jours avant, 30 jours avant, 15 jours avant et la
veille.
Une fois un abonnement expiré, vous ne pourrez enregistrer des modifications à votre configuration
qu’après avoir renouvelé ou désactivé cet abonnement.
1. Dans Policy Manager, cliquez sur Fichier>Enregistrer>Sur Firebox.
Un message vous invite à mettre à jour votre clé de fonctionnalité.
2. Cliquez sur OK.
La boîte de dialogue Conformité à la clé de fonctionnalité apparaît.
94
WatchGuard System Manager
Principes de configuration et de gestion
3. Sélectionnez l’abonnement expiré.
4. Si vous avez déjà la nouvelle clé de fonctionnalité, cliquez sur Ajouter clé de fonctionnalité. Collez
votre nouvelle clé de fonctionnalité. Vous ne pouvez pas faire un clic droit pour coller ; vous devez
appuyer sur CTRL-V ou cliquez sur Coller.
Si vous n’avez pas déjà votre nouvelle clé de fonctionnalité, vous devez cliquer sur Désactiver,
même si vous envisagez de renouveler plus tard. Vous ne perdez pas vos paramètres lorsque vous
désactivez l’abonnement. Si vous renouvelez votre abonnement plus tard, vous pourrez réactiver
vos paramètres et les enregistrer dans Firebox.
5. Cliquez sur OK.
Renouvellement des abonnements dans Firebox System
Manager
Lorsque la date d’expiration d’un abonnement approche, un avertissement s’affiche sur le panneau avant
de Firebox System Manager et le bouton Renouveler est visible dans le coin supérieur droit de la fenêtre.
Cliquez sur Renouveler pour aller au site Web LiveSecurity Service et renouveler votre abonnement.
User Guide
95
Principes de configuration et de gestion
User Guide
96
6
Définition et configuration réseau
À propos de Configuration d’interface réseau
La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration du
périphérique WatchGuard. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et
approuvées sont configurées pour que le trafic soit acheminé des périphériques protégés vers un réseau
externe. Vous pouvez suivre les procédures décrites dans cette section pour modifier cette configuration
après avoir exécuté l’Assistant Quick Setup Wizard ou pour ajouter d’autres composants du réseau à la
configuration. Par exemple, vous pouvez configurer une interface facultative pour des serveurs publics,
comme des serveurs Web.
Votre périphérique WatchGuard sépare physiquement les réseaux situés sur un réseau local de ceux situés
sur un réseau étendu, comme Internet. Votre périphérique utilise le routage pour envoyer des paquets
depuis les réseaux qu’il protège jusqu’aux réseaux qui se trouvent en dehors de votre organisation. Pour ce
faire, votre périphérique doit savoir quels sont les réseaux connectés sur chaque interface.
Il est recommandé de noter les informations de base de votre configuration réseau et VPN dans le cas où
vous auriez besoin de contacter le support technique. Ces informations peuvent aider le technicien à
résoudre votre problème rapidement.
Modes réseau
Votre périphérique WatchGuard prend en charge plusieurs modes réseau :
Mode de routage mixte
En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le
trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de
réseau par défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous
devez toutefois configurer chaque interface séparément et vous devrez peut-être changer les
paramètres réseau de chaque ordinateur ou client protégé par votre périphérique Firebox. Firebox
utilise la traduction d’adresses réseau pour envoyer des informations entre des interfaces réseau.
User Guide
97
Définition et configuration réseau
Pour plus d’informations, voir À propos de Traduction d’adresses réseau (Network Address
Translation) (NAT) à la page 163.
Les conditions d’un mode de routage mixte sont les suivantes :
n
n
Toutes les interfaces du périphérique WatchGuard doivent être configurées sur différents sousréseaux. La configuration minimale inclut les interfaces approuvées et externes. Vous pouvez
également configurer une ou plusieurs interfaces facultatives.
Tous les ordinateurs connectés aux interfaces approuvées et facultatives doivent avoir une
adresse IP de ce réseau.
Mode d’insertion
Dans une configuration d’insertion, votre périphérique WatchGuard est configuré avec la même
adresse IP sur toutes les interfaces Firebox. Vous pouvez placer votre périphérique WatchGuard
entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux.
Cette configuration est appelée configuration d’insertion car votre périphérique WatchGuard est
inséré dans un réseau existant. Certaines fonctions réseau telles que les ponts et les réseaux locaux
virtuels (VLAN) ne sont pas disponibles dans ce mode.
Pour la configuration d’insertion, vous devez :
n
n
n
Attribuer une adresse IP statique externe au périphérique WatchGuard.
Utiliser un réseau logique pour toutes les interfaces.
Ne pas configurer la fonctionnalité multi-WAN en mode Tourniquet ou Basculement.
Pour plus d’informations, voir À propos de la configuration du réseau en mode d’insertion à la page 108.
Mode pont
Le mode pont est une fonctionnalité qui vous permet de placer votre périphérique WatchGuard
entre un réseau existant et sa passerelle afin de filtrer ou de gérer le trafic réseau. Lorsque vous
activez cette fonctionnalité, votre périphérique WatchGuard traite tout le trafic réseau et le
transmet vers l’adresse IP que vous indiquez. Lorsque le trafic arrive à la passerelle, il semble
provenir du périphérique d’origine. Dans cette configuration, votre périphérique WatchGuard ne
peut pas effectuer plusieurs fonctions qui exigent une adresse IP publique et unique. Par exemple,
vous ne pouvez pas configurer un périphérique WatchGuard en mode pont afin qu’il agisse comme
point de terminaison pour un VPN (réseau privé virtuel).
Pour plus d’informations, voir Mode pont à la page 114.
Types d’interface
Vous utilisez trois types d’interfaces pour configurer votre réseau en mode de routage mixte ou d’insertion :
Interfaces externes
Une interface externe est utilisée pour connecter votre périphérique WatchGuard à un réseau en
dehors de votre organisation. L’interface externe est souvent la méthode qui vous permet de
connecter votre périphérique Firebox à Internet. Vous pouvez configurer un maximum de quatre
(4) interfaces externes physiques.
98
WatchGuard System Manager
Définition et configuration réseau
Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre
fournisseur de services Internet (ISP) afin de donner une adresse IP à votre périphérique Firebox. Si
vous ne connaissez pas cette méthode, vous pouvez obtenir ces informations de votre fournisseur
de services Internet ou de votre administrateur réseau.
Interfaces approuvées
Les interfaces approuvées se connectent au réseau local privé (LAN) ou au réseau interne de votre
organisation. Une interface approuvée fournit généralement des connexions pour les employés et
les ressources internes sécurisées.
Interfaces facultatives
Les interfaces facultatives sont des environnements de confiance mixte ou DMZ qui sont séparés de
votre réseau approuvé. Les serveurs Web publics, les serveurs FTP et les serveurs de messagerie
sont des exemples d’ordinateurs souvent installés sur une interface facultative.
Pour plus d’informations sur les types d’interfaces, voir Paramètres d’interface standard à la page 115.
Si vous avez un périphérique Firebox X Edge, vous pouvez utiliser Fireware XTM Web UI pour configurer le
basculement avec un modem externe sur le port série.
Pour plus d’informations, voir Basculement de modem série à la page 154.
Lorsque vous configurez les interfaces sur votre périphérique WatchGuard, vous devez employer la
notation de barre oblique pour désigner le masque de sous-réseau. Par exemple, vous saisissez la plage
réseau 192.168.0.0 avec le masque de sous-réseau 255.255.255.0 sous la forme 192.168.0.0/24. Une
interface approuvée avec l’adresse IP 10.0.1.1/16 a un masque de sous-réseau de 255.255.0.0.
Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la
page iv.
À propos des interfaces réseau sur les modèles Edge e-Series
Lorsque vous utilisez Fireware XTM sur un modèle Firebox X Edge e-Series, les numéros d’interface réseau
qui apparaissent dans WatchGuard System Manager ne correspondent pas aux étiquettes d’interface réseau
figurant sous les interfaces physiques du périphérique. Utilisez le tableau ci-dessous pour voir comment les
numéros d’interface dans WatchGuard System Manager sont associés aux interfaces physiques du
périphérique.
Numéro
d’interface
dans Fireware
XTM
Étiquette d’interface sur un matériel Firebox X Edge e-Series
0
WAN 1
1
LAN 0, LAN 1, LAN 2
2
WAN 2
3
Facultatif
User Guide
99
Définition et configuration réseau
Vous pouvez envisager les interfaces LAN 0, LAN 1 et LAN 2 comme un concentrateur à trois interfaces
réseau et qui est connecté à une seule interface Firebox. Dans Fireware XTM, vous configurez ces
interfaces ensemble, en tant qu’interface 1.
Mode de routage mixte
En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le trafic
réseau entre différents types d’interfaces réseau physiques et virtuelles. Le mode de routage mixte est le
mode de réseau par défaut. La plupart des fonctionnalités réseau et de sécurité sont disponibles dans ce
mode, mais vous devez vérifier soigneusement la configuration de chaque périphérique connecté à Firebox
pour que votre réseau fonctionne correctement.
Une configuration réseau de base en mode de routage mixte utilise au moins deux interfaces. Par exemple,
vous pouvez connecter une interface externe à un câble modem ou à une autre connexion Internet, et une
interface approuvée à un routeur interne qui relie les membres internes de votre organisation. À partir de
cette configuration de base, vous pouvez ajouter un réseau facultatif qui protège les serveurs tout en
offrant un accès plus large depuis les réseaux externes, permet de configurer des réseaux VLAN et d’autres
fonctions avancées, ou encore de définir des options de sécurité supplémentaires, par exemple des
restrictions d’adresse MAC. Vous pouvez également définir le mode d’envoi du trafic réseau d’une
interface à l’autre.
Pour démarrer une configuration d’interface en mode de routage mixte, voir Paramètres d’interface
standard à la page 115.
Il est facile d’oublier les adresses IP et les points de connexion de votre réseau en mode de routage mixte,
en particulier si vous utilisez des VLAN (réseaux locaux virtuels), des réseaux secondaires et d’autres
fonctions avancées. Il est recommandé de noter les informations de base de votre configuration réseau et
VPN dans le cas où vous auriez besoin de contacter le support technique. Ces informations peuvent aider le
technicien à résoudre votre problème rapidement.
Configurer une interface externe
Une interface externe est utilisée pour connecter le périphérique Firebox ou XTM à un réseau en dehors
de votre organisation. L’interface externe est souvent la méthode qui vous permet de connecter votre
périphérique à Internet. Vous pouvez configurer un maximum de quatre (4) interfaces externes physiques.
Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre fournisseur
de services Internet (ISP) afin de donner une adresse IP à votre périphérique. Si vous ne connaissez pas
cette méthode, vous pouvez obtenir ces informations de votre fournisseur de services Internet ou de votre
administrateur réseau.
Pour plus d’informations sur les méthodes utilisées pour définir et distribuer les adresses IP, voir Statique et
dynamique Adresses IP à la page v.
Utiliser une adresse IP statique
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez une interface externe. Cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
100
WatchGuard System Manager
Définition et configuration réseau
3. Sélectionnez Utiliser l’adresse IP statique.
4. Dans la zone de texte Adresse IP , saisissez ou sélectionnez l’adresse IP de l’interface.
5. Dans la zone de texte Passerelle par défaut , saisissez ou sélectionnez l’adresse IP de la passerelle
par défaut.
6. Cliquez sur OK.
Utiliser l’authentification PPPoE
Si votre fournisseur de services Internet utilise PPPoE, vous devez configurer l’authentification PPPoE pour
que votre périphérique puisse acheminer le trafic via l’interface externe.
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez une interface externe. Cliquez sur Configurer.
3. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Utiliser PPPoE.
4. Sélectionnez une option :
n
n
Obtenir une adresse IP automatiquement
Utiliser l’adresse IP (fournie par votre fournisseur de services Internet)
5. Si vous avez sélectionné Utiliser l’adresse IP, saisissez ou sélectionnez l’adresse IP dans la zone de
texte en regard.
6. Saisissez le nom d’utilisateur et le mot de passe. Ressaisissez le mot de passe.
Les fournisseurs de services Internet utilisent le format des adresses de messagerie pour les noms
d’utilisateur, par exemple [email protected].
7. Cliquez sur Propriétés avancées pour configurer les options PPPoE.
La boîte de dialogue Propriétés PPPoE s’affiche. Votre fournisseur de services Internet peut vous contacter si
vous devez modifier le délai d’attente ou les valeurs LCP.
User Guide
101
Définition et configuration réseau
8. Si votre fournisseur de services Internet exige l’indicateur Host-Uniq pour les paquets de découverte
PPPoE, cochez la case Utiliser l’indicateur Host-Uniq dans les paquets de découverte PPPoE.
9. Sélectionnez le moment où le périphérique se connecte au serveur PPPoE :
n
Toujours actif — Le périphérique Firebox ou XTM conserve une connexion PPPoE constante. Il
n’est pas nécessaire pour le trafic réseau de passer par l’interface externe.
Si vous sélectionnez cette option, saisissez ou sélectionnez une valeur dans la zone de texte
Intervalle de réinitialisation de PPPoE pour définir le nombre de secondes pendant lesquelles
PPPoE s’initialise avant de dépasser le délai.
n
Connexion à la demande — Le périphérique Firebox ou XTM se connecte au serveur PPPoE
uniquement lorsqu’il reçoit une requête d’envoi de trafic à une adresse IP sur l’interface
externe. Si votre fournisseur de services Internet réinitialise régulièrement la connexion,
sélectionnez cette option.
Si vous sélectionnez cette option, définissez dans la zone de texte Délai d’inactivité , la durée
pendant laquelle un client peut rester connecté lorsqu’aucun trafic n’est envoyé. Si vous ne
sélectionnez pas cette option, vous devez redémarrer le périphérique Firebox manuellement à
chaque réinitialisation de la connexion.
10. Dans la zone de texte Échec d’écho LCP après , saisissez ou sélectionnez le nombre de requêtes
d’écho LCP échouées autorisées avant que la connexion PPPoE soit considérée comme inactive et
102
WatchGuard System Manager
Définition et configuration réseau
fermée.
11. Dans la zone de texte Délai d’écho LCP dans , saisissez ou sélectionnez le délai, en secondes, au
cours duquel la réponse de chaque délai d’écho doit être reçue.
12. Pour configurer le périphérique Firebox ou XTM pour qu’il redémarre automatiquement la
connexion PPPoE tous les jours ou toutes les semaines, cochez la case Heure programmée pour le
redémarrage automatique.
13. Dans la liste déroulante Heure programmée pour le redémarrage automatique, sélectionnez
Quotidien pour redémarrer la connexion à la même heure tous les jours ou choisissez un jour de la
semaine pour que le redémarrage s’effectue de manière hebdomadaire. Sélectionnez l’heure et la
minute du jour (au format 24 heures) pour redémarrer automatiquement la connexion PPPoE.
14. Dans la zone de texte Nom de service , saisissez un nom de service PPPoE.
Il peut s’agir d’un nom d’ISP ou d’une classe de service configurée sur le serveur PPPoE. Cette
option n’est généralement pas utilisée. Sélectionnez cette option uniquement s’il existe plusieurs
concentrateurs d’accès ou si vous devez utiliser un nom de service spécifique.
15. Dans la zone de texte Nom du concentrateur d’accès , saisissez le nom d’un concentrateur d’accès
PPPoE, appelé également serveur PPPoE. Cette option n’est généralement pas utilisée. Sélectionnez
cette option uniquement s’il existe plusieurs concentrateurs d’accès.
16. Dans la zone de texte Nouvelles tentatives d’authentification , saisissez ou sélectionnez le nombre
de tentatives de connexion que peut réaliser le périphérique Firebox ou XTM.
La valeur par défaut est trois (3) tentatives de connexions.
17. Dans la zone de texte Délai d’authentification , saisissez la valeur de la durée entre les tentatives.
La valeur par défaut est de 20 secondes entre chaque tentative de connexion.
18. Cliquez sur OK.
19. Sauvegarder votre configuration.
Utiliser le protocole DHCP
1. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Utiliser le client DHCP.
2. Si votre fournisseur de services Internet ou le serveur DHCP externe exige un identifiant client, une
adresse MAC par exemple, saisissez ces informations dans la zone de texte Client .
3. Pour indiquer un nom d’hôte pour l’identification, saisissez-le dans la zone de texte Nom d’hôte .
4. Pour que le protocole DHCP puisse attribuer une adresse IP au périphérique Firebox ou XTM ,
sélectionnez dans la section IP de l’hôte l’option Obtenir une adresse IP automatiquement.
User Guide
103
Définition et configuration réseau
Pour attribuer manuellement une adresse IP et utiliser le protocole DHCP pour transmettre cette
adresse attribuée au périphérique Firebox ou XTM , sélectionnez Utiliser l’adresse IP et saisissez
l’adresse IP dans la zone de texte située en regard.
Les adresses IP attribuées par un serveur DHCP sont définies par défaut avec un bail d’un jour qui
permet de les utiliser pendant une journée.
5. Pour changer la durée du bail, cochez la case Durée du bail et sélectionnez la valeur dans la liste
déroulante située en regard.
Configurer DHCP en mode de routage mixte
La méthode DHCP (Dynamic Host Configuration Protocol) permet d’attribuer des adresses IP
automatiquement aux clients réseau. Vous pouvez configurer votre périphérique WatchGuard en tant que
serveur DHCP pour les réseaux qu’il protège. Si vous avez un serveur DHCP, il est recommandé de
continuer à utiliser ce serveur pour DHCP.
Si votre périphérique WatchGuard est configuré en mode d’insertion, voir Configurer DHCP en mode
d’insertion à la page 111.
Note Vous ne pouvez pas configurer DHCP sur une interface pour laquelle FireCluster est
activé.
Configurer DHCP
1. Sélectionnez Réseau > Configuration.
2. Sélectionnez une interface approuvée ou facultative. Cliquez sur Configurer.
Pour configurer DHCP pour un réseau invité sans fil, sélectionnez Réseau > Sans fil et cliquez sur
Configurer pour le réseau invité sans fil..
104
WatchGuard System Manager
Définition et configuration réseau
3. Sélectionnez Utiliser le serveur DHCPou, pour le réseau invité sans fil, cochez la case Activer le
serveur DHCP sur le réseau invité sans fil.
User Guide
105
Définition et configuration réseau
4. Pour ajouter un groupe d’adresses IP à des utilisateurs de cette interface, Dans la section IP Address
Pool (Pool d’adresses IP), cliquez sur Ajouter. Indiquez les adresses IP de début et de fin du même
sous-réseau, puis cliquez sur OK.
Le pool d’adresses doit appartenir au sous-réseau IP principal ou secondaire de l’interface.
Vous pouvez configurer un maximum de six plages d’adresses. Les groupes d’adresses sont utilisés de la
première à la dernière. Les adresses de chaque groupe sont attribuées par numéro, du plus petit au plus grand.
5. Pour changer la durée du bail par défaut, sélectionnez une autre option dans la liste déroulante
Durée du bail.
C’est l’intervalle temporel pendant lequel un client DHCP peut utiliser une adresse IP qu’il reçoit du serveur
DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie les données au serveur
DHCP pour obtenir un nouveau bail.
6. Par défaut, lorsqu’il est configuré en tant que serveur DHCP, votre périphérique WatchGuard fournit
les informations de serveur DNS et WINS dans l’onglet Configuration du réseau > WINS/DNS. Pour
indiquer différentes informations afin que votre périphérique les attribue lorsqu’il fournit des
adresses IP, cliquez sur Configurer les serveurs DNS/WINS.
n
n
n
n
Saisissez un nom de domaine pour changer le domaine DNS par défaut.
Pour créer une nouvelle entrée de serveur DNS ou WINS, cliquez sur le bouton Ajouter situé à
côté du type de serveur que vous souhaitez, saisissez une adresse IP et cliquez sur OK.
Pour changer l’adresse IP du serveur sélectionné, cliquez sur le bouton Modifier.
Pour supprimer le serveur sélectionné de la liste située à côté, cliquez sur le bouton
Supprimer.
Configurer les réservations DHCP
Pour réserver une adresse IP spécifique pour un client :
106
WatchGuard System Manager
Définition et configuration réseau
1. Dans la zone située à côté du champ Adresses réservées , cliquez sur Ajouter.
Pour un réseau invité sans fil, cliquez sur Réservations DHCP, puis sur Ajouter.
2. Entrez le nom de la réservation, de l’adresse IP à réserver et de l’adresse MAC de la carte réseau du
client.
3. Cliquez sur OK.
À propos du Service DNS dynamique
Vous pouvez enregistrer l’adresse IP externe de votre périphérique WatchGuard avec le service DNS
dynamique DynDNS.org. Un service DNS dynamique vérifie que l’adresse IP associée à votre nom de
domaine change lorsque votre fournisseur de services Internet attribue à votre périphérique une nouvelle
adresse IP. Cette fonctionnalité est disponible en mode de configuration réseau routage mixte ou
d’insertion.
Si vous utilisez cette fonctionnalité, votre périphérique WatchGuard obtient l’adresse IP auprès de
members.dyndns.org au démarrage. Il vérifie qu’elle est valide à chaque redémarrage et tous les vingt
jours. Si vous modifiez votre configuration DynDNS sur votre périphérique WatchGuard ou si vous changez
l’adresse IP de la passerelle par défaut, DynDNS.com est automatiquement mis à jour.
Pour plus d’informations sur le service DNS dynamique ou pour créer un compte DynDNS, accédez au site
http://www.dyndns.com.
Note WatchGuard n’est pas une filiale de DynDNS.com.
Utiliser DNS dynamique
Vous pouvez enregistrer l’adresse IP externe de votre périphérique WatchGuard avec le service DNS
dynamique DynDNS.org (Dynamic Network Services). Ce service est gratuit pour cinq noms d’hôte au
maximum. WatchGuard System Manager ne prend pas en charge actuellement d’autres fournisseurs de
service DNS dynamique.
Un service DNS dynamique vérifie que l’adresse IP associée à votre nom de domaine change lorsque votre
fournisseur de services Internet attribue à votre périphérique WatchGuard une nouvelle adresse IP. Au
démarrage, votre périphérique obtient l’adresse IP auprès de members.dyndns.org. Il vérifie qu’elle est
valide à chaque redémarrage et tous les vingt jours. Si vous modifiez votre configuration DynDNS sur votre
périphérique WatchGuard ou si vous changez l’adresse IP de la passerelle par défaut configurée pour votre
périphérique, votre configuration sur DynDNS.com est mise à jour immédiatement.
Pour plus d’informations sur le DNS dynamique, accédez au site http://www.dyndns.com.
Note WatchGuardn’estpasunefilialedeDynDNS.com.
1.
2.
3.
4.
Configurer un compte dynDNS. Accédez au site Web de DynDNS et suivez les instructions de ce site.
Dans Policy Manager, sélectionnez Réseau > Configuration.
Cliquez sur l’onglet WIN/DNS.
Au moins un serveur DNS doit être défini. Si ne l’avez pas encore fait, utilisez la procédure de
Ajouter Serveurs WINS et Adresses du serveur DNS à la page 119.
5. Cliquez sur l’onglet DNS dynamique.
User Guide
107
Définition et configuration réseau
6. Sélectionnez l’interface externe pour laquelle vous souhaitez configurer le DNS dynamique et
cliquez sur Configurer.
La boîte de dialogue Par DNS dynamique d’interface apparaît.
7. Pour activer le DNS dynamique, cochez la case Activer le DNS dynamique check box.
8. Entrez les nom d’utilisateur, mot de passe et nom de domaine que vous avez utilisés pour créer
votre compte DNS dynamique.
9. Dans la liste déroulante Type de service, sélectionnez le système à utiliser pour cette mise à jour :
n
n
dyndns — Envoie des mises à jour pour un nom d’hôte DNS dynamique. Utilisez cette option si
votre adresse IP est dynamique ou si elle change régulièrement, par exemple.
custom — Envoie des mises à jour pour un nom d’hôte DNS personnalisé. Les entreprises qui
paient pour enregistrer leur domaine auprès de dyndns.com font souvent appel à cette option.
Pour plus d’informations sur chaque option, consultez le site http://www.dyndns.com/services/.
10. Dans le champ Options, vous pouvez saisir l’une des options suivantes. Vous devez saisir le caractère
« & » avant et après chaque option que vous ajoutez. Si vous ajoutez plusieurs options, vous devez
les séparer par le caractère « & ».
Par exemple,
&backmx=NO&wildcard=ON&
mx=mailexchanger
backmx=YES|NO
wildcard=ON|OFF|NOCHG
offline=YES|NO
Pour plus d’informations sur les options, consultez le site
http://www.dyndns.com/developers/specs/syntax.html.
11. Utilisez les boutons fléchés pour définir un intervalle temporel, en jours, afin de forcer la mise à jour
de l’adresse IP.
À propos de la configuration du réseau en mode
d’insertion
Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le
mode de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des
interfaces réseau disponibles. Vous pouvez placer votre périphérique Firebox entre le routeur et le réseau
local sans devoir modifier la configuration sur les ordinateurs locaux. Cette configuration est appelée mode
108
WatchGuard System Manager
Définition et configuration réseau
d’insertion, car votre périphérique WatchGuard inséré dans un réseau préalablement configuré.
En mode d’insertion :
n
n
n
n
Vous devez attribuer la même adresse IP principale à toutes les interfaces de Firebox (externes,
approuvées et facultatives).
Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces.
Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos
réseaux approuvés et facultatifs, et ajouter une adresse réseau secondaire à l’interface externe
principale pour que votre périphérique Firebox achemine correctement le trafic vers les hôtes de
ces réseaux.
Les serveurs publics derrière votre périphérique Firebox peuvent continuer à utiliser les adresses IP
publiques. La traduction d’adresses n’est pas utilisée pour acheminer le trafic depuis l’extérieur de
votre réseau vers vos serveurs publics.
Les propriétés d’une configuration d’insertion sont les suivantes :
n
n
n
Vous devez attribuer une adresse IP statique et l’utiliser pour l’interface externe.
Vous devez utiliser un réseau logique pour toutes les interfaces.
Vous ne pouvez configurer qu’une seule interface externe lorsque votre périphérique WatchGuard
est configuré en mode d’insertion. La fonctionnalité Multi-WAN est automatiquement désactivée.
Il est parfois nécessaire de Effacer le cache ARP de chaque ordinateur protégé par Firebox, mais ce n’est
pas fréquent.
Note Si vous déplacez l’adresse IP d’un ordinateur situé derrière une interface vers un
ordinateur situé derrière une autre interface, l’envoi du trafic réseau au nouvel
emplacement peut prendre quelques minutes. Votre périphérique Firebox doit
mettre à jour sa table de routage interne avant l’acheminement de ce trafic. Les
types de trafic concernés sont les connexions de gestion SNMP, Firebox ou
journalisation.
Vous pouvez configurer vos interfaces réseau avec le mode d’insertion lorsque vous exécutez l’Assistant
Quick Setup Wizard. Si vous avez déjà créé une configuration réseau, vous pouvez utiliser Policy Manager
pour passer en mode d’insertion.
Pour de plus amples informations, cf. Exécuter l’Assistant Web Setup Wizard à la page 27.
Utilisezlemoded’insertion pourlaconfiguration del’interface
réseau
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Dans la liste déroulante Configurer les interfaces en, sélectionnez mode d’insertion.
3. Dans le champ Adresse IP, saisissez l’adresse IP que vous souhaitez utiliser en tant qu’adresse
principale pour toutes les interfaces sur Firebox.
4. Dans le champ Passerelle, saisissez l’adresse IP de la passerelle. Cette adresse IP est
automatiquement ajoutée à la liste des hôtes associés.
User Guide
109
Définition et configuration réseau
5. Cliquez sur OK.
6. Enregistrer le fichier de configuration.
Configurer les hôtes associés
Dans une configuration d’insertion ou de pont, la même adresse IP est utilisée sur chaque interface Firebox.
Votre périphérique Firebox détecte automatiquement les nouveaux périphériques qui sont connectés à
ces interfaces et ajoute chaque nouvelle adresse MAC à sa table de routage interne. Si vous souhaitez
configurer des connexions de périphérique manuellement ou si le mappage automatique d’hôte ne
fonctionne pas correctement, vous pouvez ajouter une entrée pour les hôtes associés. Une entrée pour les
hôtes associés crée un itinéraire statique entre l’adresse IP de l’hôte et une interface réseau. Il est
recommandé de désactiver le mappage d’hôte automatique sur les interfaces pour lesquelles vous créez
une entrée pour les hôtes associés.
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Configurez les interfaces réseau en mode d’insertion ou en mode pont, puis cliquez sur Propriétés.
La boîte de dialogue Propriétés du mode d’insertion s’affiche.
3. Désélectionnez la case des interfaces pour lesquelles vous souhaitez ajouter une entrée pour les
hôtes associés.
4. Cliquez sur Ajouter. Entrez l’adresse IP du périphérique pour lequel vous souhaitez définir un
itinéraire statique à partir de Firebox.
5. Cliquez dans la colonne Nom d’interface afin de sélectionner l’interface pour l’entrée des hôtes
associés.
110
WatchGuard System Manager
Définition et configuration réseau
6. Cliquez sur OK.
7. Enregistrer le fichier de configuration.
Configurer DHCP en mode d’insertion
Lorsque vous utilisez le mode d’insertion pour la configuration du réseau, vous pouvez utiliser Policy
Manager pour configurer éventuellement Firebox en tant que serveur DHCP pour les réseaux qu’il protège
ou l’utiliser en tant qu’agent de relais DHCP. Si un serveur DHCP est déjà configuré, il est conseillé de le
conserver.
Utiliser le protocole DHCP
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
User Guide
111
Définition et configuration réseau
2. Sélectionnez Utiliser le serveur DHCP.
3. Pour ajouter un pool d’adresses depuis lequel Firebox peut fournir des adresses IP, cliquez sur
Ajouter à côté de la zone Pool d’adresses, puis indiquez les adresses de début et de fin qui se
trouvent sur le même sous-réseau que l’adresse IP d’insertion.
N’ajoutez pas l’adresse IP d’insertion dans le pool d’adresses. Cliquez sur OK.
Vous pouvez configurer un maximum de six plages d’adresses.
4. Afin de réserver une adresse IP spécifique d’un pool d’adresses pour un périphérique ou un client, à
côté du champ Adresses réservées, cliquez sur Ajouter. Entrez le nom de la réservation, de
l’adresse IP à réserver et de l’adresse MAC du périphérique. Cliquez sur OK.
5. Dans la liste déroulante Durée du bail, sélectionnez la durée maximum d’utilisation d’une adresse IP
par un client DHCP.
6. Par défaut, votre périphérique WatchGuard fournit les informations sur le serveur DNS/WINS
configurées dans l’onglet Configuration du réseau > WINS/DNS lorsqu’il est configuré en tant que
serveur DHCP. Pour envoyer d’autres informations sur le serveur DNS/WINS aux clients DHCP,
cliquez sur le bouton Configurer les serveurs DNS/WINS.
7. Cliquez sur OK.
8. Enregistrer le fichier de configuration.
Utiliser le relais DHCP
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez Utiliser le relais DHCP.
3. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Veillez à Ajouter un itinéraire statique
sur le serveur DHCP, si nécessaire.
112
WatchGuard System Manager
Définition et configuration réseau
4. Cliquez sur OK.
5. Enregistrer le fichier de configuration.
Spécifier les paramètres DHCP d’une seule interface
Vous pouvez indiquer différents paramètres DHCP pour chaque interface approuvée ou facultative de votre
configuration.
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Faites défiler la boîte de dialogue Configuration du réseau et sélectionnez une interface.
3. Cliquez sur Configurer.
4. Mettez à jour les paramètres DHCP :
n
n
n
Pour utiliser les mêmes paramètres DHCP que vous avez configurés pour le mode d’insertion,
sélectionnez Utiliser le réglage système DHCP.
Pour désactiver le protocole DHCP pour les clients de cette interface réseau, sélectionnez
Désactiver DHCP.
Pour configurer d’autres options DHCP pour les clients d’un réseau secondaire, sélectionnez
Utiliser le serveur DHCP pour le réseau secondaire. Suivez les étapes 3–6 de la procédure
Utiliser le relais DHCP pour ajouter des pools d’adresses IP, définir la durée du bail par défaut et
gérer les serveurs DNS/WINS.
5. Cliquez sur OK.
User Guide
113
Définition et configuration réseau
Mode pont
Le mode pont est une fonctionnalité qui vous permet d’installer votre périphérique Firebox ou XTM entre
un réseau existant et sa passerelle, afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette
fonctionnalité, votre périphérique Firebox ou XTM traite tout le trafic réseau et le transmet vers d’autres
passerelles. Lorsque le trafic provenant du périphérique Firebox ou XTM arrive à une passerelle, il semble
provenir du périphérique d’origine.
Pour utiliser le mode pont, vous devez indiquer une adresse IP utilisée pour gérer votre périphérique
Firebox ou XTM. Le périphérique utilise également cette adresse IP pour obtenir les mises à jour de
Gateway AV/IPS et acheminer le trafic vers les serveurs internes DNS, NTP ou WebBlocker (le cas échéant).
Vous devez donc veiller à attribuer une adresse IP routable sur Internet.
Lorsque vous utilisez le mode pont, votre périphérique Firebox ou XTM ne peut pas réaliser certaines
fonctions pour lesquelles il doit fonctionner en tant que passerelle. Ces fonctions sont les suivantes :
n
n
n
n
n
n
n
n
n
n
n
n
Multi-WAN
Réseaux locaux VLAN (Virtual Local Area Networks)
Ponts réseau
Itinéraires statiques
FireCluster
Réseaux secondaires
Serveur DHCP ou relais DHCP
Basculement vers un modem série (Firebox X Edge uniquement)
NAT un à un, dynamique ou statique
Routage dynamique (OSPF, BGP ou RIP)
Tout type de réseau privé VPN pour lequel le périphérique Firebox ou XTM est un point de
terminaison ou une passerelle
Certaines fonctions proxy, notamment le serveur de mise en cache Web HTTP
Si vous avez configuré ces fonctions services, ils sont désactivés lorsque vous passez en mode pont. Pour
réutiliser ces fonctions ou services, vous devez utiliser un autre mode réseau. Si vous revenez au mode
d’insertion ou de routage mixte, vous devrez peut-être reconfigurer certaines fonctions.
Note Lorsque vous activez le mode pont, les interfaces ayant un pont réseau ou un
réseau VLAN préconfiguré sont désactivées. Pour utiliser ces interfaces, vous devez
d’abord passer en mode d’insertion ou de routage mixte, configurer ensuite
l’interface en tant qu’interface externe, facultative ou approuvée, puis revenir en
mode pont. Les fonctions sans fil des périphériques Firebox ou XTM sans fil
fonctionnent correctement en mode pont.
Pour activer le mode pont :
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La fenêtre Configuration du réseau apparaît.
2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont.
114
WatchGuard System Manager
Définition et configuration réseau
3. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour désactiver les interfaces ou
sur Non pour revenir à votre configuration antérieure.
4. Saisissez l’adresse IP de votre périphérique Firebox ou XTM en notation de barre oblique.
Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre
oblique à la page iv.
5. Saisissez l’adresse IP de la passerelle qui reçoit tout le trafic réseau provenant du périphérique.
6. Cliquez sur OK.
7. Enregistrer le fichier de configuration.
Paramètres d’interface standard
En mode de routage mixte, vous pouvez configurer votre périphérique WatchGuard pour envoyer le trafic
réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de réseau par
défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous devez toutefois
configurer chaque interface séparément et vous devrez peut-être changer les paramètres réseau de
chaque ordinateur ou client protégé par votre périphérique WatchGuard.
Pour configurer votre périphérique Firebox avec le mode de routage mixte :
1. Sélectionnez Réseau > Configuration.
La boîte de dialogue Réseau Configuration apparaît.
2. Sélectionnez l’interface que vous souhaitez configurer, puis cliquez sur Configurer. Les options
disponibles dépendent du type d’interface sélectionné.
La boîte de dialogue Interface Settings Configuration (Configuration des paramètres apparaît.
User Guide
115
Définition et configuration réseau
3. Dans le champ Nom de l’interface (Alias), vous pouvez conserver le nom par défaut ou le modifier
pour qu’il reflète plus précisément votre réseau et ses propres relations d’approbation.
Vérifiez que ce nom n’a pas été attribué à une interface, un groupe MVPN ou un tunnel. Vous
pouvez utiliser cet alias avec d’autres fonctions, des stratégies de proxy par exemple, pour gérer le
trafic réseau de cette interface.
4. (Facultatif) Saisissez la description de l’interface dans le champ Description de l’interface.
5. Dans le champ Type d’interface, vous pouvez modifier le type d’interface à partir de sa valeur par
défaut. Certains types d’interface ont des paramètres supplémentaires.
116
WatchGuard System Manager
Définition et configuration réseau
n
n
n
n
n
Pour plus d’informations sur l’attribution d’une adresse IP à une interface externe, voir
Configurer une interface externe à la page 100. Pour définir l’adresse IP d’une interface
approuvée ou facultative, saisissez l’adresse IP en notation de barre oblique.
Pour attribuer automatiquement des adresses IP aux clients d’une interface approuvée ou
facultative, voir Configurer DHCP en mode de routage mixte à la page 104 ou Configurer le relais
DHCP à la page 118.
Pour utiliser plusieurs adresses IP sur une même interface réseau physique, voir Configurer un
réseau secondaire à la page 120.
Pour plus d’informations sur les configurations VLAN, voir À propos des réseaux locaux virtuels
(VLAN) à la page 132.
Pour supprimer une interface de votre configuration, voir Désactiver une interface à la page 117.
6. Configurez votre interface en suivant les indications de l’une des rubriques ci-dessus.
7. Cliquez sur OK.
Désactiver une interface
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez l’interface à désactiver. Cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
User Guide
117
Définition et configuration réseau
3. Dans la liste déroulante Type d’interface, sélectionnez Désactivée. Cliquez sur OK.
Dans la boîte de dialogue Configuration du réseau, l’interface apparaît maintenant comme étant
Désactivée.
Configurer le relais DHCP
Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les
ordinateurs des réseaux approuvés ou facultatifs. Vous pouvez utiliser le relais DHCP pour obtenir les
adresses IP des ordinateurs d’un réseau approuvé ou facultatif. Avec cette fonctionnalité, Firebox envoie
des requêtes DHCP à un serveur d’un autre réseau.
Si le serveur DHCP que vous souhaitez utiliser n’est pas sur un réseau protégé par votre périphérique
WatchGuard, vous devez configurer un tunnel VPN entre votre périphérique WatchGuard et le serveur
DHCP pour que cette option fonctionne correctement.
Note Vous ne pouvez pas utiliser le relais DHCP sur une interface sur laquelle FireCluster
est activé.
Pour configurer le relais DHCP :
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez une interface approuvée ou facultative et cliquez sur Configurer.
3. Sélectionnez Utiliser le relais DHCP.
4. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Veillez à Ajouter un itinéraire statique
sur le serveur DHCP, si nécessaire.
5. Cliquez sur OK.
Limiter le trafic réseau par adresse MAC
Vous pouvez utiliser la liste des adresses MAC pour gérer les périphériques autorisés à envoyer du trafic sur
l’interface réseau que vous indiquez. Lorsque vous activez cette fonction, votre périphérique WatchGuard
vérifie l’adresse MAC de chaque ordinateur ou périphérique qui se connecte à l’interface indiquée. Si
l’adresse MAC de ce périphérique ne figure pas dans la liste de contrôle d’accès MAC de cette interface, le
périphérique ne peut pas envoyer de trafic.
Cette fonction est particulièrement utile pour éviter tout accès non autorisé à votre réseau depuis un lieu à
l’intérieur de votre bureau. Toutefois, vous devez mettre à jour la liste de contrôle d’accès MAC pour
chaque interface lorsqu’un nouvel ordinateur autorisé est ajouté au réseau.
118
WatchGuard System Manager
Définition et configuration réseau
Note Si vous choisissez de restreindre l’accès par adresse MAC, vous devez inclure
l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique WatchGuard.
Pour activer le contrôle d’accès MAC pour une interface réseau :
1. Sélectionnez Réseau > Configuration.
La fenêtre Configuration du réseau apparaît.
2. Sélectionnez l’interface sur laquelle vous souhaitez activer le contrôle d’accès MAC, puis cliquez sur
Configurer.
La fenêtre Paramètres d’interface apparaît.
3. Sélectionnez l’onglet MAC Contrôle d’accès.
4. Cochez la case Limiter l’accès par adresse MAC.
5. Cliquez sur Ajouter.
La fenêtre Ajouter une adresse MAC apparaît.
6. Saisissez l’adresse MAC de l’ordinateur ou du périphérique de manière à fournir l’accès à l’interface
indiquée.
7. (Facultatif) Saisissez le nom de l’ordinateur ou du périphérique pour l’identifier dans la liste.
8. Cliquez sur OK.
Répétez les étapes 5–8 pour ajouter d’autres ordinateurs ou périphériques à la liste de contrôle d’accès MAC.
Ajouter Serveurs WINS et Adresses du serveur DNS
Un certain nombre des fonctions du périphérique Firebox ont des adresses IP de serveur WINS (Windows
Internet Name Server) et adresses IP de serveur DNS (nom de domaine System) partagées. Il s’agit de DHCP
et de Mobile VPN. L’accès à ces serveurs doit être disponible depuis l’interface approuvée de Firebox.
Ces informations sont utilisées pour deux raisons :
n
n
Firebox utilise le serveur DNS présenté ici pour résoudre les noms en adresses IP afin que les VPN
IPSec, le spamBlocker, Gateway AV et les fonctionnalités IPS fonctionnent correctement.
Les entrées WINS et DNS sont utilisées par les clients DHCP sur le réseau approuvé et le réseau
facultatif, ainsi que par les utilisateurs de Mobile VPN, pour résoudre les requêtes DNS.
Assurez-vous d’utiliser uniquement un serveur WINS et un serveur DNS internes pour DHCP et Mobile VPN.
Ainsi, vous aurez l’assurance de ne pas créer des stratégies dont les propriétés de configuration empêchent
les utilisateurs de se connecter au serveur DNS.
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
User Guide
119
Définition et configuration réseau
2. Sélectionnez l’onglet WINS/DNS.
Les informations de l’onglet WINS/DNS apparaissent.
3. Saisissez les adresses principale et secondaire des serveurs WINS et DNS. Vous pouvez entrer un
maximum de trois serveurs DNS. Vous pouvez également saisir un suffixe de domaine dans la zone
de texte Nom de domaine pour qu’un client DHCP puisse l’utiliser avec des noms non qualifiés tels
que « watchguard_mail ».
Configurer un réseau secondaire
Un réseau secondaire est un réseau qui partage l’un des réseaux physiques utilisés par les interfaces du
périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau secondaire, vous ajoutez un alias IP à
l’interface. L’alias IP est la passerelle par défaut de tous les ordinateurs du réseau secondaire. Le réseau
secondaire indique au périphérique Firebox ou XTM qu’un autre réseau est disponible sur son interface.
Par exemple, si vous configurez un périphérique Firebox ou XTM en mode d’insertion, vous donnez à
chaque interface Firebox ou XTM la même adresse IP. Toutefois, vous utilisez probablement un ensemble
d’adresses IP différent sur votre réseau approuvé. Vous pouvez ajouter ce réseau privé en tant que réseau
secondaire à l’interface approuvée de votre périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau
secondaire, vous créez un itinéraire depuis une adresse IP du réseau secondaire vers l’adresse IP de
l’interface du périphérique Firebox ou XTM.
Si le périphérique Firebox ou XTM est configuré avec une adresse IP statique sur une interface externe,
vous pouvez également ajouter une adresse IP sur le même sous-réseau que l’interface externe principale
en tant que réseau secondaire. Vous pouvez ensuite configurer la traduction d’adresses réseau statique
pour plusieurs types de serveurs identiques. Par exemple, vous configurez un réseau secondaire externe
avec une deuxième adresse IP publique si vous disposez de deux serveurs SMTP publics et souhaitez
configurer une règle de traduction d’adresses réseau statique pour chacun d’eux.
Vous pouvez ajouter jusqu’à 2 048 réseaux secondaires par interface Firebox ou XTM. Vous pouvez utiliser
des réseaux secondaires avec une configuration réseau d’insertion ou routée. Vous pouvez également
ajouter un réseau secondaire à une interface externe d’un périphérique Firebox ou XTM si cette interface
externe est configurée pour obtenir son adresse IP via PPPoE ou DHCP.
120
WatchGuard System Manager
Définition et configuration réseau
Pour définir une adresse IP secondaire, vous devez avoir :
n
n
Une adresse IP inutilisée du réseau secondaire que vous attribuez à l’interface de périphérique
Firebox ou XTM à laquelle il se connecte
Une adresse IP inutilisée du même réseau que l’interface externe du périphérique Firebox ou XTM
Pour définir une adresse IP secondaire :
1. Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez l’interface du réseau secondaire et cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
3.
4.
5.
6.
Sélectionnez l’onglet Secondaire.
Cliquez sur Ajouter. Entrez une adresse IP d’hôte non attribuée pour le réseau secondaire.
Cliquez sur OK.
Cliquez de nouveau sur OK.
Note Assurez-vous d’ajouter correctement les adresses du réseau secondaire. Le
périphérique Firebox ou XTM ne vous avertit pas en cas d’erreur. Il est déconseillé
de créer un sous-réseau comme réseau secondaire sur une interface faisant partie
d’un réseau plus étendu situé sur une interface différente. Si vous le faites, le réseau
risque d’être attaqué et de ne pas fonctionner correctement.
À propos des paramètres d’interface
Vous pouvez utiliser plusieurs paramètres d’interface Firebox avancés :
Paramètres de carte réseau
configure les paramètres de connexion (vitesse et mode duplex) des interfaces Firebox en mode
manuel ou automatique. Il est conseillé de conserver la vitesse de connexion configurée pour la
négociation automatique. Si vous choisissez l’option de configuration manuelle, assurez-vous que les
paramètres de connexion (vitesse et mode duplex) du périphérique auquel Firebox se connecte
sont identiques à ceux de Firebox. N’utilisez cette option que si vous devez ignorer les paramètres
d’interface automatiques de Firebox pour accéder aux autres périphériques du réseau.
User Guide
121
Définition et configuration réseau
Définir la bande passante de l’interface en sortie
Lorsque vous utilisez les paramètres de gestion du trafic pour garantir la bande passante aux
stratégies, ce paramètre garantit que vous ne réservez pas plus de bande passante qu’il n’en existe
pour une interface. Ce paramètre vous permet également de vous assurer que la somme des
paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission
de tout trafic non garanti.
Activer le marquage QoS pour une interface
crée différentes catégories de services pour différents types de trafic réseau. Vous pouvez définir le
comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces paramètres
peuvent être remplacés par des paramètres définis pour une stratégie.
Définir Bit DF pour IPSec
Détermine le paramètre du bit Don’t Fragment (DF) pour IPSec.
Paramètre PMTU pour IPSec
(interfaces externes uniquement) contrôle la durée pendant laquelle Firebox diminue l’unité
maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de
fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur
Internet.
Utiliser la liaison d’adresse MAC statique
Utilise les adresses matérielles (MAC) pour contrôler l’accès à une interface Firebox.
Paramètres de carte réseau
1. Sélectionnez la Configuration > réseau.
2. Cliquez sur l’interface à configurer, puis sur Configurer.
3. Sélectionnez l’onglet Avancé.
4. Dans la liste déroulante Vitesse de la connexion, sélectionnez Négociation automatique si vous
souhaitez que le périphérique WatchGuard sélectionne la meilleure vitesse réseau. Vous pouvez
également sélectionner l’une des vitesses semi-duplex ou duplex intégral si l’une ou l’autre est
compatible avec votre autre équipement réseau.
122
WatchGuard System Manager
Définition et configuration réseau
Négociation automatique est le paramètre par défaut. Il est fortement recommandé de ne pas
changer ce paramètre sauf si le service de support technique vous l’a conseillé. Si vous définissez la
vitesse de connexion manuellement et que d’autres périphériques de votre réseau ne prennent pas
en charge la vitesse que vous sélectionnez, cela peut entraîner un conflit qui empêche l’interface
Firebox de rétablir la connexion après le basculement.
5. Dans la zone de texte Taille maximale de l’unité de transmission (MTU) , sélectionnez la taille
maximale des paquets, en octets, qui peuvent être transmis par l’interface. Il est conseillé d’utiliser
la valeur par défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet
différente.
Vous pouvez définir la valeur MTU de 68 (minimum) à 9000 (maximum).
6. Pour changer l’adresse MAC de l’interface externe, cochez la case Remplacer l’adresse MAC et
saisissez la nouvelle adresse MAC.
Pour plus d’informations sur les adresses MAC, voir la section suivante.
7. Cliquez sur OK.
8. Enregistrer le fichier de configuration.
À propos des adresses MAC
Certains fournisseurs de services Internet (ISP) utilisent une adresse MAC pour identifier les ordinateurs sur
leur réseau. Chaque adresse MAC obtient une adresse IP statique. Si votre FSI fait appel à cette méthode
pour identifier votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe du périphérique
WatchGuard. Utilisez l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement
connecté au FSI dans la configuration d’origine.
L’adresse MAC doit présenter les caractéristiques suivantes :
n
n
Elle doit comporter 12 caractères hexadécimaux d’une valeur comprise entre 0 et 9 ou entre « a »
et « f ».
L’adresse MAC doit fonctionner avec :
Une ou plusieurs adresses du réseau externe.
L’adresse MAC du réseau approuvé pour le périphérique.
o L’adresse MAC du réseau facultatif pour le périphérique.
o
o
n
L’adresse MAC ne doit pas être définie sur 000000000000 ou ffffffffffff.
Si la case à cocher Remplacer l’adresse MAC n’est pas sélectionnée lors du redémarrage du périphérique
WatchGuard, le périphérique utilise l’adresse MAC par défaut du réseau externe.
Pour éviter les problèmes d’adresses MAC, le périphérique WatchGuard s’assure que l’adresse MAC que
vous attribuez à l’interface externe est unique sur le réseau. Si le périphérique WatchGuard détecte un
périphérique qui utilise la même adresse MAC, il réutilise l’adresse MAC standard de l’interface externe
puis redémarre.
Définir la bande passante de l’interface en sortie
Certaines fonctionnalités de gestion du trafic exigent une limite de bande passante pour chaque interface
réseau. Par exemple, vous devez configurer le paramètre Bande passante de l’interface en sortie pour
utiliser le marquage Qos et la définition des priorités.
User Guide
123
Définition et configuration réseau
Une fois que vous avez défini cette limite, votre Firebox effectue les tâches basiques de définition des
priorités sur le trafic réseau afin d’éviter les problèmes de trafic excessif sur l’interface spécifiée. Par
ailleurs, un avertissement s’affiche dans Policy Manager si vous allouez une bande passante trop importante
lorsque vous créez ou paramétrez des actions de gestion du trafic.
Si vous conservez pour toute interface la valeur par défaut 0 du paramètre Bande passante de l’interface
en sortie, la bande passante est définie avec la vitesse de connexion négociée automatiquement pour cette
interface.
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez l’interface dont vous souhaitez définir les limites de bande passante et cliquez sur
Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
3. Cliquez sur l’onglet Avancé.
4. Dans le champ Bande passante de l’interface en sortie, saisissez la quantité de bande passante
fournie par le réseau. Utilisez la vitesse en amont de votre connexion Internet (en Kbits/s plutôt
qu’en Ko/s) comme limite pour les interfaces externes. Définissez la bande passante de votre
interface LAN en fonction de la vitesse de connexion minimale prise en charge par votre
infrastructure LAN.
5. Cliquez sur OK.
6. Cliquez de nouveau sur OK.
7. Enregistrer le fichier de configuration.
Définir Bit DF pour IPSec
Lorsque vous configurez l’interface externe, sélectionnez l’une des trois options pour déterminer le
paramètre de la section Bit DF pour IPSec.
124
WatchGuard System Manager
Définition et configuration réseau
Copier
Sélectionnez Copier pour appliquer le paramètre de bit DF de la structure d’origine du paquet
chiffré IPSec. Si une structure n’a pas de bits DF définis, Fireware XTM ne définit pas les bits DF et
fragmente le paquet si nécessaire. Si une structure est définie pour ne pas être fragmentée,
Fireware XTM encapsule l’intégralité de la structure et définit les bits DF du paquet chiffré pour faire
correspondre la structure d’origine.
Définir
Sélectionnez Définir si vous ne souhaitez pas que le périphérique Firebox fragmente la structure,
quel que soit le paramètre de bit d’origine. Si un utilisateur doit établir des connexions IPSec à
Firebox derrière un autre périphérique Firebox, vous devez désactiver cette case à cocher pour
activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site
client équipé d’un périphérique Firebox peuvent se connecter à leur réseau à l’aide d’IPSec. Pour
que votre périphérique Firebox local établisse correctement la connexion IPSec sortante, vous
devez également ajouter une stratégie IPSec.
Effacer
Sélectionnez Effacer pour diviser la structure en éléments pouvant tenir dans un paquet IPSec avec
en-tête ESP ou AH, quel que soit le paramètre de bit d’origine.
Paramètre PMTU pour IPSec
Ce paramètre d’interface avancé concerne les interfaces externes uniquement.
Le Path Maximum Transmission Unit (PMTU) contrôle la durée pendant laquelle Firebox diminue l’unité
maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation
d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet.
Il est conseillé de conserver le paramètre par défaut pour protéger Firebox si un routeur présente un
paramètre MTU très faible sur Internet.
Utiliser la liaison d’adresse MAC statique
Vous pouvez contrôler l’accès à votre périphérique WatchGuard à l’aide d’une adresse matérielle (MAC).
Cette fonctionnalité peut protéger votre réseau des attaques ARP des pirates informatiques. Ces derniers
essaient de changer l’adresse MAC des ordinateurs pour faire correspondre un périphérique réel de votre
réseau. Pour utiliser la liaison d’adresse MAC, vous devez associer une adresse IP sur l’interface indiquée
avec une adresse MAC. Si cette fonctionnalité est activée, les ordinateurs avec l’adresse MAC indiquée ne
peuvent envoyer et recevoir des informations qu’avec l’adresse IP associée.
User Guide
125
Définition et configuration réseau
Vous pouvez également utiliser cette fonctionnalité pour limiter tout le trafic réseau aux périphériques qui
correspondent aux adresses MAC et IP de cette liste. Ce procédé est semblable à la fonctionnalité de
contrôle d’accès MAC.
Pour plus d’informations, voir Limiter le trafic réseau par adresse MAC à la page 118.
Note Si vous choisissez de restreindre l’accès au réseau par adresse MAC, n’oubliez pas
d’inclure l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique
WatchGuard.
Pour configurer les paramètres de liaison d’adresse MAC statique :
1. Sélectionnez la Configuration > réseau. Sélectionnez une interface, puis cliquez sur Configurer.
2. Sélectionnez l’onglet Avancé.
3. À côté de la table Liaison d’adresse MAC/IP statique, cliquez sur Ajouter.
4. À côté du champ Adresse IP, cliquez sur Ajouter.
5. Entrez une adresse IP et une paire d’adresses MAC. Cliquez sur OK. Répétez cette opération pour
ajouter des paires supplémentaires.
6. Si vous souhaitez que cette interface ne transmette que le trafic correspondant à une entrée de la
liste Liaison d’adresse MAC/IP statique, cochez la case N’autoriser que le trafic envoyé
vers/depuis ces adresses MAC/IP.
Si vous ne souhaitez pas bloquer le trafic qui ne correspond à aucune entrée de la liste,
désélectionnez la case à cocher.
Rechercher l’adresse MAC d’un ordinateur
Une adresse MAC est également appelée adresse matérielle ou adresse Ethernet. C’est un identifiant
unique et propre à la carte réseau de l’ordinateur. Une adresse MAC a généralement l’aspect suivant : XXXX-XX-XX-XX-XX, chaque X représentant un chiffre ou une lettre de A à F. Pour trouver l’adresse MAC d’un
ordinateur de votre réseau :
1. Dans l’interface de ligne de commande de l’ordinateur dont vous recherchez l’adresse MAC,
saisissez ipconfig /all (Windows) ou ifconfig (OS X ou Linux).
2. Recherchez l’entrée de l’« adresse physique » de l’ordinateur.
126
WatchGuard System Manager
Définition et configuration réseau
À propos des ponts LAN
Un pont réseau établit la connexion entre plusieurs interfaces physiques réseau de votre périphérique
WatchGuard. Un pont peut être utilisé de la même manière qu’une interface réseau physique normale. Par
exemple, vous pouvez configurer le protocole DHCP pour attribuer des adresses IP aux clients d’un pont ;
vous pouvez également l’utiliser en tant qu’alias dans les stratégies de pare-feu.
Pour utiliser un pont, vous devez :
1. Créer une configuration de pont réseau.
2. Attribuer une interface réseau à un pont.
Si vous souhaitez créer un pont pour tout le trafic entre deux interfaces, il est recommandé d’utiliser le
mode pont pour votre configuration réseau.
Créer une configuration de pont réseau
Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces
réseau au pont.
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez l’onglet Pont.
3. Cliquez sur Ajouter.
La boîte de dialogue Configuration du nouveau pont apparaît.
User Guide
127
Définition et configuration réseau
4. Saisissez le nom ou l’alias du nouveau pont. Ce nom permet d’identifier le pont dans les
configurations d’interface réseau. Vous pouvez également saisir une description pour plus
d’informations.
5. Dans la liste Zone de sécurité, sélectionnez Approuvée ou Facultative. Le pont est ajouté à l’alias de
la zone que vous indiquez.
Par exemple, si vous choisissez la zone de sécurité facultative, le pont est ajouté à l’alias réseau AnyOptional (Tout-Facultatif).
6. Saisissez en notation de barre oblique l’adresse IP du pont à utiliser.
Pour plus d’informations, voir À propos de la notation de barre oblique à la page iv.
7. Sélectionnez Désactiver DHCP, Utiliser le serveur DHCP ou Utiliser le relais DHCP pour définir la
méthode de distribution des adresses IP du pont. Si nécessaire, configurez le serveur DHCP, le relais
DHCP et les paramètres de serveur DNS/WINS.
Pour plus d’informations sur la configuration DHCP, voir Configurer DHCP en mode de routage mixte
à la page 104 et Configurer le relais DHCP à la page 118.
8. Sélectionnezl’ongletSecondairepour créer une ouplusieursadressesIPde réseausecondaire.
Pour plusd’informationssur lesréseauxsecondaires,voir Configurer unréseausecondaireàlapage 120.
9. Cliquez sur OK.
128
WatchGuard System Manager
Définition et configuration réseau
Attribuer une interface réseau à un pont
Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces
réseau. Vous pouvez créer la configuration de pont dans la boîte de dialogue Configuration du réseau ou
lorsque vous configurez une interface réseau.
1. Cliquez sur .
Vous pouvez également sélectionner Réseau > Configuration.
La fenêtre Configuration du réseau apparaît.
2. Sélectionnez l’interface que vous souhaitez ajouter au pont, puis cliquez sur Configurer.
La fenêtre Configuration d’interface - N° d’interface apparaît.
User Guide
129
Définition et configuration réseau
3. Dans la liste déroulante Type d’interface, sélectionnez Pont.
4. Sélectionnez la case d’option située à côté de la configuration du pont réseau que vous avez créé ou
cliquez sur Nouveau pont pour créer une configuration de pont.
5. Cliquez sur OK.
130
WatchGuard System Manager
Définition et configuration réseau
À propos des fichiers
A L’itinéraire est la séquence des périphériques par lesquels passe le trafic réseau envoyé. Chaque
périphérique de cette séquence, généralement appelé routeur, stocke les informations concernant les
réseaux auxquels il est connecté dans une table de routage. Ces informations sont utilisées pour
transmettre le trafic réseau vers le routeur suivant de l’itinéraire.
Votre périphérique WatchGuard met à jour automatiquement sa table de routage lorsque vous modifiez les
paramètres d’interface réseau, qu’une connexion réseau physique est défaillante ou lorsqu’il redémarre.
Pour mettre à jour la table de routage ultérieurement, vous devez utiliser le routage dynamique ou ajouter
un itinéraire statique. Les itinéraires statiques peuvent améliorer les performances, mais si la structure
réseau fait l’objet d’une modification ou si une connexion est défaillante, le trafic réseau ne peut pas
accéder à sa destination. Le routage dynamique garantit que votre trafic réseau peut atteindre sa
destination, mais il est plus difficile à configurer.
Ajouter un itinéraire statique
Un itinéraire est la séquence des périphériques que le trafic réseau doit traverser de sa source jusqu’à sa
destination. Un routeur est un périphérique de cet itinéraire qui détecte le point réseau suivant au travers
duquel le trafic réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au
minimum. Un paquet peut traverser plusieurs points réseau avec des routeurs avant d’atteindre sa
destination.
Vous pouvez créer des itinéraires statiques pour envoyer du trafic vers des hôtes ou réseaux spécifiques. Le
routeur peut ensuite envoyer le trafic à la destination appropriée en suivant l’itinéraire spécifié. Ajoutez un
itinéraire réseau si un réseau se trouve derrière un routeur sur votre réseau local. Si vous n’ajoutez aucun
itinéraire à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par défaut de
Firebox.
Avant de commencer, vous devez bien saisir la différence entre un itinéraire réseau et un itinéraire hôte.
Un itinéraire réseau est un itinéraire vers un réseau complet qui se trouve derrière un routeur, sur votre
réseau local. Utilisez un itinéraire hôte si un hôte uniquement se trouve derrière le routeur ou si vous
souhaitez acheminer le trafic vers un seul hôte.
1. Sélectionnez Réseau > Itinéraires.
La boîte de dialogue Configurer les itinéraires s’affiche.
2. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un itinéraire s’ouvre.
User Guide
131
Définition et configuration réseau
3. Dans la liste déroulante Choisir le type, sélectionnez IP du réseau si vous avez un réseau complet
derrière un routeur sur votre réseau local. Sélectionnez IP de l’hôte si un seul hôte se trouve
derrière le routeur ou si vous souhaitez acheminer le trafic par un seul hôte.
4. Dans le champ Envoyer à, saisissez l’adresse réseau ou l’adresse de l’hôte. Si vous entrez une
adresse réseau, employez la notation de barre oblique.
Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre
oblique à la page iv.
5. Dans le champ Passerelle , saisissez l’adresse IP du routeur. Assurez-vous que cette adresse se
trouve sur l’un des réseaux identiques de Firebox.
6. Saisissez une métrique pour l’itinéraire. Les itinéraires avec métriques faibles ont la priorité la plus
élevée.
7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un itinéraire.
La boîte de dialogue Configurer les itinéraires indique l’itinéraire réseau configuré.
8. Cliquez sur OK pour fermer la boîte de dialogue Configurer les itinéraires.
À propos des réseaux locaux virtuels (VLAN)
Un réseau VLAN 802.1Q (réseau local virtuel) est un ensemble d’ordinateurs appartenant à un LAN ou à
des LAN regroupés dans un seul domaine de diffusion, indépendamment de leur zone géographique. Il
permet de regrouper des périphériques selon leurs caractéristiques de trafic et non pas par proximité
physique. Les membres d’un VLAN peuvent partager des ressources comme s’ils étaient connectés au
même LAN. Les VLAN servent également à diviser un commutateur en plusieurs segments. Supposons, par
exemple, que votre entreprise a des employés à plein temps et des intérimaires qui utilisent le même LAN.
Il est alors souhaitable de limiter les intérimaires à un sous-réseau de ressources utilisées par les employés
à plein temps. Il est tout aussi préférable d’utiliser une stratégie de sécurité plus restrictive pour les
intérimaires. Pour ce faire, il convient de diviser l’interface en deux VLAN.
Les VLAN vous permettent de diviser votre réseau en groupes sous la forme d’une structure hiérarchique
et logique et non pas physique. Cela permet de dégager le personnel informatique des restrictions
associées au modèle de réseau et à l’infrastructure de câblage. Les VLAN facilitent la conception, la mise en
œuvre et la gestion de votre réseau. Les VLAN étant basés sur des logiciels, vous pouvez facilement et
rapidement adapter votre réseau aux ajouts, déplacements et réorganisations de matériel.
Puisque les VLAN utilisent des ponts et des commutateurs, les diffusions sont plus efficaces dans la mesure
où elles ne sont transmises qu’aux utilisateurs connectés au VLAN, et non à tous ceux qui sont connectés.
Par conséquent, le trafic transmis sur vos routeurs s’en trouve réduit, ce qui implique une latence de
routage moins importante. Vous pouvez configurer le périphérique Firebox pour qu’il agisse en tant que
serveur DHCP pour les périphériques du réseau VLAN ou utiliser le relais DHCP avec un serveur DHCP
distinct.
Configuration logicielle requise pour les VLAN et restrictions
associées
n
n
132
La mise en œuvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des
liaisons Spanning Tree.
Si votre périphérique Firebox est configuré en mode d’insertion, vous ne pouvez pas utiliser les VLAN.
WatchGuard System Manager
Définition et configuration réseau
n
n
n
n
n
Une seule interface physique peut être un membre VLAN non marqué d’un seul VLAN. Par
exemple, si l’interface Externe-1 est un membre non marqué d’un VLAN appelé VLAN-1, elle ne
peut pas être en même temps un membre non marqué d’un autre VLAN. Par ailleurs, les interfaces
externes peuvent être membres d’un seul VLAN.
Les paramètres de configuration multi-WAN sont appliqués au trafic VLAN. Toutefois, il peut être
plus facile de gérer une bande passante lorsque vous n’utilisez que des interfaces physiques dans
une configuration multi-WAN.
Le modèle et la licence de votre périphérique déterminent le nombre de VLAN que vous pouvez
créer.
Pour afficher le nombre de VLAN que vous pouvez ajouter à votre périphérique WatchGuard,
Ouvrir Policy Manager et sélectionnez Configuration > Clés de fonctionnalité.
Recherchez la ligne intitulée Nombre total d’interfaces VLAN.
Pour optimiser les performances, il est recommandé de ne pas créer plus de 10 VLAN qui
fonctionnent sur des interfaces externes.
Tous les segments du réseau auxquels vous souhaitez ajouter un VLAN doivent avoir des adresses IP
appartenant au réseau VLAN.
Note Si vous définissez des VLAN, ignorez les messages indiquant que la version 802.1d
est inconnue. Ils sont générés car la mise en œuvre des VLAN WatchGuard ne
prend pas en charge le protocole de gestion des liaisons Spanning Tree.
À propos de marquage
Pour activer des VLAN, vous devez déployer des commutateurs VLAN sur chaque site. Les interfaces des
commutateurs insèrent des indicateurs au niveau de la couche 2 de la trame de données qui identifie un
paquet réseau en tant que partie d’un VLAN spécifié. Ces indicateurs ajoutent quatre octets à l’en-tête
Ethernet pour identifier la trame comme appartenant à un VLAN en particulier. Le balisage est spécifié par
la norme IEEE 802.1Q.
La définition d’un VLAN prévoit la disposition des trames de données marquées et non marquées. Vous
devez indiquer si le VLAN reçoit des données marquées, non marquées ou pas de données depuis chacune
des interfaces activées. Votre périphérique WatchGuard peut insérer des indicateurs pour les paquets
envoyés à un commutateur prenant en charge les VLAN. Votre périphérique peut également supprimer
des indicateurs dans les paquets envoyés à un segment de réseau qui appartient à un VLAN sans
commutateur.
Définir un nouveau 802.1Q
Avant de définir un nouveau VLAN, vous devez comprendre les concepts des VLAN et les restrictions qui leur
sont associées, en vous reportant si nécessaire à À propos des réseaux locaux virtuels (VLAN) à la page 132.
Lorsque vous définissez un nouveau VLAN, vous ajoutez une entrée dans le tableau des paramètres VLAN.
Vous pouvez modifier l’affichage de ce tableau :
n
n
Cliquez sur un en-tête de colonne pour trier le tableau en fonction des valeurs de cette colonne.
Le tableau peut être trié dans l’ordre ascendant ou descendant.
User Guide
133
Définition et configuration réseau
n
n
Les valeurs de la colonne Interface correspondent aux interfaces physiques membres du VLAN en
question.
Le numéro d’interface en gras identifie l’interface qui envoie des données non marquées à ce VLAN.
Pour créer un réseau VLAN :
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
2. Cliquez sur l’onglet VLAN.
Vous voyez apparaître un tableau répertoriant les VLAN actuellement définis par les utilisateurs, ainsi que
leurs paramètres.
3. Cliquez sur Ajouter.
La boîte de dialogue Configuration d’un nouveau VLAN apparaît.
134
WatchGuard System Manager
Définition et configuration réseau
4.
5.
6.
7.
Dans le champ Nom (Alias), saisissez le nom du VLAN.
(Facultatif) Dans le champ Description, saisissez la description du VLAN.
Dans le champ ID de VLAN, saisissez ou sélectionnez la valeur du VLAN.
Dans le champ Zone de sécurité, sélectionnez Approuvée, Facultative ou Externe.
Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les
VLAN de type approuvé sont gérés par des stratégies qui utilisent l’alias Any-Trusted (ToutApprouvé) comme source ou destination.
8. Dans le champ Adresse IP, saisissez l’adresse de la passerelle VLAN.
Utiliser DHCP sur un VLAN
Vous pouvez configurer le périphérique Firebox en tant que serveur DHCP pour les ordinateurs de votre
réseau VLAN.
User Guide
135
Définition et configuration réseau
1. Sélectionnez la case d’option Utiliser le serveur DHCPpour configurer Firebox comme serveur DHCP
sur votre réseau VLAN. Si nécessaire, saisissez le nom du domaine pour le fournir aux clients DHCP.
2. Pour ajouter un pool d’adresses IP, cliquez sur Ajouter et saisissez les première et dernière adresses
IP attribuées pour la distribution. Cliquez sur OK.
Vous pouvez configurer un maximum de six pools d’adresses.
3. Pour réserver une adresse IP spécifique pour un client, cliquez sur l’option Ajouter située à côté de
la case Adresses réservées. Saisissez le nom de la réservation, l’adresse IP que vous souhaitez
réserver et l’adresse MAC de la carte réseau du client. Cliquez sur OK.
4. Pour changer la durée du bail par défaut, cliquez sur les flèches Durée du bail.
Il s’agit de l’intervalle de temps pendant lequel le client DHCP peut utiliser une adresse IP qu’il obtient du
serveur DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie une requête au
serveur DHCP pour obtenir un nouveau bail.
5. Pour ajouter des serveurs DNS ou WINS à votre configuration DHCP, cliquez sur le bouton Serveurs
DNS/WINS.
6. Si nécessaire, saisissez un nom de domaine pour les informations DNS.
7. Cliquez sur le bouton Ajouter situé à côté de chaque liste afin de créer une entrée pour chaque
serveur que vous souhaitez ajouter.
8. Sélectionnez un serveur dans la liste et cliquez sur Modifier pour modifier les informations de ce
serveur ou cliquez sur Supprimer pour supprimer le serveur sélectionné.
Utiliser Relais DHCP sur un VLAN
1. Sélectionnez Utiliser le relais DHCP.
2. Saisissezl’adresse IPduserveur DHCP.Veillez,sinécessaire,àajouter unitinéraire jusqu’auserveur DHCP.
Vous pouvez maintenant passer aux étapes suivantes et Attribuer des interfaces à un 802.1Q.
Attribuer des interfaces à un 802.1Q
Lorsque vous créez un VLAN, vous devez définir le type de données qu’il reçoit depuis les interfaces de
Firebox. Toutefois, vous pouvez aussi configurer une interface de sorte qu’elle devienne membre d’un
VLAN actuellement défini, ou encore supprimer une interface d’un VLAN.
1. Dans la boîte de dialogue Configuration du réseau, sélectionnez l’onglet Interfaces.
2. Sélectionnez une interface et cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
3. Dans la liste déroulante Type d’interface, sélectionnez VLAN.
Une table répertoriant tous les VLAN en cours apparaît. Vous devrez peut-être augmenter la taille de cette
boîte de dialogue pour afficher toutes les options.
136
WatchGuard System Manager
Définition et configuration réseau
4. Cochez la case Envoyer et recevoir du trafic marqué pour les VLAN sélectionnés pour recevoir les
données marquées sur cette interface réseau.
5. Cochez la case Membre pour chaque interface que vous souhaitez inclure dans ce VLAN.
Pour supprimer une interface de ce VLAN, désélectionnez la case à cocher située à côté de l’option
Membre.
Une interface peut être membre d’un VLAN externe, ou encore de plusieurs VLAN approuvés ou facultatifs.
6. Pour configurer l’interface afin qu’elle reçoive des données marquées, cochez la case Envoyer et
recevoir du trafic non marqué pour les VLAN sélectionnés au bas de la boîte de dialogue.
7. Sélectionnez une configuration VLAN dans la liste déroulante située en regard ou cliquez sur
Nouveau VLAN pour créer une nouvelle configuration de VLAN.
8. Cliquez sur OK.
Exemples de configuration réseau
Utiliser Firebox X Edge avec le pont sans fil 3G Extend
Le pont sans fil WatchGuard 3G Extend ajoute la connectivité cellulaire 3G au périphérique Firebox X Edge
ou WatchGuard XTM 2 Series. Lorsque vous connectez l’interface externe de votre périphérique
WatchGuard au pont sans fil WatchGuard 3G Extend, les ordinateurs de votre réseau peuvent se connecter
sans fil à Internet par l’intermédiaire du réseau cellulaire 3G.
Le pont 3G Extend est proposé en deux modèles basés sur la technologie Top Global et Cradlepoint,
Utiliser le périphérique 3G Extend/Top Global MB5000K
Suivez ces étapes pour utiliser le pont sans fil 3G Extend avec le périphérique Firebox X Edge ou XTM 2
Series.
1. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec
PPPoE. Veillez à définir le nom d’utilisateur/mot de passe PPPoE sur public/public. Pour en savoir
plus sur la configuration de votre interface externe pour PPPoE, voir Configurer une interface
externe à la page 100.
2. Activer votre carte de données large bande. Voir les instructions fournies avec votre carte de
données large bande pour plus d’informations.
3. Préparez votre pont sans fil 3G Extend :
n
n
n
Insérezla carte de donnéeslarge bande dans l’emplacementadéquat sur le pontsans fil3G Extend
Branchez le pont sans fil 3G Extend
Vérifiez que les voyants LED sont actifs
4. Utilisez un câble Ethernet pour connecter le pont sans fil 3G Extend sur l’interface externe de votre
périphérique WatchGuard.
User Guide
137
Définition et configuration réseau
Il n’est pas nécessaire de changer les paramètres du périphérique 3G Extend avant de le connecter à votre
périphérique WatchGuard. Il est parfois nécessaire de connecter l’interface de gestion Web du
périphérique 3G Extend. Pour établir la connexion à l’interface Web 3G Extend, connectez votre ordinateur
directement au MB5000K avec un câble Ethernet et vérifiez que l’ordinateur est configuré pour accéder à
son adresse IP avec le protocole DHCP. Ouvrez votre navigateur Web et saisissez http://172.16.0.1 .
Établir la connexion avec un nom d’utilisateur/mot de passe défini sur public/public.
n
n
n
Pour fonctionner correctement avec votre périphérique WatchGuard, le pont sans fil 3G Extend doit
être configuré en mode de connexion automatique. Tous les périphériques 3G Extend/MB5000K
sont préconfigurés pour s’exécuter par défaut dans ce mode. Pour vérifier si votre périphérique 3G
Extend est configuré en mode de connexion automatique, connectez-le directement au
périphérique et sélectionnez Interfaces > Accès Internet. Sélectionnez l’interface WAN#0. Dans la
section Networking (Gestion de réseau), vérifiez dans la liste déroulante que le mode de connexion
est défini sur Auto.
Si votre carte sans fil 3G s’exécute sur le réseau cellulaire GPRS, il est peut-être nécessaire d’ajouter
un nom d’ouverture de session réseau et un mot de passe à la configuration de notre périphérique
3G Extend. Pour ajouter un nom d’ouverture de session réseau et un mot de passe, connectez-vous
au pont sans fil 3G Extend et sélectionnez Services > Manageable Bridge (Pont gérable).
Pour réinitialiser le périphérique MB5000K sur ses paramètres usine par défaut, connectez-vous au
pont sans fil 3G Extend et sélectionnez Système > Factory defaults (Paramètres usine par défaut).
Cliquez sur Oui.
Pour des raisons de sécurité, il est recommandé de changer le nom d’utilisateur/mot de passe PPPoE par
défaut public/public une fois le réseau activé et en cours d’exécution. Vous devez changer le nom
d’utilisateur et le mot de passe sur votre périphérique WatchGuard et sur votre pont sans fil 3G Extend.
n
n
Pour changer le nom d’utilisateur et le mot de passe PPPoE sur votre périphérique WatchGuard,
voir Configurer une interface externe à la page 100.
Pour changer le nom d’utilisateur et le mot de passe PPPoE sur le périphérique 3G Extend,
connectez-vous au périphérique et choisissez Services > Manageable Bridge (Pont gérable).
Le périphérique 3G Extend prend en charge plus de 50 cartes modem et options de plans de fournisseurs
de services Internet. Pour plus d’informations sur le produit Top Global, notamment le guide de l’utilisateur
du MB5000, accédez au site http://www.topglobaluse.com/support_mb5000.htm.
Utilisez le périphérique 3G Extend/Cradlepoint CBA250
Suivez ces étapes pour utiliser l’adaptateur large bande cellulaire 3G Extend Cradlepoint avec votre
périphérique WatchGuard Firebox X.
1. Suivez les instructions du Guide de démarrage rapide de Cradlepoint CBA250 pour configurer le
périphérique Cradlepoint.
2. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec
DHCP. Pour en savoir plus sur la configuration de votre interface externe pour PPPoE, voir
Configurer une interface externe à la page 100.
3. Utilisez un câble Ethernet pour connecter le périphérique Cradlepoint à l’interface externe du
périphérique Firebox.
138
WatchGuard System Manager
Définition et configuration réseau
4. Démarrez (ou redémarrez) le périphérique WatchGuard.
Lorsque le périphérique Firebox démarre, il obtient l’adresse DHCP du périphérique Cradlepoint. Après
l’attribution d’une adresse IP, le périphérique Firebox peut se connecter à Internet par l’intermédiaire du
réseau large bande.
Le périphérique Cradlepoint prend en charge un grand nombre de périphériques sans fil large bande USB
ou ExpressCard. Pour obtenir la liste des périphériques pris en charge, voir
http://www.cradlepoint.com/support./cba250.
User Guide
139
Définition et configuration réseau
User Guide
140
7
Multi-WAN
À propos de l’utilisation de plusieurs interfaces
externes
Vous pouvez utiliser votre périphérique WatchGuard Firebox pour bénéficier de la prise en charge de la
redondance pour l’interface externe. Il s’agit d’une option bien utile si vous devez être constamment
connecté à Internet.
Avec le mode multiWAN, vous pouvez configurer un maximum de quatre interfaces externes, chacune sur
un sous-réseau différent. Il vous est ainsi possible de connecter Firebox à plus d’un seul Fournisseur de
services Internet (FSI). Lorsque vous configurez une seconde interface, le mode multiWAN est
automatiquement activé.
Configurations logicielles et conditions requises pour le mode
multiWAN
Vous devez disposer d’une seconde connexion Internet et de plus d’une interface externe pour utiliser la
plupart des options de configuration multiWAN.
Les configurations logicielles et conditions requises pour le mode multiWAN comprennent :
n
n
n
Si l’une de vos stratégies est configurée avec un alias d’interface externe individuelle, vous devez
modifier la configuration afin d’utiliser l’alias « Any-External » ou un autre alias que vous avez
configuré pour les interfaces externes. À défaut, une partie du trafic pourrait être refusée par vos
stratégies de pare-feu.
Les paramètres multiWAN ne s’appliquent pas au trafic entrant. Lorsque vous configurez une
stratégie pour le trafic entrant, vous pouvez ignorer l’ensemble des paramètres multiWAN.
Afin de remplacer la configuration multiWAN de toute stratégie individuelle, activez le routage basé
sur stratégie pour cette stratégie. Pour de plus amples informations sur le routage basé sur stratégie,
cf. Configurer le routage basé sur stratégie à la page 363.
User Guide
141
Multi-WAN
n
n
n
Mappez le nom de domaine entièrement qualifié de votre entreprise à la plus petite adresse de la
plage des adresses IP d’interface externe. Si vous ajoutez un périphérique multiWAN WatchGuard à
votre Management Server configuration, vous devez utilisez la plus petite adresse IP d’interface
externe pour l’identifier lorsque vous ajoutez le périphérique.
Pour utiliser le multiWAN, vous devez utiliser le routage mixte pour votre configuration du réseau.
Cette fonctionnalité est inopérante pour les configurations d’insertion et de réseau de mode pont.
Pour utiliser la méthode de dépassement de capacité d’interface, vous devez disposer de la mise à
niveau Pro du logiciel Fireware XTM. Vous devez également disposer d’une licence Fireware XTM
Pro pour utiliser l’option tourniquet et configurer les différentes pondérations des interfaces
externes du périphérique WatchGuard.
Vous pouvez utiliser l’une des quatre configurations multiWAN pour gérer votre trafic réseau.
Pour les détails de configuration et les procédures de configuration, reportez-vous à la rubrique relative à
cette option.
multiWAN et DNS
Vérifiez que votre serveur DNS est accessible depuis n’importe quel WAN. Sinon, vous devez modifier vos
stratégies DNS de la manière suivante :
n
n
La liste De contient Firebox.
La case à cocher Utiliser le routage basé sur stratégie est sélectionnée.
Si un seul WAN peut accéder au serveur DNS, sélectionnez cette interface dans la liste déroulante
adjacente.
Si plus d’un WAN peut accéder au serveur DNS, sélectionnez l’un d’entre eux, sélectionnez
Basculement, sélectionnez Configurer, puis sélectionnez toutes les interfaces pouvant accéder au
serveur DNS. L’ordre importe peu.
Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser
le routage basé sur stratégie.
multiWAN et FireCluster
Vous pouvez utiliser le basculement multiWAN avec la fonction FireCluster, mais ils sont configurés
séparément. Un basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne
déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque
l’interface physique est inactive ou ne répond pas. Il est prioritaire sur le basculement multiWAN.
À propos de Options multiWAN
Lorsque vous configurez plusieurs interfaces externes, plusieurs options vous permettent de contrôler
l’interface qu’un paquet sortant utilise. Vous devez disposer de la mise à niveau Pro du logiciel Fireware
XTM pour utiliser ces fonctionnalités.
142
WatchGuard System Manager
Multi-WAN
Classement du tourniquet
Lorsque vous configurez le mode multiWAN avec l’option tourniquet, le périphérique WatchGuard inspecte
sa table de routage interne pour vérifier les informations de routage statique ou dynamique relatives à
chaque connexion. Si aucun itinéraire n’est trouvé, le périphérique WatchGuard répartit la charge de trafic
entre ses interfaces externes. Le périphérique WatchGuard utilise la moyenne des paquets transmis et
reçus pour équilibrer la charge de trafic entre toutes les interfaces externes que vous définissez pour la
configuration tourniquet.
Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez attribuer une pondération à chaque
interface définie pour la configuration tourniquet. Par défaut et pour tous les utilisateurs Fireware XTM,
chaque interface a une pondération de 1. La pondération se réfère à la proportion de charge envoyée par
le périphérique WatchGuard par l’intermédiaire d’une interface. Si vous utilisez Fireware XTM Pro et que
vous affectez une pondération de 2 à une interface, vous doublez la proportion de trafic qui passera par
cette interface en comparaison avec une interface dont la pondération est de 1.
Par exemple, si vous avez trois interfaces externes avec une bande passante de 6, 1,5 et 0,075 M chacune
et souhaitez équilibrer la charge de trafic entre les trois, vous utiliseriez des pondérations de 8, 2 et 1.
Fireware essaie de répartir les connexions de sorte que les 8/11e, 2/11e et 1/11e du trafic total soient
acheminés vers chacune des trois interfaces.
Pour plus d’informations, voir Configurer l’option tourniquet multiWAN à la page 145.
Basculement
Lorsque vous utilisez l’option de basculement pour acheminer le trafic via les interfaces externes de du
périphérique WatchGuard, vous sélectionnez une seule interface externe qui sera l’interface externe
principale. Les autres interfaces externes servent d’interfaces de sauvegardes et sont utilisées par le
périphérique WatchGuard dans l’ordre que vous indiquez. Le périphérique WatchGuard analyse l’interface
externe principale. Si elle devient inactive, le périphérique WatchGuard envoie l’ensemble du trafic à
l’interface externe suivante définie dans sa configuration. Alors que le périphérique WatchGuard envoie le
trafic vers l’interface de sauvegarde, il continue à analyser l’interface externe principale. Lorsque cette
dernière redevient active, le périphérique WatchGuard recommence immédiatement à envoyer toutes les
nouvelles connexions vers l’interface externe principale.
C’est vous qui définissez ce que le périphérique WatchGuard doit faire des connexions existantes. Elles
peuvent être restaurées immédiatement, ou continuer à utiliser l’interface de sauvegarde jusqu’à ce que la
connexion soit terminée. Les basculements multiWAN et FireCluster sont configurés séparément. Un
basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas
de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est
inactive ou ne répond pas. Il est prioritaire sur le basculement multiWAN.
Pour plus d’informations, voir Configurer l’option basculement multiWAN à la page 148.
User Guide
143
Multi-WAN
Dépassement de capacité d’interface
Lorsque vous recourez à l’option de configuration multiWAN dépassement de capacité d’interface, vous
devez définir l’ordre dans lequel le périphérique WatchGuard enverra le trafic via les interfaces externes et
configurer chaque interface avec une valeur seuil de bande passante. Le périphérique WatchGuard
commence à envoyer le trafic via la première interface externe définie dans sa liste de configuration de
dépassement de capacité d’interface. Lorsque le trafic routé via cette interface atteint le seuil de bande
passante que vous avez défini pour cette dernière, le périphérique WatchGuard commence à envoyer le
trafic à l’interface externe suivante, définie dans la liste de configuration dépassement de capacité
d’interface.
Cette option de configuration multiWAN permet de limiter, à un certain seuil de bande passante, la quantité
de trafic envoyé à chaque interface WAN. Pour déterminer la bande passante, le périphérique WatchGuard
inspecte le nombre de paquets transmis et reçus et se base sur le plus grand nombre. Lorsque vous
configurez le seuil de bande passante d’interface pour chaque interface, prenez en compte les besoins de
votre réseau de chaque interface et définissez la valeur seuil, en fonction de ces besoins. Par exemple, si
votre FSI est asymétrique et que vous définissez le seuil de bande passante en fonction d’un taux d’émission
(TX) important, le dépassement de capacité d’interface ne sera pas déclenché par un taux de réception (RX)
important.
Si toutes les interfaces WAN ont atteint leur seuil de bande passante, le périphérique WatchGuard utilise
l’algorithme de routage ECMP (Equal Cost MultiPath Protocol) pour rechercher le meilleur itinéraire.
Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser
cette option de routage multiWAN.
Pour plus d’informations,voir Configurer l’option Dépassementde capacitéd’interface multiWAN à lapage 150.
Table de routage
Lorsque vous sélectionnez l’option de table de routage dans la configuration du mode multiWAN, le
périphérique WatchGuard se base sur les itinéraires de sa table de routage interne ou sur les itinéraires
qu’il obtient des processus de routage dynamiques pour envoyer les paquets via l’interface externe
appropriée. Afin de savoir si un itinéraire spécifique existe pour une destination de paquets, le
périphérique WatchGuard examine sa table de routage en parcourant la liste des itinéraires de haut en bas.
Vous pouvez voir la liste des itinéraires figurant dans la table de routage de Firebox en accédant à l’onglet
État de Firebox System Manager. L’option de table de routage est l’option par défaut utilisée en mode
multiWAN.
Si le périphérique WatchGuard ne trouve pas un itinéraire spécifique, il sélectionne le meilleur itinéraire en
fonction des valeurs de hachage IP de la source et de la destination du paquet, en appliquant l’algorithme
ECMP (Equal Cost Multipath Protocol) spécifié dans le document :
http://www.ietf.org/rfc/rfc2992.txt
Avec le protocole ECMP, le périphérique WatchGuard utilise un algorithme afin de déterminer quel saut
(itinéraire) suivant il utilisera pour envoyer chaque paquet. Cet algorithme ne tient pas compte de la charge
de trafic actuelle.
Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la page 153.
144
WatchGuard System Manager
Multi-WAN
modem série (Firebox X Edge uniquement)
Si votre organisation dispose d’un compte d’accès à distance avec un FSI, vous pouvez connecter un modem
externe au port série de votre Edge et vous servir de cette connexion pour le basculement quand toutes
les autres interfaces externes sont inactives.
Pour plus d’informations, voir Basculement de modem série à la page 154.
Configurer l’option tourniquet multiWAN
Avant de commencer
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 100.
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
141 et À propos de Options multiWAN à la page 142.
Configurer les interfaces
1. Sélectionnez la Configuration > réseau.
2. Cliquez sur l’ongletmultiWAN.
3. Dans la liste déroulante Configuration multiWAN, sélectionnez Tourniquet.
User Guide
145
Multi-WAN
4. Cliquez sur Configurer.
5. Dans la colonne Inclure , activez la case à cocher correspondant à chaque interface que vous
souhaitez utiliser pour l’option tourniquet. Il est inutile d’inclure toutes les interfaces externes dans
votre configuration tourniquet.
146
WatchGuard System Manager
Multi-WAN
Par exemple, vous pourriez vouloir utiliser une interface pour le routage basé sur stratégie que vous
ne souhaitez pas inclure dans la configuration tourniquet.
6. Si vous utilisez la mise à niveau Pro de Fireware XTM et que vous voulez modifier les pondérations
affectées à une ou à plusieurs interfaces, cliquez sur Configurer.
7. Cliquez sur le contrôle de valeur pour définir une pondération d’interface. Cette dernière
détermine la charge (en pourcentage) du trafic acheminé par l’intermédiaire du périphérique
WatchGuard que cette interface supportera.
Note Vous ne pouvez modifier la valeur par défaut de 1 de la pondération que si vous
utilisez la mise à niveau Pro de Fireware XTM. Sinon, une erreur s’affichera lorsque
vous tenterez de fermer la boîte de dialogue de Configuration du réseau.
8. Cliquez sur OK.
Pour des informations relatives à la modification de la pondération, cf. Découvrez comment affecter
des pondérations aux interfaces à la page 148.
9. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que
décrit dans À propos de État de l’interface WAN à la page 160.
Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des
Paramètres multiWAN avancés à la page 158.
10. Cliquez sur OK.
User Guide
147
Multi-WAN
Découvrez comment affecter des pondérations aux interfaces
Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez affecter une pondération à chaque
interface utilisée dans votre configuration tourniquet multiWAN . Par défaut, chaque interface présente
une pondération de 1. La pondération se réfère à la proportion de charge envoyée par Firebox par
l’intermédiaire d’une interface.
Vous ne pouvez utiliser que des nombres entiers pour les pondérations d’interface ; les fractions ou les
décimales ne sont pas autorisées. Pour un équilibrage de charge optimal, il se pourrait que vous deviez faire
un calcul pour connaître la pondération en nombre entier à affecter à chaque interface. Utilisez un
multiplicateur commun afin que la proportion relative de la bande passante donnée par chaque connexion
externe soit résolue en nombres entiers.
Par exemple, supposons que vous ayez trois connexions Internet. Un FSI vous fournit 6 Mbits/s, un autre 1,5
Mbits/s et un troisième 768 Kbits/s. Convertissez les proportions en nombres entiers :
n
n
n
n
Convertissez d’abord les 768 Kbits/s en 0,75 Mbits/s environ afin d’utiliser la même unité de mesure
pour les trois lignes. Vos trois lignes ont une pondération de 6, 1,5 et 0,75 Mbits/s.
Multipliez chaque valeur par 100 pour supprimer les décimales. Proportionnellement, elles sont
équivalentes : [6 : 1,5 : 0,75] a le même ratio que [600 : 150 : 75]
Trouvez le plus grand diviseur commun pour ces trois nombres. Dans ce cas, 75 est le nombre le
plus élevé qui divise de manière équitable les trois nombres 600, 150 et 75.
Divisez chacun des nombres par le plus grand diviseur commun.
Les résultats obtenus sont 8, 2 et 1. Vous pourriez utiliser ces nombres comme pondérations dans une
configuration tourniquet multiWAN .
Configurer l’option basculement multiWAN
Avant de commencer
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 100.
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
141 et À propos de Options multiWAN à la page 142.
Configurer les interfaces
1. Sélectionnez la Configuration > réseau.
2. Cliquez sur l’onglet multiWAN .
3. Dans la liste déroulante de la rubrique Configuration multiWAN, sélectionnez Basculement.
148
WatchGuard System Manager
Multi-WAN
4. Cliquez sur Configurez pour spécifier une interface externe principale et sélectionnez les interfaces
externes de sauvegarde. Dans la colonne Inclure, activez la case à cocher correspondant à chaque
interface que vous souhaitez utiliser dans la configuration du basculement.
5. Cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour définir l’ordre de basculement. La
première interface dans la liste est l’interface principale.
6. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que
décrit dans À propos de État de l’interface WAN à la page 160.
Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des
Paramètres multiWAN avancés à la page 158.
7. Cliquez sur OK.
User Guide
149
Multi-WAN
Configurer l’option Dépassement de capacité
d’interface multiWAN
Avant de commencer
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 100.
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
141 et À propos de Options multiWAN à la page 142.
Configurer les interfaces
1. Sélectionnez la Configuration > réseau.
2. Cliquez sur l’ongletmultiWAN.
3. Dans la liste déroulante de la rubrique Configuration multiWAN, sélectionnez Dépassement de
capacité d’interface.
150
WatchGuard System Manager
Multi-WAN
4. Cliquez sur Configurer.
5. Dans la colonne Inclure , activez la case à cocher pour chaque interface que vous souhaitez inclure
dans votre configuration.
6. Pour configurer le seuil de bande passante d’une interface externe, sélectionnez une interface dans
la liste et cliquez sur Configurer.
La boîte de dialogue de seuil de dépassement de capacité d’interface s’affiche.
7. Dans la liste déroulante, sélectionnez Mbits/s ou Kbits/s en tant qu’unité de mesure de votre
paramètre de bande passante et entrez la valeur seuil de l’interface.
Firebox calcule la bande passante en fonction de la plus grande valeur des paquets envoyés ou reçus.
8. Cliquez sur OK.
9. Pour terminer la configuration, vous devez ajouter les informations tel que décrit dans À propos de
État de l’interface WAN à la page 160.
Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des Paramètres
multiWAN avancés à la page 158.
Configurer l’option Option de table de routage
Avant de commencer
n
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 100.
Vous devez déterminer si l’option de table de routage est l’option multiWAN qui répond le mieux à
vos besoins. Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la
page 153
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
141 et À propos de Options multiWAN à la page 142.
Option de table de routage et équilibrage de charge
Gardez à l’esprit que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à
Internet. Firebox lit sa table de routage interne de haut en bas. Les itinéraires statiques et dynamiques qui
définissent une destination sont visibles en haut de la table de routage et prioritaires sur les itinéraires par
User Guide
151
Multi-WAN
défaut. (Un itinéraire par défaut a pour destination 0.0.0.0/0.) Si, dans la table de routage, il n’existe pas
d’itinéraire dynamique ou statique particulier jusqu’à une destination, le trafic qui aurait dû être acheminé
vers cette destination l’est entre les interfaces externes de Firebox à l’aide des algorithmes ECMP. Ceci peut
engendrer une répartition à proportion égale des paquets entre les différentes interfaces externes.
Configurer les interfaces
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
2. Cliquez sur l’ongletmultiWAN.
3. Dans la liste déroulante de la rubrique Configuration multiWAN, sélectionnez Table de routage.
Par défaut, les adresses IP de toutes les interfaces externes sont comprises dans la configuration.
4. Pour supprimer les interfaces externes de la configuration multiWAN, cliquez sur Configurer et
désactivez la case à cocher située en regard de l’interface externe que vous souhaitez exclure de la
configuration multiWAN.
Vous pouvez laisser une seule interface externe dans la configuration. C’est utile si vous utilisez un
routage basé sur stratégie pour un certain type de trafic et souhaitez conserver un seul WAN pour le
trafic par défaut.
152
WatchGuard System Manager
Multi-WAN
5. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que
décrit dans À propos de État de l’interface WAN à la page 160.
Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des Paramètres
multiWAN avancés à la page 158.
À propos de la table de routage de Firebox
Lorsque vous sélectionnez l’option de configuration de table de routage, mieux vaut savoir comment
consulter la table de routage de votre Firebox.
À partir du gestionnaire WatchGuard System Manager :
1. Démarrer Firebox System Manager.
2. Sélectionnez l’onglet Rapport d’état.
3. Faites défiler le rapport jusqu’à ce que vous voyiez la table de routage IP des noyaux.
Elle présente la table de routage interne de Firebox. Les informations du groupe ECMP apparaissent
en dessous de la table de routage.
Les itinéraires de la table de routage interne de Firebox sont les suivants :
n
n
n
Les itinéraires que Firebox obtient à partir des processus de routage dynamiques exécutés sur
Firebox (protocoles RIP, OSPF et BGP) si vous activez le routage dynamique.
Les itinéraires du réseau permanent ou les itinéraires d’hôte que vous ajoutez.
Les itinéraires automatiquement créés par Firebox lors de la lecture des informations de
configuration du réseau.
Si Firebox détecte qu’une interface externe est inactive, il supprime tous les itinéraires statiques ou
dynamiques qui la traversent. Cela est vrai si les hôtes définis dans l’onglet Contrôle des liaisons ne
répondent plus et si la liaison Ethernet physique est inactive.
Pour de plus amples informations sur l’état de l’interface et sur les mises à jour de la table de routage, cf. À
propos de État de l’interface WAN à la page 160.
Quand utiliser les options multiWAN et le routage
Si vous utilisez le routage dynamique, vous pouvez utiliser la table de routage ou l’option de configuration
tourniquet multiWAN. Les itinéraires qui utilisent une passerelle ou un réseau interne (facultatif ou
approuvé) ne sont pas affectés par l’option multiWAN que vous sélectionnez.
Quand utiliser l’option de Table de routage.
L’option de table de routage est appropriée si :
n
n
Vous activez le routage dynamique (protocoles RIP, OSPF ou BGP) et si les routeurs du réseau
externe publient des itinéraires vers le périphérique WatchGuard pour que ce dernier puisse
apprendre les meilleurs itinéraires vers des emplacements externes.
Vous devez obtenir un accès à un site ou à un réseau externe via un itinéraire spécifique sur un
réseau externe. Voici quelques exemples :
User Guide
153
Multi-WAN
n
n
Vous disposez d’un circuit privé utilisant un routeur à relais de trames sur le réseau externe.
Vous souhaitez que tout le trafic à destination d’un emplacement externe traverse toujours une
interface externe spécifique du périphérique WatchGuard.
L’option de table de routage est le moyen le plus rapide d’équilibrer la charge entre plusieurs itinéraires
jusqu’à Internet. Une fois cette option configurée, l’algorithme ECMP gère toutes les décisions de
connexion. Aucune configuration supplémentaire n’est nécessaire sur le périphérique WatchGuard.
Quand utiliser l’option tourniquet
Le trafic d’équilibrage de charge à destination d’Internet à l’aide du protocole ECMP est basé sur les
connexions, pas sur la bande passante. Les itinéraires configurés de manière statique ou appris grâce au
routage dynamique sont utilisés avant l’algorithme ECMP. Si vous disposez de la mise à niveau Pro de
Fireware XTM, l’option tourniquet pondérée vous propose des options permettant d’envoyer davantage de
trafic sur une interface externe par rapport à une autre. Simultanément, l’algorithme de tourniquet répartit
le trafic sur chaque interface en se basant sur la bande passante et non les connexions. Vous bénéficiez
ainsi d’un contrôle accru sur la quantité d’octets de données envoyés par le biais de chaque FSI.
Basculement de modem série
(Cette rubrique ne concerne que Firebox X Edge et XTM série 2.)
Vous pouvez configurer le Firebox X Edge ou XTM 2 Series pour envoyer du trafic par l’intermédiaire d’un
modem série lorsque l’envoi de trafic par l’intermédiaire d’une interface externe est impossible. Vous
devez disposer d’un compte d’accès à distance avec un FSI (Fournisseur de services Internet) et d’un
modem externe connecté au port série (Edge) ou USB port (Série 2) pour utiliser cette option.
Edge a été testé avec les modems suivants :
n
n
n
n
n
Modem série fax Hayes 56K V.90
Zoom FaxModem 56K modèle 2949
Modem externe U.S. Robotics 5686
Modem série Creative Modem Blaster V.92
Modem international Données/Fax MultiTech 56K
La Série 2 a été testée avec les modems suivants :
n
n
n
n
Zoom FaxModem 56K modèle 2949
Modem international Données/Fax MultiTech 56K
Modem Fax/Données OMRON ME5614D2
Modem série fax Hayes 56K V.90
Pour un modem série, utilisez un adaptateur USB vers série pour connecter le modem au périphérique
XTM Série 2.
Activer le basculement de modem série
1. Sélectionnez Modem > réseau.
La boîte de dialogue Configuration du modem s’affiche.
2. Activez la case à cocher Activer le modem pour le basculement lorsque toutes les interfaces
externes sont désactivées.
154
WatchGuard System Manager
Multi-WAN
3. Indiquez les paramètres de Compte, DNS, Accès à distanceet Contrôle des liaisonstel que décrit
dans les rubriques suivantes.
4. Cliquez sur OK.
5. Sauvegarder votre configuration.
Paramètres du compte
1. Sélectionnez l’onglet Compte.
2. Dans la zone de texte Téléphone, entrez le numéro de téléphone de votre fournisseur de services
Internet (FSI).
3. Si vous disposez d’un autre numéro pour votre FSI, entrez ce numéro dans la zone de texte Numéro
de téléphone alternatif.
4. Dans la zone de texte Nom de compte , entrez le nom du compte d’accès à distance.
5. Si vous vous connectez sur votre compte à l’aide d’un nom de domaine, entrez le nom de domaine
dans la zone de texte Domaine de compte.
Un exemple de nom de domaine est msn.com.
6. Dans la zone de texte Mot de passe du compte , entrez le mot de passe que vous utilisez pour vous
connecter à votre compte d’accès à distance.
7. Si vous rencontrez des problèmes de connexion, activez la case à cocher Activer le modem et la
trace de débogage PPP. Lorsque cette option est sélectionnée, Edge envoie des journaux détaillés
pour la fonctionnalité de basculement vers un modem série dans le fichier journal des événements.
Paramètres DNS
Si votre FSI d’accès à distance ne donne pas d’informations sur le serveur DNS ou si vous devez utiliser un
autre serveur DNS, vous pouvez entrer vous-même les adresses IP du serveur DNS qui sera utilisé en cas de
basculement.
User Guide
155
Multi-WAN
1. Sélectionnez l’onglet DNS.
La page des paramètres DNS s’affiche.
2. Activez la case à cocher Configurer manuellement les adresses IP du serveur DNS.
3. Dans la zone de texte Serveur DNS principal , entrez l’adresse IP du serveur DNS principal.
4. Si vous disposez d’un serveur DNS secondaire, entrez l’adresse IP du serveur secondaire dans la
zone de texte Serveur DNS secondaire .
5. Dans la zone de texte MTU , pour des raisons de compatibilité, vous pouvez définir une valeur
différente pour l’Unité maximale de transmission (MTU). La plupart des utilisateurs peuvent
conserver le paramètre par défaut.
Paramètres d’accès à distance
1. Sélectionnez l’onglet Accès à distance.
La page des options d’appel s’affiche.
2. Dans la zone de texte Délai d’attente de l’appel , entrez ou sélectionnez le nombre de secondes
avant expiration du délai d’attente si votre modem ne parvient pas à se connecter. La valeur par
défaut est de deux (2) minutes.
3. Dans la zone de texte Tentatives de rappel , entrez le nombre de fois que Firebox tente de rappeler
le numéro si votre modem ne parvient pas à se connecter. Par défaut, on attendra (3) tentatives de
connexion.
4. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez la durée en minutes avant
l’expiration du délai si aucun trafic n’accède au modem. La valeur par défaut est aucun délai
d’inactivité.
5. Depuis la liste déroulante Volume du haut-parleur , sélectionnez le volume du haut-parleur de
votre modem.
Paramètres avancés
Pour certains FSI, il est nécessaire de spécifier une ou plusieurs options PPP afin d’activer la connexion. En
Chine, par exemple, certains FSI requièrent l’utilisation de l’option PPP Tout recevoir. L’option Tout recevoir
permet au protocole PPP d’accepter tous les caractères de contrôles en provenance du pair.
156
WatchGuard System Manager
Multi-WAN
1. Sélectionnez l’onglet Avancé.
2. Dans la zone de texte options PPP , entrez les options PPP requises. Pour spécifier plus d’une option
PPP, séparez chaque option par une virgule.
Paramètres de contrôle des liaisons
Vous pouvez définir les options pour tester une ou plusieurs interfaces externes pour une connexion
active. Lorsqu’une interface externe est réactivée, Firebox n’envoie plus de trafic par le modem série et
utilise la ou les interfaces externes à la place. Vous pouvez configurer le contrôleur des liaisons pour
envoyer une requête ping à un site ou un périphérique sur l’interface externe, créez une connexion TCP en
définissant un site et un numéro de port, ou les deux. Vous pouvez aussi définir l’intervalle temporel entre
chaque test de connexion et configurer le nombre de fois qu’un test doit échouer ou réussir avant
l’activation ou la désactivation d’une interface.
Pour configurer les paramètres de contrôle des liaisons pour une interface :
1. Cliquez sur Contrôle des liaisons.
La boîte de dialogue Configuration du contrôle des liaisons s’affiche.
User Guide
157
Multi-WAN
2. Pour modifier les paramètres d’une interface externe, sélectionnez-la dans une liste d’interfaces
externes. Vous devez configurer chaque interface séparément. Définissez la configuration de
contrôle des liaisons pour chaque interface.
3. Pour envoyer une requête ping à un emplacement ou à un périphérique sur le réseau externe,
activez la case à cocher Requête ping et entrez l’adresse IP ou le nom d’hôte dans la zone de texte
adjacente.
4. Pour créer une connexion TCP sur un emplacement ou un périphérique sur le réseau externe,
activez la case à cocher Protocole TCP et entrez l’adresse IP ou le nom d’hôte dans la zone de texte
adjacente. Vous pouvez aussi entrer ou sélectionner un numéro de port.
Le numéro de port par défaut est 80 (HTTP).
5. Pour demander des connexions réussies par envoi de requête ping et par protocole TCP avant que
l’interface ne soit marquée comme active, activez la case à cocher Les requêtes ping et les
connexions TCP doivent être réussies.
6. Pour modifier l’intervalle temporel entre les tentatives de connexion, entrez ou sélectionnez un
numéro différent dans la zone de texte Intervalle d’exploration .
Le paramètre par défaut est de 15 secondes.
7. Pour modifier le nombre d’échecs qui marquent une interface comme inactive, entrez ou
sélectionnez un nombre différent dans la zone de texte Désactiver après.
La valeur par défaut est trois (3) tentatives de connexions.
8. Pour modifier le nombre de connexions réussies qui marquent une interface comme active, entrez
ou sélectionnez un nombre différent dans la zone de texteRéactiver après .
La valeur par défaut est trois (3) tentatives de connexions.
9. Cliquez sur OK.
À propos des Paramètres multiWAN avancés
Dans votre configuration multiWAN, vous pouvez définir des préférences pour des connexions persistantes,
la restauration et la notification d’événements multiWAN. Certaines options de configuration ne sont pas
disponibles pour toutes les options de configuration multiWAN. Si un paramètre ne s’applique pas à l’option
de configuration multiWAN que vous avez sélectionnée, les champs correspondants ne peuvent pas être
définis.
À propos de connexions persistantes
Une connexion persistante est une connexion qui continue à utiliser la même interface WAN pendant un
intervalle de temps défini. Vous pouvez définir des paramètres de connexion persistante si vous utilisez les
options de tourniquet ou de dépassement de capacité d’interface pour le multiWAN. Les connexions
persistantes permettent de s’assurer que si un paquet traverse une interface externe, tous les autres
paquets suivants entre la paire d’adresses sources et de destination passeront par cette même interface
externe, pendant un intervalle de temps défini. Par défaut, les connexions persistantes utilisent la même
interface pendant 3 minutes.
Si une définition de stratégie contient un paramètre de connexion persistante, ce dernier peut remplacer
toute autre durée de connexion persistante globale.
158
WatchGuard System Manager
Multi-WAN
Définissez une durée de connexion persistante globale
Utilisez l’onglet Avancé pour configurer une durée de connexion persistante dans le cadre de connexions
TCP, UDP et d’autres connexions basées sur d’autres protocoles.
Si vous définissez une durée de connexion persistante dans une stratégie, vous pouvez remplacer la durée
de connexion persistante globale.
Pour plus d’informations, voir Définir la durée de connexion persistante pour une stratégie à la page 367.
Définissez l’action de restauration
Vous pouvez définir l’action à entreprendre par votre périphérique WatchGuard lorsqu’un événement de
basculement s’est produit et que l’interface externe principale est à nouveau active. Lorsque c’est le cas,
toutes les nouvelles connexions sont immédiatement restaurées sur l’interface externe principale.
Cependant, vous pouvez sélectionner la méthode que vous souhaitez appliquer aux connexions actives au
moment de la restauration. Le paramètre de basculement s’applique aussi à toute configuration de routage
basé sur stratégie que vous définissez pour utiliser les interfaces externes de basculement.
User Guide
159
Multi-WAN
1. Dans la boîte de dialogue Configuration du réseau, sélectionnez l’onglet multiWAN.
2. Cliquez sur l’onglet Avancé.
3. Dans la liste déroulante de la rubrique Failback des connexions actives, sélectionnez une option :
n
n
Restauration immédiate — Le périphérique WatchGuard arrête immédiatement toutes les
connexions existantes.
Restauration progressive — Le périphérique WatchGuard continue à utiliser l’interface de
basculement pour les connexions existantes jusqu’à la fin de chaque connexion.
4. Cliquez sur OK.
À propos de État de l’interface WAN
Vous pouvez modifier la méthode et la fréquence à utiliser par Firebox pour contrôler l’état de chaque
interface WAN. Si vous ne configurez pas de méthode, il envoie une requête ping à la passerelle par défaut
de l’interface pour vérifier l’état de cette dernière.
160
WatchGuard System Manager
Multi-WAN
Temps nécessaire à Firebox pour mettre à jour sa table de
routage
Si l’un des hôtes de contrôle des liaisons ne répond pas, il faut compter entre 40 et 60 secondes pour que
le périphérique Firebox mette à jour sa table de routage. Lorsque le même hôte de contrôle des liaisons
recommence à répondre, il faut compter entre 1 et 60 secondes pour que Firebox mette à jour sa table de
routage.
Ce processus de mise à jour est bien plus rapide si Firebox détecte une déconnexion physique du port
Ethernet. Lorsque cela se produit, le périphérique WatchGuard met immédiatement à jour sa table de
routage. Lorsque Firebox détecte que la connexion Ethernet est de nouveau rétablie, il met à jour sa table
de routage dans les 20 secondes qui suivent.
Définir un hôte de contrôle des liaisons
1. Dans la boîte de dialogue Configuration du réseau, sélectionnez l’onglet multiWAN et cliquez sur
l’ongletContrôle des liaisons.
2. Sélectionnez l’interface dans la colonne Interface externe. Les informations deparamètres sont
modifiées de façon dynamique pour afficher les paramètres de cette interface.
3. Activez les cases à cocher de chaque méthode de contrôle des liaisons que vous souhaitez que
Firebox utilise pour vérifier l’état de chaque interface externe :
n
n
n
Requête ping — Ajoutez une adresse IP ou un nom de domaine auquel Firebox enverra une
requête ping pour vérifier l’état de l’interface.
TCP — Ajoutez l’adresse IP ou le nom de domaine d’un ordinateur avec lequel Firebox peut
négocier un transfert TCP pour vérifier l’état de l’interface WAN.
Les requêtes ping et les connexions TCP doivent être réussies pour que l’interface soit définie
comme active — L’interface est considérée comme inactive à moins qu’une requête ping et
une connexion TCP ne soient exécutées avec succès.
Si une interface externe fait partie d’une configuration FireCluster, un basculement multiWAN dû à
un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement
FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive
ou ne répond pas. Si vous ajoutez un nom de domaine auquel Firebox devra envoyer des requêtes
ping et que l’une des interfaces externes a une adresse IP statique, vous devez configurer un
serveur DNS, tel que décrit dans Ajouter Serveurs WINS et Adresses du serveur DNS à la page 119.
User Guide
161
Multi-WAN
4. Entrez ou sélectionnez un Intervalle d’explorationen activant le paramètrepour configurer la
fréquence à laquelle Firebox doit vérifier l’état de l’interface.
Le paramètre par défaut est de 15 secondes.
5. Pour modifier le nombre d’échecs d’explorations successifs qui doivent se produire avant le
basculement, entrez ou sélectionnez le paramètre Désactiver après.
Le paramètre par défaut est trois (3). Après le nombre d’échecs sélectionnés, Firebox envoie le trafic à
l’interface suivante définie dans la liste de basculement multiWAN.
6. Pour modifier le nombre de réussites d’exploration consécutives d’une interface avant qu’une
interface inactive ne redevienne active, entrez ou sélectionnez le paramètreRéactiver après.
7. Répétez ces étapes pour chaque interface externe.
8. Cliquez sur OK.
9. Enregistrer le fichier de configuration.
162
WatchGuard System Manager
8
Traduction d’adresses réseau
(NAT)
À propos de Traduction d’adresses réseau
(Network Address Translation) (NAT)
La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes
formes de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur
de l’adresse IP d’un paquet par une autre valeur.
Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir
d’une seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque
vous utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez.
Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une
stratégie. Les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN.
Si vous avec une mise à niveau de Fireware XTM vers la version professionnelle, vous pouvez utiliser la
fonctionnalité Équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau
statique. La fonctionnalité d’équilibrage de charge côté serveur est conçue pour augmenter l’évolutivité et
les performances d’un réseau à fort trafic comportant plusieurs serveurs publics protégés par votre
périphérique WatchGuard. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le
périphérique WatchGuard contrôle le nombre de sessions établies vers un maximum de dix serveurs pour
chaque stratégie de pare-feu que vous configurez. Le périphérique WatchGuard contrôle la charge en
fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande
passante utilisée par chaque serveur n’est effectuée par le périphérique WatchGuard.
Pour plus d’informations sur l’équilibrage de charge côté serveur, voir Configurer les équilibrage de charge
côté serveur à la page 182.
Types de NAT
Le périphérique WatchGuard prend en charge trois types de traduction d’adresses réseau. Votre
User Guide
163
Traduction d’adresses réseau (NAT)
configuration peut utiliser plusieurs types de traduction d’adresses réseau simultanément. Vous appliquez
certains types de NAT à l’ensemble du trafic de pare-feu, et les autres types en tant que paramètre d’une
stratégie.
NAT dynamique
La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Le
périphérique WatchGuard peut appliquer son adresse IP publique aux paquets sortants pour toutes
les connexions ou pour des services spécifiés. Ceci permet de masquer au réseau externe l’adresse
IP réelle de l’ordinateur qui est la source du paquet. La traduction d’adresses réseau dynamique sert
généralement à masquer les adresses IP des hôtes internes lorsqu’ils accèdent aux services publics.
Pour plus d’informations, voir À propos de la traduction dynamique traduction d'adresses réseau
(NAT) à la page 164.
Traduction d’adresses réseau statique
La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de
port » ; vous la configurez en même temps que les stratégies. Il s’agit d’une traduction d’adresses
réseau port à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface
externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un
port se trouvant derrière le pare-feu.
Pour plus d’informations, voir À propos de NAT statique à la page 180.
1-to-1 NAT
1-to-1 NAT fait correspondre les adresses IP d’un réseau aux adresses IP d’un autre réseau. Ce type
de NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs
internes, publics.
Pour plus d’informations, voir À propos de 1-to-1 NAT à la page 169.
À propos de la traduction dynamique traduction
d'adresses réseau (NAT)
La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle
consiste à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À
l’extérieur de Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets
sortants.
De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction
d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle
masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les
connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses
réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière
Firebox.
164
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Dans la plupart des réseaux, la stratégie de sécurité recommandée consiste à appliquer NAT à tous les
paquets sortants. Avec Fireware, la traduction d’adresses réseau dynamique est activée par défaut dans la
boîte de dialogue NAT > réseau. Elle est également activée par défaut dans chaque stratégie que vous créez.
Vous pouvez remplacer le paramètre de pare-feu de la traduction d’adresses réseau dynamique dans
chacune de vos stratégies, comme cela est indiqué dans la rubrique Appliquer les règles NAT à la page 366.
Ajouter des entrées NAT dynamiques de pare-feu
La configuration par défaut de la traduction d’adresses réseau dynamique active cette dernière à partir de
toutes les adresses IP privées vers le réseau externe. Les entrées par défaut sont les suivantes :
n
n
n
192.168.0.0/16 – Any-External (Tout-Externe)
172.16.0.0/12 – Any-External (Tout-Externe)
10.0.0.0/8 – Any-External (Tout-Externe)
Ces trois adresses réseau qui correspondent aux réseaux privés réservés par le groupe de travail IETF
(Internet Engineering Task Force) sont généralement utilisées pour les adresses IP sur les réseaux locaux.
Pour activer la traduction d’adresses réseau dynamique pour des adresses IP privées autres que celles-ci,
vous devez leur ajouter une entrée. Le périphérique WatchGuard applique les règles de traduction
d’adresses réseau dynamique dans l’ordre dans lequel elles apparaissent dans la liste Entrées de traduction
d’adresses réseau dynamique. Nous vous recommandons de placer les règles dans un ordre correspondant
au volume de trafic auquel ces règles s’appliquent.
1. Sélectionnez Réseau > NAT.
La boîte de dialogue Configuration de NAT apparaît.
2. Dans l’onglet Traduction d’adresses réseau dynamique, cliquez sur Ajouter.
La boîte de dialogue Ajouter la traduction d’adresses réseau dynamique s’affiche.
User Guide
165
Traduction d’adresses réseau (NAT)
3. Dans la liste déroulante De, sélectionnez la source des paquets sortants.
Par exemple, utilisez l’alias de l’hôte approuvé pour activer NAT à partir de l’ensemble du réseau
approuvé.
Pour plus d’informations sur les alias intégrés du périphérique WatchGuard, voir À propos des alias à
la page 81.
4. Dans la liste déroulante À, sélectionnez la destination des paquets sortants.
5. Pour ajouter un hôte ou une adresse IP réseau, cliquez sur
.
La boîte de dialogue Ajouter une adresse s’affiche.
6. Dans la liste déroulante Choisir le type, sélectionnez le type d’adresse.
7. Dans la zone de texte Valeur , saisissez l’adresse IP ou la plage d’adresses.
Vous devez saisir une adresse réseau en notation de barre oblique.
N’oubliez pas d’entrer tous les numéros et les points. N’utilisez pas les touches TAB ni les touches de
direction.
8. Cliquez sur OK.
La nouvelle entrée s’affiche dans la liste Entrées de traduction d’adresses réseau dynamique.
Supprimer une entrée de traduction d’adresses réseau dynamique
Vous ne pouvez pas modifier une entrée de traduction d’adresses réseau dynamique existante. Si vous
souhaitez modifier une entrée existante, vous devez supprimer l’entrée et en ajouter une nouvelle.
Pour supprimer une entrée de traduction d’adresses réseau dynamique :
1. Sélectionnez l’entrée à supprimer.
166
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
2. Cliquez sur Supprimer.
Un message d’avertissement s’affiche.
3. Cliquez sur Oui.
Réorganiser les entrées de traduction d’adresses réseau dynamique
Pour changer la séquence des entrées de traduction d’adresses réseau dynamique :
1. Sélectionnez l’entrée à modifier.
2. Cliquez sur Haut ou Bas pour déplacer l’élément dans la liste.
Configurer une traduction d’adresses dynamique à base de
stratégie Traduction d'adresses réseau (NAT)
Dans la traduction d’adresses réseau dynamique à base de stratégie, Firebox fait correspondre des adresses
IP privées avec des adresses IP publiques. L’activation de la traduction d’adresses réseau dynamique
s’effectue dans la configuration par défaut de chaque stratégie. L’activation de la traduction d’adresses
réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie.
Afin que la traduction d’adresses réseau dynamique pour une stratégie fonctionne correctement, utilisez
l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour vous assurer que la
stratégie est configurée de sorte à n’autoriser le trafic sortant que par une seule interface Firebox.
Les règles 1-to-1 NAT sont prioritaires sur les règles de NAT dynamique.
1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Cliquez sur l’onglet Avancé.
User Guide
167
Traduction d’adresses réseau (NAT)
3. Si vous souhaitez utiliser les règles de traduction d’adresses réseau dynamique définies pour le
périphérique WatchGuard, sélectionnez Utiliser les paramètres NAT du réseau.
Si vous souhaitez appliquer la traduction d’adresses à tout le trafic de cette stratégie, sélectionnez
Tout le trafic dans cette stratégie.
4. Si vous avez sélectionné Tout le trafic dans cette stratégie, vous pouvez définir une adresse IP
source dynamique NAT pour la stratégie qui utilise la traduction d’adresses réseau dynamique.
Cochez la case Définir l’adresse IP source.
Lorsque vous sélectionnez une adresse IP source, le trafic qui utilise cette stratégie indique une
adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes comme étant la
source. Ce système est généralement utilisé pour forcer le trafic SMTP sortant et indiquer l’adresse
de l’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du
périphérique Firebox est différente de celle de l’enregistrement MX. Cette adresse source doit être
sur le même sous-réseau que l’interface que vous avez indiquée pour le trafic sortant.
Il est recommandé de ne pas utiliser l’option Définir l’adresse IP source si vous avez plusieurs
interfaces externes configurées sur votre périphérique WatchGuard.
168
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Si vous ne cochez pas la case Définir l’adresse IP source, le périphérique WatchGuard change
l’adresse IP source de chaque paquet et utilise l’adresse IP de l’interface d’origine du paquet.
5. Cliquez sur OK.
6. Enregistrer le fichier de configuration.
Désactiver la traduction d’adresses réseau dynamique pour la stratégie
L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de
chaque stratégie. Pour désactiver la traduction d’adresses réseau dynamique pour une stratégie :
1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Cliquez sur l’onglet Avancé.
3. Pour désactiver la règle NAT pour le trafic contrôlé par cette stratégie, désélectionnez la case à
cocher Traduction d’adresses réseau dynamique.
4. Cliquez sur OK.
5. Enregistrer le fichier de configuration.
À propos de 1-to-1 NAT
Lorsque vous activez 1-to-1 NAT, votre périphérique WatchGuard modifie et achemine tous les paquets
entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle 1-to1 NAT est toujours prioritaire sur une règle de traduction d’adresses réseau dynamique.
La règle 1-to-1 NAT est fréquemment utilisée en présence d’un groupe de serveurs internes dont les
adresses IP privées doivent être rendues publiques. Vous pouvez utiliser 1-to-1 NAT pour faire
correspondre des adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos
serveurs internes. Dans un groupe de serveurs identiques (par exemple, un groupe de serveurs de
messagerie), il est plus simple de configurer 1-to-1 NAT que la traduction d’adresses réseau statique.
Voici un exemple de configuration de 1-to-1 NAT :
La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situé
derrière l’interface approuvée de son périphérique WatchGuard. Ces adresses sont les suivantes :
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface
externe de son périphérique WatchGuard, puis crée des enregistrements DNS pour la résolution des
adresses IP des serveurs de messagerie du domaine.
Ces adresses sont les suivantes :
50.1.1.1
50.1.1.2
User Guide
169
Traduction d’adresses réseau (NAT)
50.1.1.3
50.1.1.4
50.1.1.5
La Société ABC configure une règle 1-to-1 NAT pour ses serveurs de messagerie. La règle 1-to-1 NAT
génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a
l’aspect suivant :
10.1.1.1 <--> 50.1.1.1
10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5
Une fois la règle 1-to-1 NAT appliquée, votre périphérique WatchGuard crée le routage bidirectionnel et la
relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. Le 1-to-1 NAT fonctionne
également sur le trafic envoyé depuis les réseaux que protège votre périphérique WatchGuard.
À propos de 1-to-1 NAT et des tunnels VPN
En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir
différentes plages d’adresses réseau. Vous pouvez utiliser la règle 1-to-1 NAT lors de la création d’un tunnel
VPN entre deux réseaux qui utilisent une même adresse réseau privée. Si la plage d’adresses réseau sur le
réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour
qu’elles utilisent la règle 1-to-1 NAT.
Vous configurez une règle 1-to-1 NAT pour un tunnel VPN lorsque vous configurez le tunnel VPN et pas
dans la boîte de dialogue NAT > réseau boîte de dialogue.
1. Sélectionnez une plage d’adresses IP que vos ordinateurs indiquent comme étant les adresses IP
source lorsque le trafic provient de votre réseau et passe sur le réseau distant par l’intermédiaire du
tunnel BOVPN.
Demandez à l’administrateur réseau qu’il vous indique l’autre réseau pour sélectionner une plage
d’adresses IP qui ne sont pas utilisées. N’utilisez pas les adresses IP des réseaux suivants :
n
n
n
n
n
n
Le réseau approuvé, facultatif ou externe connecté à votre périphérique WatchGuard
Un réseau secondaire connecté à une interface approuvée, facultative ou externe de votre
périphérique WatchGuard
Un réseau routé, configuré dans Policy Manager (Itinéraires >réseau)
Réseaux auxquels vous êtes déjà reliés par un tunnel BOVPN
Pools d’adresses IP virtuelles pour Mobile VPN
Réseaux que le périphérique IPSec distant peut atteindre via ses interfaces, itinéraires réseaux
ou itinéraires VPN
2. Configurer les passerelles pour les périphériques WatchGuard locaux et distants.
3. Créer des tunnels entre des points de terminaison de passerelle.
170
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Dans la boîte de dialogue Paramètres d’itinéraire de tunnel de chaque périphérique WatchGuard,
cochez la case NAT 1:1 et saisissez la plage d’adresses IP (usurpation d’adresses IP) pour ce
périphérique WatchGuard dans la zone de texte située à côté.
Le nombre d’adresses IP notées dans cette zone doit être rigoureusement identique au nombre de
d’adresses IP de la zone de texte Local, en haut de la boîte de dialogue. Par exemple, si vous utilisez
la notation de barre oblique pour indiquer un sous-réseau, la valeur après la barre oblique doit être
identique dans les deux zones de texte.
Pour plus d’informations, voir À propos de la notation de barre oblique à la page iv.
Pour plus d’informations et pour accéder à un exemple, voir Utiliser 1-to-1 NAT via un tunnel BOVPN à la
page 869.
Configurer 1-to-1 NAT pour le pare-feu
1. Sélectionnez Réseau > NAT.
La boîte de dialogue Configuration de NAT apparaît.
2. Cliquez sur l’onglet 1-to-1 NAT.
3. Cliquez sur Ajouter.
La boîte de dialogue Ajouter mappage un à un apparaît.
4. Dans la liste déroulante Type de mappage, sélectionnez IP unique (pour mapper un hôte), Plage IP
(pour mapper une plage d’hôtes) ou Sous-réseau IP (pour mapper un sous-réseau).
Si vous sélectionnez Plage IP ou Sous-réseau IP, spécifiez un maximum de 256 adresses IP dans la
plage ou le sous-réseau. Si vous possédez plus de 256 adresses IP auxquelles vous souhaitez
appliquer la règle 1-to-1 NAT, il vous faudra créer plusieurs règles.
5. Remplissez tous les champs de la section Configuration de la boîte de dialogue.
Pour plus d’informations sur l’utilisation de ces champs, voir la section suivante Définir une règle NAT
un à un.
6. Cliquez sur OK.
User Guide
171
Traduction d’adresses réseau (NAT)
Après avoir configuré une règle globale 1-to-1 NAT, vous devez ajouter les adresses IP NAT aux stratégies
appropriées..
n
n
Si votre stratégie gère le trafic sortant, ajoutez les adresses IP de base réelles à la section De de la
configuration de stratégie.
Si votre stratégie gère le trafic entrant, ajoutez les adresses IP de base NAT à la section À de la
configuration de stratégie.
Dans l’exemple précédent, dans lequel nous avons utilisé une règle 1-to-1 NAT pour donner l’accès à un
groupe de serveurs de messagerie décrit dans À propos de 1-to-1 NAT à la page 169, nous devons
configurer la stratégie SMTP pour permettre le trafic SMTP. Pour terminer cette configuration, vous devez
modifier les paramètres stratégie pour autoriser le trafic depuis le réseau externe vers la plage d’adresses
IP 10.1.1.1-10.1.1.5.
1.
2.
3.
4.
5.
Créez une stratégie ou modifiez une stratégie existante.
À côté de la liste De , cliquez sur Ajouter.
Sélectionnez l’alias Any-External (Tout-Externe) et cliquez sur OK.
À côté de la liste À, cliquez sur Ajouter. Cliquez sur Ajouter autre.
Pour ajouter une adresse IP à la fois, sélectionnez IP de l’hôte dans la liste déroulante et saisissez
l’adresse IP dans la zone de texte située à côté, puis cliquez sur OK deux fois.
6. Répétez les étapes 3-4 pour chaque adresse IP de la plage d’adresses NAT.
Pour ajouter plusieurs adresses IP à la fois, sélectionnez Plage d’hôtes dans la liste déroulante.
Saisissez les première et dernière adresses IP de la plage de base NAT et cliquez sur OK deux fois.
Note Pour vous connecter à un ordinateur situé sur une autre interface qui fait appel à
la règle 1-to-1 NAT, vous devez utiliser l’adresse IP (base NAT) privée de cet
ordinateur. Si cela pose un problème, vous pouvez désactiver la règle 1-to-1 NAT
pour utiliser la traduction d’adresses réseau statique.
Définir un Règle 1-to-1 NAT
Dans chaque règle 1-to-1 NAT, vous pouvez configurer un hôte, une plage d’hôtes ou un sous-réseau. Vous
devez également configurer :
Interface
Nom de l’interface Ethernet sur laquelle la règle 1-to-1 NAT est appliquée. Votre périphérique
WatchGuard appliquera la règle 1-to-1 NAT aux paquets envoyés à l’interface et depuis cette
dernière. Dans notre exemple ci-dessus, la règle est appliquée à l’interface externe.
Base NAT
Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base NAT
est la première adresse IP disponible de la À. L’adresse IP de base NAT est l’adresse qui devient une
adresse IP de base réelle soumise à la règle 1-to-1 NAT. Vous ne pouvez pas utiliser l’adresse IP
d’une interface Ethernet existante en tant que base NAT. Dans notre exemple ci-dessus, la base NAT
est 50.50.50.1.
172
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Base réelle
Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base
réelle est la première adresse IP disponible de la plage d’adresses De. Il s’agit de l’adresse IP
attribuée à l’interface Ethernet physique de l’ordinateur auquel vous appliquez la stratégie 1-to-1
NAT. Lorsque les paquets provenant d’un ordinateur associé à une adresse de base réelle transitent
par l’interface spécifiée, l’action un à un s’applique. Dans l’exemple ci-dessus, la base réelle est
10.0.1.50.
Nombre d’hôtes soumis à la règle NAT (pour plages IP uniquement)
Nombre d’adresses IP d’une plage auquel s’applique la règle 1-to-1 NAT. La première adresse IP de
base réelle est traduite en première adresse IP de base NAT lors de l’application de la règle 1-to-1
NAT. La deuxième adresse IP de base réelle de la plage est traduite en deuxième adresse IP de base
NAT lors de l’application de la règle 1-to-1 NAT. Cette opération se répète jusqu’à ce que le nombre
d’hôtes soumis à la règle NAT soit atteint. Dans l’exemple ci-dessus, le nombre d'hôtes à soumettre à
la règle NAT est 5.
Vous pouvez également utiliser la règle 1-to-1 NAT lors de la création d’un tunnel VPN entre deux réseaux
qui utilisent une même adresse réseau privée. En effet, lorsque vous créez un tunnel VPN, les réseaux à
chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Si la plage d’adresses
réseau sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux
passerelles pour qu’elles utilisent la règle 1-to-1 NAT. Ensuite, vous pouvez créer le tunnel VPN sans
modifier les adresses IP à une extrémité du tunnel. Vous configurez une règle 1-to-1 NAT pour un tunnel
VPN lorsque vous configurez le tunnel VPN et pas dans la boîte de dialogue NAT >réseau.
Pour accéder à un exemple d’utilisation d’une règle 1-to-1 NAT, voir Exemple de règle 1-to-1 NAT.
Configurer 1-to-1 NAT pour une stratégie
Dans la règle 1-to-1 NAT basée sur une stratégie, votre périphérique WatchGuard utilise les plages IP
publiques et privées que vous avez définies lorsque vous avez configuré la règle 1-to-1 NAT globale, mais
les règles s’appliquent à une stratégie individuelle. L’activation de la règle 1-to-1 NAT s’effectue dans la
configuration par défaut de chaque stratégie. Si le trafic correspond à la fois à une stratégie 1-to-1 NAT et à
une stratégie de traduction d’adresses réseau dynamique, c’est la stratégie 1-to-1 NAT qui est prioritaire.
Activer 1-to-1 NAT pour une stratégie
L’activation de la règle 1-to-1 NAT pour une stratégie étant la valeur par défaut, il est inutile de l’activer. Si
vous avez désactivé la règle 1-to-1 NAT basée sur une stratégie, cochez la case dans Étape 3 de la
procédure suivante pour la réactiver.
Désactiver la règle 1-to-1 NAT pour une stratégie
1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Cliquez sur l’onglet Avancé.
User Guide
173
Traduction d’adresses réseau (NAT)
3. Désélectionnez la case 1-to-1 NAT pour désactiver la règle NAT pour le trafic contrôlé par cette
stratégie.
4. Cliquez sur OK. Enregistrer le fichier de configuration.
Configurer le bouclage NAT avec la traduction
d’adresses réseau statique
Fireware XTM prend en charge le bouclage NAT. Le bouclage NAT permet à un utilisateur des réseaux
approuvé ou facultatif d’accéder à un serveur public qui se trouve sur la même interface physique Firebox
par son adresse IP publique ou son nom de domaine. Pour les connexions de bouclage NAT, Firebox change
l’adresse IP source et utilise l’adresse IP de l’interface interne Firebox (l’adresse IP principale de l’interface
dans laquelle le client et le serveur se connectent à Firebox).
Voici un exemple de configuration de bouclage NAT avec la règle NAT statique :
174
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. L’entreprise une règle
NAT statique pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite
autoriser les utilisateurs du réseau approuvé à utiliser l’adresse IP publique ou le nom de domaine pour
accéder à ce serveur public.
Pour cet exemple, nous partons des postulats suivants :
n
n
n
L’interface approuvée est configurée avec une adresse IP sur le réseau 10.0.1.0/24
L’interface approuvée est également configurée avec une adresse IP secondaire sur le réseau
192.168.2.0/24
Le serveur HTTP est connecté physiquement au réseau 10.0.1.0/24. L’adresse de base réelle du
serveur HTTP se trouve sur le réseau approuvé.
Ajouter une stratégie pour le bouclage NAT sur le serveur
Dans cet exemple, pour autoriser les utilisateurs de vos réseaux approuvé et facultatif à utiliser l’adresse IP
publique ou le nom de domaine pour accéder à un serveur public se trouvant sur le réseau approuvé, vous
devez ajouter une stratégie HTTP qui pourrait avoir cette apparence :
User Guide
175
Traduction d’adresses réseau (NAT)
La section À de la stratégie contient un itinéraire NAT statique depuis l’adresse IP publique du serveur HTTP
jusqu’à l’adresse IP réelle de ce serveur.
Pour plus d’informations sur la traduction d’adresses réseau statique, voir À propos de NAT statique à la
page 180.
Si vous utilisez 1-to-1 NAT pour acheminer le trafic vers les serveurs à l’intérieur de votre réseau, voir
Bouclage NAT et 1-to-1 NAT à la page 176.
Bouclage NAT et 1-to-1 NAT
Le bouclage NAT permet à un utilisateur des réseaux approuvé ou facultatif de se connecter à un serveur
public avec son adresse IP publique ou son nom de domaine si le serveur se trouve sur la même interface
Firebox physique. Si vous utilisez la règle 1-to-1 NAT pour acheminer le trafic jusqu’aux serveurs sur le
réseau interne, utilisez ces instructions pour configure le bouclage NAT des utilisateurs internes jusqu’à ces
serveurs. Si vous n’utilisez pas la règle 1-to-1 NAT, voir Configurer le bouclage NAT avec la traduction
d’adresses réseau statique à la page 174.
Voici un exemple de configuration de bouclage NAT avec la règle 1-to-1 NAT :
L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. Elle utilise une règle 1-to1 NAT pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite autoriser les
utilisateurs de l’interface approuvée à utiliser l’adresse IP publique ou le nom de domaine pour accéder à
ce serveur public.
Pour cet exemple, nous partons des postulats suivants :
n
Un serveur dont l’adresse IP publique est 100.100.100.5 est mis en correspondance par une règle
1-to-1 NAT à un hôte du réseau interne.
Dans l’onglet 1-to-1 NAT de la boîte de dialogue Configuration NAT, sélectionnez ces options :
Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5
n
176
L’interface approuvée est configurée avec un réseau principal, 10.0.1.0/24
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
n
n
Le serveur HTTP est connecté physiquement au réseau sur l’interface approuvée. L’adresse Base
réelle de cet hôte se trouve sur l’interface approuvée.
L’interface approuvée est également configurée avec un réseau secondaire, 192.168.2.0/24.
Dans cet exemple, afin d’activer le bouclage NAT pour tous les utilisateurs connectés à l’interface
approuvée, vous devez :
1. Vérifier qu’il existe une entrée 1-to-1 NAT pour chaque interface utilisée par le trafic lorsque les
ordinateurs internes accèdent à l’adresse IP publique 100.100.100.5 avec connexion de bouclage NAT.
Vous devez ajouter un autre mappage NAT un à un pour l’appliquer au trafic qui part de l’interface
approuvée. Le nouveau mappage un à un est identique au précédent, à l’exception du fait que
l’option Interface est définie sur Approuvée au lieu d’Externe.
Après l’ajout de la deuxième entrée 1-to-1 NAT, l’onglet 1-to-1 NAT de boîte de dialogue
Configuration NAT indique deux mappages 1-to-1 NAT : un pour l’interface externe et l’autre pour
l’interface approuvée.
Dans l’onglet 1-to-1 NAT de la boîte de dialogue Configuration NAT, ajoutez ces deux entrées :
Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5
Interface — Approuvée, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5
User Guide
177
Traduction d’adresses réseau (NAT)
2. Ajoutez pour chaque réseau une entrée de traduction d’adresses réseau dynamique sur l’interface à
laquelle le serveur est connecté.
Le champ De de l’entrée de traduction d’adresses réseau dynamique est l’adresse IP du réseau à
partir duquel les ordinateurs accèdent à l’adresse IP 1-to-1 NAT avec bouclage NAT.
Le champ À de l’entrée de traduction d’adresses réseau dynamique est l’adresse de base NAT du
mappage 1-to-1 NAT.
Dans cet exemple, l’interface approuvée comporte deux réseaux définis et nous souhaitons
autoriser les utilisateurs des deux réseaux à accéder au serveur HTTP avec l’adresse IP publique ou
le nom d’hôte du serveur. Nous devons ajouter deux entrées de traduction d’adresses réseau
dynamique.
Dans l’onglet NAT dynamique de la boîte de dialogue Configuration NAT, ajoutez :
10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5
178
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
3. Ajoutez une stratégie pour autoriser les utilisateurs de votre réseau approuvé à utiliser l’adresse IP
publique ou le nom de domaine pour accéder au serveur public sur le réseau approuvé. Dans cet
exemple :
De
Any-Trusted (Tout-Approuvé)
À
100.100.100.5
User Guide
179
Traduction d’adresses réseau (NAT)
L’adresse IP publique à laquelle les utilisateurs souhaitent se connecter est 100.100.100.5. Cette
adresse IP est configurée comme adresse IP secondaire de l’interface externe.
Dans la section À de la stratégie, ajoutez 100.100.100.5.
Pour plus d’informations sur la configuration de la traduction d’adresses réseau statique, voir À propos de
NAT statique à la page 180.
Pour plus d’informations sur la configuration d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le
pare-feu à la page 171.
À propos de NAT statique
Le principe de NAT statique, appelé également transfert de port, est une traduction d’adresses réseau port
à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface externe. La traduction
d’adresses réseau statique change l’adresse IP de destination en une adresse IP et en un port se trouvant
180
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de
façon dynamique, utilisez 1-to-1 NAT ou vérifiez si un proxy sur votre périphérique WatchGuard peut gérer
ce type de trafic. La traduction d’adresses réseau statique fonctionne également sur le trafic envoyé depuis
les réseaux que protège votre périphérique WatchGuard.
Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de
votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi
ou parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer
votre serveur de messagerie SMTP derrière votre périphérique WatchGuard avec une adresse IP privée et
configurer la traduction d’adresses réseau statique dans votre stratégie SMTP. Votre périphérique
WatchGuard reçoit les connexions sur le port 25 et s’assure que tout le trafic SMTP est envoyé au serveur
SMTP réel situé derrière le périphérique Firebox.
Configurer la traduction d’adresses réseau statique
1. Ouvrez Policy Manager.
2. Double-cliquez sur une stratégie pour la modifier.
3. Dans la liste déroulante Les connexions sont, sélectionnez Autorisées.
Pour utiliser la traduction d’adresses réseau statique, la stratégie doit laisser passer le trafic entrant.
4. Sous la liste À, cliquez sur Ajouter. Cliquez sur Ajouter NAT.
La boîte de dialogue Ajouter l’équilibrage de charge côté serveur/la traduction d’adresses réseau statique
apparaît.
Note La traduction d’adresses réseau statique n’est disponible que pour les stratégies
utilisant un port spécifique, notamment TCP et UDP. Une stratégie qui utilise un
autre protocole ne peut pas utiliser de traduction des adresses réseau entrantes
statique. Le bouton NAT de la boîte de dialogue Propriétés de cette stratégie n’est
pas disponible. Vous ne pouvez pas non plus utiliser la traduction des adresses
réseau statique avec la stratégie Any.
5. Dans la de membre, sélectionnez Traduction d’adresses réseau.
6. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous
souhaitez utiliser dans cette stratégie.
User Guide
181
Traduction d’adresses réseau (NAT)
Par exemple, vous pouvez utiliser la traduction d’adresses réseau statique pour cette stratégie pour
les paquets reçus uniquement sur une seule adresse IP externe. Vous pouvez également utiliser la
traduction d’adresses réseau statique pour les paquets reçus sur une adresse IP externe si vous
sélectionnez l’alias Any-External (Tout-Externe).
7. Saisissez l’adresse IP interne. Il s’agit de la destination sur le réseau approuvé ou facultatif.
8. Si nécessaire, sélectionnez Configurer le port interne sur un port autre que celui de cette
stratégie . Cette option active la traduction d’adresses de port (PAT, Port Address Translation).
Cette fonction vous permet de modifier la destination des paquets non seulement vers un hôte
interne spécifié, mais également vers un autre port. Si vous cochez cette case, saisissez le numéro
de port ou cliquez sur le bouton fléché Haut ou Bas pour sélectionner le port que vous souhaitez
utiliser. Cette option n’est généralement pas utilisée.
9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un NAT statique.
L’itinéraire de la traduction d’adresses réseau statique s’affiche dans la liste Membres et adresses.
10. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une adresse.
11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la stratégie.
Configurer les équilibrage de charge côté serveur
Note Pour utiliser l’équilibrage de charge côté serveur, vous devez avoir un périphérique
Firebox X Core, Peak ou WatchGuard XTM et Fireware XTM avec mise à niveau vers
la version professionnelle.
La fonctionnalité d’équilibrage de charge côté serveur dans Fireware XTM est conçue pour augmenter
l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics. Grâce à
l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le périphérique WatchGuard contrôle
le nombre de sessions établies vers un maximum de 10 serveurs pour chaque stratégie de pare-feu que
vous configurez. Le périphérique WatchGuard contrôle la charge en fonction du nombre de sessions en
cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque
serveur n’est effectuée par le périphérique WatchGuard.
Vous configurez l’équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses
réseau statique. Le périphérique WatchGuard peut équilibrer les connexions parmi vos serveurs à l’aide de
deux algorithmes différents. Lorsque vous configurez l’équilibrage de charge côté serveur, vous devez
choisir l’algorithme que vous souhaitez que le périphérique WatchGuard applique.
Tourniquet
Si vous sélectionnez cette option, le périphérique WatchGuard distribue les sessions entrantes
parmi les serveurs que vous spécifiez dans la stratégie, à tour de rôle. La première connexion est
envoyée au premier serveur spécifié dans la stratégie. La connexion suivante est envoyée au
serveur suivant dans la stratégie, et ainsi de suite.
Connexion minimale
Si vous sélectionnez cette option, le périphérique WatchGuard envoie chaque nouvelle session au
serveur de la liste présentant à ce moment-là le moins de connexions ouvertes au périphérique. Le
périphérique WatchGuard ne peut pas déterminer le nombre de connexions ouvertes du serveur
sur d’autres interfaces. Vous pouvez appliquer des pondérations à vos serveurs dans la configuration
182
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
de l’équilibrage de charge côté serveur afin de garantir que la charge la plus lourde est attribuée à
vos serveurs les plus puissants. Par défaut, chaque interface présente une pondération de 1. La
pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur.
Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le
périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de
1.
Lors de la configuration de l’équilibrage de charge côté serveur, il est important de savoir que :
n
n
n
n
n
Vous pouvez configurer l’équilibrage de charge côté serveur pour toutes les stratégies auxquelles
vous appliquez la traduction d’adresses réseau statique.
Si vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous ne pouvez pas définir un
routage basé sur stratégie ou d’autres règles NAT dans la même stratégie.
Lorsque vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous pouvez ajouter
jusqu’à 10 serveurs à la stratégie.
Le périphérique WatchGuard ne modifie pas l’adresse IP de l’expéditeurou de la source, du trafic
envoyé sur ces périphériques. Le trafic est envoyé directement depuis le périphérique
WatchGuard, mais chaque périphérique faisant partie de votre configuration d’équilibrage de
charge côté serveur voit l’adresse IP source d’origine du trafic réseau.
Si vous utilisez l’équilibrage de charge côté serveur dans une configuration FireCluster actif/passif, la
synchronisation en temps réel ne s’effectue pas entre les membres du cluster lorsqu’un
basculement se produit. Lorsque le maître du cluster passif devient le maître du cluster actif, il
envoie des connexions à tous les serveurs de la liste d’équilibrage de charge côté serveur pour
déterminer ceux qui sont disponibles. Il applique ensuite à tous les serveurs disponibles l’algorithme
d’équilibrage de charge.
Pour configurer l’équilibrage de charge côté serveur :
1. Double-cliquez sur la stratégie à laquelle vous souhaitez appliquer l’équilibrage de charge côté
serveur.
Vous pouvez également sélectionner la stratégie et choisir Édition > Modifier la stratégie.
Pour créer une stratégie et activer l’équilibrage de charge côté serveur de cette stratégie,
sélectionnez Édition > Ajouter une stratégie.
User Guide
183
Traduction d’adresses réseau (NAT)
2. Sous le champ À, cliquez sur Ajouter.
La boîte de dialogue Ajouter Adresse apparaît.
184
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
3. Cliquez sur Ajouter NAT.
La boîte de dialogue Ajouter l’équilibrage de charge côté serveur/la traduction d’adresses réseau statique
apparaît.
4. Dans la liste déroulante membre, sélectionnez Équilibrage de charge côté serveur.
User Guide
185
Traduction d’adresses réseau (NAT)
5. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous
souhaitez utiliser dans cette stratégie.
Par exemple, vous pouvez faire en sorte que le périphérique WatchGuard applique l’équilibrage de
charge côté serveur à cette stratégie pour les paquets reçus uniquement sur une seule adresse IP
externe. Le périphérique WatchGuard peut également appliquer l’équilibrage de charge côté
serveur pour les paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l’alias AnyExternal (Tout-Externe).
6. Dans la liste déroulante Méthode, sélectionnez l’algorithme que le périphérique WatchGuard doit
utiliser pour l’équilibrage de charge côté serveur : Tourniquet ou Connexion minimale.
7. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette stratégie.
Vous pouvez ajouter un maximum de 10 serveurs dans une stratégie. Vous pouvez également ajouter
une pondération au serveur. Par défaut, chaque serveur présente une pondération de 1. La
pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur.
Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le
périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de 1.
8. Pour définir des connexions persistantes pour vos serveurs internes, cochez la case Activer une
connexion persistante et définissez la période dans les champs Activer une connexion persistante.
186
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Une connexion persistante est une connexion qui continue à utiliser le même serveur pendant un
intervalle de temps défini. La persistance garantit que tous les paquets situés entre une paire
d’adresses source et de destination sont envoyés à un même serveur pendant la durée que vous
spécifiez.
9. Cliquez sur OK.
10. Enregistrer le fichier de configuration.
Exemples de traduction d’adresses réseau (NAT)
Exemple de règle 1-to-1 NAT
Lorsque vous activez une règle 1-to-1 NAT, le périphérique Firebox ou XTM modifie et achemine tous les
paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses.
Pensez à une situation dans laquelle vous avez un groupe de serveurs internes avec des adresses IP privées
; chacune doit indiquer une adresse IP publique différente vers l’extérieur. Vous pouvez utiliser une règle
1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes et vous n’avez pas
besoin de changer les adresses IP de vos serveurs internes. Pour comprendre comment configurer une
règle 1-to-1 NAT, prenez cet exemple :
Une entreprise possède un groupe de trois serveurs comportant des adresses privées et situés derrière
une interface facultative du périphérique Firebox. Les adresses des serveurs sont les suivantes :
10.0.2.11
10.0.2.12
10.0.2.13
L’administrateur sélectionne trois adresses IP publiques de la même adresse réseau que l’interface externe
du Firebox et crée des enregistrements DNS pour la résolution des adresses des serveurs. Ces adresses
sont les suivantes :
User Guide
187
Traduction d’adresses réseau (NAT)
50.50.50.11
50.50.50.12
50.50.50.13
L’administrateur configure une règle 1-to-1 NAT pour les serveurs. La règle 1-to-1 NAT génère une relation
statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant :
10.0.2.11 <--> 50.50.50.11
10.0.2.12 <--> 50.50.50.12
10.0.2.13 <--> 50.50.50.13
Une fois la règle 1-to-1 NAT appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le
pool d’adresses IP privées et le pool d’adresses publiques.
Pour connaître les étapes de définition d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le pare-feu.
188
WatchGuard System Manager
9
Configuration sans fil
À propos de la configuration sans fil
Lorsque vous activez la fonction sans fil du périphérique WatchGuard, vous avez le choix entre une
configuration sans fil de l’interface externe, ou une configuration du périphérique WatchGuard comme
point d’accès sans fil pour les utilisateurs de réseaux approuvés, facultatifs ou invités.
Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 191.
Note Avant de pouvoir activer la fonction sans fil, vous devez obtenir la clé de
fonctionnalité du périphérique.
Pour plus d’informations, voir À propos de les clés de fonctionnalité à la page 63
Activation de la fonction sans fil de votre périphérique WatchGuard :
1. Sélectionnez Réseau > Sans fil.
La boîte de dialogue Connexions du réseau sans fil s’affiche.
2. Cochez la case Enable wireless (Activer sans fil).
3. Dans la boîte de dialogue Sans fil Configuration, choisissez une option de configuration sans fil :
Activer le client sans fil comme interface externe
User Guide
189
Configuration sans fil
Ce paramètre vous permet de configurer l’interface externe du périphérique sans fil
WatchGuard pour vous connecter à un réseau sans fil. Cette configuration est utile pour les
endroits avec infrastructure de réseau inexistante ou limitée.
Pour plus d’informations sur la configuration sans fil de l’interface externe, cf. Configurer
l’interface externe en tant qu’interface sans fil à la page 208.
Activer les points d’accès sans fil
Ce paramètre sert à configurer votre périphérique sans fil WatchGuard comme point d’accès
pour utilisateurs sur les réseaux approuvés, facultatifs ou invités.
Pour plus d’informations, voir À propos de configuration Point d’accès sans fil à la page 190.
4. Dans la section Paramètres radio, sélectionnez vos paramètres radio sans fil.
Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur Firebox
X Edge e-Series à la page 211 et Présentation des paramètres radio sans fil du WatchGuard XTM
sans fil Série 2 à la page 213.
5. Cliquez sur OK.
À propos de configuration Point d’accès sans fil
Tout périphérique sans fil WatchGuard peut être configuré comme point d’accès sans fil avec trois zones
différentes de sécurité : vous pouvez ainsi activer d’autres périphériques sans fil pour qu’ils se connectent
au WatchGuard à titre de membres du réseau approuvé ou du réseau facultatif ; vous pouvez également
activer un réseau invité de services sans fil pour les utilisateurs du WatchGuard. Les ordinateurs se
connectent au réseau invité par le biais du WatchGuard, mais ne peuvent pas accéder aux ordinateurs sur
les réseaux approuvé ou facultatif.
Avant d’activer le périphérique sans fil WatchGuard comme point d’accès, vous devez étudier avec soin les
utilisateurs sans fil qui s’y connecteront et établir le niveau d’accès que vous souhaitez pour chaque type
d’utilisateur. Il y a trois types d’accès sans fil que vous pouvez autoriser :
Autoriser les connexions sans fil à une interface approuvée
Lorsque vous autorisez des connexions sans fil par une interface approuvée, les périphériques sans
fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et du réseau approuvé et
d’un accès total à Internet, conformément aux règles que vous avez configurées pour l’accès sortant
sur votre WatchGuard. Si vous autorisez l’accès sans fil par une interface approuvée, il est vivement
conseillé d’activer et d’utiliser la fonctionnalité de restriction MAC (cf. rubrique suivante) pour
autoriser l’accès par le périphérique WatchGuard uniquement aux appareils qui ont été ajoutés à la
liste Adresses MAC autorisées.
Pour plus d’informations sur la restriction d’accès par des adresses MAC, cf. Utiliser la liaison
d’adresse MAC statique à la page 125.
Autoriser les connexions sans fil à une interface facultative
Lorsque vous autorisez des connexions sans fil par une interface facultative, les périphériques sans
fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et d’un accès total à Internet,
conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard.
190
WatchGuard System Manager
Configuration sans fil
Autoriser les connexions invitées sans fil par une interface externe
Les ordinateurs qui se connectent au réseau invité sans fil ont accès à Internet par le périphérique
WatchGuard, conformément aux règles que vous avez configurées pour l’accès sortant sur votre
WatchGuard. Ces périphériques ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou
facultatif.
Pour un complément d’information sur la façon de configurer un réseau invité sans fil, cf. Activer un
réseau invité sans fil à la page 200.
Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 191.
Pour autoriser des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif, cf. Autoriser des
connexions sans fil au réseau facultatif ou approuvé à la page 197.
Avant de commencer
Les périphériques sans fil WatchGuard sont conformes aux normes 802.11n, 802.11b et 802.11g définies
par l’IEEE (Institute of Electrical and Electronics Engineers). Lorsque vous mettez en place un périphérique
WatchGuard sans fil :
n
n
n
n
Veillez à le placer à 20 centimètres au moins de toute personne. Il s’agit d’une exigence de la FCC
(Federal Communications Commission) concernant les émetteurs de faible puissance.
Il est préférable de mettre en place un périphérique sans fil loin des autres antennes ou émetteurs,
afin de minimiser les interférences.
L’algorithme d’authentification sans fil par défaut, configuré pour chaque zone de sécurité sans fil,
n’est pas celui qui est le plus sécurisé. Si vos appareils sans fil qui se connectent au périphérique
sans fil WatchGuard fonctionnent bien avec WPA2, nous vous conseillons d’augmenter le niveau
d’authentification à WPA2.
Un client sans fil, se connectant à WatchGuard à partir d’un réseau approuvé ou facultatif, peut faire
partie de n’importe quel tunnel VPN de succursale dans lequel le composant de réseau local des
paramètres de phase 2 inclut des adresses IP de réseau facultatif ou approuvé. Pour contrôler
l’accès au tunnel VPN, vous pouvez forcer les utilisateurs du périphérique WatchGuard à
s’authentifier.
Présentation des paramètres paramètres de
configuration
Lorsque vous activez l’accès sans fil au réseau approuvé, facultatif, ou au réseau invité sans fil, certains
paramètres de configuration sont définis de façon similaire pour les trois zones de sécurité. Ces paramètres
communs peuvent avoir différentes valeurs pour chaque zone.
User Guide
191
Configuration sans fil
Pour un complément d’information sur le paramètre Diffuser l’identification SSID et répondre aux
requêtes SSID, cf. Activer/Désactiver Diffusions SSID à la page 192.
Pour un complément d’information sur le paramètre Nom du réseau (SSID), cf. Modifier SSID à la page 193.
Pour un complément d’information sur le paramètre Consigner les événements d’authentification, cf.
Journal événements d’authentification à la page 193.
Pour un complément d’information sur le Seuil de fragmentation, cf. Modifier seuil de fragmentation à la
page 193.
Pour un complément d’information sur le Seuil RTS, cf. Modifier Seuil RTS à la page 195.
Pour un complément d’information sur les paramètres Authentification et Chiffrement, cf. Présentation
des paramètres paramètres de sécurité à la page 196.
Activer/Désactiver Diffusions SSID
Les ordinateurs équipés de cartes réseau sans fil envoient des requêtes pour vérifier s’il existe des points
d’accès sans fil auxquels ils peuvent se connecter.
192
WatchGuard System Manager
Configuration sans fil
Pour configurer une interface sans fil WatchGuard dans le but d’envoyer ces requêtes et d’y répondre,
cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID. Pour des raisons de sécurité,
cochez cette case uniquement lorsque vous configurez des ordinateurs sur votre réseau en vue de les
connecter au périphérique WatchGuard. Décochez cette option après que tous les clients ont été
configurés. Si vous utilisez la fonction des services invités sans fil, il peut être nécessaire d’autoriser les
diffusions SSID au cours d’une opération standard.
Modifier SSID
L’identificateur SSID (Service Set Identifier) est le nom unique de votre réseau sans fil. Pour utiliser le
réseau sans fil à partir d’un ordinateur client, la carte réseau sans fil de l’ordinateur doit posséder le même
identificateur SSID que le réseau WatchGuard sans fil auquel l’ordinateur se connecte.
Le Fireware XTM OS attribue automatiquement un identificateur SSID à chaque réseau sans fil. Cet
identificateur SSID utilise un format qui contient le nom de l’interface et une partie du numéro de série du
WatchGuard (du 5e au 9e chiffre). Pour modifier l’identificateur SSID, tapez un nouveau nom dans le champ
SSID pour identifier de manière exclusive votre réseau sans fil.
Journal événements d’authentification
Un événement d’authentification se produit lorsqu’un ordinateur sans fil tente de se connecter à une
interface sans fil d’un périphérique WatchGuard. Pour inclure ces événements dans le fichier journal,
cochez la case Consigner les événements d’authentification.
Modifier seuil de fragmentation
Firebox XTM vous permet de définir la taille maximale de la trame pouvant être envoyée par le
périphérique WatchGuard sans être fragmentée. Il s’agit du seuil de fragmentation. Ce paramètre change
rarement. Il est défini par défaut sur la taille maximale de trame de 2 346, ce qui signifie qu’aucune trame
envoyée à des clients sans fil n’est fragmentée. Il s’agit de la configuration la plus adaptée à la plupart des
environnements.
Raison de modifier le seuil de fragmentation
Il y a collision lorsque deux périphériques utilisant le même support transmettent des paquets exactement
au même moment. Les deux paquets peuvent s’endommager mutuellement, ce qui aboutit à des
morceaux de données ne pouvant être lues. Lorsqu’un paquet produit une collision, celui-ci est rejeté et
doit à nouveau être transmis. Cela augmente le temps système sur le réseau et peut réduire le débit ou la
vitesse de ce dernier.
La probabilité d’une collision entre trames augmente avec la grosseur ces dernières. Pour avoir des paquets
plus petits dans une transmission sans fil, vous baissez le seuil de fragmentation sur le périphérique
WatchGuard sans fil. La réduction de la grosseur maximum des trames permet également de diminuer le
nombre de transmissions répétées à cause de collisions, donc de réduire le temps système provoqué par
ces répétitions.
User Guide
193
Configuration sans fil
D’un autre côté, les trames plus petites, donc plus nombreuses, augmentent le temps système sur le
réseau. Ce principe est d’autant vrai sur un réseau sans fil, parce que chaque trame fragmentée envoyée
d’un périphérique sans fil à un autre doit être reconnue par l’appareil destinataire. Lorsque le taux
d’erreurs de paquets est élevé (supérieur à 5 ou 10 % de collisions ou d’erreurs), vous pouvez améliorer les
performances du réseau sans fil en baissant le seuil de fragmentation. Le temps que vous gagnerez (moins
de transmissions répétées) pourra être suffisamment important pour compenser l’augmentation du temps
système causée par des paquets plus petits. Un débit plus élevé pourrait en être la conséquence.
Si vous baissez le seuil de fragmentation malgré un taux d’erreurs de paquets faible, le réseau sans fil
deviendra moins performant. En effet, lorsque vous baissez le seuil, le temps système du protocole est
augmenté, ce qui diminue l’efficacité de ce dernier.
À titre d’essai, commencez avec le seuil par défaut, soit 2 346, et baissez-le petit à petit. Pour un réglage
optimal, vous devez vérifier les erreurs de paquets du réseau à différents moments de la journée. Après
une baisse du seuil, comparez les performances du réseau : taux d’erreurs très élevé avec taux d’erreurs
moyennement élevé.
En règle générale, il est conseillé de laisser ce paramètre à 2 7346.
Modifier le seuil de fragmentation
1. Sélectionnez Réseau > Sans fil.
2. Sélectionnez le réseau sans fil à configurer. À côté de Point d’accès 1 ou Point d’accès 2 ou Invité
sans fil, cliquez sur Configurer.
Les paramètres de configuration pour ce réseau sans fil s’affichent.
194
WatchGuard System Manager
Configuration sans fil
3. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez ou
choisissez une valeur entre 256 et 2 346.
4. Cliquez sur OK.
5. Enregistrez la configuration.
Modifier Seuil RTS
RTS/CTS (Request To Send/Clear To Send) aide à éviter les problèmes susceptibles de se produire lorsque
des clients sans fil reçoivent des signaux provenant de plusieurs points d’accès sans fil sur le même canal.
Ce problème est parfois connu sous le nom de nœud masqué.
Il est déconseillé de modifier le seuil RTS par défaut. Lorsque le seuil RTS est sur 2 346 (réglage par défaut),
RTS/CTS est désactivé.
Si vous devez modifier le seuil RTS, abaissez-le graduellement, une petite valeur à la fois. Après chaque
baisse, attendez le temps nécessaire pour constater une amélioration (ou non) des performances réseau,
avant de changer le seuil une nouvelle fois. Diminuer cette valeur de manière excessive risque d’accroître
la latence du réseau. En effet, si les demandes d’envoi sont trop nombreuses, le support partagé est sollicité
plus souvent que nécessaire.
User Guide
195
Configuration sans fil
Présentation des paramètres paramètres de
sécurité
Les périphériques sans fil WatchGuard utilisent trois normes de protocole de sécurité pour protéger votre
réseau sans fil : Il s’agit de WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2. Chaque
norme de protocole peut chiffrer les transmissions sur le réseau local (LAN) sans fil entre les ordinateurs et
les points d’accès. Elles peuvent également empêcher l’accès non autorisé au point d’accès sans fil.
WEP et WPA utilisent chacune des clés prépartagées. L’algorithme des WPA et WPA2 change à intervalles
réguliers la clé de chiffrement, ce qui favorise une sécurisation supérieure des données envoyées par
connexion sans fil.
Pour protéger la confidentialité, vous pouvez associer ces fonctionnalités à d’autres mécanismes de
sécurité LAN, tels que la protection par mot de passe, les tunnels VPN et l’authentification utilisateur.
Définissez sans fil méthode d'authentification
Cinq méthodes d'authentification sont proposées pour les périphériques sans fil WatchGuard. Il est
recommandé d’utiliser WPA2 si possible, puisqu'il s’agit de la méthode la plus sécurisée. Voici les cinq
méthodes offertes (de la moins sécurisée à la plus sécurisée) :
Système ouvert
L’authentification à système ouvert permet à tout utilisateur de s’authentifier auprès du point
d’accès. Cette méthode peut être appliquée sans chiffrement ou avec un chiffrement WEP.
Clé partagée
Dans l’authentification à clé partagée, seuls les clients sans fil qui disposent de la clé partagée peuvent
se connecter. L’authentification à clé partagée ne peut être utilisée qu’avec le chiffrement WEP.
WPA UNIQUEMENT (PSK)
Lorsque vous utilisez l’authentification WPA (Wi-Fi Protected Access) avec des clés prépartagées,
chaque utilisateur sans fil se voit attribuer le même mot de passe pour s’authentifier auprès du point
d’accès sans fil.
WPA/WPA2 (PSK)
Lorsque vous sélectionnez l’authentification WPA/WPA2 (PSK), Edge accepte les connexions
provenant de périphériques sans fil configurés pour utiliser WPA ou WPA2.
WPA2 UNIQUEMENT (PSK)
La méthode d’authentification WPA2 avec clés prépartagées implémente l’intégralité de la norme
802.11i et offre la meilleure sécurité. Elle ne fonctionne pas avec certaines cartes réseau sans fil
plus anciennes.
196
WatchGuard System Manager
Configuration sans fil
Définir le niveau de chiffrement
Dans la liste déroulante Chiffrement, sélectionnez le niveau de chiffrement de vos connexions sans fil. Les
options pouvant être sélectionnées varient en fonction des différents mécanismes d’authentification que
vous utilisez. Le système Fireware XTM crée automatiquement une clé de chiffrement aléatoire, si besoin
est. Vous pouvez vous en servir ou la remplacer par une autre clé. Chaque client sans fil doit utiliser cette
même clé lorsqu’il se connecte au périphérique Firebox ou XTM.
Authentification à clé partagée et à système ouvert
Les options de chiffrement pour l’authentification à système ouvert et à clé partagée sont WEP 64 bits
hexadécimal, WEP 40 bits ASCII, WEP 128 bits hexadécimal et WEP 128 bits ASCII. Si vous sélectionnez
l’authentification à système ouvert, vous pouvez également sélectionner Aucun chiffrement.
1. Si vous utilisez le chiffrement WEP, tapez des caractères hexadécimaux ou ASCII dans les zones de
texte Clé. Certains pilotes de carte réseau sans fil ne prennent pas en charge les caractères ASCII.
Vous disposez de quatre clés au maximum.
n
n
n
n
Une clé hexadécimale WEP 64 bits doit avoir 10 caractères hexadécimaux (0-f).
Une clé WEP 40 bits ASCII doit avoir 5 caractères.
Une clé hexadécimale WEP 128 bits doit avoir 26 caractères hexadécimaux (0-f).
Une clé WEP 128 bits ASCII doit avoir 13 caractères.
2. Si vous avez saisi plusieurs clés, sélectionnez la clé à utiliser en tant que clé par défaut dans la liste
déroulante Index de clé.
Le périphérique Firebox ou XTM sans fil ne peut utiliser qu’une seule clé de chiffrement sans fil à la
fois. Si vous sélectionnez une clé autre que la première de la liste, vous devez également configurer
le client sans fil pour qu’il utilise la même clé.
Authentification WPA-PSK et WPA2-PSK
Les options de chiffrement des méthodes d’authentification Wi-Fi Protected Access (WPA-PSK et WPA2PSK) sont :
n
n
n
TKIP : utilisez uniquement TKIP (Temporal Key Integrity Protocol, protocole d’intégrité de clé
temporaire) pour le chiffrement. Cette option n’est pas disponible sur les modes sans fil prenant en
charge 802.11n.
AES : utilisez uniquement AES (Advanced Encryption Standard, norme de chiffrement avancée)
pour le chiffrement.
TKIP ou AES : utilisez TKIP ou AES.
Il est recommandé de sélectionner TKIP ou AES. Le périphérique sans fil Firebox ou XTM peut ainsi
accepter les connexions depuis les clients sans fil configurés pour utiliser le chiffrement TKIP ou AES. Il est
recommandé de configurer les clients sans fil 802.11n afin qu’ils utilisent le chiffrement AES.
Autoriser des connexions sans fil au réseau
facultatif ou approuvé
Autorisation des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif :
User Guide
197
Configuration sans fil
1. Sélectionnez Réseau > Sans fil.
La boîte de dialogue Configuration sans fil s’affiche.
2. Cochez la case Activation sans fil.
3. Sélectionnez Activer points d’accès sans fil.
4. À côté de Point d’accès 1 ou Point d’accès 2, cliquez sur Configurer.
La boîte de dialogue de configuration Point d’accès sans fil s’affiche.
5. Cochez la case Activer pont sans fil à une interface approuvée ou facultative.
6. Dans la liste déroulante jouxtant Activer pont sans fil à une interface approuvée ou facultative,
sélectionnez une interface approuvée ou facultative.
Approuvé
198
WatchGuard System Manager
Configuration sans fil
Tous les clients sans fil sur le réseau approuvé bénéficient de l’accès total aux ordinateurs sur
les réseaux approuvé et facultatif et de l’accès à Internet défini dans les règles de pare-feu
sortantes sur votre périphérique WatchGuard.
Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP
sur le réseau facultatif de l’Edge doit être actif et configuré.
Facultatif
Tous les clients sans fil sur le réseau facultatif bénéficient de l’accès total aux ordinateurs sur les
réseaux facultatifs, et de l’accès à Internet défini dans les règles de pare-feu sortantes sur votre
périphérique WatchGuard.
Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP
sur le réseau facultatif de l’Edge doit être actif et configuré.
7. Pour configurer l’interface sans fil dans le but d’envoyer des requêtes SSID et d’y répondre, cochez
la case Diffuser l’identification SSID et répondre aux requêtes SSID.
Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 192.
8. Cochez la case Consigner les événements d’authentification si vous souhaitez que le périphérique
WatchGuard envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se
connecter à l’interface.
Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la
page 193.
9. Pour que les utilisateurs sans fil se servent du client Mobile VPN with IPSec, cochez la case Exiger
des connexions Mobile VPN with IPSec chiffrées pour les clients sans fil.
Lorsque vous cochez cette case, les seuls paquets autorisés par Firebox sur le réseau sans fil sont
DHCP, ICMP, IKE (port UDP 500), ARP et IPSec (protocole IP 50). Si vous exigez l’utilisation du client
Mobile VPN with IPSec, la sécurité pour les clients sans fil peut être renforcée lorsque vous ne
sélectionnez pas WPA ou WPA2 comme méthode d’authentification sans fil.
10. Dans la zone de texte Nom de réseau (SSID), tapez un nom unique pour votre réseau facultatif sans
fil ou utilisez le nom par défaut.
Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 193.
11. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une
valeur : 256–2346. La modification de ce paramètre est déconseillée.
Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 193.
12. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les
connexions sans fil à l’interface facultative. Il est conseillé d’utiliser le mode d’authentification WPA2
si les périphériques sans fil du réseau le prennent en charge.
Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode
d'authentification.
13. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la
connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi.
Lorsque vous sélectionnez une option de chiffrement avec des clés prépartagées, une clé
User Guide
199
Configuration sans fil
prépartagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre
clé.
Pour plus d’informations, voir Définir le niveau de chiffrement à la page 197.
14. Enregistrez la configuration.
Note Si vous activez les connexions sans fil à l’interface approuvée, il est recommandé de
limiter l’accès par le biais de l’adresse MAC. Ainsi, les utilisateurs ne pourront pas se
connecter au périphérique sans fil WatchGuard à partir d’ordinateurs non
autorisés et risquant d’avoir des virus ou des logiciels espions. Cliquez sur l’onglet
Contrôle de l’accès MAC pour mettre en vigueur ce contrôle. Vous utilisez cet
onglet de la même façon pour limiter le trafic réseau sur une interface, tel
qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 118.
Pour configurer un réseau invité sans fil, sans accès aux ordinateurs de vos réseaux approuvé ou facultatif,
cf. Activer un réseau invité sans fil à la page 200.
Activer un réseau invité sans fil
Vous pouvez mettre en activité un réseau invité sans fil, afin de donner à un utilisateur invité un accès à
Internet, mais non un accès aux ordinateurs de vos réseaux approuvés et facultatifs.
Configuration d’un réseau invité sans fil :
1. Sélectionnez Réseau > Sans fil.
La boîte de dialogue Connexions du réseau sans fil s’affiche.
2. Cochez la case Enable wireless (Activer sans fil).
3. Sélectionnez Activer points d’accès sans fil.
4. À côté de Invité sans fil, cliquez sur Configurer.
La boîte de configuration Invité sans fil s’affiche.
200
WatchGuard System Manager
Configuration sans fil
5. Cochez la case Activer réseau invité sans fil.
L’autorisation des connexions sans fil de traverser le périphérique WatchGuard vers Internet repose
sur les règles que vous avez configurées pour l’accès sortant de votre périphérique. Ces ordinateurs
ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif.
6. Dans la zone de texte Adresse IP , tapez l’adresse IP privée qui sera utilisée pour le réseau invité
sans fil. L’adresse IP que vous entrez doit déjà être utilisée sur l’une de vos interfaces réseau.
7. Dans la zone de texte Masque de sous-réseau, tapez la valeur de ce dernier. La valeur correcte est
en général 255.255.255.0.
8. Si vous souhaitez configurer le périphérique WatchGuard comme serveur DHCP lorsqu’un
périphérique sans fil tente d’établir une connexion, cochez la case Activer le serveur DHCP sur le
réseau invité sans fil.
Pour un complément d’information sur la façon de définir les paramètres pour le serveur DHCP, cf.
Configurer DHCP en mode de routage mixte à la page 104.
9. Cliquez sur l’onglet Sans fil pour voir les paramètres de sécurité du réseau invité sans fil.
Les paramètres Sans fil s’affichent.
User Guide
201
Configuration sans fil
10. Cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID pour que le nom de
votre réseau invité sans fil devienne visible aux utilisateurs invités.
Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 192.
11. Pour envoyer un message dans le fichier journal à chaque tentative de connexion au réseau invité
sans fil par un ordinateur, cochez la case Consigner les événements d’authentification.
Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la
page 193.
12. Pour autoriser les utilisateurs invités sans fil à échanger du trafic, décochez la case Interdire le trafic
de réseau sans fil d’un client à l’autre.
13. Dans la zone de texte Nom du réseau (SSID), tapez le nom exclusif de votre réseau invité sans fil ou
donnez-lui le nom par défaut.
Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 193.
14. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une
valeur : 256–2346. La modification de ce paramètre est déconseillée.
Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 193.
15. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les
connexions au réseau invité sans fil. Votre sélection dépend du type d’accès invité que vous
202
WatchGuard System Manager
Configuration sans fil
souhaitez fournir et des conditions imposées d’utilisation du réseau par vos invités (avec ou sans mot
de passe).
Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode
d'authentification à la page 196.
16. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion
sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous
sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est
générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé.
Pour plus d’informations, voir Définir le niveau de chiffrement à la page 197.
17. Cliquez sur OK.
18. Enregistrez la configuration.
Vous pouvez également limiter l’accès au réseau Invité avec une adresse MAC. Cliquez sur l’onglet
Contrôle de l’accès MAC pour activer ce contrôle. Vous utilisez cet onglet de la même façon pour limiter le
trafic réseau sur une interface, tel qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 118.
Activer un point d’accès sans fil
Vous pouvez configurer votre réseau invité sans fil WatchGuard XTM 2 Series ou Firebox X Edge e-Series en
tant que point d’accès sans fil afin d’offrir une connexion Internet sans fil à vos visiteurs et clients. Lorsque
vous activez la fonctionnalité point d’accès, vous avez plus de contrôle sur les connexions à votre réseau
invité sans fil.
Lorsque vous configurez votre périphérique en tant que point d’accès sans fil, vous pouvez personnaliser :
n
n
n
un écran de démarrage qui s’affiche lorsque les utilisateurs se connectent ;
des conditions d’utilisation que les utilisateurs doivent accepter pour pouvoir accéder à un site Web ;
la durée maximale pendant laquelle un utilisateur peut se connecter sans interruption.
Lorsque vous activez la fonctionnalité point d’accès sans fil, la stratégie Autoriser les utilisateurs de Hotspot
est automatiquement créée. Cette stratégie permet aux utilisateurs de se connecter à vos interfaces
externes, à partir de l’interface du réseau invité sans fil. Les utilisateurs de points d’accès sans fil peuvent
ainsi accéder sans fil à Internet même s’ils n’ont pas accès aux ordinateurs de vos réseaux approuvés et
facultatifs.
Avant de configurer un point d’accès sans fil, vous devez configurer les paramètres de votre réseau invité
sans fil comme décrit dans la section Activer un réseau invité sans fil.
Pour configurer le point d’accès sans fil :
1.
2.
3.
4.
Sélectionnez Réseau > Sans fil.
En regard de Invité sans fil, cliquez sur Configurer.
Dans la boîte de dialogue Configuration des invités sans fil, cliquez sur l’onglet Hotspot.
Cochez la case Activer le point d’accès.
User Guide
203
Configuration sans fil
Configurer les paramètres de délai pour les utilisateurs
Vous pouvez configurer les paramètres de délai pour limiter la durée pendant laquelle les utilisateurs
peuvent utiliser sans interruption votre point d’accès. Une fois le délai expiré, l’utilisateur est déconnecté.
Lorsqu’un utilisateur est déconnecté, l’utilisateur perd toute connectivité Internet, mais reste connecté au
réseau. L’écran de démarrage du point d’accès s’affiche de nouveau et l’utilisateur doit de nouveau
accepter les conditions d’utilisation pour pouvoir continuer à utiliser le point d’accès sans fil.
1. Dans la zone de texte Délai d’expiration de la session, indiquez la durée maximale pendant laquelle
un utilisateur peut se connecter sans interruption à votre point d’accès. Vous pouvez indiquer l’unité
de temps en la sélectionnant dans la liste déroulante adjacente. Si le délai d’expiration de la session
est défini sur 0 (valeur par défaut), les utilisateurs invités sans fil ne sont pas déconnectés au bout
d’un certain intervalle de temps.
2. Dans la zone de texte Délai d’inactivité, indiquez la durée pendant laquelle un utilisateur doit rester
inactif pour que la connexion expire. Vous pouvez indiquer l’unité de temps en la sélectionnant dans
la liste déroulante adjacente. Si le délai d’inactivité est défini sur 0, les utilisateurs ne sont pas
déconnectés s’ils n’envoient pas ou ne reçoivent pas de trafic.
Personnaliser l’écran de démarrage du point d’accès
Lorsque les utilisateurs se connectent à votre point d’accès, ils voient un écran de démarrage ou un site
Web auquel ils doivent se connecter pour pouvoir accéder à d’autres sites Web. Vous pouvez configurer le
texte qui s’affiche sur cette page, ainsi que l’apparence de celle-ci. Vous pouvez également rediriger les
utilisateurs vers une page Web précise une fois qu’ils ont accepté les conditions d’utilisation.
Vous devez au moins indiquer le titre de la page et les Conditions d’utilisation pour activer cette
fonctionnalité.
1. Dans la zone de texte Titre de la page, saisissez le texte du titre à afficher dans l’écran de démarrage
du point d’accès.
204
WatchGuard System Manager
Configuration sans fil
2. Pour inclure un message d’accueil :
n
n
Cochez la case Message d’accueil.
Dans la zone de texte Message d’accueil, saisissez le message que les utilisateurs verront
lorsqu’ils se connecteront au point d’accès.
3. (Facultatif) Pour inclure un logo personnalisé dans l’écran de démarrage :
n
n
Cochez la case Utiliser un logo personnalisé.
Cliquez sur Charger pour charger votre fichier de logo personnalisé.
Le fichier doit être au format .jpg, .gif ou .png. La taille maximale d’image recommandée est de
90 x 50 (largeur x hauteur) pixels ou 50 ko.
3. Dans la zone de texte Conditions d’utilisation, saisissez ou collez le texte que vos utilisateurs doivent
accepter pour pouvoir utiliser le point d’accès. Le texte ne doit pas contenir plus de 20 000
caractères.
4. Pour rediriger automatiquement les utilisateurs vers un site Web une fois qu’ils ont accepté les
conditions d’utilisation, saisissez l’URL du site Web dans la zone de texte URL de redirection.
5. Vous pouvez personnaliser les polices et couleurs de votre page d’accueil :
n
n
n
User Guide
Police : sélectionnez la police dans la liste déroulante Police. Si vous ne spécifiez aucune police,
la page d’accueil utilise la police par défaut du navigateur de chaque utilisateur.
Taille : sélectionnez la taille du texte dans la liste déroulante Taille. Par défaut, la taille du texte
est Moyenne.
Couleur du texte : il s’agit de la couleur du texte affiché sur l’écran de démarrage du point
d’accès. La couleur par défaut est #000000 (noir). La couleur configurée figure dans un carré, à
côté de la zone de texte Couleur du texte. Cliquez sur le carré coloré pour sélectionner une
autre couleur dans une palette de couleurs. Vous pouvez également saisir le code de couleur
HTML dans la zone de texte Couleur du texte.
205
Configuration sans fil
n
Couleur d’arrière-plan : il s’agit de la couleur à utiliser pour l’arrière-plan de l’écran de
démarrage du point d’accès. La couleur par défaut est #FFFFFF (blanc). La couleur configurée
figure dans un carré, à côté de la zone de texte Couleur d’arrière-plan. Cliquez sur le carré
coloré pour sélectionner une autre couleur dans une palette de couleurs. Vous pouvez
également saisir le code de couleur HTML dans la zone de texte Couleur d’arrière-plan.
7. Cliquez sur Afficher un aperçu de l’écran de démarrage.
La boîte de dialogue Afficher un aperçu de l’écran de démarrage s’affiche. Cette boîte de dialogue affiche le
titre de la page, le message d’accueil et les conditions d’utilisation que vous avez configurés.
Note Dans Policy Manager, la boîte de dialogue Afficher un aperçu de l’écran de
démarrage n’affiche pas les police et taille de texte sélectionnées. Pour voir les
polices sélectionnées sur l’écran de démarrage, vous devez enregistrer la
configuration et vous connecter au point d’accès ou utiliser Fireware XTM Web UI
pour afficher un aperçu de l’écran dans la page de configuration de point d’accès
invité sans fil.
7. Cliquez sur OK pour fermer la boîte de dialogue d’aperçu.
8. Cliquez sur OK pour enregistrer les paramètres.
Se connecter à un point d’accès sans fil
Après avoir configuré votre point d’accès sans fil, vous pouvez vous connecter à ce dernier pour voir son
écran de démarrage.
1. Utilisez un client sans fil pour vous connecter à votre réseau invité sans fil. Utilisez le SSID et les
autres paramètres que vous avez configurés pour le réseau invité sans fil.
2. Ouvrez un navigateur Web. Accédez à un site Web quelconque.
L’écran de démarrage du point d’accès sans fil s’affiche dans le navigateur.
206
WatchGuard System Manager
Configuration sans fil
3. Cochez la case J’ai lu et j’accepte les conditions d’utilisation.
4. Cliquez sur Continuer.
Le navigateur affiche l’URL que vous avez initialement demandée. Sinon, si le point d’accès est configuré pour
rediriger automatiquement le navigateur vers une URL, le navigateur accède au site Web.
Vous pouvez configurer le contenu et l’aspect de l’écran de démarrage du point d’accès en définissant les
paramètres du point d’accès pour votre réseau invité sans fil.
L’URL de l’écran de démarrage du point d’accès sans fil est la suivante :
https://<IP address of the wireless guest network>:4100/hotspot .
Afficher les connexions aux points d’accès sans fil
Lorsque vous activez la fonctionnalité point d’accès sans fil, vous pouvez voir le nombre de clients sans fil
connectés. Vous avez également la possibilité de déconnecter les clients sans fil.
Pour afficher la liste des clients de point d’accès sans fil connectés :
1. Démarrer Firebox System Manager et connectez-vous à votre périphérique sans fil.
2. Cliquez sur l’onglet Liste d’authentification.
3. Cliquez sur Clients Hotspot.
Pour chaque client sans fil connecté, l’adresse IP et l’adresse MAC s’affichent.
Pour déconnecter un client de point d’accès sans fil, dans Clients Hotpost:
1. Sélectionnez un ou plusieurs clients de point d’accès sans fil connectés.
2. Cliquez sur Déconnecter.
3. Tapez le mot de passe de configuration.
User Guide
207
Configuration sans fil
Configurer l’interface externe en tant
qu’interface sans fil
Si l’infrastructure réseau est limitée ou inexistante, vous pouvez utiliser votre périphérique WatchGuard
sans fil pour obtenir un accès réseau sécurisé. Vous devez connecter physiquement les périphériques
réseau au périphérique WatchGuard. Vous configurez ensuite l’interface externe pour vous connecter à un
point d’accès sans fil relié à un réseau plus étendu.
Note Lorsque l’interface externe est configurée avec une connexion sans fil, le
périphérique WatchGuard sans fil ne peut plus servir de point d’accès sans fil. Pour
permettre un accès sans fil, connectez un périphérique de point d’accès sans fil au
périphérique WatchGuard sans fil.
Configurer l’interface externe principale en tant qu’interface
sans fil
1. Sélectionnez Réseau > Sans fil.
La boîte de dialogue Configuration sans fil apparaît.
2. Cochez la case Enable wireless (Activer sans fil).
3. Sélectionnez Activer le client sans fil en tant qu’interface externe.
4. Cliquez sur Configurer.
Les paramètres d’interface externe apparaissent.
5. Dans la liste déroulante Mode de configuration, sélectionnez une option :
Configuration manuelle
Pour utiliser une adresse IP statique , sélectionnez cette option. Saisissez l’adresse IP, le
masque de sous-réseau et la passerelle par défaut.
208
WatchGuard System Manager
Configuration sans fil
Client DHCP
Pour configurer l’interface externe en tant que client DHCP, sélectionnez cette option. Saisissez
les paramètres de configuration DHCP.
User Guide
209
Configuration sans fil
Pour plus d’informations sur la configuration de l’interface externe afin qu’elle utilise une adresse IP
statique ou DHCP, voir Configurer une interface externe à la page 100.
6. Cliquez sur l’onglet Sans fil.
Les paramètres de configuration du client sans fil apparaissent.
7. Dans la zone de texte Nom du réseau (SSID), saisissez le nom unique de votre réseau sans fil
externe.
8. Dans la liste déroulante Authentification, sélectionnez le type d’authentification afin de permettre
les connexions sans fil. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques
sans fil du réseau le prennent en charge.
Pour plus d’informations sur les méthodes d’authentification sans fil, voir Présentation des
paramètres paramètres de sécurité à la page 196.
9. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion
sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous
sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est
générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé.
10. Cliquez sur OK.
Configurer un tunnel BOVPN pour plus de sécurité
Pour créer un pont sans fil et accroître la sécurité sur le réseau, ajoutez un tunnel BOVPN entre votre
périphérique WatchGuard et la passerelle externe. Sur les deux périphériques, activez le Mode agressif
dans les paramètres de phase 1 de votre configuration BOVPN.
Pour plus d’informations sur la configuration d’un tunnel BOVPN, voir À propos des tunnels BOVPN manuels
à la page 840.
210
WatchGuard System Manager
Configuration sans fil
Présentation des paramètres paramètres de radio
sans fil sur Firebox X Edge e-Series
Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs
équipés de cartes Ethernet sans fil. Plusieurs paramètres sont spécifiques à la sélection du canal.
Affichage et modification des paramètres radio :
1. Ouvrez Policy Manager.
2. Sélectionnez Réseau > Sans fil.
La boîte de dialogue Configuration sans fil apparaît.
Les Paramètres radio sont affichés en bas de cette boîte de dialogue.
Réglage de la région d’exploitation et du canal
L’activation sans fil exige de définir la région d’exploitation.
1. Dans la liste déroulante Région d’exploitation, sélectionnez la région définissant le mieux l’endroit
où se trouve votre périphérique.
La liste des régions d’exploitation sans fil que vous pouvez sélectionner est susceptible de varier,
selon l’endroit où vous avez acheté Firebox.
2. Dans la liste déroulante Canal, sélectionnez un canal ou bien Auto.
Si vous réglez le canal sur Auto, le périphérique sans fil WatchGuard sélectionne automatiquement
le canal avec le signal le plus puissant disponible dans sa zone géographique.
User Guide
211
Configuration sans fil
En raison des différentes réglementations à travers le monde, les canaux sans fil ne sont pas tous
disponibles dans toutes les zones. Ce tableau inclut les canaux offerts pour chaque région d’exploitation
sans fil et pris en charge par Firebox X Edge E-Series sans fil.
Fréquence
Canal centrale
(MHz)
Amérique Asie
République
Australie
EMOA France Israël Japon Taïwan Populaire
& N.Z.
de Chine
1
2 412
Oui
Oui
Oui
Oui
--
--
Oui
Oui
Oui
2
2 417
Oui
Oui
Oui
Oui
--
--
Oui
Oui
Oui
3
2 422
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
4
2 427
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
5
2 432
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
6
2 437
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
7
2 442
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
8
2 447
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
9
2 452
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
10
2 457
Oui
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
11
2 462
Oui
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
12
2 467
--
--
Oui
Oui
Oui
--
Oui
--
Oui
13
2 472
--
--
Oui
Oui
Oui
--
Oui
--
Oui
14
2 484
--
--
--
--
--
--
Oui
--
--
Définissez mode d’exploitation sans fil
La plupart des cartes sans fil fonctionnent uniquement en mode 802.11b (jusqu’à 11 Mo/seconde) ou en
mode 802.11g (54 Mo/seconde). Pour définir le mode d’exploitation du périphérique sans fil WatchGuard,
choisissez une option dans la liste déroulante Mode sans fil. Il existe trois modes sans fil :
802.11b uniquement
Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement
en mode 802.11b.
802.11g uniquement
Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement
en mode 802.11g.
212
WatchGuard System Manager
Configuration sans fil
802.11g et 802.11b
Ce mode par défaut est le paramètre recommandé. Ce mode permet au périphérique WatchGuard
de se connecter à des périphériques qui utilisent 802.11b ou 802.11g. Le périphérique WatchGuard
fonctionne en mode 802.11g uniquement lorsque toutes les cartes sans fil connectées à celui-ci
utilisent 802.11g. Si un client 802.11b se connecte au périphérique, toutes les connexions passent
automatiquement en mode 802.11b.
Présentation des paramètres radio sans fil du
WatchGuard XTM sans fil Série 2
Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs
équipés de cartes Ethernet sans fil. Les paramètres radio offerts pour le périphérique sans fil WatchGuard
XTM Série 2 diffèrent de ceux du périphérique sans fil Firebox X Edge e-Series.
Affichage et modification des paramètres radio :
1. Ouvrez Policy Manager.
2. Sélectionnez Réseau > Sans fil.
La boîte de dialogue Configuration sans fil apparaît.
Les Paramètres radio sont affichés en bas de cette boîte de dialogue.
User Guide
213
Configuration sans fil
Le réglage du pays est automatique
À cause des différentes dispositions réglementaires dans le monde, les paramètres radio autorisés sont
spécifiques à chaque pays. En conséquence, chaque fois que vous allumez un périphérique sans fil XTM 2
Series, il contacte un serveur WatchGuard pour déterminer le pays et les paramètres autorisés par celui-ci.
Le périphérique doit donc être connecté à Internet. Après que le pays est identifié, vous pouvez définir
tous les paramètres radio sans fil pris en charge et autorisés dans ce pays.
Lorsque vous paramétrez pour la première fois un périphérique sans fil XTM Série 2, le pays n’est parfois
pas affiché dans la page Configuration sans fil de Policy Manager. En effet, après que le périphérique sans fil
XTM Série 2 s’est connecté pour la première fois à Internet, Policy Manager doit se connecter à
WatchGuard pour obtenir le paramètre du pays, s’il a été détecté.
Mise à jour de la configuration Policy Manager avec le paramètre de pays du périphérique XTM Série 2 :
1. Cliquez sur Télécharger.
La boîte de dialogue du téléchargement Pays s’affiche.
2. Entrez le mot de passe d’état (lecture seule) de Firebox.
Le pays mis à jour est alors affiché sur le périphérique XTM Série 2.
Dans la boîte de dialogue Configuration sans fil, le paramètre Pays indique le pays détecté par le
périphérique. Le paramètre Pays ne peut être modifié. Les options proposées pour les autres paramètres
radio sont conformes aux dispositions réglementaires du pays détecté par le périphérique.
Note Lorsque Policy Manager ne s’est pas encore connecté au périphérique XTM Série 2,
ou lorsque le périphérique XTM Série 2 ne peut pas se connecter au serveur
WatchGuard, le pays demeure inconnu. Dans ce cas-là, vous ne pouvez choisir
qu’un ensemble limité de paramètres radio sans fil, ceux qui sont autorisés dans
tous les pays. Le périphérique sans fil XTM Série 2 essaiera sur une base régulière de
se connecter au serveur WatchGuard pour identifier le pays et les paramètres radio
sans fil autorisés.
Si le périphérique Série 2 n’a pas encore de région définie, ou si la région n’est pas à jour, vous pouvez
forcer le périphérique à mettre à jour la région de radio sans fil.
Mise à jour de la région de radio sans fil :
1. Démarrer Firebox System Manager
2. Sélectionnez Outils > Mettre à jour la région de radio sans fil.
Le périphérique Série 2 contacte un serveur WatchGuard en vue de déterminer la région d’exploitation.
214
WatchGuard System Manager
Configuration sans fil
Sélectionnez la Bande passante et le mode sans fil
Le périphérique sans fil WatchGuard XTM Série 2 prend en charge deux sortes de bandes sans fil, 2,4 GHz
et 5 GHz. La bande passante que vous choisissez et le pays déterminent les modes sans fil pris en charge.
Sélectionnez la Bande compatible avec le mode sans fil que vous souhaitez utiliser. Sélectionnez ensuite le
mode dans la liste déroulante Mode sans fil.
La bande passante 2,4 GHz prend en charge ces modes sans fil
802.11n, 802.11g et 802.11b
Ce mode par défaut pour la bande 2,4 GHz est le paramètre recommandé. Ce mode permet au
périphérique WatchGuard de se connecter à des appareils qui utilisent 802.11n, 802.11g ou
802.11b.
802.11g et 802.11b
Ce mode permet au périphérique sans fil WatchGuard de se connecter à des appareils qui utilisent
802.11n ou 802.11b.
802.11b UNIQUEMENT
Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils
qui utilisent 802.11b.
La bande passante 5 GHz prend en charge ces modes sans fil
802.11a et 802.11n
Mode par défaut de la bande passante 5 GHz. Ce mode permet au périphérique sans fil WatchGuard
de se connecter à des appareils qui utilisent 802.11a ou 802.11n.
802.11a SEULEMENT
Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils
qui utilisent 802.11a.
Note Une baisse considérable des performances risque de se produire si vous choisissez
un mode sans fil prenant en charge plusieurs normes 802.11r. Cette baisse est
causée en partie par la prise en charge nécessaire des protocoles de protection
pour la compatibilité en aval lorsque des périphériques utilisant des modes plus
lents sont connectés. En outre, ces périphériques plus lents prédominent d’ordinaire
le débit, puisqu’envoyer ou recevoir la même quantité de données prend beaucoup
plus de temps avec ces appareils.
La bande 5 GHz fournit un meilleur rendement que la bande 2,4 GHz, mais elle est incompatible avec
certains périphériques sans fil. Sélectionnez la bande passante et le mode en fonction des cartes sans fil
dans les périphériques qui se connecteront au périphérique sans fil WatchGuard.
User Guide
215
Configuration sans fil
Sélection du canal
Les canaux disponibles varient selon le pays et le mode sans fil que vous choisissez. Par défaut, le Canal est
réglé sur Auto. Lorsque le canal est sur Auto, les périphériques sans fil de la Série 2 sélectionnent
automatiquement un canal silencieux dans la liste pour la bande sélectionnée. Ou, vous pouvez
sélectionner un canal particulier dans la liste déroulante Canal.
Configurer carte sans fil sur votre ordinateur
Ces instructions visent le système d’exploitation Windows XP avec Service Pack 2. Pour consulter les
instructions d’installation des autres systèmes d’exploitation, reportez-vous à la documentation ou aux
fichiers d’aide appropriés.
1. Sélectionnez démarrer > Paramètres > Panneau de configuration > Connexions réseau.
La boîte de dialogue Connexions du réseau s’affiche.
2. Faites un clic droit sur Connexion réseau sans fil, puis sélectionnez Propriétés.
La boîte de dialogue Connexions du réseau sans fil s’affiche.
3. Sélectionnez l’onglet Configuration réseaux sans fil.
4. Sous Réseaux favoris, cliquez sur Ajouter.
La boîte de dialogue Propriétés de Connexion réseau sans fil s’affiche.
5. Tapez le SSID dans la zone de texte Nom réseau (SSID).
6. Sélectionnez les méthodes d’authentification réseau et de chiffrement de données dans les listes
déroulantes. Au besoin, décochez la case La clé m’est fournie automatiquement et tapez la clé
réseau à deux reprises.
7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion réseau sans fil.
8. Cliquez sur Afficher les réseaux sans fil.
Toutes les connexions sans fil disponibles s’affichent dans la zone de texte Réseaux disponibles.
9. Sélectionnez le SSID du réseau sans fil et cliquez sur Connecter.
Si le réseau utilise le chiffrement, tapez la clé réseau deux fois dans la boîte de dialogue Connexion
réseau sans fil, puis cliquez à nouveau sur Connecter.
10. Configurez l’ordinateur sans fil pour qu’il utilise le protocole DHCP.
216
WatchGuard System Manager
10
Routage dynamique
À propos du routage dynamique
Un protocole de routage est le langage qu’utilisent les routeurs pour communiquer entre eux afin de
partager des informations sur l’état de tables de routage réseau. Avec le routage statique, les tables de
routage sont définies et inchangeables. En cas d’échec d’un routeur sur le chemin distant, un paquet ne
peut pas arriver à sa destination. Le routage dynamique procède à la mise à jour automatique des tables en
fonction de l’évolution de la configuration du réseau.
Note Certains protocoles de routage dynamique sont uniquement pris en charge par
Fireware XTM avec mise à niveau Pro. Le routage dynamique n’est pas pris en
charge par les périphériques Firebox X Edge E-Series.
Fireware XTM prend en charge les protocoles RIP v1 et RIP v2. Fireware XTM avec mise à niveau Pro prend
en charge les protocoles RIP v1, RIP v2, OSPF et BGP v4.
À propos des fichiers de configuration du démon
de routage
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper
un fichier de configuration de routage dynamique pour le démon de routage que vous choisissez. Ce fichier
de configuration comprend des informations telles qu’un mot de passe et un nom de fichier journal. Pour
découvrir des exemples de fichiers de configuration pour chacun des protocoles de routage, voir les
rubriques suivantes :
n
n
n
Exemple de fichier de configuration de routage RIP
Exemple de fichier de configuration d’un routage OSPF
Exemple de fichier de configuration de routage BGP
Remarques sur les fichiers de configuration :
User Guide
217
Routage dynamique
n
n
Les caractères « ! » et « # » sont placés avant les commentaires, qui correspondent à des lignes de
texte insérées dans les fichiers de configuration pour expliquer la fonction des commandes
suivantes. Si le premier caractère d’une ligne est un caractère de commentaire, le reste de la ligne
est alors interprété comme un commentaire.
Vous pouvez utiliser le mot « no » au début d’une ligne pour désactiver une commande. Par
exemple, « no network 10.0.0.0/24 area 0.0.0.0 » désactive la zone principale sur le réseau spécifié.
À propos du protocole RIP (Routing Information
Protocol)
Le protocole RIP (Routing Information Protocol) est utilisé pour gérer les informations du routeur dans un
réseau autonome, par exemple un réseau local d’entreprise (LAN) ou un réseau étendu privé (WAN). Avec
le protocole RIP, un hôte passerelle envoie sa table de routage au routeur le plus proche toutes les 30
secondes. Ce routeur, à son tour, envoie le contenu de ses tables de routage aux routeurs voisins.
Le protocole RIP convient parfaitement aux petits réseaux. Cela est dû au fait que la transmission de la table
de routage complète toutes les 30 secondes peut générer une charge de trafic importante sur le réseau.
De plus, les tables RIP sont limitées à 15 sauts. Le protocole OSPF est mieux adapté aux réseaux plus
importants.
Il existe deux versions du protocole RIP. Le protocole RIP v1 utilise la diffusion UDP sur le port 520 pour
envoyer les mises à jour des tables de routage. Le protocole RIP v2 utilise la multidiffusion pour envoyer les
mises à jour des tables de routage.
Commandes du protocole RIP
Le tableau suivant présente la liste des commandes de routage RIP v1 et RIP v2 prises en charge que vous
pouvez utiliser pour créer ou modifier un fichier de configuration de routage. Si vous utilisez le protocole
RIP v2, vous devez inclure le masque de sous-réseau pour toute commande qui utilise une adresse IP
réseau ; sinon, le protocole RIP v2 ne fonctionne pas. Les sections doivent apparaître dans le fichier de
configuration dans le même ordre qu’elles apparaissent dans ce tableau.
Section
Commande
Description
Définir une authentification par mot de passe simple ou MD5 sur une interface
interface eth [N]
Commence la section pour définir
le type d’authentification pour l’interface.
218
ip rip authentication string
[PASSWORD]
Définit un mot de passe d’authentification RIP.
key chain [KEY-CHAIN]
Définit un nom de chaîne de clé MD5.
key [INTEGER]
Définit un numéro de clé MD5.
key-string [AUTH-KEY]
Définit une clé d’authentification MD5.
ip rip authentication mode
md5
Utilise l’authentification MD5.
WatchGuard System Manager
Routage dynamique
Section
Commande
Description
ip rip authentication mode
key-chain [KEY-CHAIN]
Définit une chaîne de clé d’authentification MD5.
Configurer le démon de routage RIP
router rip
Active le démon RIP.
version [1/2]
Définit la version 1 ou 2 du protocole RIP (la valeur par
défaut est 2).
ip rip send version [1/2]
Définit la version 1 ou 2 du protocole RIP à envoyer.
ip rip receive version [1/2]
Définit la version 1 ou 2 du protocole RIP à recevoir.
no ip split-horizon
Désactive le découpage d’horizon (activé par défaut).
Configurer les interfaces et les réseaux
no network eth[N]
passive-interface eth[N]
passive-interface default
network [A.B.C.D/M]
neighbor [A.B.C.D/M]
Distribuer des itinéraires à des pairs RIP et injecter des itinéraires OSPF ou BGP dans la table de
routage RIP
User Guide
default-information
originate
Partage l’itinéraire de dernier recours (itinéraire par
défaut) avec des pairs RIP.
redistribute kernel
Redistribue les itinéraires statiques de pare-feu vers des
pairs RIP.
redistribute connected
Redistribue les itinéraires de toutes les interfaces vers
des pairs RIP.
redistribute connected
route-map [MAPNAME]
Redistribue les itinéraires de toutes les interfaces vers
des pairs RIP avec un filtre de mappage d’itinéraire
(mapname).
redistribute ospf
Redistribue les itinéraires du protocole OSPF vers le
protocole RIP.
redistribute ospf routemap [MAPNAME]
Redistribue les itinéraires du protocole OSPF vers le
protocole RIP avec un filtre de mappage d’itinéraire
(mapname).
redistribute bgp
Redistribue les itinéraires du protocole BGP vers le
protocole RIP.
219
Routage dynamique
Section
Commande
Description
Redistribue les itinéraires du protocole BGP vers le
redistribute bgp route-map
protocole RIP avec un filtre de mappage d’itinéraire
[MAPNAME]
(mapname).
Configurer des filtres de redistribution d’itinéraire avec des mappages d’itinéraires et des listes d’accès
access-list [PERMIT|DENY]
[LISTNAME] [A,B,C,D/M |
ANY]
Crée une liste d’accès pour autoriser ou refuser la
redistribution d’une seule adresse IP ou de toutes les
adresses IP.
route-map [MAPNAME]
permit [N]
Crée un mappage d’itinéraire avec un nom et la priorité
N.
match ip address
[LISTNAME]
Configurer Firebox pour qu’il utilise RIP v1
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique boîte de dialogue s’affiche.
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet RIP.
4. Sélectionnez Activer RIP .
5. Pour importer le fichier de configuration d’un démon de routage, cliquez sur Importer et
sélectionnez le fichier.
Sinon, copiez et collez le texte de votre fichier de configuration dans la zone de texte.
220
WatchGuard System Manager
Routage dynamique
6. Cliquez sur OK.
Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 217.
Autoriser le trafic RIP v1 via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de diffusions RIP du routeur
à l’adresse IP de diffusion du réseau. Vous devez aussi ajouter l’adresse IP de l’interface Firebox dans le
champ À.
1. Cliquez sur
sinon, sélectionnez Modifier > Ajouter une stratégie.
2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter.
3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à
autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers
l’interface Firebox à laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion
du réseau.
4. Cliquez sur OK..
5. Configurez le routeur sélectionné à l’étape 3.
6. Une fois le routeur configuré, ouvrez les Statistiques du trafic et des performances (onglet Rapport
d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur
s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule
sur les interfaces appropriées.
Configurer Firebox pour qu’il utilise RIP v2
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique boîte de dialogue s’affiche.
User Guide
221
Routage dynamique
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet RIP.
4. Sélectionnez Activer RIP .
5. Pour importer le fichier de configuration d’un démon de routage, cliquez sur Importer et
sélectionnez le fichier.
Sinon, copiez et collez le texte de votre fichier de configuration dans la zone de texte.
6. Cliquez sur OK.
222
WatchGuard System Manager
Routage dynamique
Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 217.
Autoriser le trafic RIP v2 via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions RIP v2 des
routeurs sur lesquels le protocole RIP v2 est activé vers les adresses IP de multidiffusions réservées pour le
protocole RIP v2.
1. Cliquez sur
sinon, sélectionnez Modifier > Ajouter une stratégie.
2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter.
3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à
autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers
l’adresse de multidiffusions 224.0.0.9.
4. Cliquez sur OK..
5. Configurez le routeur sélectionné à l’étape 3.
6. Une fois le routeur configuré, ouvrez les Statistiques du trafic et des performances (onglet Rapport
d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur
s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule
sur les interfaces appropriées.
Exemple de fichier de configuration de routage RIP
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou copier
et coller un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un
exemple de fichier de configuration pour le démon de routage RIP. Si vous souhaitez utiliser ce fichier de
configuration comme base de votre propre fichier de configuration, copiez le texte dans une application
telle que Bloc-notes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les
paramètres en fonction des exigences de votre organisation.
Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez
le point d’exclamation et modifiez les variables en fonction de vos besoins.
!! SECTION 1 : Configurer les trousseaux de clés d’authentification MD5
! Définit le nom du trousseau de clés d’authentification MD5 (KEYCHAIN), le
numéro de clé (1)
! et la chaîne de la clé d’authentification (AUTHKEY).
! key chain KEYCHAIN
! key 1 ! key-string AUTHKEY
!! SECTION 2 : Configurer les propriétés de l’interface
! Définit l’authentification de l’interface (eth1).
! interface eth1
!
! Définit le mot de passe d’authentification simple du protocole RIP (SHAREDKEY).
! ip rip authentication string SHAREDKEY
!
! Définit l’authentification MD5 du protocole RIP et le trousseau MD5 (KEYCHAIN).
! ip rip authentication mode md5
! ip rip authentication key-chain KEYCHAIN
User Guide
223
Routage dynamique
!
!! SECTION 3 : Configurer les propriétés globales du démon RIP
! Active le démon RIP. Doit être activé pour toutes les configurations RIP.
router rip
!
! Définit la version 1 du protocole RIP ; la valeur par défaut est 2.
! version 1
!
! Définit l’envoi et la réception sur la version 1 du protocole RIP ; la valeur
par défaut est 2.
! ip rip send version 1
! ip rip receive version 1
!
! Désactive le découpage d’horizon pour éviter les boucles de routage. La valeur
par défaut est activée.
! no ip split-horizon
!! SECTION 4 : Configurer les interfaces et les réseaux
! Désactive l’envoi et la réception par protocole RIP sur l’interface (eth0).
! no network eth0
!
! Définit le mode réception seule du protocole RIP sur l’interface (eth2).
! passive-interface eth2
!
! Définit le mode réception seule du protocole RIP sur toutes les interfaces.
! passive-interface default
!
! Active la diffusion (version 1) ou la multidiffusion (version 2) du protocole
RIP sur
! le réseau (192.168.253.0/24). !network 192.168.253.0/24
!
! Définit la monodiffusion des mises à jour de la table de routage vers le voisin
(192.168.253.254).
! neighbor 192.168.253.254
!! SECTION 5 : Redistribue des itinéraires RIP à des pairs et injecte des
itinéraires OSPF ou BGP
!! dans la table de routage RIP.
! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de
routage des noyaux
! avec des pairs RIP.
! default-information originate
!
! Redistribue les itinéraires statiques de pare-feu vers les pairs RIP.
! redistribute kernel
!
! Définit le mappage d’itinéraires (MAPNAME) de sorte qu’il restreigne la
redistribution des itinéraires de la section 6.
! Redistribue les itinéraires de toutes les interfaces vers des pairs RIP ou avec
un filtre de mappage
! d’itinéraire (MAPNAME).
! redistribute connected
! redistribute connected route-map MAPNAME
!
224
WatchGuard System Manager
Routage dynamique
! Redistribue les itinéraires du protocole OSPF vers le protocole RIP ou avec un
filtre de mappage d’itinéraire (MAPNAME).
! redistribute ospf !redistribute ospf route-map MAPNAME
!
! Redistribue les itinéraires du protocole BGP vers le protocole RIP ou avec un
filtre de mappage d’itinéraire (MAPNAME).
! redistribute bgp !redistribute bgp route-map MAPNAME
!! SECTION 6 : Configurer des filtres de redistribution d’itinéraire avec des
mappages d’itinéraires et
!! des listes d’accès
! Crée une liste d’accès autorisant uniquement la redistribution de
172.16.30.0/24.
! access-list LISTNAME permit 172.16.30.0/24
! access-list LISTNAME deny any
!
! Crée un mappage d’itinéraire avec le nom MAPNAME et la priorité 10.
! route-map MAPNAME permit 10
! match ip address LISTNAME
À propos du protocole OSPF (Open Shortest Path
First)
Note Ceprotocole estuniquement prisen chargepar Fireware XTMavec miseà niveauPro.
Le protocole OSPF (Open Shortest Path First) est un protocole de routeur intérieur qui est utilisé dans les
réseaux de grande taille. Avec le protocole OSPF, un routeur qui détecte une modification dans sa table de
routage ou dans le réseau envoie immédiatement une mise à jour par multidiffusion à tous les autres
routeurs du réseau. Les protocoles OSPF et RIP présentent les différences suivantes :
n
n
Le protocole OSPF envoie uniquement la partie de la table de routage ayant été modifiée au cours
de sa transmission. Le protocole RIP envoie systématiquement la table de routage dans son
intégralité.
Le protocole OSPF envoie uniquement une multidiffusion lorsque ses informations ont été
modifiées. Le protocole RIP envoie la table de routage toutes les 30 secondes.
Notez également la caractéristique suivante à propos du protocole OSPF :
n
n
Si vous possédez plusieurs zones OSPF, l’une d’entre elles doit être la zone 0.0.0.0 (la zone
principale).
Toutes les zones doivent être adjacentes à la zone principale. Si ce n’est pas le cas, vous devez
configurer une liaison virtuelle à la zone principale.
Commandes OSPF
Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de
routage appropriées. Le tableau suivant présente la liste des commandes de routage OSPF prises en charge.
Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent
dans ce tableau. Vous pouvez également utiliser le texte donné en exemple dans Exemple de fichier de
configuration d’un routage OSPF à la page 231.
User Guide
225
Routage dynamique
Section
Commande
Description
Configurer l’interface
ip ospf authentication-key
[PASSWORD]
Définit le mot de passe d’authentification OSPF.
interface eth[N]
Commence la section pour définir les propriétés de
l’interface.
ip ospf message-digest-key
[KEY-ID] md5 [KEY]
Définit l’ID de clé et la clé d’authentification MD5.
ip ospf cost [1-65535]
Définit le coût de liaison pour l’interface (voir le tableau
des coûts d’interface OSP ci-dessous).
ip ospf hello-interval [165535]
Définit l’intervalle d’envoi des paquets hello ; la valeur
par défaut est 10 s.
ip ospf dead-interval [165535]
Définit l’intervalle de temps, après le dernier paquet
hello, au terme duquel un voisin est déclaré inactif ; la
valeur par défaut est 40 s.
ip ospf retransmit-interval [165535]
Définit l’intervalle entre les retransmissions d’annonces
d’état de liaison (LSA) ; la valeur par défaut est 5 s.
ip ospf transmit-delay [13600]
Définit le temps nécessaire pour envoyer une mise à
jour LSA ; la valeur par défaut est 1 s.
ip ospf priority [0-255]
Définit la priorité de l’itinéraire ; une valeur élevée
augmente les chances du routeur de devenir le
routeur désigné (DR).
Configurer le démon de routage OSPF
router ospf
Active le démon OSPF.
ospf router-id [A.B.C.D]
Définit l’ID du routeur pour OSPF manuellement ; le
routeur déterminera son propre ID s’il n’est pas défini.
ospf rfc 1583compatibility
Active la compatibilité avec le document RFC 1583
(peut entraîner des boucles de routage).
ospf abr-type
Pour plus d’informations sur cette commande, voir le
[cisco|ibm|shortcut|standard] fichier draft-ietf-abr-o5.txt.
226
passive-interface eth[N]
Désactive l’annonce OSPF sur l’interface eth[N].
auto-cost reference
bandwidth[0-429495]
Définit un coût global (voir le tableau des coûts OSPF cidessous) ; ne pas l’utiliser conjointement avec la
commande « ip ospf [COST] ».
timers spf [0-4294967295][04294967295]
Définit le délai de planification et le délai de rétention
OSPF
WatchGuard System Manager
Routage dynamique
Section
Commande
Description
Activer OSPF sur un réseau
*La variable « area » prend en charge deux
formats : [W.X.Y.Z] ou en tant qu’entier [Z].
Annonce OSPF sur le réseau.
network [A.B.C.D/M] area [Z]
A.B.C.D/M for area 0.0.0.Z
Configurer les propriétés de la zone principale ou d’autres zones
La variable « area » prend en charge deux formats : [W.X.Y.Z] ou en tant qu’entier [Z].
area [Z] range [A.B.C.D/M]
Crée une zone 0.0.0.Z et définit un réseau à classes
pour la zone (la plage et le paramètre de réseau et de
masque d’interface doivent correspondre).
area [Z] virtual-link [W.X.Y.Z]
Définit le voisin de liaison virtuelle pour la zone 0.0.0.Z.
area [Z] stub
Définit la zone 0.0.0.Z en tant que stub.
area [Z] stub no-summary
area [Z] authentication
Active l’authentification par mot de passe simple pour
la zone 0.0.0.Z.
area [Z] authentication
message-digest
Active l’authentification MD5 pour la zone 0.0.0.Z.
Redistribuer les itinéraires OSPF
User Guide
default-information originate
Partage l’itinéraire de dernier recours (itinéraire par
défaut) avec OSPF.
default-information originate
metric [0-16777214]
Partage l’itinéraire de dernier recours (itinéraire par
défaut) avec OSPF et ajoute une mesure utilisée pour
générer l’itinéraire par défaut.
default-information originate
always
Partage toujours l’itinéraire de dernier recours
(itinéraire par défaut).
default-information originate
always metric [0-16777214]
Partage toujours l’itinéraire de dernier recours
(itinéraire par défaut) et ajoute une mesure utilisée
pour générer l’itinéraire par défaut.
redistribute connected
Redistribue les itinéraires de toutes les interfaces vers
le protocole OSPF.
redistribute connected
metrics
Redistribue les itinéraires de toutes les interfaces vers
le protocole OSPF et ajoute une mesure utilisée pour
l’action.
227
Routage dynamique
Section
Commande
Description
Configurer la redistribution des itinéraires avec
des listes d’accès et des mappages d’itinéraires
access-list [LISTNAME] permit
[A.B.C.D/M]
Crée une liste d’accès pour autoriser la distribution de
A.B.C.D/M.
access-lists [LISTNAME] deny
any
Interdit la distribution de tout mappage d’itinéraire non
spécifié ci-dessus.
route-map [MAPNAME]
permit [N]
Crée un mappage d’itinéraire avec le nom [MAPNAME]
et la priorité [N].
match ip address [LISTNAME]
Tableau des coûts d’interface OSPF
Le protocole OSPF identifie l’itinéraire le plus efficace entre deux points. Pour cela, il prend en compte
différents facteurs tels que la vitesse de liaison de l’interface, le nombre de sauts entre les points et
d’autres mesures. Par défaut, le protocole OSPF utilise la vitesse de liaison réelle d’un périphérique pour
calculer le coût total d’un itinéraire. Vous pouvez définir manuellement le coût d’interface pour maximiser
l’efficacité si, par exemple, votre pare-feu basé sur un gigaoctet est connecté à un routeur 100M. Utilisez
les chiffres fournis dans le tableau pour attribuer manuellement au coût d’interface une valeur différente
du coût réel.
Type d’interface Bande passante en bits/s Bande passante en octets/s Coût d’interface OSPF
Ethernet
1G
128 M
1
Ethernet
100 M
12,5 M
10
Ethernet
10 M
1,25 M
100
Modem
2M
256 K
500
Modem
1M
128 K
1 000
Modem
500 K
62,5 K
2 000
Modem
250 K
31,25 K
4 000
Modem
125 K
15 625
8 000
Modem
62 500
7 812
16 000
Série
115 200
14 400
10 850
Série
57 600
7 200
21 700
Série
38 400
4 800
32 550
Série
19 200
2 400
61 120
Série
9 600
1 200
65 535
228
WatchGuard System Manager
Routage dynamique
Configurer Firebox pour utiliser OSPF
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique boîte de dialogues’affiche.
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet OSPF.
4. Sélectionnez Activer OSPF.
5. Cliquez sur Importer pour importer un fichier de configuration de démon de routage ou copiez et
collez votre fichier de configuration dans la zone de texte.
User Guide
229
Routage dynamique
Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à
la page 217.
Pour commencer, vous n’avez besoin que de deux commandes dans votre fichier de configuration
OSPF. Exécutées dans l’ordre suivant, ces deux commandes lancent le processus OSPF :
router ospf
network <network IP address of the interface you want the process to listen on and distribute
through the protocol> area <area ID in x.x.x.x format, such as 0.0.0.0>
6. Cliquez sur OK.
Autoriser le trafic OSPF via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions OSPF des
routeurs sur lesquels le protocole OSPF est activé vers les adresses de multidiffusion réservées pour le
protocole OSPF.
1. Cliquez sur
sinon, sélectionnez Modifier > Ajouter une stratégie.
2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter.
3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à
autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole OSPF vers
les adresses IP 224.0.0.5 et 224.0.0.6.
Pour plus d’informations sur la manière de définir les adresses d’origine et de destination d’une
stratégie, voir Définir des règles d’accès pour une stratégie à la page 360.
4. Cliquez sur OK..
5. Configurez le routeur sélectionné à l’étape 3.
230
WatchGuard System Manager
Routage dynamique
6. Une fois le routeur configuré, ouvrez les Statistiques du trafic et des performances (onglet Rapport
d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur
s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie OSPF à une écoute seule
sur les interfaces appropriées.
Exemple de fichier de configuration d’un routage OSPF
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou copier
et coller un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un
exemple de fichier de configuration pour le démon de routage OSPF. Si vous souhaitez utiliser ce fichier de
configuration comme base de votre propre fichier de configuration, copiez le texte dans une application
telle que Bloc-notes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les
paramètres en fonction des exigences de votre organisation.
Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez
le point d’exclamation et modifiez les variables en fonction de vos besoins.
!! SECTION 1 : Configurer les propriétés de l’interface
! Définit les propriétés de l’interface eth1.
! interface eth1
!
! Définit le mot de passe d’authentification simple (SHAREDKEY).
! ip ospf authentication-key SHAREDKEY
!
! Définit l’ID de la clé d’authentification MD5 (10) et la clé d’authentification
MD5 (AUTHKEY).
! ip ospf message-digest-key 10 md5 AUTHKEY
!
! Fixe le coût de liaison à 1 000 (1-65535) sur l’interface eth1
! pour le tableau des coûts de liaison OSPF. !ip ospf cost 1000
!
! Définit l’intervalle entre les paquets hello sur 5 s. (1-65535) ; la valeur par
défaut est 10 s.
! ip ospf hello-interval 5
!
! Définit l’intervalle d’inactivité sur 15 s. (1-65535) ; la valeur par défaut
est 40 s.
! ip ospf dead-interval 15
!
! Définit l’intervalle entre les retransmissions d’annonces d’état
de liaison (LSA)
! sur 10 s. (1-65535) ; la valeur par défaut est 5 s.
! ip ospf retransmit-interval 10
!
! Définit l’intervalle de mise à jour des LSA sur 3 s. (1-3600) ; la valeur par
défaut est 1 s.
! ip ospf transmit-delay 3
!
! Définit le niveau de priorité (0-255) pour augmenter les chances du routeur de
devenir le
! routeur désigné (DR).
User Guide
231
Routage dynamique
! ip ospf priority 255
!! SECTION 2 : Lancer le protocole OSPF et définir les propriétés du démon
! Active le démon OSPF. Doit être activé pour toutes les configurations OSPF.
! router ospf
!
! Définit l’ID du routeur manuellement sur 100.100.100.20. S’il n’est pas défini,
le pare-feu
! établira lui-même l’ID en fonction d’une adresse IP d’interface.
! ospf router-id 100.100.100.20
!
! Active la compatibilité avec le document RFC 1583 (augmente la probabilité des
boucles de routage).
! ospf rfc1583compatibility
!
! Définit le type de routeur de frontière de zone (ABR) sur cisco, ibm, shortcut
ou standard.
! Pour plus d’informations sur les types d’ABR, voir draft-ietf-ospf-abr-alt05.txt.
! ospf abr-type cisco
!
! Désactive l’annonce OSPF sur l’interface eth0.
! passive interface eth0
!
! Définit le coût global sur 1 000 (0-429495).
! auto-cost reference bandwidth 1000
!
! Définit le délai de planification de SPF sur 25 s. (0-4294967295) et le délai
de rétention sur
! sur 20 s. (0-4294967295) ; les valeurs par défaut sont 5 et 10 s.
!timers spf 25 20
!! SECTION 3 : Définir les propriétés de réseau et de zone Définit les zones à
partir de W.X.Y.Z
!! ou de la notation Z.
! Annonce le protocole OSPF sur le réseau 192.168.253.0/24 pour la zone 0.0.0.0.
! network 192.168.253.0/24 area 0.0.0.0
!
! Crée une zone 0.0.0.1 et définit une plage de réseau à classes
(172.16.254.0/24)
! pour la zone (la plage et les paramètres de réseau de l’interface doivent
correspondre).
! area 0.0.0.1 range 172.16.254.0/24
!
! Définit le voisin de liaison virtuelle (172.16.254.1) pour la zone 0.0.0.1.
! area 0.0.0.1 virtual-link 172.16.254.1
!
! Définit la zone 0.0.0.1 en tant que stub pour tous les routeurs de cette zone.
! area 0.0.0.1 stub
!
! area 0.0.0.2 stub no-summary
!
! Active l’authentification par mot de passe simple pour la zone 0.0.0.0.
! area 0.0.0.0 authentication
!
! Active l’authentification MD5 pour la zone 0.0.0.1.
232
WatchGuard System Manager
Routage dynamique
! area 0.0.0.1 authentication message-digest
!! SECTION 4 : Redistribuer les itinéraires OSPF
! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de
routage des noyaux
! avec les pairs OSPF.
! default-information originate
!
! Redistribue des itinéraires statiques vers le protocole OSPF.
! redistribute kernel
!
! Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF.
! redistribute connected
! redistribute connected route-map
! ! Redistribue les itinéraires des protocoles RIP et BGP vers OSPF.
! redistribute rip !redistribute bgp
!! SECTION 5 : Configurer des filtres de redistribution d’itinéraire avec des
listes d’accès
!! et des mappages d’itinéraire.
! Crée une liste d’accès autorisant uniquement la redistribution de 10.0.2.0/24.
! access-list LISTNAME permit 10.0.2.0/24
! access-list LISTNAME deny any
!
! Crée un mappage d’itinéraire avec le nom MAPNAME
et la priorité 10 (1-199).
! route-map MAPNAME permit 10
! match ip address LISTNAME
À propos du protocole BGP (Border Gateway
Protocol)
Note Ce protocole est pris en charge uniquement par Fireware XTM avec mise à niveau
Pro sur les périphériques Core e-Series, Peak e-Series et XTM.
Le protocole BGP (Border Gateway Protocol) est un protocole évolutif de routage dynamique qui est utilisé
par des groupes de routeurs sur Internet pour partager des informations de routage. Il utilise des
paramètres d’itinéraire, ou attributs, pour définir des stratégies de routage et créer un environnement de
routage stable. Grâce à ce protocole, vous pouvez annoncer plusieurs chemins depuis/vers Internet à votre
réseau et vos ressources, ce qui vous permet de bénéficier de chemins redondants et d’une éventuelle
augmentation du temps d’activité.
Les hôtes qui utilisent le protocole BGP ont recours au protocole TCP pour envoyer des informations sur les
tables de routage mises à jour lorsqu’un hôte détecte une modification. L’hôte envoie uniquement la partie
de la table de routage contenant la modification. Le protocole BGP utilise le routage CIDR (Classless
InterDomain Routing) pour réduire la taille des tables de routage Internet. La taille de la table de routage
BGP dans Fireware XTM est définie à 32 K.
Compte tenu de la taille d’un réseau étendu (WAN) client WatchGuard type, le routage dynamique OSPF est
plus approprié. Un réseau WAN peut également utiliser le protocole EBGP (External Border Gateway
Protocol) si plusieurs passerelles Internet sont disponibles. Le protocole EBGP vous permet de tirer
pleinement parti de la redondance possible avec un réseau multiconnecté.
User Guide
233
Routage dynamique
Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un
numéro de système autonome (ASN). Vous devez obtenir un numéro ASN auprès de l’un des registres
régionaux répertoriés dans le tableau ci-dessous. Lorsque vous recevez votre propre numéro ASN, vous
devez contacter chaque fournisseur de services Internet pour obtenir leur numéro ASN et toute autre
information nécessaire.
Région
Nom du registre
Site Web
Amérique du Nord
RIN
www.arin.net
Europe
RIPE NCC
www.ripe.net
Asie Pacifique
APNIC
www.apnic.net
Amérique latine
LACNIC
www.lacnic.net
Afrique
AfriNIC
www.afrinic.net
Commandes BGP
Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de
routage appropriées. Le tableau suivant présente la liste des commandes de routage BGP prises en charge.
Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent
dans ce tableau.
N’utilisez pas de paramètres de configuration BGP qui ne sont pas fournis par votre fournisseur de services
Internet.
Section Commande
Description
Configure le démon de routage BGP
router bgp [ASN]
Active le démon BGP et définit le numéro de système autonome
(ASN) ; information fournie par votre fournisseur de services
Internet.
network [A.B.C.D/M]
Annonce le protocole BGP sur le réseau
A.B.C.D/M.
no network [A.B.C.D/M]
Désactive les annonces BGP sur le réseau A.B.C.D/M.
Définir les propriétés du voisin
neighbor [A.B.C.D]
remote-as [ASN]
Définit le voisin en tant que membre d’un réseau ASN distant.
neighbor [A.B.C.D] ebgpmultihop
Définit le voisin sur un autre réseau à l’aide du protocole EBGP à
sauts multiples.
neighbor [A.B.C.D] version Définit la version du protocole BGP (4, 4+, 4-) pour les
4+
communications avec le voisin ; la valeur par défaut est 4.
neighbor [A.B.C.D]
update-source [WORD]
234
Définit la session BGP de manière à utiliser une interface spécifique
pour les connexions TCP.
WatchGuard System Manager
Routage dynamique
Section Commande
Description
neighbor [A.B.C.D]
default-originate
Annonce l’itinéraire par défaut au voisin BGP [A,B,C,D].
neighbor [A.B.C.D] port
189
Définit le port TCP personnalisé pour communiquer avec le voisin
BGP [A,B,C,D].
neighbor [A.B.C.D] sendcommunity
Définit l’envoi de l’attribut de communauté au pair.
neighbor [A.B.C.D] weight
1000
Définit un coefficient par défaut pour les itinéraires [A.B.C.D] du
voisin.
neighbor [A.B.C.D]
maximum-prefix
[NUMBER]
Définit le nombre maximal de préfixes autorisés à partir de ce
voisin.
Listes de communautés
ip community-list [<199>|<100-199>] permit
AA:NN
Spécifie que la communauté doit accepter les numéros ASN et de
réseau séparés par deux points.
Filtrage de pairs
neighbor [A.B.C.D]
distribute-list [LISTNAME]
[IN|OUT]
Définit la liste de distribution et la direction pour le pair.
neighbor [A.B.C.D] prefixlist [LISTNAME] [IN|OUT]
Applique une liste de préfixes à faire correspondre aux annonces
entrantes ou sortantes de ce voisin.
neighbor [A.B.C.D] filterlist [LISTNAME] [IN|OUT]
Fait correspondre une liste d’accès de chemins système
autonomes à des itinéraires entrants ou sortants.
neighbor [A.B.C.D] routemap [MAPNAME]
[IN|OUT]
Applique un mappage d’itinéraire à des itinéraires entrants ou
sortants.
Redistribuer des itinéraires vers le protocole BGP
redistribute kernel
Redistribue des itinéraires statiques vers le protocole BGP.
redistribute rip
Redistribue des itinéraires RIP vers le protocole BGP.
redistribute ospf
Redistribue des itinéraires OSPF vers le protocole BGP.
Réflexion d’itinéraire
bgp cluster-id A.B.C.D
User Guide
Configure l’ID de cluster si le cluster BGP possède plusieurs
réflecteurs d’itinéraire.
235
Routage dynamique
Section Commande
neighbor [W.X.Y.Z] routereflector-client
Description
Configure le routeur en tant que réflecteur d’itinéraire BGP et
configure le voisin spécifié comme son client.
Listes d’accès et listes de préfixes IP
ip prefix-lists PRELIST
permit A.B.C.D/E
Définit la liste de préfixes.
access-list NAME
[deny|allow] A.B.C.D/E
Définit la liste d’accès.
route-map [MAPNAME]
permit [N]
Définit, conjointement avec les commandes « match » et « set »,
les conditions et les actions relatives à la redistribution d’itinéraires.
match ip address prefixlist [LISTNAME]
Trouve la liste d’accès spécifiée correspondante.
set community [A:B]
Définit l’attribut de communauté BGP.
match community [N]
Trouve la liste de communautés spécifiée correspondante.
set local-preference [N]
Définit la valeur de préférence pour le chemin système autonome.
Configurer Firebox pour qu’il utilise BGP
Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un
numéro de système autonome (ASN). Pour de plus amples informations, cf. À propos du protocole BGP
(Border Gateway Protocol) à la page 234.
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique boîte de dialogue s’affiche.
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet BGP.
236
WatchGuard System Manager
Routage dynamique
4. Sélectionnez Activer BGP case à cocher.
5. Cliquez sur Importer pour importer un fichier de configuration de démon de routage ou copiez et
collez votre fichier de configuration dans la zone de texte.
Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à
la page 217.
User Guide
237
Routage dynamique
Pour commencer, vous n’avez besoin que de trois commandes dans votre fichier de configuration
BGP. Ces trois commandes initient le processu BGP, définissent une relation de pair avec le
fournisseur de services Internet et établissent l’itinéraire d’un réseau vers Internet. Vous devez
exécuter ces commandes dans l’ordre indiqué.
router BGP : numéro du système autonome de BGP fourni par le réseau de votre
fournisseur de services Internet : adresse IP du réseau vers lequel vous souhaitez publier
un itinéraire depuis Internet
neighbor : <IP address of neighboring BGP router> remote-as <BGP autonomous number>
6. Cliquez sur OK.
Autoriser le trafic BGP via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement du trafic BGP vers Firebox à
partir des réseaux approuvés. Ces réseaux doivent être les mêmes que ceux que vous avez définis dans
votre fichier de configuration BGP.
1. Cliquez sur
ou sélectionnez Modifier > Ajouter une stratégie.
2. Dans la liste des filtres de paquets, sélectionnez BGP. Cliquez sur Ajouter.
3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à
autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole BGP vers
l’interface Firebox à laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion
du réseau.
4. Cliquez sur OK..
5. Configurez le routeur sélectionné à l’étape 3.
6. Une fois le routeur configuré, ouvrez-les Statistiques du trafic et des performances (onglet Rapport
d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur
s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie BGP à une écoute seule
sur les interfaces appropriées.
Exemple de fichier de configuration de routage BGP
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper
un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de
fichier de configuration pour le démon de routage BGP. Si vous souhaitez utiliser ce fichier de configuration
comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Blocnotes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en
fonction des besoins de votre propre entreprise.
Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez
le point d’exclamation et modifiez les variables en fonction de vos besoins.
!! SECTION 1 : Démarre le démon BGP et annonce les blocs de réseau aux voisins BGP
! Active le protocole BGP et définit le numéro ASN sur 100 router bgp 100
! Annonce le réseau local 64.74.30.0/24 à tous les voisins définis dans la
section 2
! network 64.74.30.0/24
!! SECTION 2 : Propriétés du voisin
238
WatchGuard System Manager
Routage dynamique
! Définit le voisin (64.74.30.1) en tant que membre d’un réseau ASN distant (200)
! neighbor 64.74.30.1 remote-as 200
! Définit le voisin (208.146.43.1) sur un autre réseau à l’aide du protocole EBGP
à sauts multiples
! neighbor 208.146.43.1 remote-as 300
! neighbor 208.146.43.1 ebgp-multihop
! Définit la version du protocole BGP (4, 4+, 4-) pour les communications avec le
voisin ; la valeur par défaut est 4.
! neighbor 64.74.30.1 version 4+
! Annonce l’itinéraire par défaut au voisin BGP (64.74.30.1)
! neighbor 64.74.30.1 default-originate
! Définit le port TCP personnalisé 189 pour communiquer avec le voisin BGP
(64.74.30.1) Le port TCP par défaut est 179.
! neighbor 64.74.30.1 port 189
! Définit l’envoi de l’attribut de communauté au pair.
! neighbor 64.74.30.1 send-community
! Définit un coefficient par défaut pour les itinéraires (64.74.30.1) du voisin.
! neighbor 64.74.30.1 weight 1000
! Définit le nombre maximal de préfixes autorisés à partir
de ce voisin.
! neighbor 64.74.30.1 maximum-prefix NUMBER
!! SECTION 3 : Définit les listes de communautés
! ip community-list 70 permit 7000:80
!! SECTION 4 : Filtrage des annonces
! Définit la liste de distribution et la direction pour le pair.
! neighbor 64.74.30.1 distribute-list LISTNAME [in|out]
! Applique une liste de préfixes à faire correspondre aux annonces entrantes ou
sortantes de ce voisin.
! neighbor 64.74.30.1 prefix-list LISTNAME [in|out]
! Fait correspondre une liste d’accès de chemins système autonomes à des
itinéraires entrants ou sortants.
! neighbor 64.74.30.1 filter-list LISTNAME [in|out]
! Applique un mappage d’itinéraire à des itinéraires entrants ou sortants.
! neighbor 64.74.30.1 route-map MAPNAME [in|out]
!! SECTION 5 : Redistribuer les itinéraires au protocole BGP
! Redistribue des itinéraires statiques vers le protocole BGP.
! redistribute kernel
! Redistribue des itinéraires RIP vers le protocole BGP.
! redistribute rip
! Redistribue des itinéraires OSPF vers le protocole BGP
! redistribute ospf
!! SECTION 6 : Router la réflexion
! Définit l’ID de cluster et le pare-feu en tant que client du serveur réflecteur
d’itinéraire 51.210.0.254
! bgp cluster-id A.B.C.D
! neighbor 51.210.0.254 route-reflector-client
User Guide
239
Routage dynamique
!! SECTION 7 : Listes d’accès et listes de préfixes IP
! Définit la liste de préfixes.
! ip prefix-list PRELIST permit 10.0.0.0/8
! Définit la liste d’accès !access-list NAME deny 64.74.30.128/25
! access-list NAME permit 64.74.30.0/25
! Crée un mappage d’itinéraire avec le nom MAPNAME et autorise la priorité 10.
! route-map MAPNAME permit 10
! match ip address prefix-list LISTNAME
! set community 7000:80
240
WatchGuard System Manager
11
FireCluster
À propos de WatchGuard FireCluster
WatchGuard FireCluster vous permet de configurer deux périphériques WatchGuard en cluster afin
d’améliorer les performances et l’évolutivité du réseau.
Deux options de configuration sont possibles lors de la configuration de FireCluster : actif/passif et
actif/actif. Pour ajouter une redondance, choisissez un cluster actif/passif. Pour ajouter redondance et
répartition de charge à votre réseau, sélectionnez un cluster actif/actif.
Lorsque vous activez FireCluster, vous gérez et contrôlez les deux périphériques du cluster en tant que
périphérique virtuel simple.
User Guide
241
FireCluster
Pour utiliser FireCluster, les interfaces de votre réseau doivent être configurées en mode de routage mixte.
FireCluster ne prend pas en charge les modes d’insertion et pont. Pour de plus amples informations sur les
modes réseau, cf. À propos de Configuration d’interface réseau.
Lorsque FireCluster est activé, vos périphériques WatchGuard continuent de prendre en charge les
éléments suivants :
n
n
n
les réseaux secondaires sur des interfaces externes, approuvées ou facultatives ;
les connexions multi-WAN
(avec la restriction suivante : un basculement multi-WAN dû à un échec de connexion à un hôte de
contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a
lieu uniquement lorsque l’interface physique est inactive ou ne répond pas.)
Les réseaux locaux virtuels (VLAN).
En cas d’échec d’un membre du cluster, le cluster bascule naturellement et préserve les fonctionnalités
suivantes :
n
n
n
Connexions via un filtre de paquet
Tunnels BOVPN
Sessions d’utilisateur
Ces connexions peuvent être déconnectées en cas d’événement de basculement :
n
n
n
n
242
Connexions en proxy
Mobile VPN with PPTP
Mobile VPN with IPSec
Mobile VPN with SSL
WatchGuard System Manager
FireCluster
Les utilisateurs de Mobile VPN devront peut-être redémarrer manuellement la connexion VPN après un
basculement.
Pour plus d’informations sur le basculement de FireCluster, voir À propos du basculement FireCluster à la
page 243.
État de FireCluster
Pour afficher l’état de FireCluster dans Firebox System Manager :
1. Démarrer Firebox System Manager.
2. Recherchez les informations sur FireCluster, comme indiqué dans la rubrique État de Firebox.
Note Il n’est pas possible d’utiliser l’interface Fireware XTM Web UI pour gérer ou
analyser un périphérique configuré en tant que membre d’un FireCluster.
À propos du basculement FireCluster
Le processus de basculement de FireCluster est le même pour les clusters actif/actif et les clusters
actif/passif. Quel que soit le type de cluster, chaque membre du cluster conserve à tout moment les
informations sur l’état et les sessions. En cas de basculement, les connexions via un filtre de paquets, les
tunnels BOVPN et les sessions d’utilisateur gérés par le périphérique en échec basculent automatiquement
vers l’autre périphérique du cluster.
Dans un FireCluster, un des périphériques est maître de cluster et l’autre, maître de sauvegarde. Le maître
de sauvegarde utilise l’interface cluster principale pour synchroniser les informations sur les connexions et
les sessions à partir du maître de cluster. Si l’interface cluster principale échoue ou est déconnectée, le
maître de sauvegarde utilise l’interface cluster de sauvegarde pour communiquer avec le maître de cluster.
Nous vous recommandons de toujours configurer une interface cluster principale et une interface cluster
de sauvegarde. Ainsi vous êtes assurés, en cas de déclenchement du basculement du maître de cluster, que
le maître de sauvegarde dispose de toutes les informations nécessaires pour devenir le nouveau maître de
cluster et transmettre les connexions et les sessions de façon appropriée.
Les événements qui déclenchent un basculement
Il existe trois types d’événements qui peuvent provoquer un basculement.
Lien d’interface contrôlée inactive sur le maître de cluster
Un basculement se produit si une interface contrôlée sur le maître de cluster ne peut pas envoyer
ou recevoir de trafic. Vous pouvez consulter la liste des interfaces contrôlées dans la configuration
FireCluster dans Policy Manager.
Périphérique de maître de cluster pas entièrement fonctionnel
Un basculement se produit si un dysfonctionnement logiciel ou un échec matériel est détecté sur le
maître de cluster ou qu’un processus critique échoue sur le maître de cluster.
User Guide
243
FireCluster
Le cluster reçoit la commande de basculement de maître de Firebox System Manager
Dans Firebox System Manager, lorsque vous sélectionnez Outils> Cluster > Basculement de maître,
vous forcez un basculement du maître de cluster vers le maître de sauvegarde.
Pour de plus amples informations sur cette commande, cf. Forcer le basculement d’un cluster maître
à la page 274.
244
WatchGuard System Manager
FireCluster
Que se passe-t-il lorsqu’un basculement se produit ?
Lorsqu’un basculement du maître de cluster se produit, le maître de sauvegarde devient le maître de
cluster. Ensuite, le maître de cluster original redémarre et rejoint le cluster en tant que maître de
sauvegarde. Le cluster bascule et conserve toutes les connexions de filtre de paquets, les tunnels BOVPN et
les sessions d’utilisateur. Ce comportement est identique pour un FireCluster actif/actif ou actif/passif.
Dans un cluster actif/actif, si le maître de sauvegarde échoue, le cluster bascule et conserve toutes les
connexions de filtre de paquets, les tunnels BOVPN, et les sessions d’utilisateur. Les connexions proxy et
Mobile VPN peuvent être interrompues, tel que décrit dans le tableau suivant. Dans un cluster actif/passif,
si le maître de sauvegarde échoue, il n’y aucune interruption des connexions ou des sessions car rien n’est
affecté au maître de sauvegarde.
Type de
connexion/de Impact d’un événement de basculement
session
Connexions
via un filtre
de paquets
Les connexions basculent sur l’autre membre du cluster.
Tunnels
BOVPN
Les tunnels basculent sur l’autre membre du cluster.
Sessions
d’utilisateur
Les sessions basculent sur l’autre membre du cluster.
Connexions
proxy
Les connexions affectées au périphérique en échec (maître ou maître de sauvegarde)
doivent être redémarrées. Les connexions affectées à l’autre périphérique ne sont pas
interrompues.
Mobile VPN
with IPSec
Si le maître de cluster bascule, toutes les sessions doivent être redémarrées. Si le maître
de sauvegarde échoue, seules les sessions affectées au maître de sauvegarde doivent
être redémarrées. Les sessions affectées au maître de cluster ne sont pas interrompues.
Mobile VPN
with SSL
Si l’un des deux périphériques bascule, toutes les sessions doivent être redémarrées.
Mobile VPN
with PPTP
Toutes les sessions PPTP sont affectées au maître de cluster, même pour un cluster
actif/actif. Si le maître de cluster bascule, toutes les sessions doivent être redémarrées.
Les sessions PPTP ne sont pas interrompues en cas d’échec du maître de sauvegarde.
Basculement de FireCluster et équilibrage de charge côté
serveur
Si vous utilisez l’équilibrage de charge côté serveur pour équilibrer les connexions entre vos serveurs
internes, lorsqu'un événement de basculement de FireCluster se produit, il n’y a pas de synchronisation en
temps réel. Après un basculement, le nouveau maître de cluster envoie des connexions à tous les serveurs
de la liste d’équilibrage de charge côté serveur pour identifier ceux qui sont disponibles. Il applique ensuite
User Guide
245
FireCluster
à tous les serveurs disponibles l’algorithme d’équilibrage de charge.
Pour obtenir des informations sur l’équilibrage de charge côté serveur, cf. Configurer les équilibrage de
charge côté serveur à la page 182.
Contrôler le cluster pendant un basculement
Le rôle de chaque périphérique du cluster s’affiche après le nom de membre sur l’onglet Panneau avant
de Firebox System Manager. Si vous regardez l’onglet Panneau avant pendant un basculement du maître de
cluster, vous pouvez voir le rôle du maître de cluster se déplacer d’un périphérique à l’autre. Pendant un
basculement, vous voyez les modifications suivantes :
n
n
n
Le rôle de l’ancien maître de sauvegarde passe de « maître de sauvegarde » à « maître ».
Le rôle de l’ancien maître de cluster passe à « inactif », puis à « veille » lors du redémarrage du
périphérique.
Le rôle de l’ancien maître de cluster passe à « maître de sauvegarde » après le redémarrage du
périphérique.
Pour plus d’informations, cf. Contrôler et analyser les membres de FireCluster à la page 271
Fonctionnalités non prises en charge en cas
d’utilisation de FireCluster
Certaines fonctionnalités de configuration et de gestion Fireware XTM sont inutilisables avec FireCluster.
Limites de configuration du réseau FireCluster
n
n
n
Vous ne pouvez pas configurer les interfaces réseau en mode pont, ni en mode d’insertion.
Vous ne pouvez pas configurer l’interface externe pour utiliser les protocoles PPPoE ou DHCP.
Vous ne pouvez pas utiliser les protocoles de routage dynamique (RIP, OSPF et BGP).
Limites de gestion de FireCluster
n
n
Vous ne pouvez pas utiliser le Web UI pour gérer un périphérique membre de FireCluster.
Vous ne pouvez pas utiliser WSM avec Management Server pour planifier une mise à jour du
système d’exploitation pour un périphérique membre de FireCluster.
À propos de l’adresse IP de l’interface de gestion
Dans une configuration FireCluster, tous les périphériques du cluster partagent les mêmes adresses IP pour
chaque interface activée. Lorsque vous vous connectez au cluster dans WatchGuard System Manager, vous
êtes automatiquement connecté au cluster maître, et vous voyez s’afficher l’état de tous les membres du
cluster. Vous pouvez utiliser Firebox System Manager pour contrôler le cluster et les membres du cluster
individuels tel que décrit dans Contrôler et analyser les membres de FireCluster à la page 271. Vous pouvez
également utiliser Policy Manager pour mettre à jour la configuration du cluster, tel que décrit dans Mettre
à jour la configuration de FireCluster à la page 280.
246
WatchGuard System Manager
FireCluster
Configurer l’adresse IP de l’interface de gestion
En plus des adresses IP partagées pour chaque interface, chaque membre du cluster dispose également de
son adresse IP de gestion unique. Vous pouvez utiliser cette adresse IP pour vous connecter directement à
un membre du cluster individuel et le contrôler ou le gérer.
Cette adresse IP unique est appelée adresse IP de l’interface de gestion. Lorsque vous configurez un
FireCluster, vous sélectionnez l’adresse IP de l’interface de gestion à utiliser par tous les membres du
cluster. Cette interface n’est pas dédiée à la gestion. Vous pouvez utiliser toute interface disponible. Pour
chaque membre, vous spécifiez ensuite l’adresse IP de l’interface de gestion à utiliser dans cette interface.
Pour la plupart des tâches de gestion FireCluster quotidiennes, vous n’utilisez pas l’adresse IP de l’interface
de gestion.
Note Si vous utilisez l’adresse IP de l’interface de gestion FireCluster pour vous connecter
au maître de sauvegarde, vous ne pouvez pas enregistrer les modifications de
configuration dans Policy Manager.
Utiliser l’adresse IP de l’interface de gestion pour restaurer une
image de sauvegarde
Lorsque vous restaurez une image de sauvegarde FireCluster, vous devez utiliser l’adresse IP de l’interface
de gestion pour vous connecter directement à un membre du cluster. Si vous utilisez l’adresse IP de gestion
pour vous connecter au membre du cluster, il existe deux commandes supplémentaires disponibles dans
Firebox System Manager dans le menu Outils : > Quitter le cluster et Rejoindre >le Cluster. Vous utilisez
ces commandes lorsque vous restaurez une image de sauvegarde dans le cluster.
Pour plus d’informations, voir Restaurer une image de sauvegarde de FireCluster à la page 287.
Utiliser l’adresse IP de l’interface de gestion pour effectuer
une mise à niveau depuis un emplacement externe
Le logiciel WatchGuard System Manager utilise l’adresse IP de l’interface de gestion lors de la mise à niveau
du système d’exploitation pour les membres d’un cluster. Si vous souhaitez mettre à jour le système
d’exploitation depuis un emplacement distant, vérifiez les éléments suivants :
n
n
L’adresse IP de l’interface de gestionest définie sur une interface externe
L’adresse IP de l’interface de gestion pour chaque membre du cluster est une adresse IP publique et
routable
Pour plus d’informations, voir Mettre à niveau Fireware XTM pour les membres FireCluster à la page 288.
Configurer FireCluster
FireCluster prend en charge deux types de configurations de cluster.
User Guide
247
FireCluster
Cluster actif/passif
Dans un cluster actif/passif, un des périphériques est actif, l’autre est passif. Le périphérique actif
gère l’ensemble du trafic réseau à moins qu’un évènement de basculement ne se produise. Le
périphérique passif analyse activement l’état du périphérique actif. Si le périphérique actif échoue,
le périphérique passif reprend les connexions qui lui étaient attribuées. Après un basculement, tout
le trafic des connexions existantes est automatiquement acheminé vers le périphérique actif.
Cluster actif/actif
Dans un cluster actif/actif, les membres du cluster se répartissent le trafic qui circule dans le cluster.
Pour répartir les connexions entre les périphériques actifs du cluster, configurez FireCluster pour qu’il
utilise un algorithme de tourniquet ou de connexion minimale. Si un périphérique du cluster échoue,
l’autre membre reprend les connexions qui lui étaient attribuées. Après un basculement, tout le trafic
des connexions existantes est automatiquement acheminé vers le périphérique restant actif.
Conditions et restrictions de FireCluster
Avant de commencer, veillez à bien noter les conditions et restrictions ci-après :
n
Les périphériques WatchGuard d’un cluster doivent tous être du même modèle. Sont pris en charge
les périphériques Firebox X Core e-Series, Firebox Peak e-Series et WatchGuard XTM.
n
Chaque périphérique d’uncluster doitutiliser lamême versionde lamise àniveau Prode Fireware XTM.
Chaque périphérique d’un cluster doit avoir un abonnement actif au service LiveSecurity Service.
Les interfaces de votre réseau doivent être configurées en mode de routage mixte. FireCluster ne
prend pas en charge les modes d’insertion et pont.
Dans un cluster actif/actif, il est recommandé que tous les périphériques aient des licences actives
pour les mêmes services d’abonnement facultatifs, tels que WebBlocker ou Gateway AntiVirus.
n
n
n
Pour plus d’informations, voir À propos des clés de fonctionnalité et de FireCluster à la page 281.
n
n
n
L’interface externe doit être configurée avec une adresse IP statique. Vous ne pouvez pas activer
FireCluster si l’interface externe est configurée pour utiliser les protocoles DHCP ou PPPoE.
Il doit y avoir un commutateur réseau pour chaque interface active du trafic.
Dans un cluster actif/actif, tous les commutateurs et routeurs du domaine de diffusion doivent être
configurés de manière à prendre en charge le trafic de multidiffusions.
Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un
FireCluster actif/actif à la page 253.
n
Dans un cluster actif/actif, vous devez connaître l’adresse IP et l’adresse MAC de tous les routeurs et
commutateurs de couche 3 connectés au cluster. Vous pouvez ensuite ajouter des entrées ARP
statiques pour ces périphériques réseau à la configuration de FireCluster.
Pour plus d’informations, voir Ajouter des entrées ARP statiques pour un FireCluster actif/actif à la
page 255.
n
248
FireCluster ne prend pas en charge l’utilisation de protocoles de routage dynamique.
WatchGuard System Manager
FireCluster
Synchronisation et analyse de l’état du cluster
Lorsque vous activez FireCluster, vous devez dédier au moins une interface à la communication des
membres du cluster. C’est ce que l’on appelle une interface cluster. Lorsque vous configurez le matériel du
cluster, vous connectez entre elles les interfaces cluster principales de chaque périphérique. Pour la
redondance, nous vous recommandons de configurer une interface cluster de sauvegarde. Les interfaces
cluster permettent aux membres du cluster de synchroniser en permanence l’ensemble des informations
nécessaires à la répartition de charge et à un basculement transparent.
Rôles des périphériques de FireCluster
Lorsque vous configurez des périphériques dans un cluster, il est important de comprendre les rôles que
chaque périphérique peut jouer dans le cluster.
Cluster maître
Ce membre du cluster attribue les flux du trafic réseau aux membres du cluster et répond à toutes
les demandes provenant de systèmes externes, tels que WatchGuard System Manager, SNMP,
DHCP, ARP, les protocoles de routages et IKE. Lorsque vous configurez ou modifiez la configuration
du cluster, vous enregistrez la configuration du cluster dans le cluster maître. Le cluster maître peut
être l’un ou l’autre des périphériques. Le premier périphérique à s’allumer devient le cluster
maître.
Cluster maître de sauvegarde
Ce membre du cluster synchronise toutes les informations nécessaires à partir du cluster maître,
afin de le remplacer au cas où il échouerait. Le cluster maître de sauvegarde peut être actif ou
passif.
Membre actif
Il peut s’agir de l’un ou l’autre des membres du cluster gérant activement le flux du trafic. Dans un
cluster actif/actif, les deux périphériques sont actifs. Dans un cluster actif/passif, le cluster maître est
le seul périphérique actif.
Membre passif
Périphérique d’un cluster actif/passif qui ne gère pas les flux du trafic réseau, à moins d’un
basculement du périphérique actif. Dans un cluster actif/passif, le membre passif constitue le cluster
maître de sauvegarde.
Étapes de la configuration de FireCluster
Pour configurer les périphériques WatchGuard en tant que FireCluster, il faut :
1. planifier votre configuration FireCluster, comme indiqué dans la rubrique Avant de commencer.
2. connecter les périphériques FireCluster au réseau, comme indiqué dans la rubrique Connecter le
matériel FireCluster à la page 252.
3. configurer FireCluster dans Policy Manager. Vous pouvez utiliser l’une des méthodes suivantes :
n
n
User Guide
Utiliser l’assistant FireCluster Setup Wizard
Configurer FireCluster manuellement
249
FireCluster
Avec un cluster actif/actif, vous devez ajouter les étapes suivantes :
1. effectuer les changements de configuration nécessaires sur les routeurs réseau et commutateurs
de couche 3 pour prendre en charge les adresses MAC de multidiffusions utilisées par FireCluster ;
Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un
FireCluster actif/actif à la page 253.
2. ajouter des entrées ARP statiques pour chaque commutateur et routeur réseau de couche 3 qui se
connecte à FireCluster.
Pour plus d’informations, voir Ajouter des entrées ARP statiques pour un FireCluster actif/actif à la
page 255
Avant de commencer
Avant de configurer FireCluster, vous devez terminer les tâches décrites dans les rubriques suivantes.
Vérifier les composants de base
Assurez-vous de disposer des éléments suivants :
n
n
n
n
n
n
n
Deux périphériques Firebox X Core, Peak ou WatchGuard XTM du même modèle
La même version de la mise à niveau Pro de Fireware XTM installée sur chaque périphérique
Un câble inverseur (rouge) pour chaque interface cluster (si vous configurez une interface cluster
de sauvegarde, vous devez utiliser deux câbles inverseurs).
Un commutateur réseau pour chaque interface de trafic active
Des câbles Ethernet pour connecter les périphériques aux commutateurs réseau
Les numéros de série de chaque périphérique.
Les clés de fonctionnalité de chaque périphérique.
Pour obtenir des informations sur les exigences relatives aux clés de fonctionnalité de FireCluster,
cf. À propos des clés de fonctionnalité et de FireCluster à la page 281
Configurer l’interface externe à l’aide d’une adresse IP statique.
Pour utiliser FireCluster, vous devez configurer chaque interface externe à l’aide d’une adresse IP statique.
Vous ne pouvez pas activer FireCluster si l’interface externe est configurée pour utiliser le DHCP ou PPPoE.
Configurer les routeurs et les commutateurs réseau
Dans une configuration de FireCluster actif/actif, les interfaces réseau du cluster utilisent des adresses MAC
de multidiffusions. Avant d’activer un FireCluster actif/actif, assurez-vous que les routeurs réseau et les
autres périphériques sont configurés pour un routage correct du trafic provenant des adresses MAC
multidiffusions ou y étant destiné.
Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un FireCluster
actif/actif à la page 253.
Cette étape n’est pas nécessaire dans le cas d’un cluster actif/passif, car ce type de cluster n’utilise pas
d’adresses MAC multidiffusions.
250
WatchGuard System Manager
FireCluster
Sélectionnez les adresses IP pour les interfaces cluster
Nous vous recommandons de faire un tableau des adresses réseau que vous comptez utiliser pour les
interfaces réseau et pour l’adresse IP de l’interface de gestion. L’assistant FireCluster Setup Wizard vous
demande de les configurer individuellement pour chaque membre du cluster. Si vous planifiez les
interfaces et les adresses IP à l’avance, il est plus facile de configurer ces interfaces à l’aide de l’assistant.
Les numéros d’interface et les adresses IP pour les interfaces cluster
Nº
d’interface
Adresse IP pour le membre
1
Adresse IP pour le membre
2
Interface cluster principale
_____
_____._____._____._____
/ ____
_____._____._____._____
/ ____
Interface cluster de
sauvegarde
_____
_____._____._____._____
/ ____
_____._____._____._____
/ ____
Adresse IP de l’interface de
gestion
_____
_____._____._____._____
/ ____
_____._____._____._____
/ ____
Interface cluster principale
Il s’agit de l’interface du périphérique WatchGuard que vous dédiez à la communication entre les
membres du cluster. Cette interface n’est pas utilisée pour le trafic réseau régulier. Si vous disposez
d’une interface configurée en tant qu’interface VLAN dédiée, vous ne pouvez pas la choisir comme
interface cluster dédiée.
Les adresses IP d’interface principale doivent être sur le même sous-réseau pour les deux membres
du cluster.
Interface cluster de sauvegarde (facultative, mais recommandée)
Il s’agit d’une seconde interface du périphérique WatchGuard que vous dédiez à la communication
entre les membres du cluster. Les membres du cluster utilisent l’interface cluster de sauvegarde
pour communiquer si l’interface cluster principale n’est pas disponible. Pour la redondance, nous
vous recommandons d’utiliser deux interfaces cluster.
Les adresses IP d’interface de sauvegarde doivent être sur le même sous-réseau pour les deux
membres du cluster.
Adresse IP de l’interface de gestion
Il s’agit d’une interface réseau Firebox que vous utilisez pour établir une connexion directe à un
périphérique du cluster depuis n’importe quelle application de gestion WatchGuard.
Les adresses IP de gestion pour chaque membre du cluster peuvent se trouver sur des sous-réseaux
différents.
Pour plus d’informations, voir À propos de l’adresse IP de l’interface de gestion à la page 246.
User Guide
251
FireCluster
Connecter le matériel FireCluster
Note Chaque périphérique d’un cluster doit être du même modèle et utiliser la même
version de la mise à niveau Pro de Fireware XTM.
Pour connecter deux périphériques Firebox ou XTM dans une configuration FireCluster :
1. Utilisez un câble inverseur Ethernet (rouge) pour connecter l’interface cluster principale d’un
périphérique Firebox ou XTM à l’interface cluster principale de l’autre périphérique.
2. Si vous souhaitez activer une interface cluster de sauvegarde, utilisez un second câble inverseur
Ethernet pour vous connecter aux interfaces cluster de sauvegarde. Si une interface réseau est
disponible, nous vous recommandons de connecter et de configurer une interface cluster de
sauvegarde pour la redondance.
3. Connectez l’interface externe de chaque périphérique à un commutateur réseau. Si vous utilisez le
multi-WAN, connectez la seconde interface externe de chaque périphérique à un autre
commutateur réseau.
4. Connectez l’interface approuvée de chaque périphérique à un commutateur réseau interne.
5. Pour chaque périphérique, connectez les autres interfaces réseau approuvées ou facultatives au
commutateur réseau interne de ce périphérique.
Pour obtenir des informations sur les exigences relatives au commutateur réseau, cf. Configuration
requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253.
Note Vous devez connecter chaque paire d’interfaces réseau à son propre commutateur
ou concentrateur dédié. Ne connectez pas plus d’une paire d’interfaces au même
commutateur.
Le diagramme ci-dessous montre les connexions pour une configuration FireCluster simple.
252
WatchGuard System Manager
FireCluster
Dans cet exemple, le FireCluster dispose d’une interface approuvée et d’une interface externe connectées
à des commutateurs réseau. Les interfaces cluster principales sont connectées par un câble inverseur.
Une fois les périphériques FireCluster connectés, vous êtes prêt à configurer le FireCluster dans Policy
Manager. Vous pouvez le faire de deux façons :
n
n
Utiliser l’assistant FireCluster Setup Wizard
Configurer FireCluster manuellement
Configuration requise des commutateurs et des routeurs pour
un FireCluster actif/actif
Avertissement
Lorsque vous configurez FireCluster en configuration actif/actif, le cluster utilise des
adresses MAC de multidiffusions pour toutes les interfaces qui envoient du trafic
réseau. Avant d’activer FireCluster, assurez-vous que les commutateurs, routeurs et
autres périphériques de votre réseau sont configurés de manière à acheminer le
trafic réseau via des adresses MAC de multidiffusions.
Un domaine de diffusion de couche 2 est un élément logique d’un réseau informatique sur lequel tous les
nœuds de réseau peuvent communiquer entre eux sans recourir à un périphérique de routage de couche
3 (routeur ou commutateur géré, par exemple).
User Guide
253
FireCluster
Un FireCluster actif/actif utilise une seule adresse MAC de multidiffusions. Par défaut, la plupart des
routeurs réseau et commutateurs gérés ignorent le trafic provenant d’adresses MAC de multidiffusions.
Avant d’activer un FireCluster actif/actif, assurez-vous que tous les commutateurs et routeurs réseau
installés sur le domaine de diffusion de couche 2 remplissent les conditions requises.
Configuration requise des commutateurs et routeurs
Tous les commutateurs et routeurs du domaine de diffusion d’un FireCluster actif/actif doivent remplir les
conditions suivantes.
1. Aucun des commutateurs et routeurs du domaine de diffusion ne doit bloquer les requêtes ARP
lorsque la réponse contient une adresse MAC de multidiffusions.
n
n
n
n
Cette condition s’applique à l’ensemble des commutateurs et routeurs du domaine de
diffusion, même s’ils ne sont pas connectés directement aux périphériques FireCluster.
C’est le comportement par défaut des commutateurs de couche 2 non gérés ; il n’est donc pas
nécessaire de modifier leur configuration.
Pour les routeurs et la plupart des commutateurs gérés, le comportement par défaut consiste à
bloquer les réponses ARP qui contiennent une adresse MAC de multidiffusions. Consultez la
documentation de votre routeur ou commutateur géré pour vous renseigner sur les
éventuelles options de configuration autorisant les réponses ARP contenant une adresse MAC
de multidiffusions. Sur certains routeurs réseau, il est possible d’ajouter l’adresse MAC de
multidiffusions en tant qu’entrée ARP statique. Si votre routeur le permet, ajoutez une entrée
ARP statique pour faire correspondre l’adresse IP du cluster à son adresse MAC de
multidiffusions.
Le routeur ne doit pas être configuré de manière à prendre en charge la condition ARP de
multidiffusions du document RFC 1812, section 3.2.2.
2. Les commutateurs que vous raccordez directement aux interfaces externes et internes du cluster
doivent être configurés pour acheminer le trafic vers tous les ports lorsque l’adresse MAC de
destination est une adresse MAC de multidiffusions.
n
n
C’est le comportement par défaut des commutateurs de couche 2 non gérés ; il n’est donc pas
nécessaire de modifier leur configuration.
Pour les routeurs et la plupart des commutateurs gérés, vous devez modifier la configuration
pour appliquer cette condition. Il sera peut-être nécessaire d’ajouter une entrée statique à la
table d’adresses MAC pour spécifier les ports de destination du trafic destiné à l’adresse MAC
de multidiffusions du cluster.
Une adresse MAC de multidiffusions est partagée par les pairs. L’adresse MAC commence par 01:00:5E .
Vous pouvez trouver les adresses MAC de multidiffusions d’un cluster sur l’onglet Rapport d’état de
Firebox System Manager ou dans la boîte de dialogue de configuration de FireCluster dans Policy Manager.
Pour de plus amples informations, cf. Trouver les adresses MAC de multidiffusions d’un cluster actif/actif à la
page 270.
Pour les FireCluster actif/actif, vous devez également ajouter des entrées ARP statiques pour vos routeurs
de couche 3 à la configuration de FireCluster, dans Policy Manager.
Pour de plus amples informations, cf. Ajouter des entrées ARP statiques pour un FireCluster actif/actif à la
page 255.
254
WatchGuard System Manager
FireCluster
Pour obtenir un exemple de configuration de deux commutateurs sur un FireCluster actif/actif, voir Exemple
de configuration de commutateur et d’entrée ARP statique pour un FireCluster actif/actif à la page 255.
Ajouter des entrées ARP statiques pour un FireCluster actif/actif
Un FireCluster actif/actif utilise une adresse MAC de multidiffusion pour chaque interface active connectée
à votre réseau. Le FireCluster actif/actif envoie cette adresse MAC de multidiffusion sur le réseau.
Avec certains commutateurs, il vous faudra peut-être ajouter des entrées ARP statiques pour chaque
commutateur réseau de couche 3 connecté à une interface du trafic de FireCluster. Faute de quoi, la
communication ne fonctionnera pas correctement sur le réseau. Policy Manager vous permet d’ajouter des
entrées ARP statiques à FireCluster.
Pour ajouter des entrées ARP statiques à votre configuration Firebox :
1. Dans le gestionnaire WatchGuard System Manager, utilisez l’adresse IP configurée pour l’interface
cluster afin de vous connecter à FireCluster. N’utilisez pas l’adresse IP de gestion.
2. Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
Policy Manager apparaît.
3. Sélectionnez Réseau > Entrées ARP.
La boîte de dialogue Entrées ARP statiques s’ouvre.
4. Cliquez sur Ajouter.
La boîte de dialogue Ajouter une entrée ARP s’affiche.
5. Dans la liste déroulante Interface, sélectionnez l’interface du commutateur de couche 3.
6. Dans la zone de texte Adresse IP , entrez l’adresse IP du commutateur réseau.
7. Dans la zone de texte Adresse MAC , entrez l’adresse MAC du commutateur. Cliquez sur OK.
L’entrée ARP statique s’ajoute à la liste.
8. Répétez les étapes 4 à 7 afin d’ajouter des entrées ARP statiques pour chaque commutateur
directement connecté aux différentes interfaces de FireCluster.
9. Cliquez sur OK.
10. Sélectionnez Fichier > Enregistrer > dans Firebox pour enregistrer les entrées ARP statiques dans
FireCluster.
Vous devez également configurer les commutateurs réseau pour qu’ils fonctionnent avec un FireCluster
actif/actif. Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un
FireCluster actif/actif à la page 253.
Pour obtenir un exemple de configuration de deux commutateurs sur un FireCluster actif/actif, voir Exemple
de configuration de commutateur et d’entrée ARP statique pour un FireCluster actif/actif à la page 255.
Exemple de configuration de commutateur et d’entrée ARP statique
pour un FireCluster actif/actif
Les commutateurs de couche 3 qui fonctionnent en mode par défaut sont compatibles avec le trafic de
multidiffusions ; FireCluster fonctionne donc sans modification de configuration. Un commutateur de
User Guide
255
FireCluster
couche 3 dont tous les ports sont configurés sur un seul réseau VLAN fonctionne également sans problème.
Si le commutateur de couche 3 comprend des ports configurés pour d’autres réseaux VLAN, vous devez
modifier la configuration pour permettre au commutateur de fonctionner correctement avec un
FireCluster.
Les commutateurs de couche 3 qui utilisent un routage VLAN et/ou par adresse IP rejettent le trafic de
multidiffusions en provenance des membres du FireCluster. Le commutateur rejette le trafic destiné au
routeur ou transitant par lui à moins que vous ne configuriez des entrées MAC et ARP statiques pour
l’adresse MAC de multidiffusions du FireCluster sur le commutateur recevant le trafic de multidiffusions.
Lorsque vous configurez un FireCluster actif/actif, il peut s’avérer nécessaire de modifier en partie la
configuration sur FireCluster et sur les commutateurs réseau afin que les adresses MAC de multidiffusions
de FireCluster fonctionnent correctement. Pour obtenir des informations plus générales, voir :
n
n
Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif
Ajouter des entrées ARP statiques pour un FireCluster actif/actif
Cette rubrique comprend un exemple de configuration des commutateurs et des paramètres ARP statiques
de FireCluster pour un FireCluster actif/actif. Cet exemple n’inclut aucune des autres étapes de
configuration d’un FireCluster. Pour obtenir des instructions sur la configuration d’un FireCluster, voir
Configurer FireCluster à la page 247.
Avant de commencer, assurez-vous de disposer des informations suivantes :
n
n
l’adresse IP et l’adresse MAC de multidiffusions de l’interface FireCluster à laquelle le commutateur
est connecté.
Pour de plus amples informations, cf. Trouver les adresses MAC de multidiffusions d’un cluster
actif/actif à la page 270.
L’adresse IP et l’adresse MAC de tous les commutateurs et routeurs connectés aux interfaces
FireCluster.
Note WatchGuard fournit des instructions d’interopérabilité pour aider nos clients à
configurer les produits WatchGuard afin qu’ils fonctionnent avec des produits
créés par d’autres organisations. Si vous avez besoin de plus d’informations ou de
support technique concernant la configuration d’un produit autre que
WatchGuard, consultez la documentation et les ressources de support de ce
produit.
Exemple de configuration
Dans cet exemple, la configuration FireCluster comprend une interface approuvée et une interface
externe. L’interface externe de chaque membre du cluster est connectée à un commutateur Cisco 3750.
L’interface interne de chaque membre du cluster est connectée à un commutateur Extreme Summit
15040. Pour des commandes équivalentes permettant d’effectuer ces modifications de configuration sur
votre commutateur, consultez la documentation de votre commutateur. Les commandes pour deux
commutateurs différents sont incluses dans cet exemple.
Adresses IP de cet exemple :
n
Interface FireCluster 0 Interface (externe)
Adresse IP : 50.50.50.50/24
256
WatchGuard System Manager
FireCluster
Adresse multidiffusion MAC : 01:00:5e:32:32:32
n
Interface FireCluster 1 Interface (approuvée)
Adresse IP : 10.0.1.1/24
Adresse multidiffusion MAC : 01:00:5e:00:01:01
n
Commutateur Cisco 3750 connecté à l’interface externe de FireCluster
Adresse IP : 50.50.50.100
Adresse MAC de l’interface VLAN : 00:10:20:3f:48:10
ID de VLAN : 1
Interface : gi1/0/11
n
Commutateur Extreme Summit 48i connecté à l’interface interne de FireCluster
Adresse IP : 10.0.1.100
Adresse MAC : 00:01:30:f3:f1:40
ID de VLAN : Border-100
Interface : 9
Configurer le commutateur Cisco
Dans cet exemple, le commutateur Cisco est connecté à l’interface 0 (externe) de FireCluster. Vous devez
utiliser la ligne de commande de Cisco pour ajouter des entrées ARP et MAC statiques pour l’adresse MAC
de multidiffusions de l’interface FireCluster externe.
1. Démarrez le Command Line Interface du Cisco 3750.
2. Ajoutez une entrée ARP statique pour l’adresse MAC de multidiffusions de l’interface FireCluster.
Entrez la commande :
arp <FireCluster interface IP address> <FireCluster MAC address> arpa
Pour cet exemple, tapez
arp 50.50.50.50 0100.5e32.3232 arpa
3. Ajoutez une entrée à la table d’adresses MAC.
Entrez la commande :
mac-address-table static <FireCluster interface MAC address> vlan <ID>
interface <#>
Dans cet exemple, cela donne :
mac-address-table static 0100.5e32.3232 vlan 1 interface gi1/0/11
Configurer le commutateur Extreme
Dans cet exemple, le commutateur Extreme Summit est connecté à l’interface 1 (approuvée) de
FireCluster. Vous devez utiliser la ligne de commande d’Extreme Summit pour ajouter des entrées ARP et
MAC statiques pour l’adresse MAC de multidiffusions de l’interface FireCluster approuvée.
User Guide
257
FireCluster
1. Démarrez la ligne de commande de l’Extreme Summit 48i.
2. Ajoutez une entrée ARP statique pour l’adresse MAC de multidiffusions de l’interface FireCluster.
Entrez la commande :
configured iparp add <ip address> <MAC Address>
Dans cet exemple, cela donne :
configured iparp add 10.0.1.1/24 01:00:5e:00:01:01
3. Ajoutez une entrée à la table d’adresses MAC.
Entrez la commande :
create fdbentry <MAC> VLAN <ID> port <#> Dans cet exemple, cela donne :
create fdbentry 01:00:5e:00:01:01 VLAN Border-100 port 9
Ajouter des entrées ARP statiques à la configuration FireCluster pour chaque
commutateur
Pour obtenir des explications sur leur nécessité, voir Ajouter des entrées ARP statiques pour un FireCluster
actif/actif à la page 255.
1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface approuvée du cluster pour
vous connecter à FireCluster. N’utilisez pas l’adresse IP de gestion.
2. Cliquez sur .
ou sélectionnez Outils > Policy Manager.
Policy Manager apparaît.
3. Sélectionnez Réseau > Entrées ARP.
La boîte de dialogue Entrées ARP statiques s’ouvre.
4. Cliquez sur Ajouter.
La boîte de dialogue Ajouter une entrée ARP s’affiche.
5. Dans la liste déroulante Interface, sélectionnez Externe.
6. Dans la zone de texte Adresse IP, entrez l’adresse IP de l’interface du commutateur reliée à
l’interface externe.
Dans cet exemple, cela donne : 50.50.50.100
7. Dans la zone de texte Adresse MAC, entrez l’adresse MAC de l’interface VLAN du commutateur
Cisco reliée à l’interface externe.
Dans cet exemple, cela donne : 00:10:20:3f:48:10
8. Cliquez sur OK.
L’entrée ARP statique s’ajoute à la liste.
9. Cliquez sur Ajouter.
La boîte de dialogue Ajouter une entrée ARP s’affiche.
10. Dans la liste déroulante Interface, sélectionnez Approuvée.
11. Dans la zone de texte Adresse IP, entrez l’adresse IP de l’interface du commutateur reliée à
l’interface approuvée.
Dans cet exemple, cela donne : 10.0.1.100
12. Dans la zone de texte Adresse MAC, entrez l’adresse MAC de l’interface du commutateur reliée à
l’interface approuvée.
Dans cet exemple, cela donne : 00:01:30:f3:f1:40
13. Cliquez sur OK.
L’entrée ARP statique s’ajoute à la liste.
14. Cliquez sur OK pour fermer la boîte de dialogue Entrées ARP statiques.
258
WatchGuard System Manager
FireCluster
15. Sélectionnez Fichier > Enregistrer > dans Firebox pour enregistrer les entrées ARP statiques dans
FireCluster.
Utiliser l’assistant FireCluster Setup Wizard
Pour configurer FireCluster, vous pouvez soit exécuter l’Assistant FireCluster Setup Wizard, soit configurer
manuellement FireCluster.
Pour plus d’informations sur la configuration manuelle de FireCluster, voir Configurer FireCluster
manuellement à la page 264 .
Avant d’activer FireCluster :
n
n
Assurez-vous de disposer de tous les éléments nécessaires à la configuration de FireCluster et
d’avoir préparé vos paramètres de configuration.
Pour plus d’informations, voir Avant de commencer à la page 250.
Connectez les périphériques FireCluster entre eux et au réseau, comme indiqué dans la rubrique
Connecter le matériel FireCluster à la page 252.
Avertissement
Dans une configuration de FireCluster actif/actif, les interfaces réseau du cluster
utilisent des adresses MAC de multidiffusions. Avant d’activer un FireCluster
actif/actif, assurez-vous que les routeurs réseau et les autres périphériques sont
configurés pour prendre en charge le trafic réseau de multidiffusions.
Pour plus d’informations, voir Configuration requise des commutateurs et des
routeurs pour un FireCluster actif/actif à la page 253.
Configurer FireCluster
1. Dans le gestionnaire WatchGuard System Manager, connectez-vous au périphérique WatchGuard
possédant la configuration à utiliser pour le cluster. Une fois FireCluster activé, ce périphérique
devient le cluster maître à partir du premier enregistrement de la configuration.
2. Cliquez sur .
ou sélectionnez Outils > Policy Manager.
Policy Manager ouvre le fichier de configuration du périphérique sélectionné.
3. Sélectionnez FireCluster > Configurer.
L’Assistant FireCluster Setup Wizard démarre.
User Guide
259
FireCluster
4. Cliquez sur Suivant.
5. Sélectionnez le type de cluster à activer :
Cluster actif/actif
Active le cluster pour la haute disponibilité et la répartition de charge. Si vous sélectionnez
cette option, le cluster équilibre les demandes de connexion entrantes entre les deux
périphériques du cluster. Il n’est pas possible de le configurer en actif/actif si l’interface
externe de votre périphérique WatchGuard est configurée pour les protocoles DHCP ou PPPoE.
Cluster actif/passif
Active le cluster pour la haute disponibilité, sans répartition de charge. Si vous sélectionnez
cette option, le cluster comprend un périphérique actif qui gère l’ensemble des connexions et
un périphérique passif qui gère les connexions uniquement en cas de basculement du premier
périphérique.
6. Sélectionnez l’ID du cluster.
Celui-ci identifie de façon unique le cluster lorsque vous configurez plusieurs clusters sur le même
domaine de diffusion de couche 2. Si vous n’avez qu’un seul cluster, vous pouvez conserver la valeur
par défaut, 1.
7. Si vous avez opté pour un cluster actif/actif, sélectionnez la Méthode d’équilibrage de charge.
C’est la méthode utilisée pour équilibrer les connexions entre les membres actifs du cluster. Deux
options sont possibles :
Connexion minimale
Si vous sélectionnez cette option, chaque nouvelle connexion est affectée au membre du
cluster actif dont le nombre de connexions ouvertes est le plus bas. C’est le paramètre par
défaut.
Tourniquet
260
WatchGuard System Manager
FireCluster
Si vous sélectionnez cette option, les nouvelles connexions sont réparties entre les membres
du cluster actif selon un algorithme tourniquet. La première connexion est envoyée à un
membre du cluster, la seconde à l’autre membre, et ainsi de suite.
8. Sélectionnez les interfaces cluster principale et de sauvegarde. Les interfaces cluster sont dédiées à
la communication entre les membres du cluster ; elles ne servent pas à d’autres trafics réseau. Vous
devez configurer l’interface principale. Pour la redondance, nous vous recommandons de
configurer également une interface de sauvegarde.
Principal(e)
Il s’agit de l’interface du périphérique WatchGuard dédiée à la communication principale entre
les membres du cluster. Sélectionnez le numéro d’interface que vous avez utilisé pour
connecter les périphériques FireCluster entre eux.
Sauvegarder
Il s’agit de l’interface du périphérique WatchGuard que vous dédiez à la communication entre
les membres du cluster en cas d’échec de l’interface principale. Sélectionnez le deuxième
numéro d’interface que vous avez utilisé pour connecter les périphériques FireCluster entre
eux, le cas échéant.
Note Si vous disposez d’une interface configurée en tant qu’interface VLAN dédiée, vous
ne pouvez pas la choisir comme interface cluster dédiée.
9. Sélectionnez l’adresse IP de l’interface de gestion. Cette interface vous permet de vous connecter
directement aux périphériques membres de FireCluster pour les opérations de maintenance. Ce
n’est pas une interface dédiée. Elle est également utilisée pour d’autres trafics réseau.
Pour de plus amples informations, cf. À propos de l’adresse IP de l’interface de gestion à la page 246.
10. À l’invite de l’Assistant de configuration, ajoutez ces propriétés des membres de FireCluster à
chaque périphérique :
Clé de fonctionnalité
Pour chaque périphérique, importez ou téléchargez la clé de fonctionnalité permettant
d’activer toutes les fonctionnalités du périphérique. Si vous avez précédemment importé la clé
de fonctionnalité dans Policy Manager, l’assistant utilise automatiquement cette clé de
fonctionnalité pour le premier périphérique du cluster.
Nom du membre
Il s’agit du nom qui identifie chaque périphérique dans la configuration de FireCluster.
Numéro de série
Numéro de série du périphérique. Le numéro de série sert d’ID de membre dans la boîte de
dialogue Configuration FireCluster. L’assistant le détermine automatiquement lorsque vous
importez ou téléchargez la clé de fonctionnalité du périphérique.
Adresse IP de l’interface cluster principale
User Guide
261
FireCluster
Adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l’interface
cluster principale. L’adresse IP FireCluster principale de chaque membre doit figurer sur le
même sous-réseau.
Si les deux périphériques démarrent en même temps, le membre du cluster ayant l’adresse IP
la plus élevée attribuée à l’interface cluster principale devient le cluster maître.
Adresse IP de l’interface cluster de sauvegarde
Adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l’interface
cluster de sauvegarde. L’adresse IP FireCluster de sauvegarde de chaque membre doit figurer
sur le même sous-réseau.
Adresse IP de gestion
Adresse IP unique qui vous permet de vous connecter à un Firebox spécifique configuré en
tant que membre d’un cluster. Vous devez spécifier une adresse IP de gestion différente pour
chaque membre du cluster.
11. Relisez le résumé de la configuration sur l’écran final de l’Assistant FireCluster Setup Wizard. Le
résumé de la configuration comprend les options que vous avez sélectionnées et les interfaces que
vous analysez pour connaître l’état des liaisons.
12. Cliquez sur Terminer.
La boîte de dialogue Configuration FireCluster s’affiche.
262
WatchGuard System Manager
FireCluster
13. Dans la section Paramètres d’interface, vérifiez la liste des interfaces analysées.
La liste des interfaces analysées ne comprend pas les interfaces que vous avez configurées en tant
qu’interfaces cluster principales et de sauvegarde. FireCluster analyse l’état des liaisons de toutes les
interfaces activées. Si le cluster maître détecte une perte de liaison sur une interface analysée, il
déclenche le basculement de ce périphérique.
Vous devez désactiver les interfaces qui ne sont pas connectées au réseau avant d’enregistrer la
configuration FireCluster dans Firebox. Pour désactiver une interface :
n
n
Dans Policy Manager, sélectionnez Réseau > Configuration.
Double-cliquez sur l’interface à désactiver, puis réglez Type d’interface sur Désactivé.
Note N’enregistrez pas le fichier de configuration tant que vous n’avez pas démarré le
deuxième périphérique en mode sans échec.
14. Démarrez le deuxième périphérique WatchGuard en mode sans échec.
Pour démarrer en mode sans échec, maintenez enfoncé le bouton Flèche bas situé sur le panneau
avant du périphérique pendant que vous mettez le périphérique sous tension.
Maintenez le bouton enfoncé jusqu’à ce que WatchGuard Technologies apparaisse sur l’affichage
LCD. Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi
du mot safe (sans échec).
15. Enregistrez la configuration dans le cluster maître.
Le cluster est activé, et le cluster maître découvre automatiquement l’autre membre configuré du cluster.
User Guide
263
FireCluster
Une fois le cluster actif, vous pouvez analyser l’état des membres du cluster sous l’onglet Panneau avant de
Firebox System Manager.
Pour de plus amples informations, cf. Contrôler et analyser les membres de FireCluster à la page 271.
Si le deuxième périphérique n’est pas découvert automatiquement, vous pouvez déclencher
manuellement la découverte de périphériques, comme indiqué dans Découvrir un membre de cluster à la
page 273.
Configurer FireCluster manuellement
Vous pouvez activer FireCluster manuellement ou utiliser l’Assistant FireCluster Setup Wizard. Pour de plus
amples informations, cf. Utiliser l’assistant FireCluster Setup Wizard à la page 259 .
Avant d’activer FireCluster :
n
n
Assurez-vous de disposer de tous les éléments nécessaires à la configuration de FireCluster et
d’avoir préparé vos paramètres de configuration.
Pour de plus amples informations, cf. Avant de commencer à la page 250.
Connectez les périphériques FireCluster entre eux et au réseau, comme indiqué dans la rubrique
Connecter le matériel FireCluster à la page 252.
Avertissement
Dans une configuration de FireCluster actif/actif, les interfaces réseau du cluster
utilisent des adresses MAC de multidiffusions. Avant d’activer un FireCluster
actif/actif, assurez-vous que les routeurs réseau et les autres périphériques sont
configurés pour prendre en charge le trafic réseau de multidiffusions. Pour de plus
amples informations, cf. Configuration requise des commutateurs et des routeurs
pour un FireCluster actif/actif à la page 253.
Activer FireCluster
1. Dans le gestionnaire WatchGuard System Manager, connectez-vous au périphérique WatchGuard
possédant la configuration à utiliser pour le cluster. Ce périphérique devient le cluster maître à
partir du premier enregistrement de la configuration, une fois FireCluster activé.
2. Cliquez sur .
ou sélectionnez Outils > Policy Manager.
Policy Manager apparaît.
3. Sélectionnez FireCluster > Configurer.
La boîte de dialogue Configuration du cluster FireCluster s’affiche.
264
WatchGuard System Manager
FireCluster
4. Activez la case à cocher Activer FireCluster.
5. Sélectionnez le type de cluster à activer :
Activer un cluster actif/actif
Active le cluster pour la haute disponibilité et la répartition de charge. Si vous sélectionnez
cette option, le cluster équilibre la charge de trafic entre les deux périphériques du cluster.
Cette option n’est pas disponible si l’interface externe de votre périphérique WatchGuard est
configurée pour les protocoles DHCP ou PPPoE.
Activer un cluster actif/passif
Active le cluster pour la haute disponibilité, sans répartition de charge. Si vous sélectionnez
cette option, le cluster comprend un périphérique actif qui gère l’ensemble du trafic réseau et
un périphérique passif qui gère le trafic uniquement en cas de basculement du premier
périphérique.
6. Si vous avez sélectionné Activer un cluster actif/actif, dans la liste déroulante Méthode
d’équilibrage de charge, sélectionnez la méthode à utiliser pour équilibrer la charge du trafic entre
les membres actifs du cluster.
Connexion minimale
Si vous sélectionnez cette option, chaque nouvelle connexion est affectée au membre du
cluster actif dont le nombre de connexions ouvertes est le plus bas.
User Guide
265
FireCluster
Tourniquet
Si vous sélectionnez cette option, les nouvelles connexions sont réparties entre les membres
du cluster actif selon un algorithme tourniquet. La première connexion est envoyée à un
membre du cluster, la seconde à l’autre membre, et ainsi de suite.
7. Dans la liste déroulante ID du cluster, sélectionnez un nombre pour identifier ce FireCluster.
L’ID du cluster identifie ce cluster de manière unique s’il existe plus d’un FireCluster actif sur le
même segment de réseau. Si vous n’avez qu’un seul cluster, vous pouvez conserver la valeur par
défaut, 1.
Configurer les paramètres d’interface
L’interface FireCluster est l’interface dédiée qu’utilisent les membres du cluster pour communiquer entre
eux au sujet de l’état du système. Vous pouvez configurer une ou deux interfaces FireCluster. Pour la
redondance, si les interfaces sont disponibles, nous vous recommandons de configurer deux interfaces
FireCluster. Si vous disposez d’une interface configurée en tant qu’interface VLAN dédiée, vous ne pouvez
pas la choisir comme interface FireCluster dédiée. Vous devez désactiver les interfaces qui ne sont pas
connectées au réseau avant d’enregistrer la configuration FireCluster dans Firebox.
1. Dans la liste déroulante Interface cluster principale, sélectionnez l’interface qui doit servir
d’interface principale.
2. Pour utiliser une seconde interface cluster, dans la liste déroulante Interface cluster de
sauvegarde, sélectionnez l’interface qui doit servir d’interface de sauvegarde.
3. Sélectionnez l’adresse IP de l’interface de gestion. Il s’agit de l’interface réseau d’un périphérique
WatchGuard que vous utilisez pour établir une connexion directe à un périphérique du cluster
depuis n’importe quelle application de gestion WatchGuard.
Pour de plus amples informations, cf. À propos de l’adresse IP de l’interface de gestion à la page 246.
4. Vérifiez la liste des interfaces analysées. La liste des interfaces analysées ne comprend pas les
interfaces que vous avez configurées en tant qu’interfaces FireCluster principales et de sauvegarde.
FireCluster analyse l’état des liaisons de toutes les interfaces activées. Si le cluster maître détecte
une perte de liaison sur une interface analysée, il déclenche le basculement de ce périphérique.
5. Pour désactiver une interface, dans Policy Manager, sélectionnez Réseau > Configuration.
6. Double-cliquez sur l’interface à désactiver.
7. Réglez Type d’interface sur Désactivé.
Avertissement
FireCluster analyse l’état de toutes les interfaces réseau actives. Vérifiez que toutes
les interfaces figurant sur la liste des interfaces analysées sont connectées à un
commutateur réseau.
Définir les membres FireCluster
1. Cliquez sur l’onglet Membres .
Les paramètres de configuration des membres FireCluster apparaissent.
266
WatchGuard System Manager
FireCluster
Si vous avez précédemment importé une clé de fonctionnalité dans ce fichier de configuration, le
périphérique concerné est automatiquement configuré en tant que Membre nº 1.
Si le fichier de configuration ne contient pas de clé de fonctionnalité, aucun membre FireCluster ne
figure sur la liste. Dans ce cas, vous devez ajouter chaque périphérique en tant que membre et
importer le fichier de configuration de chaque périphérique selon la procédure indiquée aux étapes
suivantes.
2. Pour ajouter un membre, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s’affiche.
User Guide
267
FireCluster
3. Dans la zone de texte Nom du membre , entrez un nom. Ce nom identifie le périphérique dans la
liste des membres.
4. Cliquez sur l’onglet Clé de fonctionnalité.
5. Cliquez sur Importer.
La boîte de dialogue Importer la clé de fonctionnalité Firebox apparaît.
6. Cliquez sur Parcourir pour chercher le fichier de clé de fonctionnalité.
Sinon, copiez le texte du fichier de clé de fonctionnalité et cliquez sur Coller pour l’insérer dans la
boîte de dialogue.
7. Cliquez sur OK.
8. Cliquez sur l’onglet Configuration.
Le champ Numéro de série est automatiquement renseigné avec le numéro de série de la clé de fonctionnalité.
268
WatchGuard System Manager
FireCluster
9. Dans la zone de texte Adresse IP d’interface, entrez les adresses à utiliser pour chaque interface
cluster, ainsi que l’adresse IP de l’interface de gestion.
n
Dans la zone de texte Cluster principale, entrez l’adresse IP à utiliser pour l’interface cluster
principale. Celle-ci doit figurer sur le même sous-réseau pour tous les membres du cluster.
Note Lemembreducluster ayantl’adresse IPlaplusélevéeattribuéeàl’interfacecluster
principaledevientlecluster maîtresilesdeux périphériquesdémarrentenmêmetemps.
n
Dans la zone de texte Cluster de sauvegarde, entrez l’adresse IP à utiliser pour l’interface
cluster de sauvegarde. Cette option n’apparaît que si vous avez configuré une interface cluster
de sauvegarde. L’adresse IP de celle-ci doit figurer sur le même sous-réseau pour tous les
membres du cluster.
n
Dansla zone de texte Adresse IP del’interface degestion, entrezl’adresse IP àutiliser pour se
connecter à unmembre ducluster enparticulier pour des opérationsde maintenance.L’interface
de gestion n’estpas une interface dédiée.Elle estégalement utilisée pour d’autrestrafics réseau.Il
peuts’agir de n’importe quelle adresse, maiselle doitêtre différente pour chaque membre du
cluster.
Pour de plusamples informations,cf. Àpropos del’adresse IP del’interface degestion àla page 246.
10. Cliquez sur OK.
Le périphérique ajouté apparaît dans la liste Membres en tant que membre du cluster.
11. Répétez les étapes précédentes pour ajouter le second périphérique WatchGuard à la configuration
du cluster.
Note N’enregistrez pas la configuration dans Firebox tant que vous n’avez pas démarré
le second périphérique en mode sans échec.
12. Démarrez le deuxième périphérique WatchGuard en mode sans échec.
Pour démarrer en mode sans échec, maintenez enfoncé le bouton Flèche bas situé sur le panneau
avant du périphérique pendant que vous mettez le périphérique sous tension.
Sur un périphérique Firebox X Core ou Peak, maintenez enfoncé le bouton Flèche bas jusqu’à ce
WatchGuard Technologies apparaisse sur l’affichage LCD. Lorsque le périphérique est en mode
sans échec, l’écran indique le numéro de modèle, suivi du mot safe (sans échec).
Sur un périphérique WatchGuard XTM, maintenez enfoncé le bouton Flèche bas jusqu’à ce que
Safe Mode Starting... (Démarrage en mode sans échec) apparaisse sur l’affichage LCD.
Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du
mot safe (sans échec).
13. Enregistrez la configuration dans Firebox.
Le cluster est activé. Le cluster maître découvre automatiquement l’autre membre configuré du cluster et
synchronise la configuration.
Une fois le cluster actif, vous pouvez analyser l’état des membres du cluster sous l’onglet Panneau avant de
Firebox System Manager.
Pour de plus amples informations, cf. Contrôler et analyser les membres de FireCluster à la page 271.
User Guide
269
FireCluster
Si le deuxième périphérique n’est pas découvert automatiquement, vous pouvez déclencher
manuellement la découverte de périphériques, comme indiqué dans Découvrir un membre de cluster à la
page 273.
Trouver les adresses MAC de multidiffusions d’un cluster
actif/actif
Pour configurer votre commutateur pour la prise en charge des adresses MAC multidiffusions FireCluster,
vous devrez peut-être connaître les adresses MAC multidiffusions utilisées par le cluster pour chaque
interface. Il existe deux façons de trouver les adresses MAC affectées aux interfaces.
Trouver les adresses MAC dans Policy Manager
1. Ouvrez Policy Manager pour le FireCluster actif/actif.
2. Sélectionnez FireCluster > Configurer.
La boîte de dialogue Configuration FireCluster s’affiche.
3. Dans la rubrique Paramètres d’interface, trouvez l’adresse MAC multidiffusion pour chaque
interface.
Pour copier une adresse MAC multidiffusion depuis une configuration FireCluster dans une configuration de
commutateur ou de routeur :
1. Dans la colonneMAC multidiffusion, double-cliquez sur l’adresse MAC.
L’adresse MAC s’affiche en surbrillance.
2. Cliquez et faites glisser pour mettre l’adresse MAC en surbrillance.
270
WatchGuard System Manager
FireCluster
3. Appuyez sur Ctrl+C pour la copier dans le presse-papiers
4. Copiez l’adresse MAC dans une configuration de commutateur ou de routeur.
Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un
FireCluster actif/actif à la page 253
Trouvez l’adresse MAC dans Firebox System Manager
Vous pouvez également trouver les adresses MAC multidiffusions dans Firebox System Manager.
1. Ouvrez Firebox System Manager.
2. Cliquez sur l’onglet Panneau avant.
3. Développez Interfaces.
L’adresse MAC multidiffusion est intégrée dans chaque interface du cluster.
Contrôler et analyser les membres de FireCluster
Utilisez l’adresse IP de l’interface approuvée pour contrôler et gérer le cluster. Lorsque vous contrôlez le
cluster dans Firebox System Manager, vous voyez s’afficher une vue agrégée des périphériques du cluster.
Dans FSM, vous visualisez l’état des membres du cluster comme si le cluster ne constituait qu’un seul
périphérique.
Pour contrôler un cluster :
User Guide
271
FireCluster
1. Dans Policy Manager, connectez-vous à l’adresse IP approuvée du cluster.
2. Cliquez sur .
Firebox System Manager s’affiche.
Lorsque vous vous connectez à l’adresse IP approuvée du cluster dans Firebox System Manager, vous voyez
s’afficher les périphériques du cluster dans l’onglet Panneau avant. Les autres onglets contiennent des
informations combinées pour tous les périphériques du cluster.
État du contrôle des membres FireCluster
Lorsque vous contrôlez un FireCluster, les onglets Firebox System Manager contiennent des informations
relatives à tous les périphériques du cluster. Dans l’onglet Panneau avant, vous pouvez développer le
cluster pour consulter l’état de chaque membre. Cet état indique quel périphérique est maître ainsi que
l’état de chaque périphérique du cluster. Les autres onglets contiennent des informations combinées pour
tous les périphériques du cluster.
272
WatchGuard System Manager
FireCluster
Note Vous pouvez également utiliser l’adresse IP de l’interface de gestion pour vous
connecter à un membre du cluster individuel et le contrôler. Lorsque vous ne
contrôlez qu’un membre du cluster, vous ne voyez pas toutes les informations
relatives aux clusters. Pour plus d’informations, voir À propos de l’adresse IP de
l’interface de gestion à la page 246.
Contrôler et analyser les membres du cluster
Vous pouvez également utiliser Firebox System Manager pour contrôler et analyser des membres du
cluster individuels. Si les opérations FireCluster sont en principe effectuées automatiquement, vous pouvez
terminer manuellement certaines fonctions dans Firebox System Manager.
Pour contrôler les membres du cluster :
1. Sélectionnez Outils > Cluster.
2. Sélectionnez une option :
n
n
n
n
n
n
n
Découvrir un membre de cluster
Forcer le basculement d’un cluster maître
Redémarrer un membre du cluster
Arrêter un membre du cluster
Se connecter à un membre du cluster
Faire quitter le cluster à un membre
Permettre à un membre de rejoindre un cluster
Découvrir un membre de cluster
Lorsque vous ajoutez un périphérique à un FireCluster, le cluster maître découvre automatiquement le
périphérique. Vous pouvez aussi utiliser la commande Découvrir un membre pour déclencher la
découverte du périphérique par le cluster maître. Il peut s’agir d’un nouveau périphérique ou d’un
membre existant du cluster.
Avant de commencer, assurez-vous que le périphérique est :
n
n
correctement connecté au réseau, comme indiqué dans la rubrique Connecter le matériel
FireCluster à la page 252
configuré en tant que membre du cluster dans la configuration du cluster. Utilisez l’une des
méthodes suivantes :
n
n
Utiliser l’assistant FireCluster Setup Wizard
Configurer FireCluster manuellement
Pour déclencher la découverte d’un périphérique par le cluster maître :
1. S’il s’agit d’un nouveau périphérique sur le cluster, démarrez le nouveau périphérique en mode
sans échec.
Pour plus d’informations, voir la section suivante.
2. Dans WatchGuard System Manager, connectez-vous au cluster maître.
3. Démarrer Firebox System Manager.
User Guide
273
FireCluster
4. Sélectionnez Outils > Cluster > Découvrir un membre.
La boîte de dialogue Découvrir un membre s’affiche.
5. Entrez le mot de passe de configuration du cluster.
Un message apparaît pour vous informer que le processus de découverte a commencé.
6. Cliquez sur OK.
Le cluster maître essaie de découvrir les nouveaux périphériques connectés au cluster.
Lorsqu’il découvre un périphérique connecté, il vérifie son numéro de série. Si le numéro de série
correspond au numéro de série d’un membre du cluster dans la configuration FireCluster, le cluster maître
charge la configuration du cluster sur le second périphérique. Le périphérique devient alors actif dans le
cluster. Le second périphérique synchronise tous les états du cluster à partir du cluster maître.
À la fin de la découverte et de la synchronisation initiale, le périphérique apparaît sur l’onglet Panneau
avant de Firebox System Manager en tant que membre du cluster.
Démarrer un périphérique en mode sans échec
1. Maintenez enfoncé le bouton Flèche bas situé sur le panneau avant du périphérique pendant que
vous mettez le périphérique sous tension.
2. Sur un périphérique Firebox X Core ou Peak, maintenez enfoncé le bouton Flèche bas jusqu’à ce
WatchGuard Technologies apparaisse sur l’affichage LCD.
Sur un périphérique WatchGuard XTM, maintenez enfoncé le bouton Flèche bas jusqu’à ce que
Safe Mode Starting... (Démarrage en mode sans échec) apparaisse sur l’affichage LCD.
3. Relâchez le bouton Flèche bas.
Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du
mot safe (sans échec).
Forcer le basculement d’un cluster maître
La commande Basculement de maître de Firebox System Manager vous permet de forcer le basculement
du cluster maître. Le maître de sauvegarde devient alors le cluster maître, et le périphérique maître initial
devient le maître de sauvegarde.
1. Sélectionnez Outils> Cluster > Basculement de maître.
La boîte de dialogue Basculement de maître s’ouvre.
274
WatchGuard System Manager
FireCluster
2. Tapez le mot de passe de configuration.
3. Cliquez sur OK.
Le cluster maître bascule sur le maître de sauvegarde, et ce dernier devient maître.
Redémarrer un membre du cluster
Vous pouvez utiliser la commande Redémarrer membre dans Firebox System Manager pour redémarrer
un membre du cluster. Cette commande équivaut à la commande Redémarrer > Fichier que vous
utiliseriez pour redémarrer un périphérique non mis en cluster.
1. Sélectionnez Outils > Cluster > Redémarrer membre.
La boîte de dialogue Redémarrer membre s’affiche.
2. Sélectionnez le membre du cluster que vous souhaitez redémarrer.
3. Tapez le mot de passe de configuration.
4. Cliquez sur OK.
Ensuite, le membre du cluster redémarre et rejoint le cluster.
Si vous redémarrez le cluster maître, cette action déclenche un basculement. Le maître de sauvegarde
devient le maître. Lorsque le redémarrage est terminé, le cluster maître original rejoint le cluster en tant
que maître de sauvegarde.
User Guide
275
FireCluster
Arrêter un membre du cluster
Vous pouvez utiliser la commande Arrêter membre dans Firebox System Manager pour arrêter un
membre du cluster. Cette commande équivaut à la commande Arrêter > Fichier que vous utiliseriez pour
redémarrer un périphérique non mis en cluster.
1. Sélectionnez Outils >Cluster >Arrêter membre.
La boîte de dialogue Arrêter membre s’affiche.
2. Sélectionnez le membre du cluster que vous souhaitez arrêter.
3. Tapez le mot de passe de configuration.
4. Cliquez sur OK.
Le membre du cluster s’arrête. Tout le trafic géré par ce cluster est transféré à l’autre membre du cluster.
Lorsque vous arrêtez un membre du cluster, le LCD, le port série et toutes les interfaces du périphérique
sont arrêtées. Le témoin lumineux passe à l’orange et les ventilateurs continuent à tourner, mais vous ne
pouvez pas communiquer avec le périphérique. Pour redémarrer le périphérique après un arrêt, vous
devez appuyer sur le bouton de mise sous tension pour éteindre le périphérique. Appuyez ensuite à
nouveau sur le bouton de mise sous tension pour le redémarrer.
Se connecter à un membre du cluster
Lorsque vous vous connectez à un FireCluster à partir du gestionnaire WatchGuard System Manager, les
informations disponibles sont combinées pour tous les membres du cluster. Pour analyser un membre du
cluster en particulier, vous pouvez vous connecter à lui dans Firebox System Manager (FSM). FSM propose
deux méthodes pour se connecter à un membre du cluster : le menu principal de FSM et le menu
contextuel (clic droit).
Pour utiliser le menu principal :
1. Sélectionnez Outils > Cluster > Se connecter à un membre.
La boîte de dialogue Se connecter à un membre apparaît.
276
WatchGuard System Manager
FireCluster
2. Sélectionnez le membre du cluster auquel vous souhaitez vous connecter.
3. Cliquez sur OK.
Une autre fenêtre de Firebox System Manager s’ouvre pour le membre du cluster sélectionné.
Pour utiliser le menu contextuel :
1. Sur l’onglet Panneau avant, sélectionnez un membre du cluster.
2. Cliquez avec le bouton droit de la souris et sélectionnez Se connecter à un membre.
Faire quitter le cluster à un membre
Si vous utilisez l’adresse IP de gestion FireCluster pour vous connecter au membre du cluster, la commande
Quitter est disponible dans Firebox System Manager. La commande Quitter fait partie de la procédure de
restauration d’une image de sauvegarde FireCluster.
Lorsqu’un membre quitte le cluster, il faut toujours partie de la configuration du cluster sans y participer.
L’autre membre du cluster se charge de l’ensemble du trafic du cluster après que le second membre l’ait
quitté.
Pour faire quitter le cluster à un membre :
1. Dans WatchGuard System Manager, utilisez l’interface de l’adresse IP de gestion pour vous
connecter au maître de sauvegarde.
2. Démarrez Firebox System Manager pour le maître de sauvegarde.
3. Sélectionnez Outils > Cluster > Quitter .
Le maître de sauvegarde quitte le cluster et redémarre.
Pour obtenir des informations relatives à l’adresse IP de l’interface de gestion, cf. À propos de l’adresse IP
de l’interface de gestion à la page 246.
Pour obtenir des informations relatives à la restauration d’une image de sauvegarde pour les membres d’un
cluster, cf. Restaurer une image de sauvegarde de FireCluster à la page 287.
User Guide
277
FireCluster
Permettre à un membre de rejoindre un cluster
La commande Rejoindren’est disponible que dans Firebox System Manager si vous connectez un membre
du cluster avec l’adresse IP de l’interface de gestion, et si vous avez précédemment utilisé la commande
Quitter pour faire quitter le cluster au membre. Les commandes Quitter et Rejoindre font partie de la
procédure de restauration d’une image de sauvegarde FireCluster.
1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous
connecter au maître de sauvegarde.
Si l’image de sauvegarde que vous avez restaurée dispose d’une adresse IP de l’interface de gestion
différente pour ce membre du cluster ou d’un mot de passe différent, utilisez l’adresse IP de
l’interface de gestion et le mot de passe issu de l’image de sauvegarde pour vous reconnecter au
périphérique dans WSM.
2. Démarrez Firebox System Manager pour le maître de sauvegarde.
3. Sélectionnez Outils > Cluster > Rejoindre.
Ensuite, le maître de sauvegarde redémarre et rejoint le cluster.
Pour obtenir des informations relatives à l’adresse IP de l’interface de gestion, cf. À propos de l’adresse IP
de l’interface de gestion à la page 246.
Pour obtenir des informations relatives à la restauration d’une image de sauvegarde pour les membres d’un
cluster, cf. Restaurer une image de sauvegarde de FireCluster à la page 287.
Supprimer ou ajouter un membre du cluster
Vous pouvez utiliser Policy Manager pour supprimer ou ajouter des périphériques au FireCluster.
Supprimer un périphérique du FireCluster
Pour supprimer un périphérique du FireCluster :
1. Dans le gestionnaire WatchGuard System Manager, ouvrez la configuration du cluster maître.
2. Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
Policy Manager apparaît.
3. Sélectionnez FireCluster > Configurer.
La boîte de dialogue Configuration du cluster FireCluster s’affiche.
4. Cliquez sur l’onglet Membres.
Une liste des membres du cluster s’affiche sur le côté gauche.
278
WatchGuard System Manager
FireCluster
5. Cliquez sur le nom du membre du cluster que vous souhaitez supprimer.
6. Cliquez sur Supprimer.
Le périphérique est supprimé de la liste des membres.
7. Cliquez sur OK.
8. Enregistrez le fichier de configuration dans le cluster.
Le périphérique est supprimé du cluster.
Note Lorsque vous enregistrez le fichier de configuration dans le cluster, Policy Manager
vérifie que le cluster maître actuel se trouve dans la configuration du cluster. Si le
périphérique que vous avez supprimé de la configuration est le cluster maître
actuel, Policy Manager tente de forcer un basculement. Le maître de sauvegarde
devient dès lors le nouveau cluster maître. Si le basculement réussit, les
modifications de configuration sont enregistrées. Si le basculement ne réussit pas,
Policy Manager ne vous permet pas d’enregistrer la configuration dans le cluster.
Après avoir supprimé un périphérique WatchGuard d’un cluster, lorsque vous enregistrez la configuration
dans le cluster, le périphérique supprimé redémarre et tous les paramètres du périphérique sont
réinitialisés. L’autre membre devient le cluster maître.
Pour obtenir des informations sur la manière de vérifier quel périphérique est le cluster maître ou pour
forcer manuellement le basculement depuis le cluster maître vers un autre membre, cf. Contrôler et
analyser les membres de FireCluster à la page 271.
User Guide
279
FireCluster
Ajouter un nouveau périphérique au FireCluster
Vous pouvez ajouter un nouveau membre du cluster dans l’onglet Configuration FireCluster boîte de
dialogue Membres.
Pour ajouter un nouveau périphérique au cluster :
1. Cliquez sur Ajouter.
2. Configurez les paramètres pour le nouveau membre du cluster, tel que décrit dans Configurer
FireCluster manuellement à la page 264.
Lorsque FireCluster est activé, vous devez disposer d’au moins un périphérique dans le cluster.
3. Pour supprimer les deux périphériques du cluster, vous devez Désactiver FireCluster.
Mettre à jour la configuration de FireCluster
La configuration d’un FireCluster se met à jour de la même manière que les autres périphériques
WatchGuard. Vous ne pouvez enregistrer qu’une configuration mise à jour dans le cluster maître.
1. Dans WatchGuard System Manager, cliquez sur .
Vous pouvez également sélectionner Fichier > Se connecter au périphérique.
La boîte de dialogue Se connecter à Firebox apparaît.
2. Sélectionnez ou entrez l’adresse IP approuvée du cluster. Entrez le mot de passe d’état (lecture
seule). Cliquez sur OK.
Le cluster apparaît parmi les périphériques dans l’onglet État du périphérique de WatchGuard System
Manager.
3. Sur l’onglet État du périphérique, sélectionnez le périphérique du cluster.
4. Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
Policy Manager apparaît avec le fichier de configuration actif du cluster.
5. Modifiez la configuration du cluster.
6. Enregistrez le fichier de configuration sur l’adresse IP approuvée du cluster.
Lorsque vous enregistrez la configuration dans un cluster, le cluster maître envoie automatiquement la
configuration mise à jour à l’autre membre du cluster.
Configurer la journalisation et la notification de
FireCluster
L’onglet Avancé de la boîte de dialogue Configuration FireCluster comprend des paramètres de
journalisation et de notification.
Des messages de journaux sont systématiquement créés pour les événements FireCluster.
Pour configurer les paramètres de notification des événements de basculement et de restauration de
FireCluster :
1. Cliquez sur Notification.
2. Sélectionnez une méthode de notification : interruption SNMP, e-mail ou fenêtre contextuelle.
280
WatchGuard System Manager
FireCluster
Pour plus d’informations sur les paramètres de notification, voir Définir les préférences de journalisation et
de notification à la page 656.
Pour définir le niveau du journal de diagnostic des événements FireCluster dans Policy Manager :
1. Sélectionnez Configurer > Journalisation.
2. Cliquez sur Niveau du journal de diagnostic.
Pour de plus amples informations sur la journalisation de diagnostic, voir Définir le niveau du journal de
diagnostic à la page 653.
À propos des clés de fonctionnalité et de
FireCluster
Chaque périphérique d’un cluster dispose de sa propre clé de fonctionnalité. Lorsque vous configurez un
FireCluster, vous importez des clés de fonctionnalité pour chaque membre du cluster. Le FireCluster
dispose d’un ensemble de fonctionnalités de cluster qui s’appliquent à l’ensemble du cluster. Les
fonctionnalités de cluster sont basées sur les clés de fonctionnalités de tous les périphériques du cluster.
Pour plus d’informations sur l’obtention d’une clé de fonctionnalité pour un périphérique, cf. Obtenir une
clé de fonctionnalité auprès de LiveSecurity à la page 65.
Lorsque vous activez un FireCluster, les services d’abonnement et les mises à niveau activées pour les
membres du cluster fonctionnent de la manière suivante :
Abonnement à LiveSecurity Service
Un abonnement à LiveSecurity Service s’applique à un périphérique individuel, même si celui-ci est
configuré en tant que membre d’un cluster. Vous devez disposer d’un abonnement LiveSecurity
Service actif pour chaque périphérique du cluster. Si l’abonnement LiveSecurity expire pour un
membre du cluster, vous ne pouvez pas mettre à niveau le système d’exploitation Fireware XTM sur
ce périphérique.
Mises à niveau BOVPN et Mobile VPN
Les services d’abonnement comme WebBlocker, spamBlocker et Gateway AntiVirus fonctionnent
différemment selon qu'il s'agit d'un cluster actif/actif ou d'un cluster actif/passif.
Actif/actif — Les licences des VPN pour succursale et des Mobile VPN sont agrégées pour les
périphériques configurés en tant que FireCluster. Si vous achetez des licences BOVPN ou Mobile VPN
supplémentaires pour chaque périphérique d’un cluster, cette capacité supplémentaire est partagée
entre les périphériques du cluster. Par exemple, si vous disposez de deux périphériques dans un
cluster et que chaque clé de fonctionnalité de périphérique détient une capacité de 2 000 utilisateurs
Mobile VPN, la licence effective du FireCluster est valable pour 4 000 utilisateurs Mobile VPN.
Actif/passif — Les licences des VPN pour succursale et des Mobile VPN ne sont pas agrégées pour
les périphériques configurés en tant que FireCluster. Le périphérique actif utilise le VPN pour
succursale et le Mobile VPN activé de la capacité la plus élevée pour l’un ou l’autre périphérique. Si
vous achetez des licences BOVPN ou Mobile VPN supplémentaires pour un périphérique de cluster,
cette capacité supplémentaire est utilisée par le périphérique actif.
User Guide
281
FireCluster
Services d'abonnement
Les services d’abonnement comme WebBlocker, spamBlocker et Gateway AV fonctionnent
différemment selon qu'il s'agit d'un cluster actif/actif ou d'un cluster actif/passif.
n
n
Actif/actif — Les mêmes services d’abonnement doivent être activés sur les clés de
fonctionnalité associées aux deux périphériques. Chaque membre d’un cluster applique les
services à partir de sa propre clé de fonctionnalité.
Actif/passif — Vous devez activer les mêmes services d’abonnement sur la clé de fonctionnalité
pour un seul membre du cluster. Le membre du cluster actif utilise les services d’abonnement
actifs sur la clé de fonctionnalité de l’un des deux membres du cluster.
Note Dans un cluster actif/actif, il est très important de renouveler les services
d’abonnement pour les deux membres du cluster. Si un service d’abonnement
expire pour un membre d’un cluster actif/actif, le service ne fonctionne pas pour ce
membre. Le membre dont la licence a expiré continue à faire transiter le trafic sans
y appliquer le service.
Afficher les clés de fonctionnalité et les fonctionnalités
associées à un cluster
1. Ouvrez Policy Manager pour le maître de cluster.
2. Sélectionnez FireCluster > Configurer.
3. Cliquez sur l’onglet Membres.
282
WatchGuard System Manager
FireCluster
4. Sélectionnez le répertoire FireCluster.
Des onglets relatifs aux fonctionnalités de cluster et aux fonctionnalités de chaque membre du cluster
s’affichent en bas de la boîte de dialogue.
5. Pour consulter les fonctionnalités sous licence du cluster, cliquez sur l’onglet Fonctionnalités des
clusters.
n
n
Les colonnes Expiration et État affichent la date d’expiration la plus récente et les jours
restants pour ce service parmi les membres du cluster.
La colonne Valeur affiche l’état ou la capacité de la fonctionnalité pour l’ensemble du cluster.
6. Cliquez sur les onglets Membre pour consulter la licence de chaque membre du cluster.
Assurez-vous de vérifier la date d’expiration pour tous les services de chaque membre du cluster.
Afficher ou mettre à jour la clé de fonctionnalité pour un
membre du cluster
Vous pouvez utiliser Policy Manager pour afficher ou mettre à jour la clé de fonctionnalité pour chaque
membre du cluster.
1. Sélectionnez FireCluster > Configurer.
2. Cliquez sur l’onglet Membres.
3. Dans l’arborescence FireCluster, sélectionnez le nom du membre. Cliquez sur Modifier.
La boîte de dialogue Configuration du membre FireCluster s’affiche.
User Guide
283
FireCluster
4. Cliquez sur l’onglet Clé de fonctionnalité.
Les fonctionnalités disponibles pour cette clé de fonctionnalité s’affichent. Cet onglet inclut
également :
n
n
n
n
Une mention indiquant si la fonctionnalité est activée ou désactivée
Une valeur affectée à la fonctionnalité, comme le nombre d’interfaces VLAN autorisées
La date d’expiration de la fonctionnalité
Le temps restant avant l’expiration de la fonctionnalité
5. Cliquez sur Importer.
La boîte de dialogue Importer une clé de fonctionnalité Firebox s’affiche.
6. Cliquez sur Parcourir pour chercher le fichier de clé de fonctionnalité.
Sinon, copiez le texte du fichier de clé de fonctionnalité et cliquez sur Coller pour l’insérer dans la
284
WatchGuard System Manager
FireCluster
boîte de dialogue. Cliquez sur OK.
7. Enregistrer le fichier de configuration.
La clé de fonctionnalité n’est pas copiée vers le périphérique tant que vous n’avez pas enregistré le fichier de
configuration dans le maître de cluster.
Dans Policy Manager, vous pouvez aussi sélectionner des Clés de fonctionnalité > de configuration pour
afficher les informations de clé de fonctionnalité pour le cluster.
Afficher la clé de fonctionnalité FireCluster dans Firebox
System Manager
Vous pouvez également visualiser la clé de fonctionnalité dans Firebox System Manager :
1. Sélectionnez Afficher > Clés de fonctionnalité.
La boîte de dialogue Clé de fonctionnalité Firebox s’affiche. Elle répertorie tous les périphériques du cluster. La
rubrique Fonctionnalités sous licence comprend les fonctionnalités sous licence pour le cluster dans son
ensemble.
2. Cliquez sur Détails pour afficher les détails concernant la clé de fonctionnalité pour chaque
périphérique du cluster.
User Guide
285
FireCluster
3. Faites défiler vers le bas pour voir la clé de fonctionnalité du second périphérique.
Créer une image de sauvegarde de FireCluster
Étant donné que le cluster maître synchronise la configuration à partir des membres du cluster, il vous suffit
de sauvegarder l’image du cluster maître.
Pour créer une sauvegarde de l’image flash (.fxi) du cluster maître :
1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface approuvée du cluster pour
vous connecter au cluster maître.
2. Ouvrez Policy Manager pour le cluster maître.
3. Créer une sauvegarde de l’image Firebox.
Pour créer une image de sauvegarde d’un membre spécifique du cluster :
1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface approuvée du cluster pour
vous connecter au cluster maître.
2. Ouvrez Policy Manager pour le membre du cluster.
3. Créer une sauvegarde de l’image Firebox.
Note Veillez à bien noter les adresses IP de gestion et des mots de passe dans l’image de
sauvegarde. Si vous restaurez un FireCluster à partir de cette image, vous aurez
besoin de ces informations pour vous connecter aux membres du cluster.
286
WatchGuard System Manager
FireCluster
Restaurer une image de sauvegarde de FireCluster
Pour restaurer une image de sauvegarde FireCluster dans un cluster, vous devez restaurer l’image dans
chaque membre du cluster individuellement. Le maître de sauvegarde doit quitter le cluster avant que vous
ne restauriez l’image de sauvegarde dans chaque membre du cluster. Après avoir restauré la configuration
dans les deux membres du cluster, le maître de sauvegarde doit rejoindre le cluster.
Lorsque vous restaurez une image de sauvegarde, vous devez utiliser l’adresse IP de l’interface de gestion
du cluster pour vous connecter directement au périphérique. Toutes les autres interfaces sur le
périphérique sont inactives jusqu’à l’étape finale lorsque le maître de sauvegarde rejoint le cluster.
Faire quitter le cluster au maître de sauvegarde
1. Dans WatchGuard System Manager, utilisez l’interface de l’adresse IP de gestion pour vous
connecter au maître de sauvegarde.
2. Démarrez Firebox System Manager pour le maître de sauvegarde.
3. Sélectionnez Outils > Cluster > Quitter.
Le maître de sauvegarde quitte le cluster et redémarre.
Avertissement
Ne faites pas de modifications de configuration au cluster maître après que le
maître de sauvegarde a quitté le cluster.
Restaurer l’image de sauvegarde dans le maître de sauvegarde
1. Dans WatchGuard System Manager, utilisez l’interface de l’adresse IP de gestion pour vous
connecter au maître de sauvegarde.
2. Démarrez Policy Manager pour le maître de sauvegarde.
3. Sélectionnez Fichier > Restaurer pour restaurer l’image de sauvegarde.
Ce périphérique redémarre avec la configuration restaurée.
Pour de plus amples informations sur la commande Restaurer, cf. Restaurez un système Firebox.
Image de sauvegarde à la page 50.
Note Après avoir restauré l’image de sauvegarde dans un membre du cluster, le
périphérique s’affiche comme un membre du cluster dans WatchGuard System
Manager et Firebox System Manager. Le cluster ne fonctionne qu’après l’étape
finale, lorsque le maître de sauvegarde rejoint le cluster.
Restaurer l’image de sauvegarde dans le cluster maître
1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous
connecter au cluster maître.
2. Démarrez Policy Manager pour le cluster maître.
3. Sélectionnez Fichier > Restaurer pour restaurer l’image de sauvegarde.
Ce périphérique redémarre avec la configuration restaurée.
Pour de plus amples informations sur la commande Restaurer, cf. Restaurez un système Firebox.
Image de sauvegarde à la page 50.
User Guide
287
FireCluster
4. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous
connecter au cluster maître.
Si l’image de sauvegarde que vous avez restaurée dispose d’une adresse IP de l’interface de gestion
différente pour ce membre du cluster ou d’un mot de passe différent, utilisez l’adresse IP de
l’interface de gestion et le mot de passe issu de l’image de sauvegarde pour vous reconnecter au
périphérique.
Faire rejoindre le cluster au maître de sauvegarde
1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous
connecter au maître de sauvegarde.
Si l’image de sauvegarde que vous avez restaurée dispose d’une adresse IP de l’interface de gestion
différente pour ce membre du cluster ou d’un mot de passe différent, utilisez l’adresse IP de
l’interface de gestion et le mot de passe issu de l’image de sauvegarde pour vous reconnecter au
périphérique.
2. Démarrez Fireware System Manager pour le maître de sauvegarde.
3. Sélectionnez Outils > Cluster > Rejoindre.
Ensuite, le maître de sauvegarde redémarre et rejoint le cluster.
Mettre à niveau Fireware XTM pour les membres
FireCluster
Pour mettre à jour le logiciel Fireware XTM pour les périphériques de la configuration FireCluster, utilisez
Policy Manager.
Lorsque vous mettez à jour le logiciel sur un périphérique, le périphérique redémarre. Lorsque la mise à
niveau est en cours, le trafic réseau est géré par l’autre périphérique du cluster. Lorsque le redémarrage est
terminé, le périphérique que vous avez automatiquement mis à niveau rejoint le cluster. Comme le cluster
ne peut pas effectuer d’équilibrage de charge au moment du redémarrage, si vous disposez d’un cluster
actif/actif, nous vous recommandons de planifier la mise à niveau lorsque le trafic réseau est au plus bas.
Pour mettre à niveau Fireware XTM pour le périphérique d’un cluster :
1.
2.
3.
4.
5.
Ouvrez le fichier de configuration du cluster dans Policy Manager
Sélectionnez Fichier > Mettre à niveau.
Tapez le mot de passe de configuration.
Entrez ou sélectionnez l’emplacement du fichier de mise à niveau.
Pour créer une image de sauvegarde, sélectionnez Oui.
Une liste des membres du cluster s’affiche.
6. Activez la case à cocher correspondant à chaque périphérique que vous souhaitez mettre à niveau.
Un message s’affiche une fois la mise à niveau terminée pour chaque périphérique.
Une fois la mise à niveau terminée, chaque membre du cluster redémarre et rejoint le cluster. Si vous
mettez à jour les deux périphériques du cluster au même moment, les périphériques sont mis à niveau
individuellement. Ce système permet d’éviter les interruptions d’accès au réseau au cours de la mise à
niveau.
288
WatchGuard System Manager
FireCluster
Policy Manager met d’abord à niveau le maître de sauvegarde. Lorsque la mise à niveau du premier
membre est terminée, ce périphérique devient le nouveau cluster maître. Policy Manager met ensuite à
niveau le second périphérique.
Note Nous vous recommandons d’utiliser la même version du logiciel sur les deux
périphériques. Un cluster fonctionne de manière optimale si tous les périphériques
du cluster exécutent la même version du logiciel.
Si vous souhaitez mettre à niveau le microprogramme à partir d’un emplacement distant, assurez-vous que
l’adresse IP de l’interface de gestion soit configurée sur l’interface externe, et que l’adresse IP est publique
et routable.
Pour plus d’informations, voir À propos de l’adresse IP de l’interface de gestion à la page 246.
Désactiver FireCluster
Avertissement
Lorsque vous désactivez FireCluster, les deux membres du cluster redémarrent en
même temps. Nous vous recommandons de prévoir cette opération à un moment
permettant une brève interruption du réseau.
Pour désactiver FireCluster :
1. Dans le gestionnaire WatchGuard System Manager, ouvrez la configuration du cluster maître.
2. Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
3. Sélectionnez FireCluster > Configurer.
La boîte de dialogue Configuration du cluster FireCluster s’affiche.
4. Désactivez la case à cocher Activer FireCluster.
5. Cliquez sur OK.
6. Enregistrez la configuration dans Firebox.
La configuration est enregistrée et les deux périphériques du cluster redémarrent.
n
n
Le cluster maître démarre avec les adresses IP affectées au cluster.
Le cluster maître de sauvegarde démarre avec les adresses IP et la configuration par défaut.
Vous pouvez supprimer un membre du cluster sans désactiver la fonctionnalité FireCluster. Vous vous
retrouvez alors avec un cluster à un seul membre, mais cela ne désactive pas FireCluster et ne provoque
aucune interruption du réseau.
Pour plus d’informations, voir Supprimer ou ajouter un membre du cluster à la page 278.
User Guide
289
FireCluster
User Guide
290
12
Authentification
À propos de l’authentification des utilisateurs
L’authentification des utilisateurs est un processus qui vérifie si l’utilisateur est bien celui qu’il prétend être,
ainsi que les privilèges attribués à cet utilisateur. Sur Firebox, le compte d’utilisateur comporte deux parties
: un nom d’utilisateur et un mot de passe. Chaque compte d’utilisateur est associé à une adresse IP.
L’association du nom d’utilisateur, du mot de passe et de l’adresse IP aide l’administrateur du périphérique
à surveiller les connexions qui passent par le périphérique. L’authentification permet aux utilisateurs de se
connecter au réseau à partir de n’importe quel ordinateur en n’ayant accès qu’aux seuls protocoles et ports
pour lesquels ils détiennent une autorisation. Firebox peut ainsi faire correspondre les connexions établies
à partir d’une adresse IP et transmettre aussi le nom de la session lors de l’authentification de l’utilisateur.
Vous pouvez établir des stratégies de pare-feu pour donner à des utilisateurs ou à des groupes un accès à
des ressources réseau spécifiques. Ceci peut être utile dans les environnements de réseau où différents
utilisateurs partagent un même ordinateur ou une même adresse IP.
Vous pouvez configurer Firebox en tant que serveur d’authentification local, utiliser votre serveur
d’authentification Active Directory ou LDAP existant ou un serveur d’authentification RADIUS existant.
Lorsque vous utilisez l’authentification à Firebox via le port 4100, les privilèges de compte peuvent se
fonder sur un nom d’utilisateur. En présence d’une authentification tierce, les privilèges liés aux comptes
des utilisateurs qui s’authentifient auprès du serveur d’authentification tierce sont basés sur l’appartenance
à un groupe.
La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une
adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via le périphérique
et d’en assurer le suivi. Avec un périphérique, la question fondamentale qui se pose à chaque connexion
est « Dois-je autoriser le trafic de la source X vers la destination Y? ». Pour que la fonctionnalité
d’authentification de WatchGuard fonctionne correctement, l’adresse IP de l’ordinateur d’un utilisateur ne
doit pas changer tant que cet utilisateur est authentifié sur le périphérique.
User Guide
291
Authentification
Dans la plupart des environnements, la relation entre une adresse IP et l’ordinateur de l’utilisateur n’est pas
assez stable pour être utilisée pour une authentification. Les environnements dans lesquels l’association
d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux sur lesquels les
applications sont lancées depuis un serveur terminal, ne sont généralement pas adaptés à la fonctionnalité
d’authentification des utilisateurs, qui risque de ne pas être opérationnelle.
WatchGuard prend en charge l’authentification, la gestion des comptes et le contrôle des accès dans les
pare-feux en supposant une association stable entre adresses IP et utilisateurs.
La fonctionnalité d’authentification des utilisateurs WatchGuard prend également en charge
l’authentification sur un domaine d’Active Directory avec Single Sign-On (SSO), ainsi que d’autres serveurs
d’authentification courants. De plus, elle prend en charge les paramètres d’inactivité et les limites de temps
imposées aux sessions. Ces contrôles restreignent la durée pendant laquelle une adresse IP est autorisée à
passer des données via Firebox avant que l’utilisateur ne doive entrer de nouveau son mot de passe
(s’authentifier à nouveau).
Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais
d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez le contrôle de
l’authentification, de la gestion des comptes et du contrôle des accès.
Pour empêcher un utilisateur de s’authentifier, vous devez désactiver le compte de cet utilisateur sur le
serveur d’authentification.
Utilisateur étapes de l’authentification
Un serveur HTTPS est opérationnel sur le périphérique WatchGuard pour accepter les requêtes
d’authentification.
Pour s’authentifier, l’utilisateur doit se connecter à la page Web du portail d’authentification du
périphérique.
1. Allez dans :
https://[adresse IP de l’interface du périphérique]:4100/
ou
https://[nom d’hôte du périphérique]:4100
Une page Web d’authentification s’affiche.
2. Entrez un nom d’utilisateur et un mot de passe.
3. Sélectionnez le serveur d’authentification dans la liste déroulante si plusieurs types
d’authentification sont configurés.
Le périphérique WatchGuard envoie le nom et le mot de passe au serveur d’authentification à l’aide du
protocole PAP (Password Authentication Protocol).
Une fois l’utilisateur authentifié, il est autorisé à utiliser les ressources du réseau approuvé.
292
WatchGuard System Manager
Authentification
Note Étant donné que Fireware XTM utilise un certificat autosigné par défaut pour
HTTPS, un avertissement de sécurité s’affiche dans votre navigateur Web lors de
l’authentification. Vous pouvez l’ignorer. Pour supprimer cet avertissement, vous
pouvez utiliser un certificat tiers ou créer un certificat personnalisé qui correspond
à l’adresse IP ou au nom de domaine utilisés pour l’authentification.
Pour plus d’informations, voir Configurer le certificat de serveur Web pour Firebox
authentification à la page 805.
Fermer manuellement une session authentifiée
Il n’est pas nécessaire d’attendre le délai d’inactivité de la session pour fermer une session authentifiée. On
peut fermer manuellement sa session avant l’expiration du délai. La page Web d’authentification doit être
ouverte pour que l’utilisateur puisse fermer une session. Si elle est fermée, l’utilisateur doit de nouveau
s’authentifier pour se déconnecter.
Pour fermer une session authentifiée :
1. Allez sur la page Web du portail d’authentification :
https://[adresse IP de l’interface du périphérique]:4100/
ou
https://[nom d’hôte du périphérique]:4100
2. Cliquez sur Déconnexion.
Note Si la page Web du portail d’authentification est configurée pour rediriger
automatiquement vers une autre page Web, le portail est redirigé quelques
secondes seulement après avoir été ouvert. Assurez-vous de vous déconnecter
avant la redirection.
Gérer les utilisateurs authentifiés
Vous pouvez utiliser Firebox System Manager pour afficher la liste de tous les utilisateurs authentifiés sur
votre périphérique WatchGuard et fermer leurs sessions.
Voir les utilisateurs authentifiés
Pour voir les utilisateurs authentifiés sur votre périphérique WatchGuard :
1. Démarrer Firebox System Manager.
2. Sélectionnez l’onglet Liste d’authentification.
La liste de tous les utilisateurs authentifiés sur Firebox s’affiche.
Fermer la session d’un utilisateur
Dans Firebox System Manager :
1. Sélectionnez l’onglet Liste d’authentification.
La liste de tous les utilisateurs authentifiés sur Firebox s’affiche.
User Guide
293
Authentification
2. Sélectionnez un ou plusieurs noms d’utilisateurs dans la liste.
3. Faites un clic droit sur le ou les noms d’utilisateur et sélectionnez Déconnecter l’utilisateur.
Pour plus d’informations, voir Utilisateurs authentifiés (Liste d’authentification) à la page 707.
Utiliser l’authentification pour restreindre le
trafic entrant
L’une des fonctions de l’outil d’authentification est de restreindre le trafic sortant. Vous pouvez également
l’utiliser pour limiter le trafic réseau entrant. Lorsque vous avez un compte sur le périphérique WatchGuard
et que celui-ci a une adresse IP externe publique, vous pouvez vous authentifier sur le périphérique depuis
un ordinateur externe. Par exemple, vous pouvez entrer l’adresse suivante dans votre navigateur :
https://<IP address of WatchGuard device external interface>:4100/ .
Après vous être authentifié, utilisez les stratégies configurées pour vous sur le périphérique.
Pour permettre à un utilisateur distant de s’authentifier depuis le réseau externe :
1. Dans le gestionnaire WatchGuard System Manager, connectez-vous à un périphérique et ouvrez
Policy Manager.
2. Double-cliquez sur la stratégie Authentification WatchGuard. Cette stratégie s’affiche lorsque vous
avez ajouté un utilisateur ou un groupe à la configuration d’une stratégie.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
3. Dans la liste déroulante Les connexions d’authentification WG sont, assurez-vous que l’option
Autorisées est activée.
4. Sous la fenêtre De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
5. Sélectionnez Tout dans la liste et cliquez sur Ajouter.
6. Cliquez sur OK.
Tout s’affiche dans la fenêtre De.
7. En dessous de la liste À, cliquez sur Ajouter.
8. Sélectionnez Firebox dans la liste et cliquez sur Ajouter.
9. Cliquez sur OK.
Firebox s’affiche dans la fenêtre À.
294
WatchGuard System Manager
Authentification
10. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
Utiliser l’authentification via une passerelle Firebox
La passerelle Firebox est le périphérique que vous installez sur votre réseau pour protéger votre
Management Server d’Internet.
Pour plus d’informations, voir À propos de la passerelle Firebox à la page 510.
Pour envoyer une requête d’authentification via une passerelle Firebox à un autre périphérique, vous
devez avoir une stratégie autorisant le trafic d’authentification sur le périphérique de passerelle. Si le trafic
d’authentification est interdit sur la passerelle, utilisez Policy Manager pour ajouter une stratégie
d’authentification WG. Cette stratégie contrôle le trafic sur le port TCP 4100. Vous devez configurer la
stratégie pour qu’elle autorise le trafic jusqu’à l’adresse IP du périphérique de destination.
Définir les valeurs d’authentification globale
Vous pouvez définir les valeurs d’authentification globale (comme les valeurs de délai et la redirection de la
page d’authentification) et activer Single Sign-On (SSO).
User Guide
295
Authentification
Pour configurer les paramètres d’authentification :
1. Ouvrir Policy Manager.
2. Sélectionnez Configurer > Authentification > Paramètres d’authentification.
La boîte de dialogue Paramètres d’authentification s’affiche.
3. Configurez les paramètres d’authentification selon la procédure décrite dans les sections
ultérieures.
4. Cliquez sur OK.
296
WatchGuard System Manager
Authentification
Définir des délais d’authentification globale
Vous pouvez définir la durée pendant laquelle les utilisateurs restent authentifiés après avoir fermé leur
dernière connexion authentifiée. Ce délai se définit soit dans la boîte de dialogue Paramètres
d’authentification, soit dans la Configuration d’utilisateur Firebox boîte de dialogue.
Pour plus d’informations sur les paramètres d’authentification des utilisateurs et la Configuration
d’utilisateur Firebox boîte de dialogue, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à
la page 310.
Pour les utilisateurs authentifiés par des serveurs tiers, les délais définis par ces serveurs remplacent les
délais d’authentification globale.
Les valeurs de délais d’authentification ne s’appliquent pas aux utilisateurs de Mobile VPN with PPTP.
Délai d’expiration de la session
Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous
entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0),
aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi
longtemps qu’il le souhaite.
Délai d’inactivité
Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans
passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de
minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et
l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite.
Autoriser plusieurs connexions simultanées
Vous pouvez autoriser plusieurs utilisateurs à s’authentifier en même temps et avec les mêmes
informations d’identification sur le même serveur d’authentification. Cette option est utile pour les comptes
invités ou les environnements de laboratoire. Lorsque le deuxième utilisateur se connecte à l’aide des
mêmes informations d’identification, le premier utilisateur authentifié est automatiquement déconnecté. Si
vous n’autorisez pas cette fonctionnalité, les utilisateurs ne peuvent s’authentifier qu’un par un sur le
serveur d’authentification.
1. Allez dans les Paramètres d’authentification boîte de dialogue.
2. Sélectionnez la case à cocher Autoriser plusieurs connexions simultanées d’authentification au
pare-feu à partir d’un même compte.
Pour les utilisateurs de Mobile VPN with IPSec et Mobile VPN with SSL, les connexions simultanées à partir
du même compte sont toujours prises en charge que cette case à cocher soit ou non activée. Ces
utilisateurs doivent se connecter avec des adresses IP différentes s’ils veulent établir des connexions
simultanées, ce qui signifie qu’ils ne peuvent pas utiliser le même compte pour se connecter s’ils se
trouvent derrière un périphérique Firebox utilisant la traduction d’adresses réseau (NAT). Les utilisateurs
Mobile VPN with PPTP ne sont pas concernés par cette restriction.
User Guide
297
Authentification
Limiter les sessions de connexion
Dans les Paramètres d’authentification boîte de dialogue, vous pouvez limiter les utilisateurs à une seule
session authentifiée. Si vous sélectionnez cette option, les utilisateurs ne pourront pas se connecter à un
serveur d’authentification à partir d’adresses IP différentes en utilisant les mêmes informations
d’identification. Lorsqu’un utilisateur authentifié essaie de s’authentifier à nouveau, vous pouvez opter soit
pour la fermeture de la session du premier utilisateur avec authentification de la seconde session, soit pour
le rejet de la seconde session.
1. Sélectionnez Limiter les utilisateurs à une seule session de connexion.
2. Dans la liste déroulante, sélectionnez Rejeter les tentatives de connexion suivantes lorsque
l’utilisateur est déjà connecté ou Fermer la première session lorsque l’utilisateur se connecte une
seconde fois.
298
WatchGuard System Manager
Authentification
Rediriger automatiquement les utilisateurs vers le portail de
connexion
Si vous exigez que les utilisateurs s’authentifient avant de pouvoir accéder à Internet, vous pouvez choisir
d’envoyer automatiquement les utilisateurs qui ne sont pas encore authentifiés sur le portail
d’authentification, ou les faire naviguer manuellement jusqu’au portail. Cela concerne uniquement les
connexions HTTP et HTTPS.
Rediriger automatiquement les utilisateurs vers la page d’authentification pour qu’ils s’authentifient
En activant cette case à cocher, tous les utilisateurs qui ne se sont pas encore authentifiés sont
automatiquement redirigés vers le portail d’authentification lorsqu’ils essaient d’accéder à Internet.
Si cette case n’est pas activée, les utilisateurs non authentifiés doivent naviguer manuellement
jusqu’au portail d’authentification.
Pour plus d’informations sur l’authentification des utilisateurs, voir Utilisateur étapes de
l’authentification à la page 292.
Utiliser une page de démarrage par défaut personnalisée
Quand vous activez la case à cocher Rediriger automatiquement les utilisateurs vers la page
d’authentification pour qu’ils s’authentifient pour obliger les utilisateurs à s’authentifier avant d’accéder à
Internet, le portail d’authentification Web de Firebox s’affiche dès qu’un utilisateur ouvre un navigateur. Si
vous voulez que le navigateur accède à une page différente une fois vos utilisateurs connectés, définissez
une redirection.
Dans les Paramètres d’authentification boîte de dialogue:
1. Activez la case à cocher Envoyer une redirection au navigateur après l’authentification.
2. Dans la zone de texte, entrez l’URL du site Web vers lequel les utilisateurs seront redirigés.
Définir les délais d’une session de gestion
Ces champs permettent de définir la durée pendant laquelle un utilisateur connecté avec des privilèges de
lecture/écriture reste authentifié avant que le périphérique WatchGuard ne ferme la session.
Délai d’expiration de la session
Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous
entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0),
aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi
longtemps qu’il le souhaite.
Délai d’inactivité
Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans
passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de
minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et
l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite.
User Guide
299
Authentification
Activer Single Sign-On
Quand vous activez Single Sign-On (SSO), les utilisateurs des réseaux approuvés ou facultatifs sont
automatiquement authentifiés lorsqu’ils se connectent à leur ordinateur.
Pour plus d’informations, voir À propos de Single Sign-On (SSO) à la page 300.
À propos de la stratégie d’authentification
WatchGuard (WG)
La stratégie d’authentification WatchGuard (WG) s’ajoute automatiquement à la configuration de votre
périphérique WatchGuard. La première stratégie ajoutée à la configuration de votre périphérique qui
donne un nom d’utilisateur ou de groupe au champ De de l’onglet Stratégie dans la définition de stratégie
établit une stratégie d’authentification WG. Cette stratégie contrôle l’accès au port 4100 du périphérique.
Les utilisateurs envoient des demandes d’authentification au périphérique via ce port. Par exemple, pour
s’authentifier sur un périphérique WatchGuard associé à l’adresse IP 10.10.10.10, entrez
https://10.10.10.10:4100 dans la barre d’adresses du navigateur.
Si vous souhaitez envoyer une demande d’authentification via une passerelle vers un autre périphérique, il
vous faudra peut-être ajouter la stratégie d’authentification WG manuellement. Si le trafic d’authentification
est refusé sur la passerelle, utilisez Policy Manager pour ajouter la stratégie d’authentification WG. Modifiez
cette stratégie pour qu’elle autorise le trafic jusqu’à l’adresse IP du périphérique de destination.
Pour en savoir plus sur les circonstances dans lesquelles il convient de modifier la stratégie
d’authentification WatchGuard, voir Utiliser l’authentification pour restreindre le trafic entrant à la page 294.
À propos de Single Sign-On (SSO)
Lorsque les utilisateurs se connectent à des ordinateurs du réseau, ils doivent donner un nom d’utilisateur
et un mot de pas. Si vous utilisez l’Active Directory Authentication sur Firebox pour restreindre le trafic
réseau sortant aux utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau
lorsqu’ils s’authentifient manuellement pour accéder aux ressources réseau telles qu’Internet. Vous pouvez
utiliser Single Sign-On (SSO) pour que les utilisateurs des réseaux approuvés et facultatifs soient
automatiquement authentifiés auprès de Firebox lorsqu’ils se connectent à leur ordinateur.
WatchGuard SSO est une solution en deux volets qui comprend l’agent SSO et les services de client SSO.
Pour que SSO fonctionne, il faut installer le logiciel de l’agent SSO sur un ordinateur de votre domaine. Le
logiciel client est facultatif ; il s’installe sur l’ordinateur client de chaque utilisateur.
L’agent SSO appelle l’ordinateur client sur le port 4116 pour vérifier les utilisateurs actuellement
connectés. En l’absence de réponse, l’agent SSO bascule sur le protocole précédent des versions
antérieures à WSM 10.2.4 et utilise NetWkstaUserEnum pour appeler l’ordinateur client. Il utilise ensuite
les informations obtenues pour authentifier l’utilisateur sur Single Sign-On.
300
WatchGuard System Manager
Authentification
Si le client SSO n’est pas installé, l’agent SSO peut obtenir plusieurs réponses de l’ordinateur qu’il interroge.
Cela se produit lorsque plusieurs utilisateurs sont connectés au même ordinateur, ou en cas de connexions
par service ou par batch à l’ordinateur. L’agent SSO utilise uniquement la première réponse qu’il reçoit de
l’ordinateur et signale cet utilisateur à Firebox comme utilisateur s’étant connecté. Le périphérique
compare les informations relatives aux utilisateurs aux stratégies définies pour cet utilisateur ou ce groupe
d’utilisateurs en une fois. L’agent SSO met ces données en cache pour une durée d’environ 10 minutes par
défaut, pour ne pas avoir à générer de requête pour chaque connexion.
Lorsque le logiciel client SSO est installé, il reçoit l’appel de l’agent SSO et renvoie des informations précises
sur l’utilisateur actuellement connecté à la station de travail. L’agent SSO ne contacte pas l’Active Directory
Server pour connaître les informations d’identification de l’utilisateur, car il reçoit du client SSO les bonnes
informations sur la personne actuellement connectée à l’ordinateur et sur les groupes Active Directory
dont elle fait partie.
Si vous travaillez dans un environnement où plusieurs personnes utilisent un même ordinateur, il est
conseillé d’installer le logiciel client SSO. Si vous n’utilisez pas le client SSO, il existe des limitations du
contrôle d’accès que vous devez connaître. Par exemple, pour les services installés sur un ordinateur client
(tel qu’un client antivirus administré au niveau central) qui ont été déployés de sorte à se connecter avec
des informations d’identification de compte de domaine, Firebox donne à tous les utilisateurs des droits
d’accès qui sont définis en fonction du premier utilisateur à se connecter (et des groupes dont il est
membre), et non en fonction des informations d’identification des différents utilisateurs qui se connectent
de façon interactive. De même, tous les messages de journal générés à partir de l’activité de l’utilisateur
indiquent le nom d’utilisateur du compte de service, et non celui de l’utilisateur concerné.
Note Si vous n’installez pas le client SSO, nous vous recommandons de ne pas utiliser SSO
dans des environnements où les utilisateurs se connectent aux ordinateurs via des
connexions par service ou par batch. Lorsque plusieurs utilisateurs sont associés à
une adresse IP, les autorisations réseau risquent de ne pas fonctionner
correctement. Ceci peut constituer un risque pour la sécurité.
Avant de commencer
n
n
n
n
n
n
n
n
n
Un Active Directory Server doit être configuré sur votre réseau approuvé ou facultatif.
Firebox doit être configuré de façon à utiliser l’Active Directory Authentication.
Un compte doit être défini pour chaque utilisateur sur l’Active Directory Server.
Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single SignOn (SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les
informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs.
Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445
(réseau Samba/Windows) est ouvert sur chaque client.
Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir
desquels les utilisateurs s’identifient à l’aide de SSO.
Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels
les utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138 et 139.
SMB utilise le port TCP 445.
Vérifiez que le port 4116 est ouvert sur les ordinateurs clients.
Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont
membres du domaine auquel sont associées les relations d’approbation ininterrompues.
User Guide
301
Authentification
Configurer SSO
Pour utiliser SSO, vous devez installer le logiciel agent SSO. Il est recommandé d’installer également le client
SSO sur les ordinateurs des utilisateurs. Bien que vous puissiez utiliser SSO uniquement avec l’agent, vous
augmentez votre niveau de sécurité et vos contrôles d’accès en utilisant également le client SSO.
Pour configurer SSO, procédez comme suit :
1. Installer l’agent WatchGuard Single Sign-On (SSO).
2. Installez le client WatchGuard Single Sign-On (SSO) (facultatif, mais recommandé).
3. Activer Single Sign-On (SSO).
Installer l’agent WatchGuard Single Sign-On (SSO)
Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service
qui reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès de l’Active
Directory Server. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur
sur lequel vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 ou une version ultérieure doit
être installé(e) sur cet ordinateur.
Note Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un
ordinateur du domaine ayant une adresse IP statique. Nous vous conseillons
d’installer l’agent SSO sur votre contrôleur de domaine.
Télécharger le logiciel agent SSO
1.
2.
3.
4.
5.
À l’aide de votre navigateur Web, allez sur http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service.
Cliquez sur le lien Software Downloads.
Sélectionnez le type de périphérique et le numéro de modèle.
Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à
l’emplacement de votre choix.
Avant l’installation
Le service agent SSO doit fonctionner en tant que compte d’utilisateur et non en tant que compte
d’administrateur. Nous vous recommandons de créer un compte d’utilisateur à cet effet. Pour que le service
agent SSO fonctionne correctement, configurez le compte d’utilisateur avec les propriétés suivantes :
n
n
n
n
Ajoutez le compte au groupe Admins du domaine.
Activez le groupe Admins du domaine comme groupe principal.
Autorisez le compte à ouvrir une session en tant que service.
Configurez le mot de passe pour qu’il n’expire jamais.
Installer le service agent SSO
1. Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication
Gateway Setup Wizard.
Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme
302
WatchGuard System Manager
Authentification
d’installation sur certains systèmes d’exploitation.
2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de
l’Assistant.
Pour le nom d’utilisateur du domaine, vous devez entrer le nom d’utilisateur sous la forme :
domaine\nomutilisateur . Vous ne devez pas spécifier la partie .com ou .net du nom de domaine.
Par exemple, si votre domaine est mywatchguard.com et que vous utilisez le compte de domaine
ssoagent, entrez mywatchguard\ssoagent .
Vous pouvez utiliser le nom d’utilisateur sous sa forme de nom principal d’utilisateur :
[email protected] . Si vous utilisez le nom principal d’utilisateur, vous devez
alors spécifier la partie .com ou .net du nom de domaine.
3. Cliquez sur Terminer pour fermer l’Assistant.
Une fois l’Assistant fermé, le service WatchGuard Authentication Gateway démarre automatiquement. À
chaque redémarrage de l’ordinateur, le service démarre automatiquement.
Installez le client WatchGuard Single Sign-On (SSO)
Vous pouvez installer le client WatchGuard SSO dans le cadre de la solution WatchGuard Single Sign-On
(SSO). Le client SSO installe un service Windows qui s’exécute à partir du compte de système local d’une
station de travail afin de vérifier les informations d’identification de l’utilisateur actuellement connecté à cet
ordinateur. Lorsqu’un utilisateur essaie de s’authentifier, l’agent SSO envoie au client SSO une demande des
informations d’identification de l’utilisateur. Le client SSO renvoie les informations concernant l’utilisateur
connecté à la station de travail.
Il écoute le port 4116.
Le programme d’installation du client SSO étant un fichier MSI, vous pouvez décider de l’installer
automatiquement sur les ordinateurs des utilisateurs lorsqu’ils se connectent à votre domaine. Utilisez une
stratégie de groupe Active Directory pour installer automatiquement le logiciel lorsque les utilisateurs se
connectent à votre domaine. Pour en savoir plus sur le déploiement des installations de logiciel pour les
objets de stratégie de groupe Active Directory, voir la documentation de votre système d’exploitation.
Télécharger le logiciel client SSO
1.
2.
3.
4.
5.
À l’aide de votre navigateur, allez sur http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service.
Cliquez sur le lien Software Downloads.
Sélectionnez le type de périphérique et le numéro de modèle.
Téléchargez le logiciel WatchGuard Authentication Client et enregistrez le fichier à l’emplacement
de votre choix.
Installer le service client SSO
1. Double-cliquez sur WG-Authentication-Client.msi pour lancer l’Assistant Authentication Client Setup
Wizard.
Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme
d’installation sur certains systèmes d’exploitation.
User Guide
303
Authentification
2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de
l’Assistant.
Pour voir quels sont les lecteurs disponibles pour l’installation du client et la quantité d’espace
disponible sur chacun d’eux, cliquez sur Espace requis.
3. Cliquez sur Fermer pour quitter l’Assistant.
Le service WatchGuard Authentication Client démarre automatiquement une fois l’Assistant terminé
et démarre chaque fois que l’ordinateur redémarre.
Activer Single Sign-On (SSO)
Avant de pouvoir configurer SSO, il faut :
n
n
n
Configurer l’Active Directory Server
Installer l’agent WatchGuard Single Sign-On (SSO)
Installez le client WatchGuard Single Sign-On (SSO) (facultatif)
Activer et configurer SSO
Pour activer et configurer SSO depuis Policy Manager:
1. Sélectionnez Configurer > Authentification > Paramètres d’authentification.
La boîte de dialogue Paramètres d’authentification s’affiche.
304
WatchGuard System Manager
Authentification
2. Activez la case à cocher Activer Single Sign-On (SSO) avec Active Directory.
3. Dans la zone de texte Adresse IP de l’agent SSO , entrez l’adresse IP de votre agent SSO.
4. Dans la zone de texte Mettre les données en cache pendant , entrez ou sélectionnez la durée
pendant laquelle l’agent SSO met en cache les données.
5. Dans la liste Exceptions SSO , ajoutez ou retirez les adresses IP d’hôtes pour lesquelles le
périphérique ne doit pas envoyer de requêtes SSO.
Pour en savoir plus sur les exceptions SSO, voir la section suivante.
6. Cliquez sur OK pour enregistrer vos modifications.
User Guide
305
Authentification
Définir les exceptions SSO
Si votre réseau comporte des périphériques dont il n'est pas nécessaire d'authentifier les adresses IP, tels
que des serveurs de réseau, des serveurs d’impression ou des ordinateurs qui ne font pas partie du
domaine, il est recommandé d’ajouter leur adresse IP à la liste des exceptions SSO. Chaque fois qu’une
connexion est établie à partir de l’un de ces périphériques et que l’adresse IP du périphérique ne figure pas
dans la liste des exceptions, Firebox contacte l’agent SSO pour tenter d’associer l’adresse IP à un nom
d’utilisateur. Cette opération prend environ 10 secondes. La liste des exceptions permet d’éviter ce délai à
chaque connexion et de réduire le trafic réseau inutile.
306
WatchGuard System Manager
Authentification
Types de serveurs d’authentification
Le système d’exploitation Fireware XTM reconnaît six méthodes d’authentification :
n
n
n
n
n
n
Configurer Firebox en tant que serveur d’authentification
Configurer l’authentification sur le serveur RADIUS
Configurer les Authentification sur le serveur VASCO
Configurer l’authentification SecurID
Configurer l’authentification LDAP
Configurer l’Active Directory Authentication
Vous pouvez configurer un ou plusieurs types de serveurs d’authentification pour un périphérique
WatchGuard. Si vous utilisez plusieurs types de serveurs d’authentification, les utilisateurs doivent
sélectionner un type de serveur d’authentification dans la liste déroulante lorsqu’ils s’authentifient.
À propos de l’utilisation de serveurs d’authentification tierce
Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de
données d’utilisateurs séparée sur le périphérique WatchGuard. Vous pouvez configurer un serveur tiers,
installer le serveur d’authentification ayant accès au périphérique et placer le serveur derrière le
périphérique par sécurité. Ensuite, configurez le périphérique pour transférer les demandes
d’authentification des utilisateurs à ce serveur. Si vous créez sur le périphérique un groupe d’utilisateurs qui
s’authentifie auprès d’un serveur tiers, assurez-vous de créer sur le serveur un groupe qui a le même nom
que le groupe d’utilisateurs sur le périphérique.
Pour configurer un périphérique WatchGuard pour des serveurs d’authentification tiers, voir :
n
n
n
n
n
Configurer l’authentification sur le serveur RADIUS
Configurer les Authentification sur le serveur VASCO
Configurer l’authentification SecurID
Configurer l’authentification LDAP
Configurer l’Active Directory Authentication
Utiliser un serveur d’authentification de sauvegarde
Vous pouvez configurer un serveur d’authentification principal et un serveur d’authentification de
sauvegarde quel que soit le type d’authentification tierce. Si le périphérique WatchGuard ne parvient pas à
se connecter au serveur d’authentification principal après trois tentatives, le serveur principal est marqué
comme inactif et un message d’alarme est généré. Le périphérique se connecte alors au serveur
d’authentification de sauvegarde.
Si le périphérique ne parvient pas à se connecter au serveur d’authentification de sauvegarde, il essaie à
nouveau de se connecter au serveur d’authentification principal après dix minutes. Une fois le délai
d’inactivité écoulé, le serveur inactif est marqué comme actif.
User Guide
307
Authentification
Configurer Firebox en tant que serveur
d’authentification
Si vous n’utilisez pas de serveur d’authentification tierce, vous pouvez utiliser Firebox en tant que serveur
d’authentification. Cette procédure divise votre société en groupes et utilisateurs pour l’authentification.
Lorsque vous attribuez des utilisateurs à des groupes, assurez-vous de les associer par leurs tâches et par les
informations qu’ils utilisent. Par exemple, vous pouvez disposer d’un groupe de comptabilité, de marketing,
ainsi que d’un groupe de recherche et développement. Vous pouvez également avoir un groupe de
nouveaux employés doté d’un accès contrôlé à Internet.
Quand vous créez un groupe, vous définissez la procédure d’authentification des utilisateurs, le type de
système et les informations auxquelles ils ont accès. Un utilisateur peut être un réseau ou un ordinateur. Si
votre société change, vous pouvez ajouter ou supprimer des utilisateurs de vos groupes.
Le serveur d’authentification Firebox est activé par défaut. Aucune action n’est requise pour l’activer avant
d’ajouter des utilisateurs et des groupes.
Types d’authentification Firebox
Vous pouvez configurer Firebox afin d’authentifier des utilisateurs pour quatre types différents
d’authentification :
n
n
n
n
Pare-feu authentification
Connexions Mobile VPN with PPTP
Configurer Firebox pour Mobile VPN with IPSec
Connexions Mobile VPN with SSL
Lorsque l’authentification aboutit, Firebox relie les éléments suivants :
n
n
n
n
Nom d’utilisateur
Groupe(s) d’utilisateurs Firebox dont fait partie l’utilisateur
Adresse IP de l’ordinateur utilisé pour s’authentifier
Adresse IP virtuelle de l’ordinateur utilisé pour se connecter à Mobile VPN
Pare-feu authentification
Vous créez des comptes d’utilisateur et des groupes pour permettre à vos utilisateurs de s’authentifier.
Lorsqu’un utilisateur s’authentifie sur Firebox, les informations d’identification de l’utilisateur et l’adresse IP
de son ordinateur sont utilisées pour vérifier si une stratégie s’applique au trafic en provenance ou à
destination de cet ordinateur.
Pour créer un compte d’utilisateur sur Firebox :
1. Définir un nouvel utilisateur pour l’authentification sur Firebox.
2. Définir un nouveau groupe d’authentification sur Firebox et mettez le nouvel utilisateur dans ce
groupe.
308
WatchGuard System Manager
Authentification
3. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de
noms d’utilisateurs ou de groupes de Firebox.
Cette stratégie s’applique uniquement si un paquet provient de ou est destiné à l’adresse IP de
l’utilisateur authentifié.
Pour s’authentifier à partir d’une connexion HTTPS à Firebox via le port 4100 :
1. À l’aide de votre navigateur, accédez à :
https://<IP address of a Firebox interface>:4100/
2. Entrez les Nom d’utilisateur et Mot de passe.
3. Sélectionnez le Domaine dans la liste déroulante.
Ce champ apparaît uniquement si vous avez le choix entre plusieurs domaines.
4. Cliquez sur Connexion.
Si les informations d’identification sont valides, l’utilisateur est authentifié.
Connexions Mobile VPN with PPTP
Lorsque Firebox est activé avec une connexion Mobile VPN with PPTP, les utilisateurs inclus dans le groupe
Mobile VPN with PPTP peuvent utiliser la fonctionnalité PPTP intégrée à leur système d’exploitation pour
établir une connexion PPTP au périphérique.
Étant donné que Firebox autorise la connexion PPTP de n’importe quel utilisateur de Firebox qui fournit des
informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions
PPTP qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via PPTP. Vous
pouvez aussi ajouter un groupe ou un utilisateur à une stratégie qui limite l’accès aux ressources derrière
Firebox. Firebox crée un groupe prédéfini appelé Utilisateurs PPTP à cette fin.
Pour configurer une connexion Mobile VPN with PPTP :
1. Dans Policy Manager, sélectionnez VPN > Mobile VPN > PPTP.
2. Activez la case à cocher Activer Mobile VPN with PPTP.
3. Assurez-vous que la case à cocher Utiliser l’authentification RADIUS pour authentifier les
utilisateurs Mobile VPN with PPTP est désactivée. Si cette case est activée, le serveur
d’authentification RADIUS authentifie la session PPTP. Quand vous désactivez cette case, c’est
Firebox qui authentifie la session PPTP.
Firebox vérifie que le nom d’utilisateur et le mot de passe entrés par l’utilisateur dans la boîte de
User Guide
309
Authentification
dialogue de la connexion VPN correspondent dans la base de données des utilisateurs de Firebox
aux informations d’identification d’un membre du groupe des utilisateurs PPTP.
Si les informations d’identification fournies correspondent à un compte de la base de données des utilisateurs
de Firebox, l’utilisateur est authentifié pour une session PPTP.
4. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de
noms d’utilisateurs ou de groupes de Firebox.
Firebox ne consulte pas cette stratégie, sauf si le trafic provient ou est à destination de l’adresse IP de
l’utilisateur authentifié.
Connexions Mobile VPN with IPSec
Quand vous configurez votre périphérique WatchGuard pour héberger des sessions Mobile VPN with IPSec,
commencez par créer des stratégies sur le périphérique, puis utilisez le client Mobile VPN with IPSec pour
autoriser les utilisateurs à accéder au réseau. Une fois le périphérique WatchGuard configuré, chaque
ordinateur client doit être configuré avec un logiciel client Mobile VPN with IPSec.
Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si
les informations d’identification utilisées pour l’authentification correspondent à une entrée de la base de
données des utilisateurs de Firebox et si l’utilisateur fait partie d’un groupe Mobile VPN que vous avez créé,
la session Mobile VPN est authentifiée.
Pour configurer l’authentification à Mobile VPN with IPSec :
1. Configurer une connexion Mobile VPN with IPSec.
2. Installer le logiciel client Mobile VPN with IPSec.
Connexions Mobile VPN with SSL
Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with SSL. Lorsque Firebox est
configuré avec une connexion Mobile VPN with SSL, les utilisateurs inclus dans le groupe Mobile VPN with
SSL peuvent installer et utiliser le client Mobile VPN with SSL pour établir une connexion SSL.
Étant donné que Firebox autorise la connexion SSL de n’importe quel utilisateur de Firebox qui fournit des
informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions
SSL VPN qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via VPN SSL.
Vous pouvez également ajouter ces utilisateurs à un groupe d’utilisateurs de Firebox et élaborer une
stratégie qui autorise le trafic provenant uniquement de ce groupe. Firebox crée un groupe prédéfini
appelé Utilisateurs SSLVPN à cette fin.
Pour configurer une connexion Mobile VPN with SSL :
1. Dans Policy Manager, sélectionnez VPN > Mobile VPN > SSL.
La boîte de dialogue Configuration Mobile VPN with SSL apparaît.
2. Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL.
Définir un nouvel utilisateur pour l’authentification sur Firebox
1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
310
WatchGuard System Manager
Authentification
2. Dans l’onglet Firebox des Serveurs d’authentification boîte de dialogue, cliquez sur Ajouter sous la
liste Utilisateurs.
La boîte de dialogue Configuration d’utilisateur Firebox s’affiche.
User Guide
311
Authentification
3. Entrez le nom et (facultatif) une description du nouvel utilisateur.
4. Entrez et confirmez le mot de passe que la personne devra utiliser pour s’authentifier.
Note Quand vous tapez ce mot de passe, les caractères sont masqués et ils
n’apparaissent plus en texte simple. Si vous oubliez le mot de passe, vous devez en
définir un nouveau.
5. Dans le champ Délai d’expiration de la session, définissez la durée maximale durant laquelle
l’utilisateur peut envoyer du trafic au réseau externe.
Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur
maximale est 365 jours.
6. Dans le champ Délai d’inactivité, définissez la durée durant laquelle l’utilisateur peut rester
authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe).
Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur
maximale est 365 jours.
7. Pour ajouter un utilisateur à un groupe d’authentification Firebox, sélectionnez le nom de
l’utilisateur dans la liste Disponible.
8. Cliquez sur
pour déplacer le nom dans la liste Membre.
Vous pouvez également double-cliquer sur le nom d’utilisateur dans la liste Disponible.
L’utilisateur est ajouté à la liste des utilisateurs. Vous pouvez alors ajouter d’autres utilisateurs.
9. Pour fermer la boîte de dialogue Configuration d’utilisateur Firebox, cliquez sur OK.
L’onglet Utilisateurs de Firebox s’affiche avec une liste des nouveaux utilisateurs.
312
WatchGuard System Manager
Authentification
Définir un nouveau groupe d’authentification sur Firebox
1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
2. Sélectionnez l’onglet Firebox.
3. Cliquez sur Ajouter en dessous de la liste Groupes d’utilisateurs.
La boîte de dialogue Configuration de groupe Firebox s’affiche.
4. Tapez le nom du groupe.
5. (Facultatif) Entrez une description du groupe.
6. Pour ajouter un utilisateur au groupe, sélectionnez le nom de l’utilisateur dans la liste Disponible.
Cliquez sur
pour déplacer le nom dans la liste Membre.
Vous pouvez aussi double-cliquer sur le nom d’utilisateur dans la liste Disponible.
7. Après avoir ajouté tous les utilisateurs nécessaires au groupe, cliquez sur OK.
Vous pouvez à présent configurer les stratégies et l’authentification de ces utilisateurs et groupes, selon la
procédure décrite à la section Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 335.
Configurer l’authentification sur le serveur RADIUS
Le service RADIUS (Remote Authentication Dial-In User Service) permet d’authentifier les utilisateurs locaux
et distants sur un réseau d’entreprise. Il s’agit d’un système client/serveur qui regroupe dans une base de
données centrale les informations relatives à l’authentification des utilisateurs, des serveurs d’accès
distants, des passerelles VPN et autres ressources.
Pour plus d'informations sur l'authentification sur RADIUS , voir Fonctionnement de l’authentification sur le
serveur RADIUS à la page 316.
User Guide
313
Authentification
Clé d’authentification
Les messages d’authentification en provenance et à destination du serveur RADIUS utilisent toujours une
clé d’authentification, et non un mot de passe. Ainsi, cette clé d’authentification, ou secret partagé doit être
identique sur le client et sur le serveur RADIUS. Sans cette clé, il n’y a aucune communication entre le client
et le serveur.
Méthodes d’authentification sur RADIUS
Pour les authentifications sur le Web et les authentifications Mobile VPN with IPSec ou Mobile VPN with
SSL, RADIUS prend en charge uniquement l’authentification PAP.
Pour les authentifications sur PPTP, RADIUS prend en charge uniquement MSCHAPv2 (Microsoft ChallengeHandshake Authentication Protocol version 2).
Avant de commencer
Avant de configurer le périphérique WatchGuard pour utiliser votre serveur d’authentification RADIUS,
vous devez disposer des informations suivantes :
n
n
n
n
Serveur RADIUS principal – adresse IP et port RADIUS
Serveur RADIUS secondaire (facultatif) – adresse IP et port RADIUS
Secret partagé – Mot de passe qui respecte la casse, identique sur le périphérique WatchGuard et le
serveur RADIUS
Méthodes d’authentification – Configurez votre serveur RADIUS pour qu’il autorise la méthode
d’authentification utilisée par le périphérique WatchGuard : PAP ou MSCHAP v2
Utiliser le serveur d’authentification RADIUS avec le
périphérique WatchGuard
Pour utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard, il faut :
n
n
n
Ajouter l’adresse IP du périphérique WatchGuard sur le serveur RADIUS selon la procédure décrite
dans la documentation remise par votre fournisseur RADIUS.
Activer et spécifier le serveur RADIUS dans la configuration du périphérique WatchGuard.
Ajouter les noms d’utilisateurs ou les noms de groupes RADIUS à vos stratégies.
Pour activer et spécifier le ou les serveurs RADIUS dans la configuration :
Dans Policy Manager :
1. Cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet Serveur RADIUS.
314
WatchGuard System Manager
Authentification
3. Pour activer le serveur RADIUS et les champs de cette boîte de dialogue, sélectionnez la case à
cocher Activer le serveur RADIUS.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur RADIUS.
5. Dans le champ Port, vérifiez que le numéro de port utilisé par RADIUS pour l’authentification apparaît.
La valeur par défaut est 1812. Les serveurs RADIUS plus anciens peuvent utiliser le port 1645.
6. Dans la zone de texte secret , entrez le secret partagé entre le périphérique WatchGuard et le
serveur RADIUS.
Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur.
7. Dans la zone de texte Confirmation du zone de texte, entrez à nouveau le secret partagé.
8. Entrez ou sélectionnez la valeur de délai d’attente.
La valeur du délai d’attente correspond à la durée pendant laquelle le périphérique WatchGuard
attend une réponse du serveur d’authentification avant de réessayer de se connecter.
9. Dans la zone de texte Tentatives de connexion, entrez ou sélectionnez le nombre de tentatives de
connexion du périphérique WatchGuard auprès du serveur d’authentification (en fonction du délai
spécifié ci-dessus) avant qu’il ne signale un échec de tentative d’authentification.
10. Dans la zone de texte Attribut de groupe, entrez ou sélectionnez la valeur d’un attribut. L’attribut de
groupe par défaut est FilterID, qui est l’attribut RADIUS numéro 11.
User Guide
315
Authentification
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations
relatives au groupe d’utilisateurs. Vous devez configurer le serveur RADIUS pour qu’il intègre la
chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique
WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors
utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID
au nom de groupe configuré dans ses stratégies.
11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
pour modifier la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez l’onglet Paramètres du serveur
secondaire et sélectionnez Activer un serveur RADIUS secondaire. .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur RADIUS de sauvegarde et sur le serveur principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307.
14. Cliquez sur OK.
15. Enregistrer le fichier de configuration.
Fonctionnement de l’authentification sur le serveur RADIUS
RADIUS est un protocole initialement conçu pour authentifier les utilisateurs distants d’un serveur avec
accès par modem. Il sert aujourd’hui dans un large éventail de scénarios d’authentification. RADIUS est un
protocole client-serveur dont Firebox est le client et le serveur RADIUS le serveur. (On appelle parfois
Serveur d’accès au réseau ou NAS le client RADIUS.) Lorsqu’un utilisateur essaie de s’authentifier, Firebox
envoie un message au serveur RADIUS. Si celui-ci est correctement configuré avec Firebox pour client,
RADIUS renvoie un message d’autorisation ou de refus à Firebox (le serveur d’accès au réseau).
Quand Firebox utilise RADIUS pour une tentative d’authentification :
1. L’utilisateur essaie de s’authentifier, soit par une connexion HTTPS du navigateur à Firebox via le port
4100, soit par le biais d’une connexion utilisant Mobile VPN with PPTP ou Mobile VPN with IPSec.
Firebox lit le nom d’utilisateur et le mot de passe.
2. Firebox crée un message appelé message de demande d’accès et l’envoie au serveur RADIUS.
Firebox utilise le secret partagé de RADIUS dans le message. Le mot de passe est toujours chiffré
dans le message de demande d’accès.
3. Le serveur RADIUS s’assure que la demande d’accès provient d’un client reconnu (Firebox). Si le
serveur RADIUS n’est pas configuré pour accepter Firebox comme client, il ignore le message de
demande d’accès et ne répond pas.
4. Si Firebox est un client reconnu par le serveur RADIUS et que le secret partagé est correct, le
serveur étudie la méthode d’authentification demandée dans le message.
316
WatchGuard System Manager
Authentification
5. Sila demande d’accès utilise une méthode d’authentification autorisée,le serveur RADIUS trouve les
informationsd’identification dansle message et recherche une correspondance dans labase de
donnéesdes utilisateurs.Si le nom d’utilisateur et le mot de passe correspondentà une entrée de la base
de données, le serveur peutobtenir desinformations supplémentairessur l’utilisateur dans labase de
données(autorisation d’accèsdistant, appartenance à desgroupes, heuresde connexion,etc.).
6. Le serveur RADIUS vérifie si sa configuration comporte une stratégie d’accès ou un profil
correspondant à toutes les informations dont il dispose sur l’utilisateur. Si cette stratégie existe, le
serveur envoie une réponse.
7. S’il manque une seule condition, ou si le serveur ne trouve pas de stratégie correspondante, il
envoie un message de refus d’accès indiquant l’échec de l’authentification. La transaction avec
RADIUS s’achève et l’accès est refusé à l’utilisateur.
8. Si le message de demande d’accès répond à toutes les conditions précitées, RADIUS envoie un
message d’autorisation d’accès à Firebox.
9. Le serveur RADIUS utilise le secret partagé à chaque réponse qu’il envoie. Si le secret partagé ne
correspond pas, Firebox rejette la réponse de RADIUS.
Pour voir les messages de diagnostic en cas d’authentification, Définir le niveau du journal de
diagnostic et modifier le niveau du journal dans la catégorie Authentification.
10. Firebox lit la valeur de l’attribut FilterID du message. Il connecte le nom d’utilisateur ayant cet
attribut FilterID pour mettre l’utilisateur dans un groupe RADIUS.
11. Le serveur RADIUS peut inclure une grande quantité d’informations supplémentaires dans le
message d’autorisation d’accès. Firebox ignore la plupart de ces informations, comme les protocoles
que l’utilisateur est autorisé à utiliser (PPP ou SLIP, par exemple), les ports auxquels il peut accéder,
les délais d’inactivité et d’autres attributs.
12. Le seul attribut qui intéresse Firebox dans l’autorisation d’accès, c’est l’attribut FilterID (attribut
RADIUS numéro 11). FilterID est une chaîne de texte que vous configurez pour que le serveur
RADIUS l’intègre dans le message d’autorisation d’accès. Firebox a besoin de cet attribut pour
associer l’utilisateur à un groupe RADIUS.
Pour plus d’informations sur les groupes RADIUS, voir la section suivante.
À propos des groupes RADIUS
Lorsque vous configurez l’authentification sur RADIUS, vous pouvez définir le numéro d’attribut de groupe.
Fireware XTM lit ce numéro dans Policy Manager pour déterminer l’attribut RADIUS qui contient les
informations de groupe. Fireware XTM reconnaît uniquement l’attribut RADIUS numéro 11, FilterID, en tant
qu’attribut de groupe. Lorsque vous configurez le serveur RADIUS, ne modifiez pas la valeur par défaut du
numéro d’attribut de groupe, 11.
Lorsque Firebox reçoit de RADIUS le message d’autorisation d’accès, il lit la valeur de l’attribut FilterID et
utilise cette valeur pour associer l’utilisateur à un groupe RADIUS. (Vous devez configurer manuellement
FilterID dans votre configuration RADIUS.) Ainsi, la valeur de l’attribut FilterID est le nom du groupe RADIUS
dans lequel Firebox place l’utilisateur.
Les groupes RADIUS que vous utilisez dans Policy Manager sont différents des groupes Windows définis
dans votre contrôleur de domaine, ou de tous les groupes pouvant exister dans votre base de données des
utilisateurs du domaine. Un groupe RADIUS est uniquement un groupe d’utilisateurs logique que Firebox
User Guide
317
Authentification
utilise. Assurez-vous de bien sélectionner la chaîne de texte FilterID. Vous pouvez faire en sorte que la
valeur de FilterID corresponde au nom d’un groupe local ou d’un groupe de domaine de votre organisation,
mais ce n’est pas indispensable. Nous vous recommandons d’utiliser un nom représentatif qui vous
permette de vous rappeler comment vous avez défini les groupes d’utilisateurs.
Utilisation pratique des groupes RADIUS
Si votre organisation comporte beaucoup d’utilisateurs à authentifier, vous pouvez simplifier la gestion de
vos stratégies Firebox en configurant RADIUS pour qu’il envoie la même valeur FilterID pour un grand
nombre d’utilisateurs. Firebox rassemble ces utilisateurs dans un même groupe logique afin que vous
puissiez administrer facilement l’accès des utilisateurs. Lorsque vous établissez une stratégie dans Policy
Manager qui autorise uniquement les utilisateurs authentifiés à accéder à une ressource du réseau, utilisez
le nom de groupe RADIUS au lieu d’ajouter une liste de plusieurs utilisateurs.
Par exemple, quand Marie s’authentifie, la chaîne FilterID qu’envoie RADIUS est Ventes. Firebox met donc
Marie dans le groupe RADIUS Ventesaussi longtemps qu’elle reste authentifiée. Si Jean et Alice
s’authentifient par la suite, et que RADIUS donne la même valeur Ventes à FilterID dans les messages
d’autorisation d’accès de Jean et d’Alice, alors Marie, Jean et Alice font tous partie du groupe Ventes. Vous
pouvez établir une stratégie dans Policy Manager qui permet au groupe Ventes d’accéder à une ressource.
Vous pouvez configurer RADIUS pour qu’il renvoie une autre valeur de FilterID, par exemple Support
informatique, pour les membres de votre organisation de support interne. Vous pouvez ensuite établir une
autre stratégie qui permet aux utilisateurs du Support informatique d’accéder à des ressources.
Par exemple, vous pouvez autoriser le groupe Ventes à accéder à Internet via une stratégie HTTP filtrée.
Ensuite, vous pouvez filtrer leur accès au Web avec WebBlocker. Une autre stratégie de Policy Manager
peut autoriser les utilisateurs du Support informatique à accéder à Internet via une stratégie HTTP non
filtrée, afin qu’ils puissent accéder au Web sans le filtrage de WebBlocker. Utilisez le nom de groupe
RADIUS (ou les noms des utilisateurs) dans le champ De d’une stratégie pour indiquer le groupe (ou les
utilisateurs) qui peut (peuvent) utiliser cette stratégie.
Valeurs des délais d’attente et des tentatives de connexion
Il y a échec de l’authentification quand aucune réponse n’arrive du serveur RADIUS principal. Au bout de
trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire. Ce processus s’appelle
le basculement.
Note Le nombre de tentatives d’authentification est différent du nombre de tentatives de
connexion. Vous ne pouvez pas modifier le nombre de tentatives d’authentification
avant le basculement.
Firebox envoie un message de demande d’accès au premier serveur RADIUS de la liste. En l’absence de
réponse, Firebox attend le nombre de secondes défini dans la zone Délai d’attente, puis envoie une
nouvelle demande d’accès. Cela se répète autant de fois qu’indiqué dans la zone Tentative de connexion
(ou jusqu’à ce qu’il y ait une réponse valide). Si aucune réponse valide n’arrive du serveur RADIUS, ou si le
secret partagé de RADIUS ne correspond pas, Fireware XTM compte cela comme un échec de tentative
d’authentification.
318
WatchGuard System Manager
Authentification
Au bout de trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire pour une
nouvelle tentative d’authentification. Si les tentatives sur le serveur secondaire aboutissent à trois échecs
d’authentification, Fireware XTM attend dix minutes, le temps qu’un administrateur corrige le problème. Au
bout de dix minutes, Fireware XTM essaie de nouveau d’utiliser le premier serveur RADIUS.
Configurer les Authentification sur le serveur
VASCO
L’authentification sur le serveur VASCO fait appel au logiciel middleware VACMAN pour authentifier les
utilisateurs distants d’un réseau d’entreprise via un environnement de serveur RADIUS ou de serveur Web.
VASCO prend également en charge les environnements comprenant plusieurs serveurs d’authentification.
Le système de jetons à mot de passe à usage unique de VASCO vous permet d’éliminer le maillon faible de
votre infrastructure de sécurité : les mots de passe statiques.
Pour utiliser le serveur d’authentification VASCO avec le périphérique WatchGuard, il faut :
n
n
n
Ajouter l’adresse IP du périphérique WatchGuard au VACMAN Middleware Server selon la
procédure décrite dans la documentation remise par votre fournisseur VASCO.
Activer et spécifier le VACMAN Middleware Server dans la configuration du périphérique
WatchGuard.
Ajouter des noms d’utilisateurs ou des noms de groupes dans les stratégies de Policy Manager.
Les paramètres du serveur RADIUS permettent de configurer l’authentification sur un serveur VASCO. La
boîte de dialogue Serveurs d’authentification ne contient pas d’onglet distinct pour les VACMAN
Middleware Servers.
Dans Policy Manager :
1. Cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet RADIUS.
User Guide
319
Authentification
3. Pour activer le VACMAN Middleware Server et les champs de cette boîte de dialogue, sélectionnez
la case à cocher Activer le serveurRADIUS.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du VACMAN Middleware Server.
5. Dans la zone de texte Port, vérifiez que le numéro de port utilisé par VASCO pour l’authentification
apparaît. La valeur par défaut est 1812.
6. Dans la zone de textezone de texte , entrez le secret partagé entre le périphérique WatchGuard et
le VACMAN Middleware Server.
Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur.
7. Dans la zone de texte Confirmation du zone de texte, confirmez le secret partagé.
8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le
périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de
se connecter.
9. Dans la zone de texte Tentatives de connexion , entrez ou sélectionnez le nombre de tentatives de
connexion du périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale
un échec de tentative d’authentification.
10. Entrez ou sélectionnez la valeur de l’Attribut de groupe. L’attribut de groupe par défaut est FilterID,
qui est l’attribut VASCO numéro 11.
320
WatchGuard System Manager
Authentification
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations
relatives au groupe d’utilisateurs. Vous devez configurer le serveur VASCO pour qu’il intègre la
chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique
WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors
utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID
au nom de groupe configuré dans ses stratégies.
11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
pour modifier la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un VACMAN Middleware Server de sauvegarde, sélectionnez l’onglet Paramètres du
serveur secondaire et activez la case à cocher Activer un serveur RADIUS secondaire .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le VACMAN Middleware Server secondaire et sur le serveur
principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307.
14. Cliquez sur OK.
15. Enregistrer le fichier de configuration.
Configurer l’authentification SecurID
Pour utiliser l’authentification SecurID, vous devez configurer correctement les serveurs RADIUS, VASCO et
ACE/Server. Les utilisateurs doivent également disposer d’un jeton SecurID approuvé et d’un code
confidentiel. Pour plus d’informations, reportez-vous à la documentation relative à RSA SecurID.
Dans Policy Manager :
1. Cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet SecurID.
User Guide
321
Authentification
3. Cochez Activer SecurID serveur pour activer le serveur SecurID et les champs de cette boîte de
dialogue.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur SecurID.
5. Cliquez sur les flèches haut et bas du champ Port pour définir le numéro de port à utiliser pour
l’authentification sur SecurID.
La valeur par défaut est 1812.
6. Dans la zone de texte , entrez le secret partagé entre le périphérique WatchGuard et le serveur
SecurID. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le
serveur.
7. Dans la zone de texte Confirmer , confirmez le secret partagé.
8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le
périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de
se connecter.
9. Dans la Nouvelle tentative , entrez ou sélectionnez le nombre de tentatives de connexion du
périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale un échec de
tentative d’authentification.
10. Dans la zone de texte Attribut de groupe , entrez ou sélectionnez la valeur d’un attribut. Nous vous
recommandons de ne pas modifier cette valeur.
322
WatchGuard System Manager
Authentification
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations
relatives au groupe d’utilisateurs. Lorsque le serveur SecurID envoie au périphérique WatchGuard le
message qu’un utilisateur est authentifié, il envoie également une chaîne de groupe d’utilisateurs.
Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le
contrôle d’accès.
11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
contiguë pour modifier la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas marqué comme de nouveau actif une fois le délai d’inactivité écoulé.
12. Pour ajouter un serveur SecurID de sauvegarde, sélectionnez l’onglet Paramètres du serveur de
sauvegarde et sélectionnez Activer un serveur SecurID secondaire. serveur .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur SecurID de sauvegarde et sur le serveur principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307.
14. Cliquez sur OK..
15. Enregistrer le fichier de configuration.
Configurer l’Active Directory Authentication
Active Directory est l’application Microsoft Windows d’une structure d’annuaire LDAP. Il vous permet
d’adapter le concept de hiérarchie de domaine utilisé pour le DNS au niveau de l’organisation. Il conserve
les informations et les paramètres des organisations dans une base de données centrale et facile d’accès.
Le serveur Active Directory Authentication permet aux utilisateurs de s’authentifier sur un périphérique
WatchGuard à l’aide de leurs informations d’identification réseau actuelles. Vous devez configurer le
périphérique et l’Active Directory Server.
Avant de commencer, vérifiez que les utilisateurs peuvent effectivement s’authentifier sur l’Active
Directory Server.
Dans Policy Manager :
1. Cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet Active Directory.
User Guide
323
Authentification
3. Sélectionnez l’option Activer Active Directory serveur .
4. Dans le champ Adresse IP, entrez l’adresse IP de l’Active Directory Server principal.
L’Active Directory Server peut être placé dans n’importe quelle interface du périphérique
WatchGuard. Vous pouvez également configurer le périphérique pour qu’il utilise un Active
Directory Server disponible via un tunnel VPN.
5. Dans la zone de texte Port , entrez ou sélectionnez le numéro de port TCP du périphérique à utiliser
pour la connexion à l’Active Directory Server. Le numéro de port par défaut est 389.
Si votre Active Directory Server est un serveur de catalogue global, il est conseillé de modifier le
port par défaut. Pour plus d’informations, voir Changer le port par défaut de l’Active Directory Server
à la page 327.
6. Dans la zone de texte Base de recherche, entrez le point de départ de la recherche dans le
répertoire.
Le format standard du paramètre de base de recherche est le suivant : ou=<name of organizational
unit>, dc=<first part of the distinguished server name>, dc=<any part of the distinguished server
name that appears after the dot>.
Définissez une base de recherche pour appliquer des limites aux répertoires du serveur
d’authentification que le périphérique WatchGuard explore pour établir une correspondance
d’authentification. Il est recommandé de définir la racine du domaine comme base de recherche.
Cela vous permet de trouver tous les utilisateurs et tous les groupes auxquels ceux-ci appartiennent.
Pour plus d’informations, voir Trouver votre base de recherche Active Directory à la page 326.
324
WatchGuard System Manager
Authentification
7. Dans la zone de texte Chaîne de groupe, entrez la chaîne d’attributs utilisée pour conserver des
informations de groupe d’utilisateurs sur l’Active Directory Server. Si vous ne modifiez pas le
schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« MembreDe »).
8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique
d’une opération de recherche.
Il n’est pas nécessaire d’entrer une valeur dans cette zone de texte si vous conservez l’attribut de
connexion sAMAccountName . Si vous modifiez l’attribut de connexion, vous devez ajouter un champ
Nom unique de l’utilisateur qui effectue la recherche à votre configuration. Vous pouvez entrer un
nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory.
Cependant, un nom unique d’utilisateur plus faible doté uniquement du privilège de recherche est
généralement suffisant.
9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe
associé au nom unique d’une opération de recherche.
10. Dans Attribut de connexion zone de texte, entrez un attribut de connexion Active Directory à
utiliser pour l’authentification.
Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L’attribut de
connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom
unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la
recherche peuvent être vides.
11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
contiguë pour définir la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un Active Directory Server de sauvegarde, sélectionnez l’onglet Paramètres du
serveur de sauvegarde et activez la case à cocher Activer un serveur Active Directory secondaire.
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur de sauvegarde Active Directory que sur le serveur
principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307.
14. Cliquez sur OK..
15. Enregistrer le fichier de configuration.
À propos des paramètres Active Directory facultatifs
Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active
Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela
vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions
de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant
donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous
n’êtes pas limité aux paramètres globaux de Policy Manager. Vous pouvez définir ces paramètres pour
chaque utilisateur individuel.
Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 331.
User Guide
325
Authentification
Trouver votre base de recherche Active Directory
Lorsque vous configurez votre périphérique WatchGuard pour authentifier les utilisateurs sur votre Active
Directory Server, vous ajoutez une base de recherche. La base de recherche est le point de départ des
recherches d’entrées de comptes d’utilisateur dans la structure hiérarchique d’Active Directory. Cela peut
contribuer à accélérer la procédure d’authentification.
Avant de commencer, il faut qu’un Active Directory Server opérationnel contienne les informations sur les
comptes de tous les utilisateurs dont vous voulez configurer l’authentification sur le périphérique
WatchGuard.
Sur l’Active Directory Server :
1. Sélectionnez Démarrer > Outils d’administration > Utilisateurs et ordinateurs Active Directory.
2. Dans l’arborescence Utilisateurs et ordinateurs Active Directory, cherchez et sélectionnez votre
nom de domaine.
3. Déroulez l’arborescence pour trouver le chemin de votre hiérarchie Active Directory.
Les composants du nom de domaine sont au format dc=composant du nom de domaine. Ils sont
ajoutés à la fin de la chaîne de la base de recherche et sont également délimités par des virgules.
Pour chaque niveau de votre nom de domaine, vous devez inclure un composant de nom de
domaine séparé dans votre base de recherche Active Directory. Par exemple, si votre nom de
domaine est préfixe.exemple.com, le composant de nom de domaine de votre base de recherche
est DC=préfixe,DC=exemple,DC=com .
Ainsi, si votre nom de domaine apparaît sous cette forme dans l’arborescence après que vous l’ayez
développé :
La chaîne de base de recherche à ajouter à la configuration Firebox est :
DC=kunstlerandsons,DC=com
Les chaînes de recherche ne respectent pas la casse. Lorsque vous entrez la chaîne de recherche, vous
pouvez utiliser des lettres majuscules ou minuscules.
326
WatchGuard System Manager
Authentification
Champs Nom unique de l’utilisateur effectuant la recherche et le Mot
de passe de l’utilisateur effectuant la recherche
Vous ne devez renseigner ces champs que si vous sélectionnez une option d’Attribut de connexion
différente de la valeur par défaut (sAMAccountName). La plupart des organisations utilisant Active
Directory ne changent pas ce paramètre. Lorsque vous laissez la valeur sAMAccountName par défaut de ce
champ, les utilisateurs donnent leur nom de connexion Active Directory habituel pour nom d’utilisateur
quand ils s’authentifient. C’est le nom qui apparaît dans la zone de texte Nom de connexion de l’utilisateur
de l’onglet Compte quand vous modifiez un compte d’utilisateur dans Utilisateurs et ordinateurs Active
Directory.
Si vous utilisez une valeur différente pour l’Attribut de connexion, les utilisateurs qui essaient de
s’authentifier donnent une forme différente de leur nom d’utilisateur. Dans ce cas, vous devez ajouter les
Informations d’identification de l’utilisateur effectuant la recherche à votre configuration Firebox.
Changer le port par défaut de l’Active Directory Server
Si votre périphérique WatchGuard est configuré pour authentifier les utilisateurs à partir d’un serveur
d’authentification Active Directory, il se connecte à l’Active Directory Server via le port LDAP standard par
défaut, à savoir le port TCP 389. Si les serveurs Active Directory Server que vous ajoutez à la configuration
de votre périphérique WatchGuard sont définis comme des serveurs de catalogue global Active Directory,
vous pouvez paramétrer le périphérique pour qu’il utilise le port de catalogue global – le port TCP 3268 –
pour se connecter au serveur Active Directory.
Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations sur tous les
objets figurant dans la forêt. Cela permet aux applications d’effectuer des recherches dans Active Directory
sans avoir à se référer aux différents contrôleurs de domaine qui stockent les données demandées. Si vous
n’avez qu’un seul domaine, Microsoft recommande de configurer tous les contrôleurs de domaine en tant
que serveurs de catalogue global.
Si l’Active Directory Server principal ou secondaire que vous utilisez dans la configuration de votre
périphérique WatchGuard est également configuré comme serveur de catalogue global, vous pouvez
modifier le port utilisé par le périphérique pour se connecter au serveur Active Directory afin d’accélérer
les demandes d’authentification. Toutefois, il n’est pas conseillé de créer des serveurs de catalogue global
Active Directory supplémentaires uniquement pour accélérer les demandes d’authentification. Les
répétitions entre les différents serveurs de catalogue peuvent occuper une grande partie de la bande
passante de votre réseau.
Configurer Firebox pour l’utilisation du port de catalogue global
1. Dans Policy Manager, cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
2.
3.
4.
5.
Sélectionnez l’onglet Active Directory.
Dans la zone de texte Port, effacez le texte et entrez 3268.
Cliquez sur OK.
Enregistrer le fichier de configuration.
User Guide
327
Authentification
Savoir si l’Active Directory Server est configuré en tant que serveur de
catalogue global
1. Sélectionnez Démarrer > Outils d’administration > Sites et services Active Directory.
2. Déroulez l’arborescence Sites et repérez le nom de votre Active Directory Server.
3. Cliquez avec le bouton droit sur les Paramètres NTDS de votre Active Directory Server et
sélectionnez Propriétés.
Si la case à cocher Catalogue global est activée, l’Active Directory Server est configuré pour être un
catalogue global.
Configurer l’authentification LDAP
Vous pouvez utiliser un serveur d’authentification LDAP (Lightweight Directory Access Protocol) pour
authentifier vos utilisateurs sur le périphérique WatchGuard. LDAP est un protocole standard ouvert pour
utiliser les services d’annuaire en ligne. Il fonctionne avec des protocoles de transport Internet, tels que
TCP. Avant de configurer le périphérique WatchGuard pour une authentification LDAP, assurez-vous de
consulter la documentation de votre fournisseur de protocole LDAP pour vérifier que votre installation
prend en charge l’attribut memberOf (« membre de »), ou équivalent.
Dans Policy Manager :
1. Cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet LDAP .
328
WatchGuard System Manager
Authentification
3. Cochez la case Activer LDAP serveur pour activer le serveur LDAP et les champs de cette boîte de
dialogue.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur LDAP principal que le périphérique
WatchGuard doit contacter avec des requêtes d’authentification.
Le serveur LDAP peut être placé dans n’importe quelle interface de périphérique WatchGuard.
Vous pouvez aussi configurer votre périphérique pour qu’il utilise un serveur LDAP sur réseau
distant via un tunnel VPN.
5. Dans la zone de texte Port, sélectionnez le numéro de port TCP que le périphérique WatchGuard
doit utiliser pour se connecter au serveur LDAP. Le numéro de port par défaut est 389.
LDAP n’est pas pris en charge sur TLS.
6. Dans la zone de texte Base de recherche , entrez les paramètres de la base de recherche.
Le format standard est le suivant : ou=unité d’organisation,dc=première partie du nom unique du
serveur,dc=une partie du nom unique du serveur qui apparaît après le point.
Définissez une base de recherche pour appliquer des limites aux répertoires du serveur
d’authentification que le périphérique WatchGuard explore pour établir une correspondance
d’authentification. Si, par exemple, vos comptes d’utilisateur sont dans une unité d’organisation que
vous nommez comptes et si votre nom de domaine est exemple.com, votre base de recherche est :
ou=comptes,dc=exemple,dc=com
7. Dans la zone de texte Chaîne de groupe , entrez l’attribut de la chaîne de groupe.
Cette chaîne d’attributs conserve des informations sur le groupe d’utilisateurs sur le serveur LDAP.
Sur beaucoup de serveurs LDAP, la chaîne de groupe par défaut est uniqueMember
(Membreunique), tandis que sur les autres serveurs, c’est member (membre).
User Guide
329
Authentification
8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique
d’une opération de recherche.
Vous pouvez ajouter un nom unique, comme Administrateur, doté du privilège de recherche dans
LDAP/Active Directory. Certains administrateurs créent un nouvel utilisateur doté uniquement de
privilèges de recherche afin de l’utiliser dans ce champ.
9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe
associé au nom unique d’une opération de recherche.
10. Dans la zone de texte Attribut de connexion, entrez l’attribut de connexion LDAP à utiliser pour
l’authentification.
Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP. L’attribut de connexion
par défaut est uid. Si vous utilisez uid, les champs Nom unique de l’utilisateur qui effectue la
recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides.
11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
contiguë pour définir la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un serveur LDAP de sauvegarde, sélectionnez l’onglet Paramètres du serveur de
sauvegarde et activez la case à cocher Activer un serveur LDAP secondaire .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur LDAP de sauvegarde que sur le serveur principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307.
14. Cliquez sur OK..
15. Enregistrer le fichier de configuration.
À propos des paramètres LDAP facultatifs
Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active
Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela
vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions
de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant
donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous
n’êtes pas limité aux paramètres globaux de Policy Manager. Vous pouvez définir ces paramètres pour
chaque utilisateur individuel.
Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 331.
330
WatchGuard System Manager
Authentification
Utilisez les paramètres Active Directory ou LDAP
facultatifs
Lorsque Fireware XTM contacte le serveur d’annuaire (Active Directory ou LDAP) pour rechercher des
informations, il peut obtenir des informations supplémentaires dans les listes d’attributs de la réponse à la
recherche envoyée par le serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des
paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des
adresses Mobile VPN. Étant donné que les données proviennent d’attributs LDAP associés à des objets
d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de
vous limiter aux paramètres globaux de Policy Manager.
Avant de commencer
Pour utiliser ces paramètres facultatifs, vous devez :
n
n
n
développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ;
rendre les nouveaux attributs disponibles pour la classe d’objets à laquelle les comptes d’utilisateurs
appartiennent ;
donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser.
veiller à planifier et tester soigneusement votre schéma d’annuaire avant de l’étendre à vos annuaires. Les
ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web
Microsoft afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un
schéma d’Active Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le
schéma pour d’autres annuaires.
Spécifier Paramètres Active Directory ou LDAP facultatifs
Pour spécifier les attributs supplémentaires que Fireware XTM recherche dans la réponse du serveur
d’annuaire :
1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
User Guide
331
Authentification
2. Cliquez sur l’onglet LDAP ou Active Directory et vérifiez que le serveur est activé.
332
WatchGuard System Manager
Authentification
3. Cliquez sur Paramètres facultatifs.
Les Paramètres facultatifs du serveur boîte de dialogue s’affichent.
4. Entrez les attributs à inclure dans la recherche dans les champs de chaîne.
Chaîne d’attributs IP
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une adresse IP
virtuelle au client Mobile VPN. Cet attribut doit comporter une seule valeur et une adresse IP
au format décimal. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que vous
spécifiez lorsque vous créez le groupe Mobile VPN.
User Guide
333
Authentification
Si Firebox ne voit pas l’attribut IP dans la réponse à la recherche, ou si vous n’en spécifiez aucun
dans Policy Manager, il attribue au client Mobile VPN une adresse IP virtuelle à partir du pool
d’adresses IP virtuelles créé lors de la formation du groupe Mobile VPN.
Chaîne d’attributs de masque réseau
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer un masque de sousréseau à l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule
valeur et un masque de sous-réseau au format décimal.
Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas
l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans
Policy Manager.
Chaîne d’attributs DNS
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut qu’utilise Fireware XTM pour attribuer une ou plusieurs adresses
DNS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs
valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si Firebox ne
voit pas l’attribut DNS dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans
Policy Manager, il utilise les adresses WINS entrées au moment de Configurer les Serveurs
WINS et DNS.
Chaîne d’attributs WINS
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une ou plusieurs
adresses WINS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter
plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si
Firebox ne voit pas l’attribut WINS dans la réponse à la recherche, ou si vous n’en spécifiez
aucun dans Policy Manager, il utilise les adresses WINS entrées au moment de Configurer les
Serveurs WINS et DNS.
Chaîne d’attributs de la durée du bail
Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour contrôler la durée maximale
pendant laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois
cette durée expirée, l’utilisateur est supprimé de la liste d’utilisateurs authentifiés. Cet attribut
doit comporter une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un
nombre décimal de secondes. Il interprète zéro comme jamais inactif.
Chaîne d’attributs de délai d’inactivité
Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu.
334
WatchGuard System Manager
Authentification
Entrez le nom de l’attribut que Fireware XTM utilise pour contrôler la durée pendant laquelle
un utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne
de l’utilisateur (délai d’inactivité). En l’absence de trafic vers le périphérique pendant cette
durée, l’utilisateur est retiré de la liste d’utilisateurs authentifiés. Cet attribut doit comporter
une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un nombre décimal de
secondes. Il interprète zéro comme jamais inactif.
5. Cliquez sur OK.
Les paramètres de l’attribut sont enregistrés.
Utiliser un compte d’utilisateur local pour
l’authentification
Tous les utilisateurs peuvent s’authentifier en tant qu’ utilisateur du pare-feu, utilisateur PPTP ou utilisateur
Mobile VPN et ouvrir un tunnel PPTP ou un tunnel Mobile VPN si PPTP ou Mobile VPN est activé sur Firebox.
Cependant, une fois l’authentification ou le tunnel établi, les utilisateurs peuvent envoyer le trafic via le
tunnel VPN uniquement si une stratégie de Firebox autorise le trafic. Par exemple, un utilisateur autorisé à
utiliser uniquement Mobile VPN peut envoyer des données via un tunnel Mobile VPN. Même si le Mobile
VPN peut s’authentifier et ouvrir un tunnel PPTP, il ne pourra pas envoyer de trafic via ce tunnel PPTP.
Si vous utilisez l’Active Directory Authentication et que l’appartenance d’un utilisateur à un groupe ne
correspond pas à votre stratégie Mobile VPN, un message d’erreur signalant que le trafic déchiffré ne
correspond à aucune stratégie s’affiche. Si ce message s’affiche, vérifiez que l’utilisateur fait partie d’un
groupe dont le nom est identique à celui de votre groupe Mobile VPN.
Utiliser les utilisateurs et groupes autorisés dans
les stratégies
Vous pouvez utiliser des noms de groupe et d’utilisateur précis quand vous créez des stratégies dans Policy
Manager. Vous pouvez, par exemple, définir toutes les stratégies de sorte que seules les connexions
d’utilisateurs authentifiés soient autorisées. Vous pouvez également limiter les connexions à une stratégie à
des utilisateurs particuliers.
Le terme utilisateurs et groupes autorisés fait référence aux utilisateurs et aux groupes qui sont autorisés à
accéder aux ressources réseau.
Définir des utilisateurs et des groupes pour l’authentification Firebox
Si vous utilisez Firebox comme serveur d’authentification et souhaitez définir les utilisateurs et groupes qui
s’authentifient à Firebox, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 310
et Définir un nouveau groupe d’authentification sur Firebox à la page 313.
Définir des utilisateurs et des groupes pour l’authentification tierce
1. Créez un groupe sur votre serveur d’authentification tierce qui contienne tous les comptes
d’utilisateurs de votre système.
User Guide
335
Authentification
2. Dans Policy Manager, sélectionnez Configurer > Authentification > Utilisateurs/groupes autorisés.
La boîte de dialogue Utilisateurs et groupes autorisés s’affiche.
3. Cliquez sur Ajouter.
La boîte de dialogue Définir un nouvel utilisateur ou un nouveau groupe autorisé s’affiche.
4.
5.
6.
7.
Entrez un nom d’utilisateur ou de groupe que vous avez créé sur le serveur d’authentification.
(Facultatif) Entrez une description de l’utilisateur ou du groupe.
Sélectionnez la case d’option Groupe ou Utilisateur.
Dans la liste déroulante Serveur d’authentification, sélectionnez le type de serveur
d’authentification utilisé.
Sélectionnez RADIUS pour une authentification via un VACMAN Middleware Server ou RADIUS, ou
Tout en cas d’authentification via tout autre type de serveur.
8. Cliquez sur OK.
336
WatchGuard System Manager
Authentification
Ajouter des utilisateurs et des groupes aux définitions des stratégies
Tout utilisateur ou groupe que vous voulez utiliser dans vos définitions de stratégie doit être ajouté en tant
qu’utilisateur autorisé. Tous les utilisateurs et groupes que vous créez pour l’authentification Firebox, et
tous les utilisateurs Mobile VPN sont automatiquement ajoutés à la liste des utilisateurs et groupes autorisés
dans la boîte de dialogue Utilisateurs et groupes autorisés. Vous pouvez ajouter n’importe quel utilisateur
ou groupe provenant de serveurs d’authentification tierce à la liste des utilisateurs et des groupes autorisés
à l’aide de la procédure ci-dessus. Vous êtes alors prêt à ajouter des utilisateurs et des groupes à la
configuration de votre stratégie.
1. Dans Policy Manager, sélectionnez l’onglet Pare-feu.
2. Double-cliquez sur une stratégie.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
3. Sur l’onglet Stratégie, en dessous de la case De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
4. Cliquez sur Ajouter un utilisateur.
La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche.
5. Dans la liste déroulante Type à gauche, indiquez si l’utilisateur ou le groupe est autorisé en tant
qu’utilisateur derrière un pare-feu, utilisateur PPTP ou utilisateur VPN SSL.
Pour plus d’informations sur ces types d’authentification, voir Types d’authentification Firebox à la
page 308.
6. Dans la liste déroulante Type à droite, sélectionnez Utilisateur ou Groupe.
7. Si votre utilisateur ou groupe s’affiche dans la liste Groupes, sélectionnez-le et cliquez sur
Sélectionner.
La boîte de dialogue Ajouter une adresse s’affiche de nouveau avec l’utilisateur ou le groupe dans la zone
Membres ou adresses sélectionnées.
Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
8. Si votre utilisateur ou groupe ne s’affiche pas dans la liste de la boîte de dialogue Ajouter des
utilisateurs ou groupes autorisés, voir Définir un nouvel utilisateur pour l’authentification sur
Firebox à la page 310, Définir un nouveau groupe d’authentification sur Firebox à la page 313, ou la
procédure Définir des utilisateurs et des groupes pour l’authentification tierce précédente.
Après avoir ajouté un utilisateur ou un groupe à la configuration d’une stratégie, WatchGuard System
Manager ajoute automatiquement une stratégie d’authentification WatchGuard à la configuration Firebox.
Utilisez cette stratégie pour contrôler l’accès à la page Web du portail d’authentification.
User Guide
337
Authentification
Pour obtenir des instructions sur la manière de modifier cette stratégie, voir Utiliser l’authentification pour
restreindre le trafic entrant à la page 294.
338
WatchGuard System Manager
13
Stratégies
À propos des stratégies
La stratégie de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon
dont vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les
paquets qui ne sont pas spécifiquement autorisés. Lorsque vous ajoutez une stratégie à votre fichier de
configuration Firebox, vous ajoutez un jeu de règles qui ordonnent à la Firebox d'autoriser ou de refuser le
trafic en fonction de certains facteurs, tels que la source et la destination du paquet ou encore le port ou le
protocole TCP/IP utilisé pour le paquet.
Un exemple de la façon dont une stratégie peut s'utiliser : l'administrateur réseau d'une entreprise
souhaite se connecter à distance à un serveur Web protégé par la Firebox. L'administrateur réseau gère le
serveur Web avec une connexion Remote Desktop. En même temps, l'administrateur réseau souhaite
assurer qu'aucun autre utilisateur du réseau ne puisse utiliser Remote Desktop. Pour ce faire,
l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement en provenance de
l’adresse IP de son propre PC et à destination de l’adresse IP du serveur Web.
Une stratégie peut également donner à la Firebox davantage d'instructions sur la façon de gérer les
paquets. Par exemple, vous pouvez définir les paramètres de connexion et de notification qui s'appliquent
au trafic, ou utiliser la translation d'adresse réseau (NAT) pour modifier l'adresse IP source et le port du
trafic réseau.
Stratégies de filtres de paquets et stratégies de proxies
Firebox utilise deux catégories de stratégies pour filtrer le trafic réseau : les filtres de paquets et les proxies.
Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du
paquet sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne.
Un proxy examine aussi bien l'information d'en-tête que le contenu de chaque paquet afin d'assurer la
sécurité des connexions. Cette opération est également appelée Inspection de paquet en profondeur. Si les
informations d'en-tête de paquet sont légitimes et que le contenu du paquet n'est pas considéré comme
une menace, alors Firebox autorise le paquet. Dans le cas contraire, il l’abandonne.
User Guide
339
Stratégies
À propos de l'ajout de stratégies à votre Firebox
Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre
configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet,
ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier en fonction de la configuration
de votre réseau. Vous pouvez également personnaliser une stratégie en définissant ses ports, ses
protocoles et d’autres paramètres.
Lorsque vous configurez la Firebox avec l'assistant Quick Setup Wizard, l'assistant ajoute plusieurs paquets
de filtres : Sortant (TCP-UDP), FTP, ping et jusqu'à deux stratégies de gestion WatchGuard. Si vous avez
d’autres applications logicielles et davantage de trafic réseau que Firebox doit inspecter, vous devez :
n
n
n
Configurer les stratégies sur votre Firebox pour laisser passer le trafic nécessaire
Définir les hôtes approuvés et les propriétés pour chaque stratégie
Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès
aux ressources externes
Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox.
Note Sur tous les documents, les filtres de paquets et les proxies sont considérés comme
des stratégies. Les informations sur les stratégies se rapportent à la fois aux filtres
de paquets et aux proxies, sauf spécification contraire.
À propos de Policy Manager
Fireware XTM Policy Manager est un logiciel WatchGuard qui vous permet de créer, de modifier et
d'enregistrer des fichiers de configuration. Lorsque vous utilisez Policy Manager, une version facile à
examiner et à modifier de votre fichier de configuration est affichée.
Pour obtenir plus d'informations sur l'ouverture de Policy Manager, voir Ouvrir Policy Manager à la page 341.
Fenêtre Policy Manager
Policy Manager a deux onglets : L'onglet Pare-feu et l'onglet Mobile VPN with IPSec.
n
n
L’onglet Pare-feu contient des stratégies utilisées pour le trafic de pare-feu général sur le
périphérique Firebox. Cet onglet indique également les stratégies BOVPN afin que vous puissiez voir
l’ordre dans lequel la Firebox examine le trafic réseau et applique une règle de stratégie. (Pour
modifier l'ordre, voir À propos de l’ordre de priorité des stratégies à la page 351.)
L'onglet Mobile VPN with IPSec contient des stratégies utilisées avec Mobile VPN avec tunnels IPSec.
L'interface utilisateur Policy Manager affiche la liste des stratégies que vous avez configurées et leurs
paramètres de base par défaut. Vous pouvez également voir les stratégies sous forme de groupe de
grandes icônes pour vous aider à identifier une stratégie d'un coup d'œil. Pour basculer entre ces deux
vues, voir Modifier l’affichage de Policy Manager à la page 342.
340
WatchGuard System Manager
Stratégies
Icônes de stratégie
La La fenêtre Policy Manager contient des icônes pour les stratégies définies sur la Firebox. Vous pouvez
double-cliquer sur l'icône ou son entrée associée pour modifier les propriétés de cette stratégie.
L’apparence des icônes indique leur statut et leur type :
n
n
n
n
Les stratégies activées autorisant le trafic s'affichent avec une coche verte, ou avec une barre verte
et une coche verte dans la vue Grandes icônes.
Les stratégies activées refusant le trafic s'affichent avec une croix (X) rouge ou une barre rouge et
une croix (X), dans la vue Grandes icônes.
Les stratégies désactivées ont un cercle noir avec une ligne, ou une barre grise dans la vue Grandes
icônes.
Une icône contenant un symbole de bouclier sur le côté gauche est une stratégie de proxy.
Le nom des stratégies apparaît en couleur en fonction du type de stratégie :
n
n
n
n
Les stratégies gérées sont affichées en gris sur fond blanc.
Les stratégies BOVPN (comme BOVPN-allow.out) sont affichées en vert sur fond blanc.
LesstratégiesmixtesBOVPN etpare-feu(comme pingouAny-PPTP)sontaffichéesenbleusur fondblanc.
Toutes les autres stratégies sont affichées en noir sur fond blanc.
Pour modifier ces couleurs par défaut, voir Modifier les couleurs utilisées pour le texte de Policy Manager à
la page 344.
Pour rechercher une stratégie spécifique dans Policy Manager, voir Rechercher une stratégie par adresse,
par port ou par protocole à la page 345.
Ouvrir Policy Manager
Pour ouvrir Policy Manager dans la fenêtre du gestionnaire WatchGuard System Manager :
n
n
Sélectionnezune Fireboxàlaquellevousêtesconnecté etcliquezsur .
Ou
Sélectionnez Outils > Policy Manager.
Si le périphérique Firebox sélectionné est un périphérique géré, Policy Manager place un verrou sur celuici dans le gestionnaire WatchGuard System Manager pour éviter qu'un autre utilisateur effectue des
modifications en même temps. Le verrou se désactive lorsque vous fermez Policy Manager ou si vous
l’ouvrez pour un autre périphérique.
User Guide
341
Stratégies
Modifier l’affichage de Policy Manager
Policy Manager possède deux modes d’affichage : Grandes icônes et Détails. Le mode Grandes icônes par
défaut affiche chaque stratégie sous la forme d’une icône. En mode Détails, chaque stratégie est
représentée par une ligne d’informations divisée en plusieurs colonnes. Vous pouvez voir les informations
de configuration, notamment la source et la destination, de même que les paramètres de journalisation et
de notification.
Pour passer en mode Détails :
Sélectionnez Afficher > Détails.
Mode Grandes icônes
Mode Détails
Les informations suivantes sont affichées pour chaque stratégie :
342
WatchGuard System Manager
Stratégies
Ordre
L’ordre dans lequel les stratégies sont triées et la façon dont le trafic s’écoule au travers des
stratégies. Policy Manager trie automatiquement les stratégies de la plus spécifique à la plus
générale. Si vous souhaitez basculer en mode de classement manuel, sélectionnez Afficher > Mode
de classement automatique pour supprimer la coche. Sélectionnez ensuite la stratégie dont vous
voulez modifier l’ordre et faites-la glisser à son nouvel emplacement.
Pour plus d’informations sur l'ordre des stratégies, voir À propos de l’ordre de priorité des stratégies.
Action
L’action entreprise par la stratégie pour le trafic correspondant à la définition de la stratégie. Le
symbole affiché dans cette colonne indique également si la stratégie est une stratégie de filtrage de
paquets ou une stratégie de proxy.
n
n
n
n
n
n
Coche verte = stratégie de filtrage de paquets ; trafic autorisé
X rouge = stratégie de filtrage de paquets ; trafic refusé
Cercle avec ligne = stratégie de filtrage de paquets ; action du trafic non configurée
Bouclier vert avec coche = stratégie de proxy ; trafic autorisé
Bouclier rouge avec X = stratégie de proxy ; trafic refusé
Bouclier gris = stratégie de proxy ; action du trafic non configurée
Nom de la stratégie
Nom de la stratégie, comme défini dans le champ Nom de la boîte de dialogue Nouvelles
propriétés/Modifier les propriétés de stratégie.
Pour plus d’informations, cf. Ajouter une stratégie à partir de la liste des modèles à la page 348.
Type de stratégie
Le protocole géré par la stratégie. Les proxies comprennent le protocole et « -proxy ».
Type de trafic
Type de trafic examiné par la stratégie : pare-feu ou réseau privé VPN.
Journal
Indique si la journalisation est activée pour la stratégie.
Alarme
Indique si des alarmes sont configurées pour la stratégie.
De
Adresses à partir desquelles le trafic de cette stratégie s’applique (adresses sources).
À
Adresses vers lesquelles le trafic de cette stratégie s’applique (adresses de destination).
User Guide
343
Stratégies
Routage basé sur la stratégie (PBR)
Indique si la stratégie utilise le routage basé sur la stratégie. Si c’est le cas et que le basculement
n’est pas activé, le numéro de l’interface s’affiche. Si le routage basé sur la stratégie et le
basculement sont activés, une liste de numéros d’interface s’affiche. L’interface principale est
indiquée en premier.
Pour de plus amples informations sur le routage basé sur stratégie, cf. Configurer le routage basé sur
stratégie à la page 363.
Port
Protocoles et ports utilisés par la stratégie.
Modifier les couleurs utilisées pour le texte de Policy Manager
La configuration par défaut de Policy Manager fait apparaître les noms des stratégies (ou la ligne entière en
mode d’affichage Détails) en surbrillance et dans une certaine couleur selon le type de trafic :
n
n
n
n
Les stratégies gérées sont affichées en gris sur fond blanc.
Les stratégies BOVPN (comme BOVPN-allow.out) sont affichées en vert sur fond blanc.
LesstratégiesmixtesBOVPN etpare-feu(comme pingouAny-PPTP)sontaffichéesenbleusur fondblanc.
Toutes les autres stratégies (normales) ne sont pas mises en surbrillance. Elles apparaissent en noir.
Vous pouvez utiliser les couleurs par défaut ou en sélectionner d’autres. Vous pouvez aussi désactiver la
mise en surbrillance des stratégies.
1. Sélectionnez Afficher >Mise en surbrillance des stratégies.
La boîte de dialogue Mise en surbrillance des stratégies s'affiche.
2. Pour activer la mise en surbrillance des stratégies, cochez la case Mettre en surbrillance les
stratégies de pare-feu selon le type de trafic. Décochez cette case pour désactiver la mise en
surbrillance des stratégies.
344
WatchGuard System Manager
Stratégies
3. Pour sélectionner différentes couleurs pour le texte ou l'arrière-plan des noms pour les stratégies
normales, gérées, BOVPN ou mixtes, sélectionnez le bloc Couleur du texte ou Couleur de l'arrièreplan.
La boîte de dialogue Sélectionner la couleur du texte ou Sélectionner la couleur de l'arrière-plan s'affiche.
4. Cliquez sur l'un des trois onglets, Échantillons, HSB ou RGB pour spécifier la couleur désirée :
n
n
n
Échantillons : cliquez sur l’un des petits échantillons de couleurs disponibles.
HSB : sélectionnez la case d’option T (teinte), S (saturation) ou L (luminosité), puis utilisez le
curseur ou entrez des valeurs dans les champs situés à côté.
RGB : utilisez le curseur Rouge, Vert ou Bleu ou entrez des valeurs dans les champs situés à
côté.
Lorsque vous définissez une couleur, un aperçu s'affiche dans la zone Aperçu situé en bas de la
boîte de dialogue.
5. Lorsque la couleur vous convient, cliquez sur OK.
6. Cliquez sur OK dans la boîte de dialogue Mise en surbrillance des stratégies pour que les
modifications soient appliquées.
Rechercher une stratégie par adresse, par port ou par
protocole
Vous pouvez rechercher une stratégie dans Policy Manager en fonction de son adresse, de son port ou de
son protocole.
1. Sélectionnez Modifier >Rechercher.
La boîte de dialogue Rechercher des stratégies s’ouvre.
User Guide
345
Stratégies
2. Sélectionnez la case d'option Adresse, Numéro de port ou Protocole pour définir un composant de
stratégie.
3. En regard de la zone Rechercher toutes les stratégies configurées pour, entrez la chaîne à
rechercher.
Pour des recherches par adresse et protocole, Policy Manager réalise une recherche sur une partie
de la chaîne. Vous pouvez saisir une chaîne partielle. Policy Manager affiche toutes les stratégies
contenant cette chaîne.
4. Cliquez sur Rechercher.
Les stratégies correspondant aux critères de recherche s'affichent dans la boîte Stratégies trouvées.
5. Pour modifier une stratégie renvoyée par la recherche, double-cliquez sur son nom.
Ajouter stratégies à votre configuration
Pour ajouter une stratégie, choisissez-en une dans la liste des modèles de stratégie de Policy Manager. Un
modèle de stratégie contient le nom et une brève description de la stratégie, ainsi que le protocole/port
qu’elle utilise.
n
n
n
n
Pour afficher la liste de modèles à choisir, voir Voir la liste des modèles de stratégie à la page 347.
Pour ajouter une des stratégies de la liste à votre configuration, voir Ajouter une stratégie à partir de
la liste des modèles à la page 348.
Pour afficher ou modifier la définition d'un modèle de stratégie, voir Afficher les détails d’un modèle
et modifier des modèles de stratégie à la page 349.
Pour utiliser la fonction importation/exportation de stratégie afin de copier des stratégies d'une
Firebox à une autre, voir Importer et exporter des modèles de stratégie personnalisée à la page 358.
Ceci est utile si vous gérez plusieurs Firebox avec des stratégies personnalisées.
Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la
configuration Firebox. La définition par défaut regroupe des paramètres qui peuvent s’appliquer à la plupart
des installations. Toutefois, vous pouvez les modifier en fonction des besoins spécifiques de votre
entreprise ou si vous préférez inclure des propriétés de stratégie spéciales, telles que des actions de
gestion du trafic et des calendriers d'application.
Après avoir ajouté une stratégie à votre configuration, il convient de définir des règles pour :
346
WatchGuard System Manager
Stratégies
n
n
n
n
Définir les sources et destinations de trafic autorisées
Créer des règles de filtre
Activer ou désactiver la stratégie
Configurer des propriétés telles que gestion du trafic, NAT ou journalisation
Pour plus d'informationssur laconfiguration de stratégie, voir À proposdes propriétésde stratégieà lapage 359.
Voir la liste des modèles de stratégie
1. Cliquez sur le .
Ou sélectionnez Modifier>Ajouter des stratégies.
La boîte de dialogue Ajouter des stratégies s’ouvre.
2. Cliquezsur lesigne plus(+)situéàgauchedudossierpour développerlesdossiersFiltresdepaquetsou
Proxies.
Uneliste demodèles pourles filtresde paquetsoulesproxies s'affiche.
3. Pour voir les informations de base sur un modèle de stratégie, sélectionnez-le.
L'icône de la stratégie s'affiche sur le côté droit de la boîte de dialogue et les informations de base
sur la stratégie s'affichent dans la section Détails.
User Guide
347
Stratégies
Ajouter une stratégie à partir de la liste des modèles
Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la
configuration Firebox. Les paramètres de définition par défaut sont adaptés à la plupart des installations ;
vous pouvez néanmoins les modifier de façon à y inclure des propriétés de stratégie spéciales, comme des
actions QoS et des calendriers d'application.
1. Dans la boîte de dialogue Ajouter des stratégies, développez les dossiers Filtres de paquets, Proxies
ou Personnalisé.
Une liste de modèles pour les stratégies de filtres de paquets ou de proxies s'affiche.
2. Sélectionnez le type de stratégie que vous souhaitez créer. Cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie de la s'affiche.
3. Pour modifier le nom de la stratégie, saisissez un nouveau nom dans le champ Nom.
4. Définissez les règles d'accès et les autres paramètres de la stratégie.
5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.
Vous pouvez ajouter d’autres stratégies tant que la boîte de dialogue Stratégies est ouverte.
348
WatchGuard System Manager
Stratégies
6. Cliquez sur Fermer.
La nouvelle stratégie s'affiche dans Policy Manager.
Pour obtenir plus d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie à
la page 359.
Ajouter plusieurs stratégies du même type
Si la politique de sécurité de votre entreprise l’exige, vous pouvez ajouter la même stratégie plusieurs fois.
Par exemple, vous pouvez limiter l’accès Web pour la majorité des utilisateurs et accorder un accès Web
total aux membres de la direction. Pour ce faire, créez deux stratégies différentes avec des propriétés
différentes :
1. Ajoutez la première stratégie.
2. Remplacez le nom de la stratégie par un nom représentatif de votre stratégie de sécurité, puis
ajoutez les informations qui y sont associées.
Si nous reprenons notre exemple, nommons la première stratégie accès_web_limité.
3. Cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre.
4. Ajoutez la seconde stratégie.
5. Cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre.
Pour obtenir plus d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie à
la page 359.
Afficher les détails d’un modèle et modifier des modèles de
stratégie
L'essentiel du modèle de stratégie s'affiche dans la section Détails de la boîte de dialogue Ajouter des
stratégies. Pour afficher davantage de détails, ouvrez le modèle pour le modifier. Il existe deux types de
modèles de stratégie : prédéfini et personnalisé. Concernant les stratégies prédéfinies (celles figurant dans les
listes Filtres de paquets et Proxies de la boîte de dialogue Ajouter des stratégies), vous ne pouvez modifier que
le champ Description du modèle de stratégie. Vous ne pouvez pas modifier les stratégies prédéfinies. Vous
pouvez uniquement modifier ou supprimer un modèle de stratégie personnalisée. Pour plus d'informations
sur les stratégies personnalisées, voir À propos des stratégies personnalisées à la page 356.
User Guide
349
Stratégies
Pour afficher un modèle de stratégie :
1. Dans la boîte de dialogue Ajouter des stratégies, sélectionnez un modèle de stratégie.
2. Cliquez sur Modifier.
350
WatchGuard System Manager
Stratégies
Désactiver ou supprimer une stratégie
Deux options dans Policy Manager vous permettent de désactiver une stratégie : les onglets principaux
Pare-feu ou Mobile VPN avec IPSec ou la boîte de dialogue Modifier les propriétés d'une stratégie.
Pour désactiver une stratégie depuis l'onglet Pare-feu ou Mobile VPN avec IPSec :
1. Sélectionnez l'onglet Pare-feu ou Mobile VPN avec IPSec.
2. Effectuez un clic droit sur une stratégie et sélectionnez Désactiver une stratégie.
L'option est remplacée par Activer une stratégie.
Pour désactiver une stratégie dans la boîte de dialogue Modifier les propriétés d'une stratégie :
1. Double-cliquez sur une stratégie.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Décochez la case Activer.
3. Cliquez sur OK.
Supprimer une stratégie
Suite aux modifications de votre stratégie de sécurité, vous devrez parfois supprimer une ou plusieurs
stratégies. Pour supprimer une stratégie, vous devez commencer par la supprimer de Policy Manager. Vous
pourrez ensuite enregistrer la nouvelle configuration sur le périphérique Firebox.
1. Sélectionnez une stratégie.
2. Cliquez sur l'icône Supprimer.
Ou sélectionnez Modifier> Supprimer une stratégie.
Une boîte de dialogue de confirmation apparaît.
3.
4.
5.
6.
7.
Cliquez sur Oui.
Pour enregistrer la configuration sur la Firebox, sélectionnez Fichier> Enregistrer > Vers Firebox.
Saisissez le mot de passe de configuration et cochez la case Enregistrer vers Firebox.
Cliquez sur Enregistrer.
Redémarrez la Firebox.
À propos de l’ordre de priorité des stratégies
La priorité correspond à la séquence dans laquelle le périphérique Firebox ou XTM examine le trafic réseau
et applique une règle de stratégie. Le périphérique Firebox ou XTM trie automatiquement les stratégies de
la plus spécifique à la plus générale. Il compare les informations du paquet à la liste de règles de la
première stratégie. La première règle de la liste qui correspond aux conditions du paquet est appliquée à
ce paquet. Si le niveau de détails de deux stratégies est identique, une stratégie de proxy a toujours priorité
sur une stratégie de filtre de paquets.
Ordre de priorité automatique des stratégies
Le périphérique Firebox ou XTM accorde automatiquement la priorité aux stratégies les plus spécifiques ;
les stratégies les moins spécifiques passent en dernier. Le pare-feu Firebox ou XTM examine la spécificité
des critères suivants dans cet ordre. S’il ne peut pas déterminer la priorité à partir du premier critère, il
passe au deuxième et ainsi de suite.
User Guide
351
Stratégies
1.
2.
3.
4.
5.
6.
7.
8.
Spécificité de stratégie
Protocoles définis pour le type de stratégie
Règles de trafic du champ À
Règles de trafic du champ De
Action de pare-feu (Autorisé, Refusé, ou Refus (envoi réinitialisation)) appliquée aux stratégies
Calendriers appliqués aux stratégies
Séquence alphanumérique basée sur le type de stratégie
Séquence alphanumérique basée sur un nom de stratégie
Les rubriques ci-après fournissent des détails supplémentaires concernant le fonctionnement du
périphérique Firebox ou XTM au cours de ces huit étapes.
Spécificité de stratégie et protocoles
Le périphérique Firebox ou XTM utilise ces critères dans l’ordre pour comparer deux stratégies jusqu’à ce
qu’il détermine que les deux stratégies sont égales ou que l’une est plus détaillée que l’autre.
1. Une stratégie Tout a toujours la plus faible priorité.
2. Vérifiez le nombre de protocoles TCP 0 (tout) ou UDP 0 (tout). La stratégie avec le plus petit nombre
a la priorité la plus élevée.
3. Vérifiez le nombre de ports uniques des protocoles TCP et UDP. La stratégie avec le plus petit
nombre a la priorité la plus élevée.
4. Additionnez les numéros de port uniques TCP et UDP. La stratégie avec le plus petit nombre a la
priorité la plus élevée.
5. Notez les protocoles en fonction de leur valeur de protocole IP. La stratégie avec le plus petit score
a la priorité la plus élevée.
Si le périphérique Firebox ou XTM ne peut établir la priorité lorsqu’il compare la spécificité de la stratégie
et les protocoles, il examine les règles de trafic.
Règles de trafic
Le pare-feu Firebox ou XTM utilise ces critères dans l’ordre afin de comparer la règle de trafic la plus
générale d’une stratégie avec la règle de trafic la plus générale d’une deuxième stratégie. Il attribue une
priorité plus élevée à la stratégie ayant la règle de trafic la plus détaillée.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Adresse de l'hôte
Plage d'adresses IP (plus petite que le sous-réseau auquel elle est comparée)
Sous-réseau
Plage d'adresses IP (plus grande que le sous-réseau auquel elle est comparée)
Nom d'utilisateur d'authentification
Groupe d'authentification
Interface, périphérique Firebox ou XTM
Tout-Externe, Tout-Approuvé, Tout-Facultatif
Tout
Par exemple, comparez ces deux stratégies :
(HTTP-1) De : Approuvé, utilisateur1
(HTTP-2) De : 10.0.0.1, Tout-Approuvé
352
WatchGuard System Manager
Stratégies
Approuvé est l'entrée la plus générale pour HTTP-1. Tout-Approuvé est l'entrée la plus générale pour HTTP2. Approuvé étant inclus dans l’alias Tout-Approuvé, HTTP-1 est la règle de trafic la plus détaillée. Cela est
correct malgré le fait que HTTP-2 comprenne une adresse IP, car le périphérique Firebox ou XTM compare
la règle de trafic la plus générale d’une stratégie à la règle de trafic la plus générale de la deuxième
stratégie selon l’ordre de priorité.
Si le périphérique Firebox ou XTM ne peut pas établir la priorité lorsqu’il compare les règles de trafic, il
examine les actions de pare-feu.
Actions de pare-feu
Le périphérique Firebox ou XTM compare les actions de pare-feu de deux stratégies afin d’établir la
priorité. La priorité des actions de pare-feu, de la plus élevée à la plus faible est la suivante :
1. Refusé ou Refusé (envoi réinitialisation)
2. Stratégie de proxy autorisée
3. Stratégie filtrée par paquets approuvée
Si le périphérique Firebox ou XTM une peut établir la priorité lorsqu’il compare les actions de pare-feu, il
examine les calendriers.
Calendriers
Le pare-feu Firebox ou XTM compare les calendriers de deux stratégies pour définir la priorité. La priorité
des calendriers de la plus élevée à la plus faible est la suivante :
1. Toujours inactif
2. Parfois actif
3. Toujours actif
Si le périphérique Firebox ou XTM ne peut établir de priorité lorsqu’il compare les calendriers, il examine
les types et les noms de stratégie.
Types et noms de stratégie
Si les deux stratégies ne correspondent à aucun autre critère de priorité, le périphérique Firebox ou XTM
classe les stratégies par ordre alphanumérique. D'abord, elle utilise le type de stratégie. Puis, elle utilise le
nom de stratégie. Comme il ne peut pas y avoir deux stratégies de même type et de même nom, ce critère
représente le dernier critère de priorité.
Définir la priorité manuellement
Pour basculer en mode de classement manuel et modifier la priorité des stratégies :
1. Sélectionnez Afficher > Mode de classement automatique.
La coche disparaît et un message de confirmation s'affiche.
2. Cliquez sur Oui pour confirmer que vous souhaitez basculer en mode de classement manuel.
Lorsque vous basculez en mode de classement manuel, la fenêtre Policy Manager passe en mode
Détails. Vous ne pouvez pas modifier l’ordre des stratégies si vous êtes en mode Grandes icônes.
User Guide
353
Stratégies
3. Pour modifier l’ordre d’une stratégie, sélectionnez-la et faites-la glisser vers son nouvel
emplacement.
Créer des calendriers pour les actions Firebox
Un calendrier est une série d'heures auxquelles une fonctionnalité est active ou désactivée. Vous devez
utiliser un calendrier si vous voulez qu'une stratégie ou qu'une action WebBlocker devienne
automatiquement active ou inactive aux moments que vous spécifiez. Vous pouvez appliquer un calendrier
que vous créez à plus d'une stratégie ou action WebBlocker si vous souhaitez que ces stratégies ou actions
soient actives aux mêmes moments.
Par exemple, une entreprise souhaite restreindre certains types de trafic réseau durant les heures
normales de bureau. L'administrateur réseau peut créer un calendrier actif les jours ouvrables et
paramétrer chaque stratégie de la configuration de manière à utiliser le même calendrier.
Pour créer un calendrier :
1. Sélectionnez Installation > Actions > Calendriers.
La boîte de dialogue Calendriers s'affiche.
2. Pour modifier un calendrier, sélectionnez son nom dans la boîte de dialogue Calendrier et cliquez
sur Modifier.
Pour créer un calendrier à partir d’un calendrier existant, sélectionnez le nom du calendrier de
votre choix et cliquez sur Cloner.
Pour créer un nouveau calendrier, cliquez sur Ajouter.
La boîte de dialogue Nouveau calendrier s'affiche.
354
WatchGuard System Manager
Stratégies
3. Saisissez un nom et une description pour le calendrier.
Utilisez un nom facile à retenir.
Le nom du calendrier s'affiche dans la boîte de dialogue Calendriers.
4. Dans la liste déroulante Mode, sélectionnez l'intervalle de temps pour le calendrier : une heure, 30
minutes ou 15 minutes.
Le graphique à gauche de la boîte de dialogue Nouveau calendrier affiche votre entrée dans la liste déroulante.
5. L'axe x (horizontal) du graphique de la boîte de dialogue correspond aux jours de la semaine et l'axe
y (vertical) aux incréments de la journée. Cliquez sur les zones du graphique pour les transformer en
heures opérationnelles (au cours desquelles la stratégie est active) ou en heures non
opérationnelles (au cours desquelles la stratégie est inactive).
6. Cliquez sur OK pour fermer la boîte de dialogue Nouveau calendrier.
7. Cliquez sur Fermer pour fermer la boîte de dialogue Calendriers.
Définir un calendrier d'application
Vous pouvez définir un calendrier d'application pour une stratégie de façon à ce que celle-ci s'exécute aux
moments que vous spécifiez. Plusieurs stratégies peuvent partager un même calendrier.
Pour modifier un calendrier de stratégie :
1. Sélectionnez une stratégie et double-cliquez dessus.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Cliquez sur l’onglet Avancé.
3. Dans la liste déroulante Calendrier, sélectionnez un calendrier prédéfini.
Vous pouvez également cliquer sur l'une des icônes situées à côté pour créer un calendrier
personnalisé.
User Guide
355
Stratégies
4. Cliquez sur OK.
À propos des stratégies personnalisées
Si vous souhaitez mettre en œuvre un protocole qui n’est pas prévu par défaut en tant qu’option de
configuration de Firebox, vous devez définir une stratégie personnalisée pour le trafic. Vous pouvez ajouter
une stratégie personnalisée qui utilise :
n
n
n
Ports TCP
Ports UDP
Un protocole IP qui n'est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez
si un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP.
Pour créer une stratégie personnalisée, vous devez d'abord créer ou modifier un modèle de stratégie
personnalisée qui spécifie les ports et protocoles utilisés par les stratégies de ce type. Puis vous devez créer
une ou plusieurs stratégies à partir de ce modèle afin de paramétrer les règles d'accès, la journalisation, la
QoS (qualité de service) et d'autres réglages.
356
WatchGuard System Manager
Stratégies
Créer ou modifier un modèle de stratégie personnalisée
1. Cliquez sur .
Ou sélectionnez Modifier> Ajouter des stratégies.
La boîte de dialogue Ajouter des stratégies s’ouvre.
2. Cliquez sur Nouveau ou sélectionnez un modèle de stratégie personnalisée et cliquez sur Modifier.
La boîte de dialogue Nouveau modèle de stratégie s'affiche.
3. Dans la zone de texte Nom, tapez le nom de la stratégie personnalisée. Le nom figure à présent dans
Policy Manager comme type de stratégie. Un nom unique permet de facilement retrouver une
stratégie si vous souhaitez la modifier ou la supprimer. Ce nom doit être différent de ceux figurant
dans la liste de la boîte de dialogue Ajouter une stratégie.
4. Dans la zone de texte Description, entrez la description de la stratégie.
Elle est visible dans le volet de détails lorsque vous cliquez sur le nom de la stratégie dans la liste des filtres
utilisateur.
5. Sélectionnez le type de stratégie : Filtre de paquetsou Proxy.
6. Si vous sélectionnez Proxy, choisissez le protocole de proxy dans la liste déroulante située à côté.
7. Pour associer des protocoles à cette stratégie, cliquez sur Ajouter.
La boîte de dialogue Ajouter un protocole s’affiche.
User Guide
357
Stratégies
8. Dans la liste déroulante Type, sélectionnez Port unique ou Plage de ports.
9. Dans la liste déroulante Protocole, sélectionnez le protocole à associer à cette nouvelle stratégie.
Si vous sélectionnez Port unique, vous avez le choix entre les types suivants :TCP,UDP, GRE, AH, ESP,
ICMP, IGMP, OSP, IP ou Tout.
Si vous sélectionnez Plage de ports, vous avez le choix entre les types de port TCP ou UDP. Les
options situées sous la liste déroulante changent pour chaque protocole.
Note Fireware XTM ne transmet pas le trafic multidiffusion IGMP via Firebox ni entre les
interfaces de Firebox. Il achemine le trafic multidiffusion IGMP entre une interface
et le périphérique Firebox.
10. Dansla liste déroulante Port du serveur,sélectionnez le port àassocier àcette nouvelle stratégie.
Sivous sélectionnezPlage deports, choisissezun portde serveur de débutet unport de serveur de fin.
11. Cliquez sur OK.
Le modèle de stratégie est ajouté au dossier Stratégies personnalisées.
Vous pouvez à présent utiliser le modèle de stratégie pour ajouter une ou plusieurs stratégies
personnalisées à votre configuration. Utilisez la même procédure que pour une stratégie prédéfinie.
Importer et exporter des modèles de stratégie personnalisée
Si vous gérez plusieurs périphériques Firebox et leur appliquez des stratégies personnalisées, vous pouvez
utiliser la fonction importer/exporter pour gagner du temps. Vous pouvez définir les modèles sur un
périphérique Firebox, les exporter dans un fichier ASCII, puis les importer sur un autre périphérique
Firebox.
Le périphérique Firebox sur lequel vous créez les stratégies doit exécuter la même version de WSM que la
version de Policy Manager que vous utilisez pour importer les stratégies. Vous ne pouvez pas importer un
modèle d’une version précédente vers la version actuelle.
1. Sur le premier périphérique Firebox, définissez des modèles de stratégie personnalisée pour les
stratégies dont vous avez besoin.
2. Cliquez sur Exporter.
Vous n’avez pas besoin de sélectionner les stratégies personnalisées. La fonction Exporter permet
d'exporter automatiquement toutes les stratégies personnalisées, quelle que soit celle qui est
sélectionnée.
3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le
fichier de modèles de stratégie. Tapez un nom pour le fichier, puis cliquez sur Enregistrer.
L'emplacement par défaut est Mes documents > Mon WatchGuard.
4. Dans le gestionnaire Policy Manager d’un autre périphérique Firebox, dans la boîte de dialogue
Ajouter des stratégies, cliquez sur Importer.
5. Recherchez le fichier que vous avez créé à l'étape 3, puis cliquez sur Ouvrir.
6. Si des modèles de stratégie personnalisée sont déjà définis dans le gestionnaire Policy Manager
actuel, vous êtes invité à indiquer si vous souhaitez remplacer les modèles existants ou ajouter les
modèles importés aux modèles existants. Cliquez sur Remplacer ou sur Ajouter.
Si vous cliquez sur Remplacer, les modèles existants sont supprimés et remplacés par les nouveaux
modèles.
Si vous cliquez sur Ajouter, les modèles existants et les modèles importés sont répertoriés par ordre
alphabétique sous Personnalisé.
358
WatchGuard System Manager
Stratégies
À propos des propriétés de stratégie
Chaque type de stratégie comporte une définition par défaut, qui se compose de réglages adaptés à la
plupart des organisations. Cependant, vous pouvez modifier les réglages de stratégie pour vos objectifs
commerciaux spécifiques ou ajouter d'autres réglages tels que la gestion du trafic et les calendriers
d'application.
Les stratégies Mobile VPN se créent et fonctionnent de la même manière que les stratégies de pare-feu.
Cependant, vous devez spécifier un groupe Mobile VPN auquel la stratégie s'applique.
Pour définir les propriétés d’une stratégie, double-cliquez sur l’icône de la stratégie ou sur son nom dans la
fenêtre Policy Manager de manière à ouvrir la boîte de dialogue Modifier les propriétés de stratégie. Ou, si
vous venez d’ajouter une stratégie à votre configuration, la zone Propriétés de la nouvelle stratégie
s’affiche automatiquement afin que vous puissiez définir les propriétés de la stratégie.
Onglet Stratégie
Utilisez l'onglet Stratégie pour régler les informations de base concernant la stratégie, par exemple si elle
autorise ou refuse le trafic et les appareils qu'elle gère. Vous pouvez utiliser les paramètres de l'onglet
Stratégie pour créer des règles d'accès pour une stratégie ou configurer le routage basé sur stratégie, la
translation d'adresses réseau (NAT) statique ou l'équilibrage de charge de serveur.
Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants :
n
n
n
n
Définir des règles d’accès pour une stratégie à la page 360
Configurer le routage basé sur stratégie à la page 363
À propos de NAT statique à la page 180
Configurer les équilibrage de charge côté serveur à la page 182
Onglet Propriétés
L'onglet Propriétés affiche le port et le protocole auxquels s'applique la stratégie, ainsi qu'une description
de la stratégie définie. Vous pouvez utiliser les paramètres de cet onglet pour définir la journalisation, la
notification, le blocage automatique et les préférences de délai d'attente. Vous pouvez également
configurer sur cet onglet les actions proxy et ALG, qui offrent différentes options pour chaque stratégie de
proxy et ALG.
Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants :
n
n
n
n
À propos des actions de proxy à la page 381 (stratégies de proxy et ALG uniquement)
Définir les préférences de journalisation et de notification à la page 656
Bloquer temporairement les sites avec des paramètres de stratégie à la page 500
Définir un délai d'inactivité personnalisé à la page 365
Onglet Avancé
L'onglet Avancé comprend des paramètres pour la translation d'adresses réseau (NAT) et la gestion du
trafic (QoS) ainsi que les options multi-WAN et ICMP. Vous pouvez également définir un calendrier
d'application pour une stratégie et appliquer des actions de gestion du trafic.
Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants :
User Guide
359
Stratégies
n
n
n
n
n
n
Définir un calendrier d'application à la page 355
Ajouter une une action de gestion de trafic à une stratégie à la page 483
Définir la gestion des erreurs ICMP à la page 366
Appliquer les règles NAT à la page 366
Activer le marquage QoS ou les paramètres de priorité d’une stratégie à la page 478
Définir la durée de connexion persistante pour une stratégie à la page 367
Paramètres de proxy
Les stratégies de proxy possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l'accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles.
Pour modifier les paramètres et les ensembles de règles d'une action de proxy, cliquez
liste déroulante Action de proxy et sélectionnez une catégorie de paramètres.
à droite de la
Pour plus d’informations, voir À propos de règles et ensembles de règles à la page 371 et la rubrique À
propos de pour le type de stratégie spécifique.
À propos de DNS proxy à la page 391
À propos de la Proxy FTP à la page 398
À propos de la Passerelle ALG H.323 à la
page 405
À propos du proxy HTTP à la page 411
À propos de la Proxy HTTPS à la page 428
À propos de la Proxy POP3 à la page 434
À propos de la Proxy SIP à la page 445
À propos de la Proxy SMTP à la page 452
À propos de la Proxy TCP-UDP à la page 466
Définir des règles d’accès pour une stratégie
Utilisez l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour configurer les
règles d’accès d’une stratégie donnée.
Le champ Connexions détermine si le trafic conforme aux règles de la stratégie est autorisé ou refusé. Pour
définir la manière dont le trafic est traité, utilisez les paramètres suivants :
Autorisé
Firebox autorise le trafic qui applique cette stratégie s’il est conforme aux règles que vous avez
définies pour la stratégie. Vous pouvez configurer la stratégie de façon à créer un message du
journal lorsque le trafic réseau coïncide avec la stratégie.
Refusé
La Firebox refuse tout le trafic correspondant aux règles de cette stratégie et n'envoie pas de
notification au périphérique qui a envoyé le trafic. Vous pouvez configurer la stratégie de façon à
créer un message de journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut
également ajouter automatiquement un ordinateur ou un réseau à la liste des sites bloqués si celuici tente d’établir une connexion avec cette stratégie.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 500.
360
WatchGuard System Manager
Stratégies
Refusé (envoi réinitialisation)
Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous
pouvez la configurer de sorte qu’elle crée un message de journal dès qu’un ordinateur tente
d’utiliser cette stratégie. La stratégie peut également ajouter automatiquement un ordinateur ou un
réseau à la liste des sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 500.
Si vous sélectionnez cette option, la Firebox envoie un paquet pour dire au périphérique à l'origine
du trafic réseau que la session est refusée et que la connexion est fermée. Vous pouvez paramétrer
une stratégie de façon à renvoyer d'autres erreurs, disant au périphérique que le port, le protocole,
le réseau ou l'hôte ne peut être joint. Nous vous conseillons d'utiliser ces options avec beaucoup de
prudence afin que votre réseau puisse fonctionner correctement avec d'autres réseaux.
L’onglet Stratégie contient également les éléments suivants :
n
n
Une liste De(ou source) qui détermine qui peut envoyer ou non du trafic réseau avec cette
stratégie.
Une liste Vers (ou destinationqui détermine vers qui Firebox peut acheminer le trafic lorsqu’il est
conforme ou non aux spécifications d’une stratégie.
Par exemple, vous pourriez configurer un filtre de paquets ping pour autoriser le trafic ping en provenance
de tous les ordinateurs du réseau externe vers un serveur Web de votre réseau facultatif. Sachez toutefois
que le réseau de destination devient plus vulnérable dès lors que vous l'ouvrez au(x) port(s) que la stratégie
contrôle. Assurez-vous de configurer soigneusement vos stratégies pour éviter les vulnérabilités.
1. Pour ajouter des membres à vos spécifications d’accès, cliquez sur Ajouter dans la liste de membres
De ou Vers.
La boîte de dialogue Ajouter une adresses’affiche.
User Guide
361
Stratégies
2. La haut la liste comporte les membres que vous pouvez ajouter aux listes De où Vers. Un membre
peut être un alias, un utilisateur, un groupe, une adresse IP ou une plage d'adresses IP.
3. Sélectionnez un membre que vous souhaitez ajouter et cliquez sur Ajouter, ou double-cliquez sur
une entrée de la fenêtre.
Pour ajouter à la stratégie des hôtes, des utilisateurs, des alias ou des tunnels ne figurant pas dans la
liste Membres disponibles, voir Ajouter de nouveaux membres pour les définitions de stratégie à la
page 362.
4. Pour ajouter de nouveaux membres au champ De ou Vers , répétez les étapes précédentes.
5. Cliquez sur OK.
La source et la destination peuvent être une adresse IP d’hôte, une plage d’hôtes, un nom d’hôte, une
adresse réseau, un nom d’utilisateur, un alias, un tunnel VPN ou une combinaison de ces éléments.
Pour obtenir plus d’informations sur les alias qui se présentent sous forme d’options dans la liste De ou la
liste Vers, voir À propos des alias à la page 81.
Pour obtenir plus d'informations sur la façon de créer un nouvel alias, voir Créer un alias à la page 82.
Ajouter de nouveaux membres pour les définitions de stratégie
Pour ajouter des hôtes, des alias ou des tunnels à la liste Membres disponibles :
1. Cliquez sur Ajouter autre.
La boîte de dialogue Ajouter un membre s’affiche.
2. Dans la liste déroulante Choisir le type, sélectionnez la plage d’hôtes, l’adresse IP de l’hôte ou
l’adresse IP du réseau à ajouter.
3. Dans la zone de texte Valeur, tapez l’adresse réseau, la plage ou l’adresse IP correcte.
362
WatchGuard System Manager
Stratégies
4. Cliquez sur OK.
Le membre ou l’adresse apparaît dans la liste Membres et adresses sélectionnés.
Pour ajouter un utilisateur ou un groupe à la liste Membres disponibles :
1. Cliquez sur Ajouter un utilisateur.
La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche.
2. Sélectionnez le type d’utilisateur ou de groupe, ainsi que le serveur d’authentification et indiquez si
vous souhaitez ajouter un utilisateur ou un groupe.
3. Cliquez sur Sélectionner.
Si l’utilisateur ou le groupe à ajouter n’apparaît pas dans la liste, c’est qu'il n’est pas encore défini en tant
qu’utilisateur ou groupe autorisé. Pour définir un nouvel utilisateur ou un nouveau groupe autorisé, voir
Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 335.
Configurer le routage basé sur stratégie
Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis
recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le
trafic emprunte un autre itinéraire que celui par défaut indiqué dans la table de routage. Pour ce faire, il
convient de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du
trafic sortant conforme à cette stratégie. Cette technique s’appelle le routage basé sur stratégie. Le routage
basé sur stratégie est prioritaire sur les paramètres multi-WAN.
User Guide
363
Stratégies
Basé sur des règles Le routage peut être mis en œuvre si vous disposez de plusieurs interfaces externes et
avez configuré Firebox pour le multi-WAN. Avec le routage basé sur stratégie, vous avez la garantie que
l’ensemble du trafic contrôlé par une stratégie traverse toujours la même interface externe, même si votre
configuration multi-WAN prévoit l’envoi du trafic en mode de tourniquet. Par exemple, si vous souhaitez
que les e-mails soient routés à travers une interface spécifique, vous pouvez utiliser le routage basé sur
stratégie dans la définition du proxy SMTP ou POP3.
Note Pour utiliser le routage basé sur stratégie, vous devez être équipé de Fireware XTM
avec une mise à niveau Pro. Vous devez également configurer au moins deux
interfaces externes.
Routage basé sur stratégie, basculement et failback
Lorsque vous utilisez le routage basé sur stratégie avec le basculement multi-WAN, vous pouvez indiquer si
le trafic conforme à la stratégie doit ou non utiliser une autre interface externe lorsque le basculement a
lieu. Par défaut, le trafic est abandonné jusqu’à ce que l’interface soit de nouveau disponible.
Les paramètres de failback (définis dans l’onglet Multi-WAN de la boîte de dialogue Configuration du
réseau) s’appliquent également au routage basé sur stratégie. Si un basculement a lieu et que l’interface
d’origine devient par la suite disponible, Firebox peut envoyer les connexions actives à l’interface de
basculement ou revenir à l’interface d’origine. Les nouvelles connexions sont envoyées à l’interface
d’origine.
Restrictions appliquées au routage basé sur stratégie
n
n
n
Le routage basé sur stratégie n’est disponible que si le mode multi-WAN est activé. Si vous activez le
mode multi-WAN, la boîte de dialogue Modifier les propriétés de stratégie contient
automatiquement les champs permettant de configurer le routage basé sur stratégie.
Par défaut, le routage basé sur stratégie n’est pas activé.
Il ne s’applique pas au trafic IPSec ni au trafic destiné au réseau approuvé ou au réseau facultatif
(trafic entrant).
Ajouter un routage basé sur stratégie à une stratégie
1. Ouvrez Policy Manager.
2. Sélectionnez une stratégie et cliquez sur
Ou double-cliquez sur une stratégie.
.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
3. Cochez la case Utiliser le routage basé sur stratégie.
4. Pour définir l’interface qui envoie le trafic sortant conforme à la stratégie, sélectionnez le nom de
l’interface dans la liste déroulante située à côté. Assurez-vous que l’interface sélectionnée est un
membre de l’alias ou du réseau que vous avez défini dans le champ Vers de votre stratégie.
364
WatchGuard System Manager
Stratégies
5. (Facultatif) Configurer le routage basé sur stratégie avec basculement multi-WAN tel que décrit cidessous. Si vous ne sélectionnez pas Basculement et que l’interface que vous avez définie pour
cette stratégie devient inactive, le trafic est abandonné jusqu'à ce que l’interface soit de nouveau
disponible.
6. Cliquez sur OK.
Configurer pour une stratégie routage avec basculement
Vous pouvez définir l’interface que vous avez spécifiée pour cette stratégie comme interface principale et
définir les autres interfaces externes comme interfaces de sauvegarde pour le trafic non IPSec.
1. Dans la boîte de dialogue Modifier les propriétés de stratégie, cliquez sur l’onglet Basculement.
2. Cliquez sur Configurer pour définir les interfaces de sauvegarde de cette stratégie.
Si l’interface principale que vous avez définie pour cette stratégie n’est pas active, le trafic est
envoyé aux interfaces de sauvegarde que vous indiquez ici.
La boîte de dialogue Configuration de basculement de stratégie s'ouvre.
3. Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous
souhaitez utiliser dans la configuration du basculement. Utilisez les boutons Monter et Descendre
pour définir l’ordre du basculement. La première interface dans la liste est l’interface principale.
4. Cliquez sur OK pour fermer la boîte de dialogue Configuration de basculement de stratégie.
5. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
6. Enregistrer le fichier de configuration.
Définir un délai d'inactivité personnalisé
Le délai d'inactivité est la durée maximale pendant laquelle une connexion peut rester active sans qu'aucun
trafic ne soit envoyé. Par défaut, la Firebox ferme les connexions réseau au bout de 300 secondes (6
minutes). Lorsque vous activez ce paramètre pour une stratégie, la Firebox ferme la connexion après la
durée que vous avez spécifiée.
1. Dans la boîte de dialogue Propriétés de stratégie, sélectionnez l’onglet Propriétés.
2. Cochez la case Définir un délai d'inactivité personnalisé.
User Guide
365
Stratégies
3. Dans le champ adjacent, spécifiez le nombre de secondes avant la fin du délai.
Définir la gestion des erreurs ICMP
Vous pouvez définir les paramètres de gestion des erreurs ICMP associés à une stratégie. Ces derniers
remplacent les paramètres globaux de gestion des erreurs ICMP.
Pour modifier les paramètres de gestion des erreurs ICMP de la stratégie actuelle :
1. Dans la liste déroulante Gestion des erreurs ICMP, sélectionnez Spécifier un paramètre.
2. Cliquez sur Paramètre ICMP.
3. Dans la boîte de dialogue Paramètres de gestion des erreurs ICMP, cochez les cases correspondant
à chacun des paramètres.
4. Cliquez sur OK.
Pour plus d'informations sur les paramètres ICMP globaux, voir Définir les paramètres globaux de Firebox à
la page 83.
Appliquer les règles NAT
Vous pouvez appliquer des règles de traduction d’adresses réseau (NAT) à une stratégie. Vous pouvez
sélectionner 1-to-1 NAT ou NAT dynamique.
1. Dans la boîte de dialogue Modifier les propriétés de stratégie, cliquez sur l’onglet Avancé.
2. Sélectionnez l'une des options décrites dans les actions suivantes.
1-to-1 NAT
Avec ce type de NAT, le périphérique WatchGuard utilise les plages d’adresses IP privées et publiques que
vous avez définies, comme décrit dans À propos de 1-to-1 NAT à la page 169.
NAT dynamique
Avec ce type de NAT, le périphérique WatchGuard fait correspondre des adresses IP privées avec des
adresses IP publiques. La traduction d’adresses réseau dynamique est par défaut activée pour toutes les
stratégies.
Sélectionnez Utiliser les paramètres NAT du réseau pour appliquer les règles de NAT dynamique définies
pour le périphérique WatchGuard.
Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du trafic
de cette stratégie.
Dans le champ Définir l'adresse IP source, vous pouvez sélectionner une adresse IP source NAT dynamique
pour toute stratégie utilisant le NAT dynamique. Ceci permet de garantir que tout le trafic qui fait appel à
366
WatchGuard System Manager
Stratégies
cette stratégie affiche une adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes
comme étant la source. Ceci est utile si vous souhaitez forcer le trafic SMTP sortant à afficher l’adresse
d’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du périphérique
WatchGuard est différente de l'adresse IP d’enregistrement MX.
Les règles NAT 1 à 1 sont prioritaires sur les règles de NAT dynamique.
Définir la durée de connexion persistante pour une stratégie
Les paramètres de connexion persistante d’une stratégie remplacent les paramètres de connexion
persistante globale. Vous devez activer le multi-WAN pour utiliser cette fonctionnalité.
1. Dans la boîte de dialogue Propriétés de stratégie, cliquez sur l’onglet Avancé.
2. Cliquez sur l'onglet Connexion persistante.
3. Pour utiliser les paramètres Connexion persistante multi-WAN globale, décochez la case Remplacer
les paramètres de la connexion persistante multi-WAN.
4. Pour définir une valeur de connexion persistante personnalisée pour cette stratégie, cochez la case
Activer la connexion persistante.
5. Dans la zone de texte Activer la connexion persistante, saisissez la durée de maintien de la
connexion en minutes.
User Guide
367
Stratégies
User Guide
368
14
Paramètres proxy
À propos de stratégies de proxy et passerelles ALG
Toutes les stratégies WatchGuard constituent des outils importants en matière de sécurité du réseau, qu’il
s’agisse de stratégies de filtrage de paquets, de stratégies de proxy ou de passerelles ALG (application layer
gateways). Un filtre de paquets examine l’adresse IP et l’en-tête TCP/UDP de chaque paquet, un proxy
surveille et analyse l’ensemble des connexions, et une passerelle ALG offre une gestion des connexions
transparente en plus d’une fonctionnalité de proxy. Les stratégies de proxy et les passerelles ALG
examinent les commandes utilisées dans la connexion afin d’assurer qu’elles respectent la syntaxe et
l’ordre appropriés, et procèdent à une inspection poussée des paquets afin de garantir que les connexions
sont sûres.
Une stratégie de proxy ou une passerelle ALG ouvre chaque paquet l’un après l’autre, supprime l’en-tête
de la couche réseau et inspecte l’entrée Payload du paquet. Un proxy réécrit alors les informations réseau
est envoie le paquet à sa destination, tandis qu’une passerelle ALG restaure les informations réseau
d’origine et transmet le paquet. Ainsi, un proxy comme une passerelle ALG peuvent trouver des contenus
interdits ou malveillants cachés ou intégrés dans l’entrée Payload du paquet. Par exemple, un proxy SMTP
recherche dans la totalité des paquets SMTP entrants (e-mails) du contenu interdit, tel que des programmes
ou fichiers exécutables écrits en langages de script. Les personnes malveillantes ont souvent recours à ces
méthodes pour envoyer des virus informatiques. Le proxy ou la passerelle ALG peut mettre en œuvre une
stratégie qui interdit ce type de contenu ; en revanche, un filtre de paquets ne peut pas détecter le
contenu non autorisé dans les entrées de données Payload du paquet.
Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway
AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent
appliquer les services correspondants au trafic réseau.
User Guide
369
Paramètres proxy
Configuration de proxy
Comme les filtres de paquets, les stratégies de proxy comprennent des options communes pour gérer le
trafic réseau, notamment des fonctionnalités de gestion du trafic et de planification. Cependant, les
stratégies de proxy comprennent également des paramètres liés au protocole réseau spécifié. Ces
paramètres sont configurés avec des ensembles de règles ou des groupes d’options correspondant à une
action spécifiée. Par exemple, vous pouvez configurer des ensembles de règles de façon à refuser le trafic
provenant d’utilisateurs ou de périphériques individuels, ou à autoriser le trafic VoIP (Voice over IP)
correspondant aux codecs que vous souhaitez. Lorsque vous avez paramétré toutes les options de
configuration d’un proxy, vous pouvez enregistrer cet ensemble d’options en tant qu’action de proxy
définie par l’utilisateur et l’utiliser avec d’autres proxies.
Fireware XTM prend en charge les stratégies de proxy pour de nombreux protocoles communs,
notamment DNS, FTP, H.323, HTTP, HTTPS, POP3, SIP, SMTP et TCP-UDP. Pour plus d’informations sur une
stratégie de proxy, consultez la rubrique de la stratégie en question.
À propos de DNS proxy à la page 391
À propos de la Proxy FTP à la page 398
À propos de la Passerelle ALG H.323 à la
page 405
À propos du proxy HTTP à la page 411
À propos de la Proxy HTTPS à la page 428
À propos de la Proxy POP3 à la page 434
À propos de la Proxy SIP à la page 445
À propos de la Proxy SMTP à la page 452
À propos de la Proxy TCP-UDP à la page 466
Proxy et antivirus les alarmes
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
se déclencher lorsque le trafic coïncide ou ne coïncide pas avec une règle du proxy. Une alarme peut
également se déclencher lorsque les champs actions à prendre sont paramétrés sur une option autre que
Autoriser.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du
fait de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer la Firebox de sorte qu’elle envoie une interruption SNMP ou une
notification à un administrateur réseau, ou les deux. La notification peut être soit un e-mail envoyé à
un administrateur réseau ou une fenêtre contextuelle sur l’ordinateur de gestion de
l’administrateur.
Pour plus d’informations sur les champs Alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification à la page 656.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
370
WatchGuard System Manager
Paramètres proxy
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
4. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
À propos de règles et ensembles de règles
Lorsque vous configurez une stratégie de proxy ou une passerelle ALG (application layer gateway), vous
devez soit créer une nouvelle règle, soit modifier une règle existante. Les règles sont des ensembles de
critères auxquels un proxy compare le trafic. Une règle se compose d’un type de contenu, de modèle ou
d’expression, ainsi que de l’action réalisée par le périphérique Firebox en cas de correspondance d’un
composant du paquet avec ce contenu, ce modèle ou cette expression. Les règles comportent également
des paramètres déterminant les moments où le périphérique Firebox envoie des alarmes ou crée une
entrée de journal. Un ensemble de règles se compose de plusieurs règles répondant à une fonctionnalité
donnée d’un proxy, telle que les types de contenus ou les noms de fichier des pièces jointes aux e-mails. Le
processus de création et de modification de règles est le même pour chaque stratégie de proxy ou
passerelle ALG de WatchGuard System Manager.
Votre périphérique Firebox comprend des ensembles de règles par défaut pour chaque stratégie de proxy
incluse dans la configuration Firebox. Des ensembles de règles distincts sont fournis pour les clients et les
serveurs, afin de protéger à la fois les utilisateurs approuvés et les serveurs publics. Vous pouvez utiliser la
configuration par défaut pour ces règles ou les personnaliser pour les adapter aux besoins spécifiques de
votre entreprise.
À propos de l’utilisation des règles et ensembles de règles
Lors de la configuration d’un proxy ou d’une passerelle ALG, vous pouvez afficher ses ensembles de règles
dans la liste Catégories. Ces ensembles de règles diffèrent selon l’action de proxy choisie dans l’onglet
Propriétés de la fenêtre de configuration de proxy. Par exemple, les paramètres associés aux règles
relatives à l’action FTP-Client ne sont pas les mêmes que ceux associés aux règles relatives à l’action FTPServer.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond
pas à tous vos besoins professionnels, vous pouvez Ajouter, modifier ou supprimer des règles.
Vues simple et avancée
Vous pouvez afficher les règles des définitions de proxy de deux manières : affichage simple et affichage
avancé.
n
Affichage simple – Choisissez cet affichage pour configurer une correspondance de modèle de
caractères génériques avec des expressions régulières simples.
User Guide
371
Paramètres proxy
n
Affichage avancée –Indique l’action correspondant à chaque règle. Choisissez cet affichage pour
utiliser des boutons spéciaux permettant de modifier, de cloner (créer une définition de règle à
partir d’une définition existante), de supprimer ou de réinitialiser les règles. Utilisez également la
vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles
avec Perl.
Après avoir utilisé l’affichage avancé, vous pouvez uniquement basculer vers l’affichage simple si toutes les
règles activées ont les mêmes paramètres d’action, d’alarme ou de journal. Par exemple, si vous avez cinq
règles, dont quatre paramétrées sur Autoriser et l’une paramétrée sur Refuser, vous devez continuer
d’utiliser l’affichage avancé.
Configurer les ensembles de règles et modifier l’affichage
Pour configurer les ensembles de règles d’une stratégie dans Policy Manager :
1. Double-cliquez sur une stratégie ou ajoutez-en une nouvelle.
2. Dans la boîte de dialogue Propriétés de stratégie, cliquez sur l’onglet Propriétés.
3. Cliquez sur .
La boîte de dialogue Configuration de l’action de proxy s’affiche.
4. Pour modifier l’affichage, cliquez sur Modifier l’affichage.
5. Ajouter, modifier ou supprimer des règles.
Ajouter, modifier ou supprimer des règles
Vous pouvez utiliser l’affichage simple ou l’affichage avancé de l’ensemble de règles pour ajouter des
règles.
Utilisez la vue simple pour configurer une correspondance de modèle de caractères génériques avec des
expressions régulières simples. Utilisez la vue avancée pour configurer les correspondances exactes et les
expressions régulières compatibles Perl. Cette vue indique l’action correspondant à chaque règle et
comporte des boutons permettant de modifier, de cloner (créer une définition de règle à partir d’une
définition existante), de supprimer ou de réinitialiser les règles.
Pour plus d’informations, voir À propos de règles et ensembles de règles à la page 371 et À propos des
expressions régulières à la page 376.
Lorsque vous configurez une règle, vous sélectionnez les actions que le proxy utilise pour chaque paquet.
Les actions disponibles diffèrent selon le proxy ou la fonction de proxy utilisé(e). Par exemple, les actions
Enlever et Verrouiller ne sont exécutées que dans le cadre de la prévention des intrusions basée sur les
signatures. Voici la liste de toutes les actions possibles :
Autoriser
La connexion est autorisée.
Refuser
La demande spécifique est refusée, mais la connexion est conservée dans la mesure du possible.
Une réponse est envoyée au client.
372
WatchGuard System Manager
Paramètres proxy
Abandonner
La demande spécifique est refusée et la connexion est fermée. Aucune réponse n’est envoyée à
l’expéditeur. La Firebox envoie uniquement un paquet de réinitialisation TCP au client. Le navigateur
du client peut afficher « La connexion a été réinitialisée » ou « La page ne peut pas être affichée »,
mais il ne précise pas la raison à l’utilisateur.
Bloquer
La requête est refusée, la connexion interrompue et le site bloqué. Pour plus d’informations sur les
sites bloqués, voir À propos de sites bloqués à la page 497.
Tout le trafic provenant de l’adresse IP du site est refusé pendant la durée spécifiée dans Policy
Manager sous Installation > Default Threat Protection > Sites bloqués, sous l’onglet Blocage
automatique. Utilisez cette action si vous souhaitez arrêter tout le trafic provenant du site
malveillant uniquement pour cette fois.
Enlever
Une pièce jointe est retirée d’un paquet et mise de côté. Les autres éléments du paquet sont
envoyés vers leur destination via le périphérique Firebox.
Verrouiller
Une pièce jointe est verrouillée, puis encapsulée pour que l’utilisateur ne puisse pas l’ouvrir. Seul
l’administrateur est en mesure de déverrouiller le fichier.
Analyse AV
La pièce jointe est analysée afin de détecter d’éventuels virus. Si vous sélectionnez cette option,
Gateway AntiVirus est activé pour la règle.
Ajouter règles (affichage simple)
Pour ajouter une nouvelle règle en affichage simple :
1. Dans la zone de texte Modèle, saisissez un modèle utilisant une syntaxe d’expression régulière
simple.
Le caractère générique pour zéro ou plusieurs caractères est « * ». Le caractère générique pour un caractère
est « ? ».
2. Cliquez sur Ajouter.
La nouvelle règle est affichée dans la zone Règles.
3. Sélectionnez les actions à entreprendre :
n
n
Dans la liste déroulante En cas de correspondance, définissez l’action à exécuter si le contenu
d’un paquet est conforme à l’une des règles de la liste.
Dans la liste déroulante Aucune correspondance, définissez l’action à exécuter si le contenu
d’un paquet n’est pas conforme à une règle de la liste.
4. Cochez la case Alarme pour configurer une alarme concernant cet événement.
Une alarme permet d’informer les utilisateurs lorsqu’une règle de proxy s’applique au trafic réseau.
Pour définir les options de l’alarme, ouvrez une fenêtre de configuration de proxy et, dans la liste
Catégories située dans la partie gauche, sélectionnez Alarme proxy. Vous pouvez envoyer une
User Guide
373
Paramètres proxy
interruption SNMP ou un e-mail, ou ouvrir une fenêtre contextuelle.
5. Pour créer un message concernant cet événement dans le journal de trafic, cochez la case Journal.
Ajouter règles (affichage avancé)
Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières
compatibles Perl. Pour plus d’informations sur l’utilisation des expressions régulières, voir À propos des
expressions régulières à la page 376.
1. Dans la boîte de dialogue Configuration de l’action de proxy, cliquez sur Ajouter.
La boîte de dialogue Nouvelle règle <ruletype> s’affiche.
2. Dans la zone de texte Nom de règle, saisissez le nom de la règle.
Cette zone de texte est vide lorsque vous ajoutez une règle ; elle peut être modifiée lorsque vous clonez une
règle et ne peut pas être modifiée lorsque vous modifiez une règle.
3. Dans la liste déroulante Paramètres de règles, sélectionnez une option :
n
n
n
Correspondance exacte — Sélectionnez cette option quand le contenu du paquet doit
coïncider exactement avec le texte de la règle.
Correspondance de modèle – Sélectionnez cette option quand le contenu du paquet doit
coïncider avec un modèle de texte ; peut comporter des caractères génériques.
Expression régulière – Sélectionnez cette option quand le contenu du paquet doit coïncider
avec un modèle de texte à l’aide d’une expression régulière.
4. Dans la zone de texte Paramètres de règles, saisissez le texte de la règle.
Si vous avez sélectionné le paramètre de règle Correspondance de modèle, utilisez un astérisque
(*), un point (.) ou un point d’interrogation (?) comme caractères génériques.
5. Dans la rubrique Actions de règle, dans la liste déroulante Action, sélectionnez l’action que le proxy
doit effectuer pour cette règle.
6. Cochez la case Alarme pour créer une alarme relative à cet événement. Une alarme avertit les
utilisateurs lorsqu’une règle de proxy s’applique au trafic réseau.
7. Pour créer un message concernant cet événement dans le journal de trafic, cochez la case Journal.
374
WatchGuard System Manager
Paramètres proxy
Couper et coller les définitions de règles
Vous pouvez copier et coller le contenu des zones de texte d’une définition de proxy à une autre.
Supposons, par exemple, que vous écriviez un message de refus personnalisé pour le proxy POP3. Vous
pouvez sélectionner le message de refus, le copier, puis le coller dans la zone de texte Message de refus
applicable au proxy SMTP.
Lorsque vous copiez d’une définition de proxy vers une autre, vous devez vous assurer que la zone de texte
depuis laquelle vous copiez est compatible avec le proxy de destination. Seuls les ensembles de règles
faisant partie des quatre groupes répertoriés ci-dessous peuvent être copiés entre les proxies ou les
catégories. Les autres combinaisons ne sont pas possibles.
Types de contenus
Noms de fichier
Adresses
Authentification
Types de contenus HTTP
Téléchargement FTP
E-mails SMTP
source
Authentification SMTP
Types de contenus SMTP
Transfert FTP
E-mails SMTP
cible
Authentification POP3
Types de contenus POP3
Chemins d’adresses URL
HTTP
Noms de fichier SMTP
Noms de fichier POP3
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entiers d’une définition de proxy à une autre.
Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380.
Modifier l’ordre des règles
L’ordre d’affichage des règles dans la liste Règles est semblable à celui utilisé pour la comparaison du trafic
avec ces dernières. Le proxy compare le trafic à la première règle de la liste et continue dans l’ordre du
haut vers le bas de la liste. Lorsque le trafic est conforme à une règle, le périphérique Firebox exécute
l’action correspondante. Aucune autre action n’est réalisée, et ce même si une autre règle plus bas dans la
liste s’applique également au trafic. Veillez à afficher les règles en vue avancée.
Pour modifier l’ordre des règles :
1. Pour afficher les règles en vue avancée, cliquez sur Modifier l’affichage.
2. Sélectionnez la règle dont vous voulez modifier l’ordre.
3. Cliquez sur le bouton Monter ou Descendre afin de déplacer la règle vers le haut ou le bas de la liste.
User Guide
375
Paramètres proxy
Modifier la règle par défaut
Si le trafic n’est conforme à aucune des règles que vous avez définies pour une catégorie de proxy, le
périphérique Firebox emploie la règle par défaut. Cette règle figure au bas de chaque liste de règles en vue
avancée.
Pour modifier la règle par défaut :
1. Sélectionnez la règle par défaut et cliquez sur Modifier.
La boîte de dialogue Modifier la règle par défaut apparaît.
2. Vous pouvez choisir une autre action pour la règle par défaut et préciser si cette action déclenche
une alarme ou un message du journal.
En revanche, il vous est impossible de modifier le nom « Par défaut » ou le positionnement de la
règle, qui doit demeurer en fin de liste.
3. Cliquez sur OK.
À propos des expressions régulières
Une expression régulière est un groupe de lettres, de chiffres et de caractères spéciaux utilisé pour faire
coïncider des données. Vous pouvez utiliser des expressions régulières compatibles avec Perl (PECR) dans
votre configuration Firebox afin de faire coïncider certains types de trafic dans des actions de proxy. Par
exemple, vous pouvez utiliser une expression régulière pour bloquer les connexions à certains sites Web et
autoriser les connexions à d’autres sites Web. Vous pouvez aussi refuser les connexions SMTP lorsque le
destinataire n’est pas une adresse e-mail valide pour votre entreprise. Par exemple, si vous souhaitez bloquer
des parties d’un site Web qui enfreignent la politique d’utilisation d’Internet de votre entreprise, vous pouvez
utiliser une expression régulière dans la catégorie Chemins URL de la configuration de proxy HTTP.
376
WatchGuard System Manager
Paramètres proxy
Règles générales
n
n
Les expressions régulières dans Fireware respectent la casse – Lorsque vous créez une expression
régulière, vous devez veiller à ce que la casse des lettres de votre expression régulière corresponde
à celle du texte que vous voulez faire coïncider. Vous pouvez modifier l’expression régulière de
façon à ce qu’elle ne respecte pas la casse en plaçant le modificateur (?i) au début d’un groupe.
Les expressions régulières dans Fireware sont différentes des caractères génériques MS-DOS et
Unix – Lorsque vous modifiez des fichiers à l’aide de MS-DOS ou de l’invite de commandes
Windows, vous pouvez utiliser ? ou * pour faire coïncider un ou plusieurs caractère(s) dans un nom
de fichier. Ces caractères génériques simples ne fonctionnent pas de la même façon dans Fireware.
Pour plus d’informations sur le fonctionnement des caractères génériques dans Fireware, voir les
rubriques suivantes.
Comment créer une expression régulière
L’expression régulière la plus simple est constituée du texte que vous souhaitez faire coïncider. Les lettres,
chiffres et autres caractères imprimables coïncident tous avec les mêmes lettres, chiffres ou caractères
que vous saisissez. Une expression régulière composée de lettres et de chiffres peut uniquement coïncider
avec une chaîne de caractères comprenant toutes ces lettres et tous ces chiffres dans le bon ordre.
Exemple : 'tas' coïncide avec 'tas', 'tasse' et 'entasser', ainsi qu’avec de nombreuses autres chaînes.
Note Fireware accepte toute chaîne de caractères comprenant l’expression régulière.
Une expression régulière coïncide souvent avec plus d’une chaîne. Si vous utilisez
une expression régulière en tant que source pour une règle de refus, il se peut que
vous bloquiez involontairement une partie du trafic réseau. Il est conseillé de tester
intégralement vos expressions régulières avant d’enregistrer la configuration sur
votre Firebox.
Pour faire coïncider différentes chaînes de caractères en même temps, vous devez utiliser un caractère
spécial. Le caractère spécial le plus commun est le point (.), qui est similaire à un caractère générique.
Lorsque vous mettez un point dans une expression régulière, il coïncide avec n’importe quel caractère,
espace ou tabulation. Le point ne coïncide pas avec les sauts de ligne (\r\n ou \n).
Exemple : 't..s' coïncide avec 'tous', 'tris', 't&#s', 't -s' et 't\t3s'.
Pour faire coïncider un caractère spécial, par exemple un point, vous devez ajouter une barre oblique
inverse (\) avant le caractère. Si vous n’ajoutez pas de barre oblique inverse avant le caractère spécial, la
règle risque de ne pas fonctionner correctement. Il n’est pas nécessaire d’ajouter une seconde barre
oblique inverse si le caractère comporte déjà une barre oblique inverse, tel que \t (taquet de tabulation).
Vous devez ajouter une barre oblique inverse devant chacun de ces caractères spéciaux pour les faire
coïncider avec le caractère réel : ? . * | + $ \ ^ ( ) [
Exemple : 9\.99\€ coïncide avec 9.99 €
User Guide
377
Paramètres proxy
Caractères hexadécimaux
Pour faire coïncider des caractères hexadécimaux, utilisez \x ou %0x%. Les caractères hexadécimaux ne
sont pas affectés par le modificateur d’insensibilité à la casse.
Exemple : \x66 ou %0x66% coïncident avec f, mais pas avec F.
Répétition
Pour faire coïncider un nombre variable de caractères, vous devez utiliser un modificateur de répétition.
Vous pouvez appliquer le modificateur à un caractère simple ou à un groupe de caractères. Il existe quatre
types de modificateurs de répétition :
n
n
n
n
Les chiffres compris entre accolades (tels que {2,4}) signifient "autant de fois que le premier chiffre
au minimum", ou "autant de fois que le second chiffre au maximum".
Exemple : 3{2,4} coïncide avec 33, 333 ou 3333. En revanche, cette chaîne ne coïncide pas avec 3
ou 333333.
Le point d’interrogation (?) coïncide avec zéro ou une occurrence du caractère, de la classe ou du
groupe qui le précède.
Exemple : fru?it coïncide avec fruit et frit.
Le signe plus (+) coïncide avec une ou plusieurs occurrences du caractère, de la classe ou du groupe
qui le précède.
Exemple : to+n coïncide avec ton, toon et toooooooon.
L’astérisque (*) coïncide avec zéro ou plusieurs occurrences du caractère, de la classe ou du groupe
qui le précède.
Exemple : to*n coïncide avec tn, ton, toon et tooooooon.
Pour appliquer les modificateurs à plusieurs caractères à la fois, vous devez créer un groupe. Pour grouper
une chaîne de caractères, mettez la chaîne entre parenthèses.
Exemple : ba(na)* coïncide avec ba, bana, banana et banananananana.
Classes de caractères
Pour faire coïncider un caractère d’un groupe, utilisez des crochets à la place des parenthèses pour créer
une classe de caractères. Vous pouvez appliquer des modificateurs de répétition à une classe de
caractères. L’ordre des caractères à l’intérieur de la classe n’a pas d’importance.
Les seuls caractères spéciaux autorisés à l’intérieur d’une classe de caractères sont le crochet fermant (]), la
barre oblique inverse (\), l’accent circonflexe (^) et le tiret (-).
Exemple : gr[ia]s coïncide avec gris et gras.
Pour utiliser un accent circonflexe dans la classe de caractères, ne le placez pas en début de classe.
Pour utiliser un tiret dans la classe de caractères, placez-le en début de classe.
Une classe de caractères « niée » coïncide avec tout sauf les caractères spécifiés. Saisissez un accent
circonflexe (^) au début d’une classe de caractères pour en faire une classe de caractères « niée ».
Exemple : [Qq][^u] coïncide avec Qatar, mais pas avec question ni Iraq.
378
WatchGuard System Manager
Paramètres proxy
Intervalles
Les classes de caractères sont souvent utilisées avec des intervalles de caractères pour représenter une
lettre ou un chiffre. Un intervalle est constitué de deux lettres ou de deux chiffres séparé(e)s par un tiret (), marquant le début et la fin d’un groupe de caractères. Tout caractère compris dans cet intervalle peut
coïncider. Si vous ajoutez un modificateur de répétition à une classe de caractères, la classe précédente est
répétée.
Exemple : [1-3][0-9]{2} coïncide avec 100 et 399, ainsi qu’avec tous les nombres situés entre les deux.
Certains intervalles utilisés fréquemment ont une notation abrégée. Vous pouvez utiliser les classes de
caractères abrégées à l’intérieur ou à l’extérieur d’autres classes de caractères. Une classe de caractères
abrégée « niée » coïncide avec le contraire de ce avec quoi coïncide la classe de caractères abrégée. Le
tableau ci-dessous comprend plusieurs classes de caractères abrégées courantes ainsi que leurs valeurs niées.
Classe équivalente à
Valeur niée équivalente à
\w N’importe quel(le) lettre ou
chiffre [A-Za-z0-9]
\W Autre qu’une lettre ou un chiffre
\s N’importe quel caractère
d’espace [ \t\r\n]
\S Autre qu’un espace
\d N’importe quel chiffre [0-9]
\D Autre qu’un chiffre
Ancres
Pour faire coïncider le début ou la fin d’une ligne, vous devez utiliser une ancre. L’accent circonflexe (^)
coïncide avec le début d’une ligne et le symbole dollar ($) coïncide avec la fin d’une ligne.
Exemple : ^am.*$ coïncide avec 'ampère' si 'ampère' est le seul mot sur la ligne. Il ne coïncide pas
avec 'dame'.
Vous pouvez utiliser \b pour faire coïncider une frontière de mot ou \B pour faire coïncider n’importe
quelle position qui n’est pas une frontière de mot.
Il existe trois types de frontières de mots :
n
n
n
Avant le premier caractère de la chaîne de caractères, si le premier caractère est un caractère de
mot (\w)•
Après le dernier caractère de la chaîne de caractères, si le dernier caractère est un caractère de
mot (\w)•
Entre un caractère de mot (\w) et un caractère de non-mot (\W)
Alternance
Vous pouvez utiliser l’alternance pour faire coïncider une expression régulière simple à partir de plusieurs
expressions régulières possibles. L’opérateur d’alternance d’une expression régulière est le caractère de
séparateur vertical (|). Il est similaire à l’opérateur booléen OR.
Exemple : gr(i|a|o)s coïncide avec la première occurrence de 'gris', 'gras' ou 'gros'.
User Guide
379
Paramètres proxy
Expressions régulières courantes
Faire coïncider avec le type de contenu PDF (type MIME)
^%PDFFaire coïncider avec n’importe quelle adresse IP valide
(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9] [0-9]?)\.(25[0-5]|2[0-4][09]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)
Faire coïncider avec la plupart des adresses e-mail
[A-Za-z0-9._-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}
Importer et exporter ensembles de règles
Si vous gérez plusieurs Firebox, vous pouvez importer et exporter des ensembles de règles entre elles.
Vous économisez ainsi du temps car vous ne définissez les règles qu’une seule fois. Il vous suffit de définir
les règles une fois pour une définition de proxy, de les exporter dans un fichier XML, puis de les importer
dans une nouvelle définition de proxy.
1.
2.
3.
4.
Créez les ensembles de règles pour un proxy ou une catégorie.
Au besoin, cliquez sur Modifier l’affichage pour afficher l’ensemble de règles en vue avancée.
Cliquez sur Exporter.
Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le
fichier XML.
L’emplacement par défaut est Mes documents > Mon WatchGuard.
5.
6.
7.
8.
Tapez un nom pour le fichier, puis cliquez sur Enregistrer.
Dans la nouvelle définition de proxy, cliquez sur Importer.
Recherchez le fichier que vous avez créé à l’étape 2, puis cliquez sur Ouvrir.
Si des règles sont déjà définies pour le nouveau proxy, le système commence par vous demander si
vous souhaitez supprimer l’ancien ensemble de règles.
n
n
Cliquez sur Oui pour supprimer les règles existantes et les remplacer par les nouvelles.
Cliquez sur Non pour conserver les règles existantes et inclure celles importées dans
l’ensemble de règles.
Copier des ensembles de règles entre différents proxies ou catégories
Certains ensembles de règles peuvent être utilisés dans plusieurs proxies ou catégories. Par exemple, vous
pouvez exporter l’ensemble de règles Types de contenus d’une action de proxy HTTP, puis l’importer dans
l’ensemble de règles du même nom d’une action de proxy SMTP. De même, vous pouvez exporter
l’ensemble de règles E-mails SMTP source vers l’ensemble de règles E-mails SMTP cible.
Pour plus d’informations sur les groupes entre lesquels vous pouvez copier des ensembles de règles, voir
Couper et coller les définitions de règles à la page 375.
380
WatchGuard System Manager
Paramètres proxy
À propos des actions de proxy
Une action de proxy est un groupe spécifique de paramètres, de sources ou de destinations pour un type
de proxy. Votre configuration pouvant comprendre plusieurs stratégies de proxy du même type, chaque
stratégie de proxy utilise une action de proxy différente. Chaque stratégie de proxy comporte des actions
de proxy prédéfinies, ou par défaut, pour les clients et les serveurs. Par exemple, vous pouvez utiliser une
action de proxy pour les paquets envoyés à un serveur POP3 protégé par le périphérique Firebox ou XTM
et une autre action de proxy qui sera appliquée aux e-mails récupérés par les clients POP3.
Vous pouvez créer plusieurs actions de proxy différentes pour les clients ou les serveurs, ou pour un type
de stratégie de proxy spécifique. Cependant, vous ne pouvez attribuer qu'une seule action de proxy à
chaque stratégie de proxy. Par exemple, une stratégie POP3 est liée à une action de proxy POP3-client. Si
vous souhaitez créer une action de proxy POP3 pour un serveur POP3, ou une action de proxy
supplémentaire pour des clients POP3, vous devez ajouter de nouvelles stratégies de proxy POP3 utilisant
ces nouvelles actions de proxy dans Policy Manager.
Définir l’action de proxy
1. Dans la boîte de dialogue Ajouter/Modifier des propriétés de stratégie, sélectionnez l’onglet
Propriétés.
2. Dans la liste déroulante Action de proxy, sélectionnez l’action de proxy à utiliser avec cette stratégie
de proxy.
Modifier, supprimer ou cloner des actions de proxy
Vous pouvez également modifier, supprimer ou cloner une action de proxy prédéfinie ou une action de
proxy que vous avez déjà créée :
1. SélectionnezConfigurer > Actions > Proxies.
2. Dans la boîte de dialogue Actions de proxy, choisissez l'action de proxy à modifier, supprimer ou
cloner.
3. Cliquez sur Modifier, Supprimer ou Cloner.
Il est impossible de supprimer les actions de proxy prédéfinies (affichées en bleu). Seules les actions
de proxy définies par l'utilisateur (affichées en noir) peuvent être supprimées.
User Guide
381
Paramètres proxy
Pour plus d'informations sur les paramètres d'action de proxy, consultez la rubrique À propos de pour
chaque proxy.
À propos de DNS proxy à la page 391
À propos de la Proxy FTP à la page 398
À propos de la Passerelle ALG H.323 à la
page 405
À propos du proxy HTTP à la page 411
À propos de la Proxy HTTPS à la page 428
À propos de la Proxy POP3 à la page 434
À propos de la Proxy SIP à la page 445
À propos de la Proxy SMTP à la page 452
À propos de la Proxy TCP-UDP à la page 466
Importer ou exporter des actions de proxy
Si vous gérez plusieurs périphériques Firebox ou XTM et devez leur appliquer les mêmes stratégies, vous
pouvez utiliser la fonction d'importation/exportation de stratégie pour gagner du temps. Vous pouvez
définir les actions de proxy sur un périphérique Firebox ou XTM, les exporter vers un fichier texte, puis
importer les stratégies dans un autre périphérique Firebox ou XTM.
Pour plus d’informations, cf. Importer et exporter Actions de proxy définies par l’utilisateur à la page 383.
À propos des actions de proxy prédéfinies et définies par l’utilisateur
actions de proxy
Fireware XTM comporte des actions de proxy de clients et de serveurs prédéfinies pour chaque proxy. Ces
actions sont configurées en vue d’équilibrer les exigences d’accessibilité d’une entreprise standard et les
besoins de protection contre les attaques de vos biens informatiques. Vous ne pouvez pas modifier les
paramètres des actions de proxy prédéfinies. Si vous souhaitez changer la configuration, vous devez cloner
(copier) la définition existante et l’enregistrer en tant qu’action de proxy définie par l’utilisateur.
382
WatchGuard System Manager
Paramètres proxy
Par exemple, pour modifier un paramètre de l’action de proxy HTTP-Client, vous devez l’enregistrer sous un
autre nom, comme HTTP-Client.1. Cette opération est nécessaire uniquement si vous modifiez des
ensembles de règles. Si vous éditez des paramètres généraux tels que les sources ou destinations autorisées
ou les paramètres NAT d’une stratégie, il est inutile d’enregistrer le paramètre sous un nouveau nom.
Importer ou exporter des actions de proxy
Si vous gérez plusieurs périphériques Firebox et avez défini pour ceux-ci des actions de proxy, vous pouvez
utiliser la fonction d’importation/exportation de stratégie pour gagner du temps. Vous pouvez définir les
actions de proxy sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans un
autre périphérique Firebox. Pour plus d’informations, voir Importer et exporter Actions de proxy définies
par l’utilisateur à la page 383.
Importer et exporter Actions de proxy définies par l’utilisateur
Si vous gérez plusieurs périphériques Firebox auxquels sont associées des actions de proxy définies par
l’utilisateur, vous pouvez utiliser la fonction d’importation/exportation d’action de stratégie pour gagner du
temps. Vous pouvez définir des actions de proxy personnalisées sur un périphérique Firebox, les exporter
vers un fichier ASCII, puis les importer dans un autre périphérique Firebox.
Le périphérique Firebox pour lequel vous avez créé les stratégies doit exécuter la même version de WSM
que la version de Policy Manager que vous utilisez pour importer les actions de proxy. Vous ne pouvez pas
importer une action de proxy d’une version précédente dans la version actuelle.
1. Sur le premier périphérique Firebox, créez les actions de proxy définies par l’utilisateur.
2. Dans la boîte de dialogue Actions de proxy, cliquez sur Exporter.
Il est inutile de sélectionner les actions définies par l’utilisateur. La fonction d’exportation permet
d’exporter automatiquement toutes les actions de proxy personnalisées quelle que soit celle qui est
sélectionnée.
3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous souhaitez enregistrer le
fichier des actions de proxy.
L’emplacement par défaut est Mes documents > Mon WatchGuard.
4. Tapez un nom pour le fichier, puis cliquez sur Enregistrer.
5. Sur un autre périphérique Firebox, dans la boîte de dialogue Actions de proxy de Policy Manager,
cliquez sur Importer.
6. Recherchez le fichier que vous avez créé à l’étape 3, puis cliquez sur Ouvrir.
7. Si des actions de proxy définies par l’utilisateur sont déjà configurées dans Policy Manager, le
système vous demande si vous voulez les remplacer ou ajouter les actions importées aux actions
existantes. Cliquez sur Remplacer ou sur Ajouter.
n
n
User Guide
Remplacer : les actions de proxy définies par l’utilisateur existantes sont supprimées et
remplacées par les nouvelles.
Ajouter : les actions existantes et celles importées sont incluses conjointement dans la boîte de
dialogue.
383
Paramètres proxy
Utiliser des types de contenus prédéfinis
Vous pouvez limiter le trafic réseau HTTP et les pièces jointes d’e-mails POP3 ou SMTP en fonction du type
de contenu. Vous pouvez utiliser les catégories Type de contenu de ces stratégies de proxy pour autoriser
ou refuser des types de contenus spécifiques.
Lorsque vous cliquez sur le bouton Prédéfini de l’une de ces catégories de proxy, la boîte de dialogue
Sélectionner le type de contenu s’affiche. Sélectionnez un ou plusieurs types de contenus communs que
vous souhaitez ajouter à l’ensemble de règles Types de contenus, puis cliquez sur OK. Utilisez les touches
Ctrl et/ou Maj pour sélectionner plusieurs types de contenus à la fois.
À propos des configurations de blocage d’applications
Vous pouvez utiliser Application Blocker pour définir les actions que devra effectuer votre périphérique
Firebox ou XTM lorsqu’une stratégie de proxy TCP-UDP, HTTP ou HTTPS détecte une activité réseau
provenant d’applications de messagerie instantanée ou de pair à pair (P2P).
Application Blocker identifie les applications de messagerie instantanée suivantes :
n
n
n
n
n
n
AIM (AOL Instant Messenger)
ICQ
IRC
MSN Messenger
Skype
Yahoo! Messenger
Note Application Blocker ne peut pas bloquer les sessions Skype déjà actives. Pour plus
d’informations, cf. À propos de Skype et du blocage d’applications.
Application Blocker identifie les applications P2P suivantes :
n
n
n
n
n
n
BitTorrent
Ed2k (eDonkey2000)
Gnutella
Kazaa
Napster
Winny
Note Le service Intrusion Prevention Service n'est pas requis pour utiliser la
fonctionnalité de blocage d'application.
Créer une configuration Application Blocker
Pour bloquer le trafic d’applications de messagerie instantanée et de pair à pair (P2P) communes, vous
pouvez utiliser Policy Manager pour créer une configuration d’Application Blocker. Vous pouvez utiliser
cette configuration dans une ou plusieurs stratégies afin d’appliquer des règles de trafic homogènes.
Pour créer une configuration Application Blocker :
384
WatchGuard System Manager
Paramètres proxy
1. Sélectionnez Installation > Actions >Application Blocker.
La boîte de dialogue Application Blocker s'affiche.
2. Cliquez sur Ajouter.
La boîte de dialogue Nouvelle configuration Application Blocker s'affiche. L'onglet Messagerie instantanée est
sélectionné par défaut.
3. Dans la zone de texte Nom, saisissez un nom pour cette configuration Application Blocker.
4. (Facultatif) Dans la zone de texte Description, saisissez une courte description de la configuration.
5. Dans la liste déroulante, sélectionnez l’action que le périphérique Firebox ou XTM doit effectuer
lorsqu’il détecte un trafic de messagerie instantanée :
n
n
Autoriser Autorise le paquet à rejoindre le destinataire, même si le contenu coïncide avec une
signature.
Abandonner Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur.
3. Cochez la case pour chaque application de messagerie instantanée à inclure dans l’action de proxy.
Pour sélectionner toutes les applications de messagerie instantanée de la liste, cochez la case
Toutes les catégories.
4. Pour définir les actions relatives aux applications P2P, sélectionnez l’onglet P2P.
User Guide
385
Paramètres proxy
5. Dans la liste déroulante, sélectionnez l’action que le périphérique Firebox ou XTM doit effectuer
lorsqu’il détecte un trafic P2P :
n
n
Autoriser Autorise le paquet à rejoindre le destinataire, même si le contenu coïncide avec une
signature.
Abandonner Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur.
3. Cochez la case pour chaque application P2P à inclure dans l’action de proxy.
Pour sélectionner toutes les applications P2P de la liste, cochez la case Toutes les catégories.
4. Pour configurer la journalisation et la notification pour cette configuration Application Blocker,
cliquez sur Journalisation et notification.
La boîte de dialogue Journalisation et notification s’ouvre.
Pour plus d’informations sur les paramètres de journalisation et de notification, voir Définir les
préférences de journalisation et de notification .
5. Cliquez sur OK pour créer la configuration Application Blocker.
La nouvelle configuration Application Blocker s'affiche dans la boîte de dialogue Application Blocker.
6. Cliquez sur Fermer.
Après avoir créé la configuration d’Application Blocker, vous pouvez actualiser vos configurations de proxy
TCP-UDP, HTTP ou HTTPS pour utiliser la configuration d’Application Blocker que vous avez créée.
386
WatchGuard System Manager
Paramètres proxy
À propos de Skype et du bloqueur d’application
Skype est une application réseau pair à pair (P2P) très courante, utilisée pour effectuer des appels vocaux,
envoyer des messages texte, transférer des fichiers ou participer à des vidéoconférences via Internet. Le
client Skype utilise une combinaison dynamique de ports comportant les ports sortants 80 et 443. Le trafic
Skype est très difficile à détecter et à bloquer parce qu’il est chiffré et parce que le client Skype est très
flexible et capable de contourner les pare-feu réseau.
Vous pouvez configurer le bloqueur d’applications pour bloquer une connexion utilisateur au réseau Skype.
Il est important de bien comprendre que le bloqueur d’applications peut bloquer uniquement la connexion
initiale à Skype. Il ne peut pas bloquer le trafic pour un client Skype qui s’est déjà connecté et qui dispose
d’une connexion active. Par exemple :
n
n
Si un utilisateur distant se connecte à Skype lorsque l’ordinateur n’est pas connecté à votre réseau,
et que l’utilisateur se connecte ensuite à votre réseau pendant que le client Skype est encore actif,
le bloqueur d’applications ne pourra pas bloquer le trafic Skype tant que l’utilisateur ne se sera pas
déconnecté de l’application Skype ou n’aura pas redémarré l’ordinateur.
Lorsque vous configurez le bloqueur d’application pour bloquer Skype, tout utilisateur étant déjà
connecté sur le réseau Skype n’est pas bloqué tant qu’il ne se déconnecte pas de l’application Skype
ou ne redémarre pas son ordinateur.
Lorsque le bloqueur d’application bloque une connexion Skype, il ajoute les adresses IP des serveurs Skype
à la liste des sites bloqués. Pour ces adresses IP bloquées, la source de déclenchement est l’administrateur
et la raison est gestion des paquets par défaut.
Note La liste des sites bloqués interdisant le trafic entre les serveurs Skype et tous les
utilisateurs du réseau, l’accès à Skype est bloqué pour tous les utilisateurs.
Les adresses IP de serveurs Skype figurent sur la liste des serveurs bloqués pendant la durée que vous
spécifiez dans la zone de texte Durée du blocage automatique de sites lors de la configuration des sites
bloqués. La valeur par défaut est de 20 minutes. Si vous bloquez Skype puis modifiez la configuration pour
annuler ce blocage, les adresses IP des serveurs Skype figurant sur la liste des sites bloqués restent
bloquées jusqu’à expiration du blocage, ou jusqu’à ce que vous les retiriez manuellement de cette liste.
Lorsque le bloqueur d’application bloque une connexion Skype, un message du journal apparaît dans le
moniteur du trafic qui indique que l’accès aux adresses IP de serveurs Skype a été refusé car l’adresse
figure sur la liste des sites bloqués.
Pour plus d’informations sur le réglage de la durée du blocage automatique de sites, voir Modifier la durée
du blocage automatique des sites à la page 500.
Bloquer les connexions Skype
Pour bloquer les connexions Skype, vous devez créer une configuration du bloqueur d’application puis
sélectionner Skype comme type d’application à bloquer. Ensuite, vous devez appliquer la configuration à
votre stratégie de proxy TCP/UDP.
Pour plus d’informations sur la création d’une configuration du bloqueur d’application, voir À propos des
configurations de blocage d’applications à la page 384.
User Guide
387
Paramètres proxy
Prévention des intrusions (Intrusion Prevention) dans les
définitions de proxy
Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre
réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en
vue d’attaquer des réseaux tiers.
Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention
Service (IPS) pour votre périphérique Firebox. IPS fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS
et TCP-UDP.
Pour activer et configurer IPS, vous pouvez lancer l’assistant IPS ou utiliser l’ensemble de règles IPS dans
une définition de proxy.
En exécutant l’Assistant Activate Intrusion Prevention Wizard
1. Ouvrez Policy Manager.
2. Sélectionnez Services d’abonnement > Intrusion Prevention > Activer.
L’assistant Activate Intrusion Prevention Wizard s’affiche.
3. Terminez l’assistant.
Pour plus d’informations, voir Activation Intrusion Prevention Service à la page 1111.
Utilisation de l’ensemble de règles Intrusion Prevention dans la
définition de proxy
1. Obtenir une clé de fonctionnalité auprès de LiveSecurity pour IPS et Ajouter une clé de fonctionnalité
à Firebox.
2. Ajouter une stratégie de proxy à votre configuration.
Vous pouvez également modifier un proxy existant.
3. Dans la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur
l’onglet Propriétés.
4. Cliquez sur .
5. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention.
6. Dans la partie droite de la fenêtre, Configurer les actions IPS.
Ajouter une stratégie de proxy à votre
configuration
Lorsque vous ajoutez une stratégie de proxy ou une passerelle ALG (application layer gateway) à votre
configuration Fireware XTM, vous devez spécifier les types de contenus que le périphérique Firebox ou
XTM doit rechercher lorsqu’il examine le trafic réseau. Si le contenu correspond (ou non) aux critères de la
définition du proxy ou de la passerelle ALG, le trafic est autorisé (ou refusé).
388
WatchGuard System Manager
Paramètres proxy
Vous pouvez utiliser les paramètres par défaut de la stratégie de proxy ou de la passerelle ALG ou bien
définir des paramètres correspondant au trafic réseau de votre organisation. Il vous est également possible
de créer des stratégies de proxy ou des passerelles ALG supplémentaires pour gérer les différentes parties
de votre réseau.
Il est important de noter que la stratégie de proxy ou la passerelle ALG requiert plus de puissance de
processeur qu'un filtre de paquets. Si vous ajoutez un nombre important de stratégies de proxy ou de
passerelles ALG à votre configuration, le trafic réseau peut s’en trouver ralenti. Toutefois, un proxy ou une
passerelle ALG a recours à des méthodes que les filtres de paquets ne peuvent pas utiliser pour intercepter
les paquets dangereux. Chaque stratégie de proxy inclut un ensemble de paramètres que vous pouvez
ajuster de manière à créer un équilibre entre vos besoins en termes de sécurité et vos objectifs de
performances.
Vous pouvez utiliser Policy Manager pour ajouter une stratégie de proxy.
1. Cliquez sur
.
Ou sélectionnez Modifier> Ajouter des stratégies.
La boîte de dialogue Ajouter des stratégies s’ouvre.
2. Développez le dossier Proxies.
Une liste de stratégies de proxy s’affiche.
3. Sélectionnez le type de stratégie de proxy que vous souhaitez créer. Cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
User Guide
389
Paramètres proxy
Pour plus d'informations sur les propriétés de base de toutes les stratégies, voir À propos des propriétés de
stratégie à la page 359.
Les stratégies de proxy et les passerelles ALG possèdent des ensembles de règles par défaut qui offrent un
bon équilibre entre la sécurité et l’accessibilité pour la plupart des installations. Si un ensemble de règles
par défaut ne correspond pas au trafic réseau que vous souhaitez examiner, vous pouvez ajouter,
supprimer ou modifier des règles. Pour plus d’informations, cf. À propos de règles et ensembles de règles à
la page 371 et la rubrique « À propos de » concernant le type de stratégie que vous avez ajouté.
À propos de DNS proxy à la page 391
À propos de la Proxy FTP à la page 398
À propos de la Passerelle ALG H.323 à la
page 405
À propos du proxy HTTP à la page 411
À propos de la Proxy HTTPS à la page 428
390
À propos de la Proxy POP3 à la page 434
À propos de la Proxy SIP à la page 445
À propos de la Proxy SMTP à la page 452
À propos de la Proxy TCP-UDP à la page 466
WatchGuard System Manager
Paramètres proxy
À propos de DNS proxy
DNS (Domain Name System) est un système réseau de serveurs qui traduit des adresses IP numériques en
adresses Internet hiérarchiques, lisibles. Le DNS permet à votre réseau d'ordinateurs de comprendre, par
exemple, que vous souhaitez atteindre le serveur situé à l'adresse 200.253.208.100 lorsque vous saisissez
un nom de domaine dans le navigateur, tel que www.watchguard.com. Avec Fireware XTM, vous avez le
choix entre deux méthodes différentes pour contrôler le trafic DNS : le filtre de paquets DNS et la stratégie
de proxy DNS. Le proxy DNS est utile uniquement si les requêtes DNS sont routées via votre Firebox.
Lorsque vous créez un fichier de configuration, le fichier inclut automatiquement une stratégie de filtrage
de paquets « Sortant » qui autorise toutes les connexions TCP et UDP provenant de vos réseaux approuvés
et facultatifs vers l’extérieur. Cela permet à vos utilisateurs de se connecter à un serveur DNS externe à
l'aide des ports TCP 53 et UDP 53 standard. Étant donné que « Sortant » est un filtre de paquets, il ne peut
pas protéger contre les chevaux de Troie du trafic sortant UDP, les failles de sécurité DNS et autres
problèmes courants qui se produisent lorsque vous ouvrez l’ensemble du trafic UDP sortant à partir de vos
réseaux approuvés. Le proxy DNS présente des fonctionnalités qui protègent votre réseau de ces menaces.
Si vous utilisez des serveurs DNS externes pour votre réseau, l’ensemble des règles DNS-Sortant fournit des
méthodes supplémentaires permettant de contrôler les services disponibles pour votre communauté de
réseaux.
Pour ajouter le proxy DNS à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 388.
Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier
les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets :
Stratégie, Propriétés et Avancé. Sur l'onglet Propriétés, vous pouvez également modifier l'ensemble de
règles par défaut des actions de proxy.
Pour plus d’informations, voir À propos des actions de proxy à la page 381.
Onglet Stratégie
n
n
n
Les connexions DNS-proxy sont — Spécifiez si l'état des connexions est Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez celui qui apparaît dans la liste De et Vers (de l'onglet Stratégie
de la définition du proxy). Voir Définir des règles d’accès pour une stratégie à la page 360.
Utiliser le routage basé sur stratégie — voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la translation d'adresses réseau statique ou configurer
l'équilibrage de charge de serveur. Voir À propos de NAT statique à la page 180 et Configurer les
équilibrage de charge côté serveur à la page 182.
Onglet Propriétés
n
n
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur. Pour plus d'informations sur les actions de proxy, voir À propos des actions de proxy
à la page 381.
Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 656.
User Guide
391
Paramètres proxy
n
n
Si vous définissez la liste déroulante Les connexions sont (de l'onglet Stratégie) sur Refusées ou sur
Refusées (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d'utiliser le DNS. Voir
Bloquer temporairement les sites avec des paramètres de stratégie à la page 500.
Pour utiliser un délai d'inactivité autre que celui défini par Firebox ou le serveur d'authentification,
Définir un délai d'inactivité personnalisé à la page 365.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles selon les besoins particuliers de votre entreprise.
Pour modifier les paramètres et ensembles de règles d'une action de proxy :
1. Cliquez sur
.
2. Sélectionnez une catégorie :
n
n
n
n
n
n
Proxy DNS : Paramètres généraux
DNS proxy : OPcodes
Proxy DNS : Types de requêtes
DNS proxy : Noms des requêtes
Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy
Proxy et antivirus les alarmes. Les interruptions et la notification SNMP sont désactivées par
défaut.
3. Mettez à jour l'ensemble de règles.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (1-to-1 NAT et la traduction d'adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Proxy DNS : Paramètres généraux
Vous pouvez modifier les paramètres de deux règles de détection d'anomalie de protocole sur la page
Général. Nous vous recommandons de ne pas modifier les paramètres par défaut.
392
WatchGuard System Manager
Paramètres proxy
N’appartient pas à la classe Internet
Sélectionnez l'action à effectuer lorsque le proxy analyse le trafic DNS qui n'appartient pas à la classe
Internet (IN). L’action par défaut consiste à refuser le trafic. Nous vous recommandons de ne pas
modifier l’action par défaut.
Requête formatée de façon incorrecte
Sélectionnez l’action à effectuer lorsque le proxy analyse le trafic DNS qui n’utilise pas le format
correct.
Alarme
Une alarme est un mécanisme qui consiste à avertir les utilisateurs dès qu’une règle de proxy
s’applique au trafic réseau. Activez la case à cocher Alarme pour configurer une alarme pour
l’événement. Pour définir les options de l’alarme, ouvrez une fenêtre de configuration de proxy et,
dans la liste Catégories située dans la partie gauche, sélectionnez Alarme proxy. Vous pouvez
envoyer une interruption SNMP ou un e-mail, ou ouvrir une fenêtre contextuelle.
Journal
Cochez cette case pour envoyer un message au journal du trafic de cet événement.
Activer la journalisation pour les rapports
Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal
volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si
vous ne cochez pas cette case, vous ne verrez pas les informations détaillées concernant les
connexions de proxy DNS dans les rapports.
DNS proxy : OPcodes
Les OPcodes (codes d’opération) DNS sont des commandes envoyées au serveur DNS pour lui indiquer
d’effectuer certaines actions, telles qu’une requête (Query), une requête inverse (IQuery) ou un demande
d’état du serveur (STATUS). Ils agissent sur des éléments tels que les registres, les valeurs en mémoire, les
valeurs stockées sur la pile, les ports E/S et le bus. Vous pouvez ajouter, supprimer ou modifier les règles
dans l'ensemble de règles par défaut. Vous pouvez autoriser, refuser, supprimer ou bloquer des OPcodes
DNS spécifiques.
1. Dans l'arborescence Catégories, sélectionnez OPCodes.
2. Pour les règles répertoriées, cochez la case Activé pour activer une règle. Désactiver la case à
cocher Activé pour désactiver une règle.
Note Si vous utilisez Active Directory et que votre configuration Active Directory nécessite
des mises à jour dynamiques, vous devez autoriser les OPCodes dynamiques dans
vos règles d’action de proxy de trafic entrant DNS. Bien que cette action constitue
un risque pour la sécurité, elle est nécessaire pour que le service Active Directory
fonctionne correctement.
User Guide
393
Paramètres proxy
Ajouter une nouvelle règle OPCodes
1. Cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
2. Saisissez le nom de la règle.
Les règles doivent comporter un maximum de 200 caractères.
3. Définissez la valeur OPCode à l'aide des flèches. Les OPCodes DNS sont un nombre entier.
Pour plus d’informations sur les entiers des OPCodes DNS, voir la RFC 1035.
Supprimer ou modifier des règles
1. Ajoutez, supprimez ou modifiez des règles tel que décrit dans Ajouter, modifier ou supprimer des
règles à la page 372.
2. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
3. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
4. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
5. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d'informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d'ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy DNS : Types de requêtes
Un type de requête DNS peut configurer un enregistrement de ressource par type (par exemple, un
enregistrement CNAME ou TXT) ou en tant que type personnalisé d’opération de requête (par exemple,
une zone de transfert AXFR Full). Vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez
autoriser, refuser, supprimer ou bloquer des types de requêtes DNS spécifiques.
1. Dans l'arborescence Catégories, sélectionnez Types de requêtes.
394
WatchGuard System Manager
Paramètres proxy
2. Pour activer une règle, cochez la case Activé située à côté de l'action et du nom de la règle.
Ajouter une nouvelle règle de types de requêtes
1. Pour ajouter une nouvelle règle de types de requêtes, cliquez sur Ajouter.
La boîte de dialogue Nouvelle règle de types de requêtes s’affiche.
2. Saisissez le nom de la règle.
Les règles doivent comporter un maximum de 200 caractères.
3. Les types de requêtes DNS possèdent une valeur d'enregistrement de ressource. Utilisez les flèches
pour définir la valeur.
Pour plus d’informations sur les valeurs des types de requêtes DNS, voir la RFC 1035.
4. Ajouter, modifier ou supprimer des règles.
5. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
6. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
7. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
8. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d'informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d'ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
User Guide
395
Paramètres proxy
DNS proxy : Noms des requêtes
Un nom de requête DNS désigne un nom de domaine DNS spécifique, affiché sous un nom de domaine
complet. Vous pouvez ajouter, supprimer ou modifier des règles.
1. Dansl'arborescence Catégories,sélectionnezNomsderequêtes.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d'informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d'ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
À propos des enregistrements MX (Mail eXchange)
Un enregistrement MX (Mail eXchange) est un type d’enregistrement DNS indiquant un ou plusieurs noms
d’hôtes des serveurs de messagerie responsables des e-mails et autorisés à en recevoir pour un domaine
donné. Si l’enregistrement MX dispose de plus d’un nom d’hôte, chaque nom dispose d’un numéro
indiquant l’hôte favori et quels hôtes essayer par la suite si l’hôte favori n’est pas disponible.
396
WatchGuard System Manager
Paramètres proxy
Recherche MX
Lorsqu’un serveur de messagerie envoie un e-mail, il commence par effectuer une requête DNS pour
l’enregistrement MX du domaine du destinataire. Lorsqu’il obtient une réponse, le serveur de messagerie
d’envoi connaît les noms d’hôtes d’échangeurs de messagerie pour le domaine du destinataire. Pour
obtenir les adresses IP associées aux noms d’hôtes MX, un serveur de messagerie effectue une deuxième
recherche DNS pour l’enregistrement A du nom d’hôte. La réponse renseigne l’adresse IP associée au nom
d’hôte. Le serveur d’envoi sait ainsi à quelle adresse IP se connecter pour la livraison de messages.
Recherche MX inversée
De nombreuses solutions anticourrier indésirable, notamment celles utilisées par les plus grands réseaux
de FSI et fournisseurs de messagerie Web comme AOL, MSN et Yahoo! utilisent une procédure de
recherche MX inversée. Différentes variantes de la recherche inversée sont utilisées, mais les objectifs sont
identiques : le serveur de réception veut vérifier que l’e-mail qu’il reçoit ne provient pas d’une adresse
d’envoi falsifiée ou fausse, et que le serveur d’envoi est un échangeur de messagerie autorisé pour ce
domaine.
Pour vérifier que le serveur d’envoi est un serveur de messagerie autorisé, le serveur de messagerie de
réception essaie de trouver un enregistrement MX correspondant au domaine de l’expéditeur. S’il n’en
trouve pas, il considère que l’e-mail est un courrier indésirable et le rejette.
Le nom de domaine que le serveur de réception recherche peut être :
n
n
n
n
Nom de domaine dans l’en-tête De : de l’e-mail
Nom de domaine dans l’en-tête Répondre : de l’e-mail
Le nom de domaine utilisé par le serveur d’envoi en tant que paramètre DE (FROM) de la
commande MESSAGERIE (MAIL). (Une commande SMTP diffère d’un en-tête d’e-mail. Le serveur
d’envoi envoie la commande MESSAGE DE : (MAIL FROM:) pour signaler au serveur de réception de
qui provient le message.)
Le nom de domaine renvoyé depuis une requête DNS de l’adresse IP source de la connexion. Le
serveur de réception effectue parfois une recherche d’un enregistrement PTR associé à l’adresse IP.
Un enregistrement PTR pour le serveur DNS est un enregistrement qui mappe une adresse IP sur un
nom de domaine (au lieu d’un enregistrement A normal, qui mappe un nom de domaine sur une
adresse IP).
Avant que le serveur de réception ne continue la transaction, il effectue une recherche DNS pour vérifier si
un enregistrement MX valide existe pour le domaine de l’expéditeur. Si le domaine ne contient aucun
enregistrement DNS MX valide, l’expéditeur n’est alors pas valide et le serveur de réception le rejette en
tant que source de courrier indésirable.
Enregistrements MX et multiWAN
Étant donné que les connexions sortantes provenant de derrière le Firebox peuvent afficher des adresses
IP sources différentes lorsque votre Firebox utilise le multiWAN, vous devez vous assurer que vos
User Guide
397
Paramètres proxy
enregistrements DNS comportent les enregistrements MX pour chaque adresse IP externe affichable en
tant que source quand vous envoyez des e-mails. Si la liste de noms d’hôtes dans l’enregistrement MX de
votre domaine n’en comporte pas pour chaque interface Firebox externe, il est possible que certains
serveurs de messagerie à distance puissent rejeter vos messages e-mail.
Par exemple, L’entreprise XYZ dispose d’un périphérique Firebox configuré avec de multiples interfaces
externes. Firebox utilise l’option de basculement multiWAN. L’enregistrement MX de l’entreprise XYZ ne
contient qu’un nom d’hôte. Le nom d’hôte contient un enregistrement DNS A qui résout l’adresse IP de
l’interface externe principale du périphérique Firebox.
Lorsque l’entreprise XYZ envoie un e-mail à [email protected], l’e-mail est envoyé par l’intermédiaire de
l’interface externe principale. La requête d’e-mail est reçue par l’un des nombreux serveurs de messagerie
de Yahoo. Le serveur de messagerie effectue une recherche MX inversée pour vérifier l’identité de
l’entreprise XYZ. La recherche MX inversée réussit, et l’e-mail est envoyé.
Si un événement de basculement WAN se produit au niveau du périphérique Firebox, toutes les
connexions sortantes de l’entreprise XYZ commencent à passer par l’interface externe secondaire de
sauvegarde. Dans ce cas, lorsque le serveur de messagerie de Yahoo effectue une recherche MX inversée,
il ne trouve pas d’adresse IP pour les enregistrements MX et A de l’entreprise XYZ qui correspondent, et il
rejette l’e-mail. Pour résoudre ce problème, vérifiez que :
n
n
L’enregistrement MX dispose de plusieurs noms d’hôtes, au moins un pour chaque interface
externe Firebox.
Au moins un nom d’hôte dans l’enregistrement MX dispose d’un enregistrement A DNS qui mappe
vers l’adresse IP affectée à chaque interface Firebox.
Ajoutez un autre nom d’hôte à un enregistrement MX
Les enregistrements MX sont stockés au sein des enregistrements DNS de votre domaine. Pour de plus
amples informations sur la façon de configurer vos enregistrements MX, contactez votre fournisseur d’hôte
DNS (si le service DNS de votre domaine est hébergé par un tiers) ou consultez la documentation fournie
par le fournisseur de votre logiciel de serveur DNS.
À propos de la Proxy FTP
Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers
d’un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur
FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Lors du
transfert de données, le client FTP peut se trouver dans l’un des deux modes suivants : actif ou passif. En
mode actif, le serveur démarre la connexion avec le client sur le port source 20. En mode passif, le client
utilise un port précédemment négocié pour se connecter au serveur. Le proxy FTP surveille et analyse les
connexions FTP entre les utilisateurs et les serveurs FTP auxquels ils se connectent.
Avec une stratégie de proxy FTP, vous pouvez :
n
n
398
Définir la longueur maximale du nom d’utilisateur, la longueur du mot de passe, la longueur du nom
de fichier et la longueur de la ligne de commande autorisées dans le proxy pour vous aider à
protéger votre réseau contre les attaques de dépassement de mémoire tampon.
Contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP.
WatchGuard System Manager
Paramètres proxy
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise
un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy
TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 466.
Pour ajouter le proxy FTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 388.
Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier
les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets :
Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de
règles par défaut des actions de proxy.
Pour plus d’informations, voir À propos des actions de proxy.
Onglet Stratégie
Vous utilisez l’onglet Stratégie pour définir les règles d’accès et d’autres options.
n
Les connexions FTP-proxy sont — Spécifiez si les connexions sont Autorisées, Refusées ou Refusées
(envoi de réinitialisation). Définissez ce qui s’affiche dans la liste De et Vers (sur l’onglet Stratégie
de la définition de proxy).
Pour plus d’informations, voir Définir des règles d’accès pour une stratégie.
n
n
Utiliser le routage basé sur stratégie — Configurer le routage basé sur stratégie.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 180 ou Configurer les équilibrage
de charge côté serveur à la page 182.
Onglet Propriétés
n
n
n
n
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur.
Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 656.
Si vous choisissez, dans la liste déroulante Les connexions du proxy FTP sont (dans l’onglet
Stratégie), l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au
protocole FTP seront bloqués.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 500.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé à la page 365.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles selon les besoins particuliers de votre entreprise.
Pour modifier les paramètres et ensembles de règles d’une action de proxy :
User Guide
399
Paramètres proxy
1. Cliquez sur .
2. Sélectionnez une catégorie :
n
n
Proxy FTP : Paramètres généraux
Proxy FTP : Commandes — Par défaut, toutes les commandes sont autorisées pour le client
proxy FTP. Le serveur proxy FTP par défaut autorise l’exécution des commandes ci-après :
ABOR* DELE* NLST*
APPE*
HELP* NOOP* PWD*
CDUP* LIST*
PASS*
CWD*
PASV*
n
n
n
n
PORT* REST*
MKD*
QUIT*
RNTO* SYST*
XCWD*
RETR*
STAT*
TYPE*
XMKD*
RMD*
STOR*
USER*
XRMD*
RNFR* STOU*
XCUP*
FTP proxy : Contenu — Par défaut, le téléchargement des fichiers suivants est refusé pour le client
proxy FTP : fichiers .cab, .com, .dll, .exe et .zip. Le serveur proxy FTP autorise le téléchargement de
tous les fichiers. Les client et serveur proxy autorisent tous deux le transfert de tout type de fichier.
Proxy FTP : Antivirus — Lorsque Gateway AV est activé pour le proxy FTP, par défaut, les connexions
sont abandonnées en cas de détection de virus ou d’erreur d’analyse.
Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy — Lorsqu’Intrusion
Prevention est activé pour le proxy FTP, le paramètre par défaut consiste à abandonner le trafic
correspondant à une signature IPS.
Proxy et antivirus les alarmes — Les interruptions et la notification SNMP sont désactivées par
défaut.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la translation NAT un à un et la translation d’adresses réseau (NAT)
dynamique sont toutes deux activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Proxy FTP : Paramètres généraux
Sur la page Général, vous pouvez régler les paramètres FTP de base, y compris la longueur maximale du
nom d’utilisateur.
1. Dans l’arborescence Catégories, sélectionnez Général.
400
WatchGuard System Manager
Paramètres proxy
2. Pour définir des limites pour les paramètres FTP, activez les cases à cocher de votre choix. Ces
paramètres contribuent à protéger votre réseau contre les attaques de dépassement de mémoire
tampon. Cliquez sur les flèches pour modifier les limites :
Définir la longueur de nom d’utilisateur maximum à
Permet de définir une longueur maximale pour les noms d’utilisateur employés sur les sites FTP.
Définir la longueur de mot de passe maximum à
Permet de définir une longueur maximale pour les mots de passe utilisés pour se connecter
aux sites FTP.
Définir la longueur de nom de fichier maximum à
Permet de définir une longueur maximale pour le nom des fichiers à transférer ou à
télécharger.
Définir la longueur de ligne de commande maximum à
Permet de définir une longueur maximale pour les lignes de commande utilisées sur les sites FTP.
Définir le nombre maximum d’échecs de connexion par connexion à
Permet de limiter le nombre de tentatives de connexion infructueuses à votre site FTP. Ainsi,
vous protégez votre site contre les attaques en force.
3. Vous pouvez, pour chaque paramètre, cocher ou décocher la case Blocage automatique
correspondante.
Si un utilisateur tente de se connecter à un site FTP et dépasse une limite pour laquelle l’option
Blocage automatique est sélectionnée, l’ordinateur qui a émis les commandes est ajouté à la liste
des sites bloqués de façon temporaire.
User Guide
401
Paramètres proxy
4. Pour créer un message de journal pour chaque transaction, cochez la case Activer la journalisation
des rapports.
Vous devez sélectionner cette option pour obtenir des informations détaillées sur le trafic FTP.
5. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
6. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
7. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
8. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Proxy FTP : Commandes
Un certain nombre de commandes permettant de gérer les fichiers est associé au protocole FTP. Vous avez
la possibilité de définir des règles destinées à limiter certaines commandes FTP. Pour restreindre les
commandes qui peuvent être exécutées sur un serveur FTP protégé par le périphérique Firebox,
configurez l’action de proxy FTP-Server.
Avec la configuration par défaut, cette action de proxy bloque les commandes ci-après :
ABOR*
HELP*
PASS*
REST*
STAT*
USER*
APPE*
LIST*
PASV* RETR*
STOR*
XCUP*
CDUP*
MKD*
PORT* RMD*
STOU* XCWD*
CWD*
NLST*
PWD*
SYST*
XMKD*
DELE*
NOOP* QUIT*
RNTO* TYPE*
XRMD*
RNFR*
Utilisez l’action de proxy FTP-Client pour restreindre les commandes que les utilisateurs protégés par le
périphérique Firebox peuvent exécuter lorsqu’ils sont connectés à des serveurs FTP externes. Par défaut,
cette action de proxy autorise toutes les commandes FTP.
Vous pouvez ajouter, supprimer ou modifier des règles. Il est recommandé de ne pas bloquer ces
commandes, car elles sont nécessaires au bon fonctionnement du protocole FTP.
Commande du protocole
Commande du client
Description
USER
n/d
Envoyée avec le nom de connexion
PASS
n/d
Envoyée avec le mot de passe
PASV
pasv
Sélection du mode passif pour le transfert de
données
SYST
syst
Impression du nom et de la version du système
d’exploitation installé sur le serveur. Les clients
FTP se servent de ces informations pour
402
WatchGuard System Manager
Paramètres proxy
Commande du protocole
Commande du client
Description
interpréter et afficher les réponses du serveur
en conséquence.
Pour ajouter, supprimer ou modifier des règles :
1. Dans l’arborescence Catégories, sélectionnez Commandes.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
FTP proxy : Contenu
Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par
exemple, de nombreuses personnes malveillantes utilisent des fichiers exécutables pour infecter les
ordinateurs avec des virus ou des vers, c’est pourquoi vous pouvez refuser les demandes de fichiers *.exe.
De même, si vous ne souhaitez pas que les utilisateurs puissent transférer des fichiers Windows Media vers
un serveur FTP, vous pouvez ajouter *.wma à la définition du proxy et préciser que les fichiers portant
cette extension doivent être rejetés. Utilisez l’astérisque (*) en tant que caractère générique.
Utilisez l’action de proxy FTP-Server pour déterminer les règles applicables à un serveur FTP protégé par le
périphérique Firebox. Utilisez l’action de proxy FTP-Client pour définir les règles relatives aux utilisateurs
qui se connectent à des serveurs FTP externes.
1. Dans l’arborescence Catégories, sélectionnez Transférer ou Télécharger.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez que Gateway AntiVirus procède à une analyse antivirus sur les fichiers transférés,
paramétrez au moins l’un des champs Actions à entreprendre sur Analyse AV.
4. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
à la section relative à la prochaine catégorie à modifier.
5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
6. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
7. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
User Guide
403
Paramètres proxy
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy FTP : Antivirus
Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus
définissent les actions requises en cas de détection d’un virus dans un fichier transféré ou téléchargé.
n
n
n
Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway
AntiVirus à partir de définitions de proxy à la page 1100.
Pour utiliser le menu Services d’abonnement dans Policy Manager pour activer Gateway AntiVirus,
voir Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097.
Pour configurer Gateway AntiVirus pour le proxy FTP, voir Actions de configuration de Gateway
AntiVirus à la page 1101.
Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de
virus ou d’erreur dans un fichier envoyé ou téléchargé. Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
Refuser
Refuse le fichier et envoie un message de refus.
Abandonner
Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message.
Bloquer
Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués.
Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet
supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers
très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le
champ Limiter l’analyse aux premiers.
Pour plus d’informations sur les limites d’analyse maximales et par défaut pour chaque modèle de
périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106.
À propos de la Passerelle ALG H.323
Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter une passerelle
ALG (Application Layer Gateway) H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires
à l’activation du protocole VoIP par le biais de votre périphérique WatchGuard. Une passerelle ALG est
créée pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles
404
WatchGuard System Manager
Paramètres proxy
ALG ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de
conférence comportant des adresses privées et protégé par votre périphérique WatchGuard.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels
seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de
travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser
simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à
ajouter, consultez la documentation fournie avec vos périphériques ou applications voix sur IP.
Composants voix sur IP
La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants :
Connexions pair-à-pair
Dans une connexion pair-à-pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci
peut acheminer le trafic d’appel correctement.
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec H.323, le composant essentiel de la gestion des appels est appelé portier. Un portier gère les appels
voix sur IP pour un groupe d’utilisateurs et peut être placé sur un réseau protégé par votre périphérique
WatchGuard ou en externe. Par exemple, certains fournisseurs voix sur IP hébergent sur leur réseau un
portier auquel vous devez vous connecter avant d’effectuer un appel voix sur IP. D’autres solutions
consistent à installer et gérer un portier sur votre propre réseau.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous
recommandons de vous assurer que les connexions voix sur IP fonctionnent normalement avant d’ajouter
une passerelle ALG H.323 ou SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se
présenter.
Fonctions ALG
Lorsque vous activez une passerelle ALG H.323, votre périphérique WatchGuard :
n
n
n
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
s’assure que les connexions de voix sur IP utilisent les protocoles H.323 standard ;
génère des messages de journal à des fins d’audit.
De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address
Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le
même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez
une passerelle H.323 ou SIP.
User Guide
405
Paramètres proxy
Onglet Stratégie
n
n
n
Les connexions H.323-ALG sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégiede la
définition de la passerelle ALG).
Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 360.
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage
de charge côté serveur à la page 182.
Onglet Propriétés
n
n
n
n
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur.
Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 656.
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser DNS.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 500.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles selon les besoins particuliers de votre entreprise.
Pour modifier les paramètres et ensembles de règles d’une action de proxy :
1. Cliquez sur
.
2. Sélectionnez une catégorie :
n
n
n
Passerelle ALG H.323 : Paramètres généraux
Passerelle ALG H.323 : Contrôle d’accès
Passerelle ALG H.323 : Codecs refusés
Onglet Avancé
Vous pouvez également utiliser ces options dans votre définition de proxy :
n
n
n
406
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
WatchGuard System Manager
Paramètres proxy
n
n
n
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Passerelle ALG H.323 : Paramètres généraux
Sur la page Paramètres généraux, vous pouvez définir des options de sécurité et de performances pour la
passerelle ALG (Application Layer Gateway) H.323.
Activer la protection de collecte de répertoire
Cochez cette case pour éviter que des personnes malveillantes ne volent des informations
utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est activée par défaut.
Nombre maximum de sessions
Utilisez cette fonction pour limiter le nombre de sessions audio ou vidéo pouvant être créées à
l’aide d’un seul appel VoIP. Par exemple, si vous réglez le nombre maximal de sessions sur 1 et
participez à un appel VoIP audio et vidéo, la deuxième connexion est abandonnée. La valeur par
défaut est de deux sessions et la valeur maximale est de quatre sessions. La Firebox crée une entrée
de journal lorsqu’une session média supérieure à ce nombre est refusée.
User Guide
407
Paramètres proxy
Informations d’agent utilisateur
Saisissez la nouvelle chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent utilisateur en
tant que pour que le trafic H.323 sortant soit identifié comme client que vous avez spécifié. Pour
supprimer un agent utilisateur incorrect, effacez la zone de texte.
Délais
Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio,
vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut est de
180 secondes (trois minutes) et la valeur maximale est de 3600 secondes (60 minutes). Pour
spécifier un intervalle de temps différent, saisissez le nombre de secondes dans la zone de texte
Canaux média inactifs.
Activer la journalisation pour les rapports
Cochez cette case pour envoyer un message de journal pour chaque requête de connexion gérée
par la passerelle ALG H.323. Cette option, activée par défaut, est nécessaire pour créer des rapports
précis sur le trafic H.323.
Passerelle ALG H.323 : Contrôle d’accès
Sur la page Contrôle d’accès de la configuration de la passerelle ALG (Application Layer Gateway) H.323,
vous pouvez créer une liste d’utilisateurs autorisés à envoyer du trafic réseau de voix sur IP.
Activer le contrôle d’accès pour VoIP
Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la passerelle
ALG H.323 autorise et limite les appels en fonction des options que vous définissez.
Paramètres par défaut
Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à effectuer
des appels.
408
WatchGuard System Manager
Paramètres proxy
Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à
recevoir des appels.
Cochez la case Journal pour créer un message de journal pour chaque connexion VoIP H.323 passée
ou reçue.
Niveaux d’accès
Pour créer une exception pour les paramètres par défaut que vous avez spécifiés ci-dessus, saisissez
un nom d’hôte, une adresse IP ou une adresse e-mail. Sélectionnez un niveau d’accès dans la liste
déroulante située juste à côté, puis cliquez sur Ajouter. Vous pouvez autoriser les utilisateurs à
passer des appels uniquement, recevoir des appels uniquement, passer et recevoir des appels ou
ne leur octroyer aucun accès VoIP. Ces paramètres s’appliquent uniquement au trafic VoIP H.323.
Si vous souhaitez supprimer une exception, sélectionnez-la dans la liste et cliquez sur Supprimer.
Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont journalisées par
défaut. Si vous ne souhaitez pas journaliser les connexions établies par les utilisateurs ayant une
exception de niveau d’accès, décochez la case Journal située à côté du nom de l’exception dans la liste.
Passerelle ALG H.323 : Codecs refusés
Sur la page Codecs refusés, vous pouvez définir les codecs de voix, vidéo et transmission de données VoIP
que vous souhaitez refuser sur votre réseau.
User Guide
409
Paramètres proxy
Liste des codecs refusés
Utilisez cette fonction pour refuser un ou plusieurs codecs VoIP. Lorsqu’une connexion VoIP H.323
utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard ferme
automatiquement la connexion. Par défaut, cette liste est vide. Nous vous recommandons d’ajouter
un codec à cette liste s’il consomme trop de bande passante, s’il présente un risque de sécurité ou
s’il est nécessaire pour que votre solution VoIP fonctionne correctement. Vous pouvez par exemple
choisir de refuser les codecs G.711 ou G.726 car ils utilisent plus de 32 Ko/s de bande passante, ou
de refuser le codec Speex car il est utilisé par un codec VoIP non autorisé.
Pour ajouter un codec à la liste, saisissez le nom ou le modèle de texte unique du codec dans la zone
de texte, puis cliquez sur Ajouter. Ne pas utiliser de caractères génériques ou de syntaxe
d’expression normale. Les modèles de codecs respectent la casse.
Pour supprimer un codec de la liste, sélectionnez-le et cliquez sur Supprimer.
Consigner chaque transaction correspondant à un schéma de codec refusé
Sélectionnez cette option pour que votre Firebox crée une entrée de journal lorsque du trafic H.323
correspondant à un codec de cette liste est refusé.
À propos du proxy HTTP
Le protocole HTTP (Hyper Text Transfer Protocol) est un protocole de requête/réponse entre clients et
serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante
qui stocke des fichiers HTML, des images et d’autres types de contenus. Lorsqu’un client HTTP démarre une
requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP est à
l'écoute de requêtes sur le port 80. Lorsqu'il reçoit la requête du client, le serveur répond avec le fichier
demandé, un message d'erreur ou un autre type d'informations.
Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les
contenus suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut aussi protéger votre
serveur HTTP contre les attaques.
Avec un filtre de proxy HTTP, vous pouvez :
n
n
n
n
n
Ajuster le délai d’attente et les limites de longueur des requêtes et des réponses HTTP afin d’éviter
que les performances réseau ne soient réduites et de prévenir diverses attaques.
Personnaliser le message de refus que les utilisateurs voient lorsqu’ils tentent de se connecter à un
site Web bloqué par le proxy HTTP.
Filtrer les types MIME de contenu Web.
Bloquer des modèles de chemins et URL spécifiques.
Refuser des cookies provenant de sites Web spécifiques.
Vous pouvez combiner le proxy HTTP avec l'abonnement au service de sécurité WebBlocker. Pour plus
d’informations, cf. À propos de WebBlocker à la page 993.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy HTTP
utilise un port autre que le port 80, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le
proxy TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 466.
410
WatchGuard System Manager
Paramètres proxy
Pour ajouter le proxy HTTP à la configuration de votre périphérique Firebox ou XTM, voir Ajouter une
stratégie de proxy à votre configuration à la page 388.
Utilisez la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier une stratégie de
proxy. Cette boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Dans l’onglet
Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour
plus d’informations, cf. À propos des actions de proxy à la page 381.
Onglet Stratégie
n
n
n
Les connexions du proxy HTTP sont Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé
(envoi réinitialisation) et sélectionnez les utilisateurs, ordinateurs ou réseaux qui apparaissent dans
la liste De et À (dans l’onglet Stratégie de la définition du proxy). Pour plus d’informations, cf. Définir
des règles d’accès pour une stratégie à la page 360.
Utiliser le routage basé sur stratégie Pour utiliser le routage basé sur stratégie dans la définition de
proxy, voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer
l'équilibrage de charge serveur.
Pour plus d’informations, cf. À propos de NAT statique à la page 180 et Configurer les équilibrage de
charge côté serveur à la page 182.
User Guide
411
Paramètres proxy
Onglet Propriétés
n
n
n
n
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur.
Pour plus d'informations sur les actions de proxy, voir À propos des actions de proxy à la page 381.
Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Si vous définissez la liste déroulante Les connexions sont (de l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les périphériques qui tentent de se connecter
sur le port 80.
Pour plus d’informations, cf. Bloquer temporairement les sites avec des paramètres de stratégie à la
page 500.
Pour utiliser un délai d’inactivité autre que celui défini par le périphérique Firebox ou XTM ou le
serveur d’authentification, Définir un délai d'inactivité personnalisé.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles si nécessaire.
Pour modifier les paramètres et ensembles de règles d'une action de proxy :
1. Cliquez sur .
2. Sélectionnez une catégorie :
n
n
n
n
n
n
n
n
n
n
n
n
n
n
n
n
n
Requête HTTP : Paramètres généraux
Requête HTTP : Méthodes de requête
Requête HTTP : Chemins URL
Requête HTTP : En-tête champs
Requête HTTP : Autorisation
Réponse HTTP : Paramètres généraux
Réponse HTTP : Champs d’en-tête
Réponse HTTP : Types de contenus
Réponse HTTP : Cookies
Réponse HTTP : Types de contenus d’ensemble
Proxy HTTP exceptions
Proxy HTTP : WebBlocker
Proxy HTTP : bloqueur d’application
Proxy HTTP : Antivirus
Proxy HTTP : Intrusion Prevention
Proxy HTTP : Message de refus
Utiliser un serveur proxy de mise en cache
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
n
n
n
412
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
WatchGuard System Manager
Paramètres proxy
n
n
n
Appliquer les règles NAT (la translation NAT un à un et la translation d'adresses réseau (NAT)
dynamique sont toutes deux activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Requête HTTP : Paramètres généraux
Sur la page Paramètres généraux, vous pouvez définir des paramètres HTTP de base tels que le délai
d’inactivité ou la longueur d’URL.
Délai d’inactivité
Cochez cette case pour fermer le socket TCP du proxy HTTP lorsqu’aucun paquet n’est passé par le
socket TCP dans l’intervalle de temps spécifié. Dans le champ adjacent, saisissez le nombre de
minutes s’écoulant avant la déconnexion du proxy. Cette option permet de contrôler les
performances. Chaque session TCP ouverte utilisant une petite quantité de mémoire sur la Firebox
et les navigateurs et les serveurs ne fermant pas toujours proprement les sessions HTTP, il est
recommandé de laisser cette case cochée. Cela garantit que les anciennes connexions TCP soient
fermées et permet à la Firebox d’économiser de la mémoire. Vous pouvez diminuer le délai
d’attente à cinq minutes sans réduire les standards de performance.
Longueur du chemin URL
Règle le nombre maximal de caractères autorisés dans une URL. Dans cette zone du proxy, l’URL
inclut tout ce qui, dans l’adresse Web, se situe après le domaine de premier niveau. Cela comprend
le caractère de barre oblique mais pas le nom d’hôte (www.monexemple.com ou
monexemple.com). Par exemple, l’URL www.monexemple.com/produits compte neuf caractères
pour cette limite car /produits comporte neuf caractères.
User Guide
413
Paramètres proxy
La valeur par défaut de 2048 est généralement suffisante pour n’importe quelle URL demandée par
un ordinateur situé derrière votre Firebox. Une URL très longue peut être le signe d’une tentative
de corruption d’un serveur Web. La longueur minimale est de 15 octets. Il est conseillé de
conserver ce paramètre activé avec les paramètres par défaut. Cela permet de protéger contre des
clients Web infectés sur les réseaux que le proxy HTTP protège.
Requêtes de plages
Cochez cette case pour autoriser des requêtes de plages via Firebox. Les requêtes de plages
permettent à un client d’effectuer une requête de sous-ensembles d’octets d’une ressource Web
au lieu de l’intégralité du contenu. Par exemple, si vous souhaitez obtenir uniquement certaines
sections d’un fichier volumineux Adobe et non l’ensemble du fichier, le téléchargement s’effectue
plus rapidement et évite le chargement des pages inutiles si vous êtes en mesure de demander
uniquement ce dont vous avez besoin.
Les requêtes de plages comportent des risques de sécurité. Du contenu malveillant peut se cacher
n’importe où dans un fichier et une requête de plage permet à n’importe quel contenu d’être divisé
par les limites de la plage. Le proxy risque ainsi de ne pas reconnaître de schéma lorsque le fichier
s’étend sur deux opérations GET. Si vous êtes abonné à Gateway AntiVirus (Gateway AV) ou au
système IPS (Intrusion Prevention Service) basé sur les signatures, et que vous activez l’un de ces
services d’abonnement, Fireware refuse les requêtes de plage que cette case soit cochée ou non.
Il est recommandé de ne pas cocher cette case si les règles définies dans la rubrique Types de
contenus d’ensemble du proxy sont créées dans le but d’identifier les signatures en octets au cœur
même d’un fichier, et non uniquement dans l’en-tête du fichier.
Cochez la case Consigner cette action si vous souhaitez ajouter un message du journal du trafic
lorsque le proxy effectue l’action mentionnée dans la case à cocher pour les requêtes de plages.
Activer la journalisation pour les rapports
Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal
volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si
vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les
connexions de proxy HTTP dans les rapports.
Requête HTTP : Méthodes de requête
La plupart des requêtes HTTP de navigateur se situent dans l’une des deux catégories suivantes : opérations
GET ou POST. Les navigateurs utilisent généralement des opérations GET pour télécharger des objets tels
que des graphiques, des données HTML ou des données Flash. Plusieurs opérations GET sont généralement
envoyées par un ordinateur client pour chaque page car les pages Web contiennent en principe de
nombreux éléments différents. Les éléments sont rassemblés afin de constituer une seule page pour
l’utilisateur final.
Les navigateurs utilisent généralement des opérations POST pour envoyer des données à un site Web. Un
grand nombre de pages Web rassemblent des informations provenant de l’utilisateur final comme
l’emplacement, l’adresse électronique et le nom. Si vous désactivez la commande POST, Firebox refuse
toutes les opérations POST vers les serveurs Web sur le réseau externe. Cette fonction peut empêcher les
utilisateurs d’envoyer des informations vers un site Web sur le réseau externe.
414
WatchGuard System Manager
Paramètres proxy
Web-based Distributed Authoring and Versioning (webDAV) est un ensemble d’extensions HTTP qui permet
aux utilisateurs de modifier et de gérer des fichiers sur des serveurs Web distants. WebDAV est compatible
avec Outlook Web Access (OWA). Si les extensions webDAV ne sont pas activées, le proxy HTTP prend en
charge les méthodes de requête : HEAD, GET, POST, OPTIONS, PUT et DELETE. Pour le serveur HTTP, le
proxy prend en charge les méthodes de requête suivantes par défaut : HEAD, GET et POST. Le proxy inclut
également ces options (désactivées par défaut) : OPTIONS, PUT et DELETE.
1. Dans l’arborescence Catégories, sélectionnez Requête HTTP > Méthodes de requête.
2. ActivezlacaseàcocherActiverwebDAVsivoussouhaitezautoriserlesutilisateursàutilisercesextensions.
Plusieursextensionssontégalementdisponiblespour leprotocole webDAVde base.Sivousactivez
webDAV,àl’aidede lacase àcocher adjacente,indiquezsivoussouhaitezactiver uniquementles
extensionsdécritesdansRFC 2518ousivoussouhaitezinclureunensemblesupplémentaire d’extensions
pouroptimiser l’interopérabilité.
3. Ajouter, modifier ou supprimer des règles.
4. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
6. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
7. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
User Guide
415
Paramètres proxy
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Requête HTTP : Chemins URL
Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique
l’emplacement du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en
dessous du nom de domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites
Web qui contiennent du texte spécifié dans le chemin d’URL. Vous pouvez ajouter, supprimer ou modifier
les modèles de chemins d’URL. Les exemples suivants permettent de bloquer du contenu comportant des
chemins d’URL de requête HTTP :
n
Pour bloquer toutes les pages ayant le nom d’hôte www.test.com, saisissez le modèle :
www.test.com*
n
n
Pour bloquer tous les chemins contenant le mot sex, sur tous les sites Web : *sex*
Pour bloquer tous les chemins d’URL se terminant par *.test, sur tous les sites Web : *.test
Note Si vous filtrez des URL avec l’ensemble de règles de chemin d’URL de requête HTTP,
vous devez configurer un modèle complexe utilisant une syntaxe d’expressions
régulières depuis la vue avancée de l’ensemble de règles. Cette méthode est plus
simple et fournit de meilleurs résultats pour un filtrage basé sur un en-tête ou un
type de contenu du corps que sur un filtrage par chemin d’URL.
1. Dans l’arborescence Catégories, sélectionnez Chemins URL.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
416
WatchGuard System Manager
Paramètres proxy
Requête HTTP : En-tête champs
Cet ensemble de règles fournit un filtrage de contenu pour l’intégralité de l’en-tête HTTP. Par défaut, le
proxy HTTP utilise des règles de correspondance exactes pour exclure des en-têtes Via et De et autoriser
tous les autres en-têtes. Cet ensemble de règles recherche la correspondance par rapport à l’intégralité de
l’en-tête, pas uniquement sur le nom.
Pour obtenir une correspondance de toutes les valeurs d’un en-tête, saisissez le modèle : « [nom en-tête]
:* ». Pour obtenir uniquement une correspondance de certaines valeurs d’un en-tête, remplacez
l’astérisque (*) par un modèle. Si votre modèle ne commence pas par un astérisque (*), insérez un espace
entre les deux-points et le modèle lors de la saisie dans la zone de texte Modèle. Par exemple, entrez :
[nom en-tête] : [modèle] et non [nom en-tête] :[modèle].
Les règles par défaut n’excluent pas l’en-tête Référenceur mais intègrent une règle désactivée pour exclure
cet en-tête. Pour activer cette règle, sélectionnez Modifier l’affichage. Certains navigateurs Web et
certaines applications logicielles doivent utiliser l’en-tête Référenceur pour fonctionner correctement.
1. Dans l’arborescence Catégories, sélectionnez Champs d’en-tête.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Requête HTTP : Autorisation
Cette règle définit les critères de filtrage de contenu des champs d’autorisation d’en-tête de requête HTTP.
Lorsqu’un serveur Web exécute un challenge WWW-Authenticate, il envoie des informations relatives aux
méthodes d’authentification qu’il peut utiliser. Le proxy pose des limites au type d’authentification envoyé
dans une requête. Il utilise uniquement des méthodes d’authentification acceptées par le serveur Web.
Dans une configuration par défaut, Firebox autorise l’authentification Basic, Digest, NTLM et Passport1.4 et
exclut toutes les autres authentifications. Vous pouvez ajouter, supprimer ou modifier les règles dans
l’ensemble de règles par défaut.
1. Dans l’arborescence Catégories, sélectionnez Autorisation.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
User Guide
417
Paramètres proxy
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions d’utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Réponse HTTP : Paramètres généraux
Le champ Paramètres généraux permet de configurer des paramètres HTTP de base tels que le délai
d’inactivité ou les limites de longueur totale et de ligne.
1. Dans l’arborescence Catégories, sélectionnez Paramètres généraux.
2. Pour définir des limites pour les paramètres HTTP, activez les cases à cocher de votre choix. Utilisez
les flèches pour définir les limites suivantes :
Définir un délai d’attente
Définit le temps d’attente du proxy HTTP Firebox avant l’envoi de la page Web par le serveur.
Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une adresse URL dans son
navigateur, une requête HTTP d’extraction du contenu est envoyée à un serveur distant.
Dans la plupart des navigateurs, un message similaire à Site contacté... apparaît dans la barre
d’état. Si le serveur distant ne répond pas, le client HTTP continue d’envoyer la requête
jusqu’à réception d’une réponse ou jusqu’à expiration du délai de requête. Dans cet
intervalle, le proxy HTTP continue à surveiller la connexion et emploie des ressources réseau
fiables.
Définir la longueur maximum du chemin URL à
Définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes de
réponse HTTP. Utilisez cette propriété pour protéger vos ordinateurs contre les attaques de
dépassement de mémoire tampon. Dans la mesure où la longueur des URL de la plupart des
sites marchands ne cesse d’augmenter avec le temps, vous devrez peut-être ajuster cette
valeur ultérieurement.
Définir la longueur totale maximum
Définit la longueur maximale des en-têtes de réponse HTTP. Si la longueur totale d’en-tête
est supérieure à cette limite, la réponse HTTP est refusée.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
418
WatchGuard System Manager
Paramètres proxy
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Réponse HTTP : Champs d’en-tête
Cet ensemble de règles contrôle les champs d’en-tête de réponse HTTP autorisés par le périphérique
Firebox. Vous pouvez ajouter, supprimer ou modifier des règles. La plupart des en-têtes de réponse HTTP
autorisés dans la configuration par défaut sont décrits dans le document RFC 2616. Pour plus
d’informations, voir http://www.ietf.org/rfc/rfc2616.txt.
1. Dans l’arborescence Catégories, sélectionnez Champs d’en-tête.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Réponse HTTP : Types de contenus
Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu
à l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient
ce type MIME. Il est ajouté avant l’envoi des données.
Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace
de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos
utilisateurs. Par défaut, Firebox autorise certains types de contenus sûrs et refuse le contenu MIME n’ayant
pas de type de contenu spécifié. Le proxy HTTP inclut une liste de types de contenus communément utilisés
que vous pouvez ajouter à l’ensemble de règles. Vous pouvez également ajouter, supprimer ou modifier les
définitions.
Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG,
ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère
générique. Pour autoriser tout format d’image, ajoutez image/* .
User Guide
419
Paramètres proxy
Pour obtenir une liste de types MIME enregistrés actuels,voir http://www.iana.org/assignments/media-types.
Ajouter, supprimer ou modifier des types de contenus
1. Dans l’arborescence Catégories, sélectionnez Types de contenu.
2. Ajouter, modifier ou supprimer des règles.
3. Pour ajouter des types de contenus, cliquez sur le bouton Prédéfini.
La boîte de dialogue Sélectionner le type de contenu s’affiche.
4. Sélectionnez les types à ajouter et cliquez sur OK.
Les nouveaux types apparaissent dans la zone Règles.
5. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
à la section relative à la prochaine catégorie à modifier.
6. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
7. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
8. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Autoriser les sites Web ayant un type de contenu manquant
Par défaut, la Firebox refuse le contenu MIME sans type de contenu défini. La plupart du temps, il est
recommandé de conserver ce paramètre par défaut. Les sites ne fournissant pas de types MIME légitimes
dans leurs réponses HTTP ne respectent pas les recommandations RFC et peuvent comporter un risque en
matière de sécurité. Toutefois, dans certaines entreprises, les employés ont besoin d’avoir accès à des sites
Web ne comportant pas de type de contenu défini.
Vous devez veiller à modifier la configuration proxy de la ou des bonnes stratégies. Vous pouvez appliquer
la modification à n’importe quelle stratégie qui utilise une action de proxy client HTTP. Il peut s’agir d’une
stratégie de proxy HTTP, d’une stratégie de trafic sortant (qui applique aussi une action de proxy client
HTTP) ou d’une stratégie TCP-UDP.
1. Dans l’arborescence Catégories, sélectionnez Types de contenu.
2. Cliquez sur Modifier l’affichage.
3. Dans la liste Règles, cochez la case située à côté de la règle Autoriser (aucune).
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Réponse HTTP : Cookies
Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les
clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer
plusieurs pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des
informations relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction
420
WatchGuard System Manager
Paramètres proxy
d’authentification et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies.
Le proxy HTTP vous permet de contrôler les cookies des réponses HTTP. Vous pouvez configurer des règles
pour exclure des cookies en fonction des exigences de votre réseau. La règle par défaut pour l’action de
proxy serveur HTTP et client HTTP autorise tous les cookies. Vous pouvez ajouter, supprimer ou modifier
des règles.
Le proxy recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être spécifié
dans le cookie. Si le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la première
requête. Par exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le modèle :
*.nosy-adware-site.com . Si vous souhaitez refuser les cookies de tous les sous-domaines d’un site Web,
utilisez le caractère générique (*) avant et après le domaine. Par exemple, *google.com* bloque tous les
sous-domaines de google.com, tels que images.google.com et mail.google.com.
Changer les paramètres des cookies
1. Dans l’arborescence Catégories, sélectionnez Cookies.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Réponse HTTP : Types de contenus d’ensemble
Cet ensemble de règles vous permet de contrôler le contenu d’une réponse HTTP. Le périphérique Firebox
est configuré pour refuser des codes Java, des archives Zip, des fichiers EXE/DLL Windows et des fichiers
CAB Windows. L’action de proxy par défaut pour les requêtes HTTP sortantes (client HTTP) autorise tous les
autres types de contenus du corps de réponse. Vous pouvez ajouter, supprimer ou modifier des règles.
Nous vous recommandons d’examiner les types de fichiers utilisés au sein de votre établissement et
d’autoriser uniquement les types de fichiers nécessaires à votre réseau.
1. Dans l’arborescence Catégories, sélectionnez Types de contenus d’ensemble.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
dans ce document à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
User Guide
421
Paramètres proxy
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Entrez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy HTTP exceptions
Pour certains sites Web, les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP, sans
ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion
de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains
paramètres de proxy sont ignorés.
Paramètres de proxy ignorés
Ces paramètres sont ignorés :
n
n
Requête HTTP — requêtes de plages, longueur du chemin URL, toutes les méthodes de requête,
tous les chemins URL, en-têtes de requête*, correspondance du modèle d’autorisation
Réponse HTTP — en-têtes de réponse*, types de contenus, cookies, types de contenus du corps
* Les en-têtes de requête et les en-têtes de réponse sont analysés par le proxy HTTP même si le trafic
correspond à l’exception de proxy HTTP. Si aucune erreur d’analyse ne se produit, tous les en-têtes sont
autorisés. De même, les fonctions d’analyse antivirus, d’analyse IPS et de WebBlocker ne sont pas
appliquées au trafic qui correspond à une exception de proxy HTTP.
Paramètres de proxy inclus
Ces paramètres sont inclus :
n
n
Requête HTTP — délai d’inactivité
Réponse HTTP — délai d’inactivité, longueur maximale de la ligne, longueur maximale totale
Toutes les analyses codage-transfert restent appliquées pour autoriser le proxy à déterminer le type de
codage. Le proxy HTTP refuse tous les codages de transfert non valides ou incorrects.
Définir des exceptions
Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si
vous bloquez tous les sites Web se terminant par .test mais que vous souhaitez autoriser les utilisateurs à
accéder au site www.abc.test, vous pouvez ajouter www.abc.test comme exception de proxy HTTP.
422
WatchGuard System Manager
Paramètres proxy
Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la
partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent
également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon).
Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour
autoriser les utilisateurs à consulter le site Web Exemple http://www.exemple.com, saisissez
www.exemple.com . Pour autoriser tous les sous-domaines contenant exemple.com, vous pouvez utiliser
l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à consulter
www.exemple.com et support.exemple.com, saisissez *.exemple.com .
1. Dans l’arborescence Catégories, sélectionnez Exceptions de proxy HTTP.
2. Dans le champ situé à gauche du bouton Ajouter, entrez le nom d’hôte ou le modèle de nom d’hôte.
Cliquez sur Ajouter. Répétez l’opération pour toutes les autres exceptions que vous souhaitez
ajouter.
3. Pour ajouter un message du journal du trafic chaque fois que le proxy HTTP exécute une action sur
une exception de proxy, cochez la case Consigner chaque transaction correspondant à une
exception de proxy HTTP.
4. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
6. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
7. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Proxy HTTP : WebBlocker
Vous pouvez associer une configuration WebBlocker avec votre proxy HTTP afin d’appliquer des
paramètres homogènes pour le blocage des contenus de sites Web.
Choisissez une option pour sélectionner une configuration :
n
n
Sélectionnez une configuration dans la liste déroulante.
Cliquez sur le bouton situé à côté pour créer une nouvelle configuration WebBlocker.
Pour plus d’informations, voir À propos de WebBlocker à la page 993 et Démarrer avec WebBlocker à la
page 1001.
Proxy HTTP : bloqueur d’application
Vous pouvez associer une configuration du bloqueur d’applications avec votre proxy HTTP afin d’appliquer
des paramètres homogènes pour le trafic réseau de messagerie instantanée et pair à pair (P2P).
Choisissez une option pour sélectionner une configuration :
n
n
Sélectionnez une configuration dans la liste déroulante.
Cliquez sur le bouton situé à côté pour créer une nouvelle configuration du bloqueur d’applications.
Pour plus d’informations, voir À propos des configurations de blocage d’applications à la page 384.
User Guide
423
Paramètres proxy
Proxy HTTP : Antivirus
Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus
définissent les actions requises lorsqu’un virus est détecté sur un site Web ou lorsque le périphérique
Firebox ne peut pas analyser un site Web.
n
n
n
Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway
AntiVirus à partir de définitions de proxy à la page 1100.
Pour utiliser le menu Tâches dans Policy Manager pour activer Gateway AntiVirus, voir Activez la
passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097.
Pour configurer Gateway AntiVirus pour le proxy HTTP proxy, voir Actions de configuration de
Gateway AntiVirus à la page 1101.
Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à prendre au cas où un virus ou une
erreur soit détecté(e) dans la page Web.
Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
Abandonner
Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message.
Bloquer
Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués.
Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet
supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers
très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le
champ Limiter l’analyse aux premiers.
Pour plus d’informations sur les limites d’analyse par défaut et maximales pour chaque modèle de
périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106.
Proxy HTTP : Intrusion Prevention
Si vous avez acquis et activé la fonctionnalité Intrusion Prevention, les champs de la catégorie Intrusion
Prevention définissent les actions nécessaires à la détection et à l’arrêt des intrusions.
Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer le système IPS, il
est plus simple d’utiliser le menu Services d’abonnement de Policy Manager. Pour plus d’informations sur
la manière de procéder, voir Activation Intrusion Prevention Service à la page 1111.
Pour utiliser les écrans IPS dans la définition du proxy HTTP, voir Activer et configurer Intrusion Prevention
Service pour TCP-UDP à la page 1120.
424
WatchGuard System Manager
Paramètres proxy
Proxy HTTP : Reputation Enabled Defense
Si vous avez acheté et activé Reputation Enabled Defense, les cases à cocher dans cette catégorie
définissent les actions nécessaires à l’autorisation ou au blocage de contenu en fonction du score de
réputation d’une URL.
Pour configurer Reputation Enabled Defense dans la définition de proxy HTTP, voir Configurer Reputation
Enabled Defense.
Proxy HTTP : Message de refus
Lorsqu’un contenu est refusé, la Firebox affiche un message de refus par défaut remplaçant le contenu
refusé. Vous pouvez modifier le texte de ce message de refus. Vous pouvez personnaliser le message de
refus avec du HTML standard. Vous pouvez également utiliser des caractères Unicode (UTF-8) dans le
message de refus. La première ligne du message de refus est un composant de l’en-tête HTTP. Vous devez
entrer une ligne vide entre la première ligne et le corps du message.
Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une
demande que le proxy HTTP n’autorise pas. Un message de refus est également généré lorsque votre
demande est autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par
exemple, si un utilisateur essaie de télécharger un fichier .exe et que vous avez bloqué ce type de fichier,
l’utilisateur voit un message de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page
Web avec un type de contenu non reconnu et que la stratégie du proxy est configurée pour bloquer les
types MIME inconnus, l’utilisateur voit un message d’erreur dans le navigateur Web.
Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message,
utilisez les variables suivantes :
%(transaction)%
Sélectionnez Requête ou Réponse pour indiquer le côté de la transaction générant le refus du
paquet.
%(raison)%
Inclut la raison pour laquelle Firebox a refusé le contenu.
%(méthode)%
Inclut la méthode de requête de la requête refusée.
%(hôte url)%
Inclut le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom
d’hôte n’a été inclus.
%(chemin url)%
Inclut le composant chemin de l’URL refusée.
Pour configurer le message de refus :
1. Dans l’arborescence Catégories, sélectionnez Message de refus.
User Guide
425
Paramètres proxy
2. Saisissez le message de refus dans la zone de texte Message de refus.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Autoriser les mises à jour Windows via le proxy HTTP
Les serveurs Windows Update identifient le contenu qu’ils envoient à un ordinateur comme un flux de
données binaire générique (ex : flux de données d’octets), lequel est bloqué par les règles de proxy HTTP
par défaut. Pour autoriser les mises à jour Windows via le proxy HTTP, vous devez modifier vos règles de
proxy HTTP-client pour ajouter des exceptions de proxy HTTP pour les serveurs Windows Update.
1. Assurez-vous que votre Firebox autorise les connexions sortantes sur les ports 443 et 80.
Il s’agit des ports que les ordinateurs utilisent pour contacter les serveurs Windows Update.
2. Dans l’arborescence Catégories, sélectionnez Exceptions de proxy HTTP.
426
WatchGuard System Manager
Paramètres proxy
3. Dans la zone de texte située à gauche du bouton Ajouter , saisissez ou collez chacun de ces
domaines, et cliquez sur Ajouter après chacun d’entre eux :
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
4. Cliquez sur OK pour fermer chaque boîte de dialogue de proxy et de stratégie.
S’il vous est toujours impossible de télécharger les mises à jour
Windows
Si vous avez plusieurs stratégies de proxy HTTP, veillez à ajouter les exceptions HTTP pour l’action de
stratégie et de proxy appropriée.
Microsoft ne limite pas les mises à jour à ces seuls domaines. Consultez vos journaux pour savoir quel trafic
est refusé pour un domaine appartenant à Microsoft. Si vous n’avez pas de serveur WatchGuard Log Server,
lancez Windows Update puis contrôlez Messages des journaux Firebox (Moniteur du trafic). Recherchez le
ou les trafic(s) refusés par le proxy HTTP. Le domaine apparaît normalement sur la ligne du journal. Ajoutez
tout nouveau domaine Microsoft à la liste des exceptions de proxy HTTP, puis relancez Windows Update.
Utiliser un serveur proxy de mise en cache
Vos utilisateurs pouvant consulter les mêmes sites Web fréquemment, un serveur proxy de mise en cache
permet d’augmenter la vitesse du trafic et de diminuer le volume de trafic sur les connexions Internet
externes. Bien que le proxy HTTP de la Firebox ne mette pas en cache de contenu, vous pouvez utiliser les
serveurs proxy de mise en cache externes. Toutes les règles de proxy et WebBlocker de la Firebox
continuent à avoir le même effet.
La connexion Firebox avec un serveur proxy est la même qu’avec un client. La Firebox modifie la fonction
GET pour avoir : GET / HTTP/1.1 devient GET www.mondomaine.com / HTTP/1.1 et l’envoie vers un serveur
proxy de mise en cache. Le serveur proxy déplace cette fonction vers le serveur Web dans la fonction GET.
Pour installer un serveur proxy de mise en cache externe :
1. Configurez un serveur proxy externe, tel que Microsoft Proxy Server 2.0.
2. Ouvrez Policy Manager.
3. Double-cliquez sur l’icône pour la stratégie HTTP-proxy.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
4.
5.
6.
7.
8.
9.
Cliquez sur l’onglet Propriétés.
Cliquez sur .
Dans l’arborescence Catégories, sélectionnez Utiliser le serveur de mise en cache web.
Cochez la case Utiliser un serveur proxy de mise en cache externe pour le trafic HTTP.
Saisissez l’adresse IP et le port pour le serveur proxy de mise en cache externe.
Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
User Guide
427
Paramètres proxy
10. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
11. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
12. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
À propos de la Proxy HTTPS
HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole
requête/réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions.
Vous pouvez utiliser le proxy HTTPS pour sécuriser un serveur Web protégé par votre Firebox ou pour
analyser le trafic HTTPS demandé par des clients sur votre réseau. Par défaut, lorsqu’un client HTTPS lance
une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 443. La plupart des
serveurs HTTPS sont à l’écoute des requêtes sur le port 443.
Le protocole HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour
chiffrer et déchiffrer les requêtes de la page utilisateur ainsi que des pages renvoyées par le serveur Web.
Comme le trafic HTTPS est chiffré, la Firebox doit le déchiffrer avant qu’il puisse être analysé. Après avoir
analysé le contenu, la Firebox chiffre le trafic avec un certificat et l’envoie à la destination souhaitée.
Vous pouvez exporter le certificat par défaut créé par la Firebox pour cette fonctionnalité, ou importer un
certificat à utiliser par la Firebox. Si vous utilisez le proxy HTTPS pour examiner le trafic Web requis par les
utilisateurs sur votre réseau, nous vous conseillons d’exporter le certificat par défaut et de le distribuer à
chaque utilisateur afin que ceux-ci ne reçoivent pas d’avertissement du navigateur à propos de certificats
non approuvés. Si vous utilisez le proxy HTTPS pour sécuriser un serveur Web qui accepte des requêtes
depuis un réseau externe, nous vous conseillons d’importer le certificat de serveur Web existant pour la
même raison.
Lorsqu’un client ou un serveur HTTPS utilise un port autre que le port 443 au sein de votre organisation,
vous pouvez utiliser le proxy TCP/UDP pour relayer le trafic vers le proxy HTTPS. Pour plus d’informations
sur le proxy TCP/UDP, voir À propos de la Proxy TCP-UDP à la page 466.
Pour ajouter le proxy HTTPS à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 388.
Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier
les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets :
Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de
règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy à la
page 381.
Onglet Stratégie
n
428
Les connexions HTTPS-proxy sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet
Stratégie de la définition de proxy). Pour plus d’informations, voir Définir des règles d’accès pour
une stratégie à la page 360.
WatchGuard System Manager
Paramètres proxy
n
n
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge de serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage
de charge côté serveur à la page 182.
Onglet Propriétés
n
n
n
n
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy
à la page 381.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Sivous réglezla liste déroulante Lesconnexions sont (dansl’onglet Stratégie)sur Refuséou Refusé
(envoiréinitialisation), vouspouvez bloquer les sitesqui tententd’utiliser laconnexion HTTPS.Pour plus
d’informations,voir Bloquer temporairement lessites avec des paramètresde stratégieà lapage 500.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles si nécessaire.
Pour modifier les paramètres et ensembles de règles d’une action de proxy :
1. Cliquez sur .
2. Sélectionnez une catégorie :
n
n
n
n
n
Proxy HTTPS : Inspection du contenu
Proxy HTTPS : Noms de certificats
Proxy HTTPS : WebBlocker
Proxy HTTPS : Paramètres
Proxy et antivirus les alarmes
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
User Guide
429
Paramètres proxy
Proxy HTTPS : Inspection du contenu
Sur la page Inspection du contenu, vous pouvez activer et configurer l’inspection avancée du contenu HTTPS.
Activer l’inspection profonde du contenu HTTPS
Lorsque cette case est cochée, la Firebox déchiffre le trafic HTTPS, examine le contenu et chiffre à
nouveau le trafic avec un nouveau certificat. Le contenu est examiné par la stratégie de proxy HTTP
sélectionnée sur cette page.
Note Si un autre trafic utilise le port HTTPS, tels que le trafic VPN SSL, nous vous
conseillons d’évaluer soigneusement cette option. Le proxy HTTPS essaie
d’examiner tous les trafics transitant par le port TCP 443 de la même manière. Afin
de garantir que les autres sources de trafic fonctionnent correctement, nous vous
conseillons d’ajouter ces sources à la liste Ignorer. Voire la rubrique suivante pour
plus d’informations.
Par défaut, le certificat utilisé pour chiffrer le trafic est généré automatiquement par la Firebox.
Vous pouvez également télécharger votre propre certificat à utiliser à cet effet. Si le site Web
original ou votre serveur Web comporte un certificat autosigné ou non valide, ou si le certificat a été
signé par une autorité de certification non reconnue par la Firebox, un avertissement de certificat
s’affiche sur le navigateur des clients. Les certificats ne pouvant pas être correctement signés à
nouveau semblent être émis par le Proxy HTTPS Fireware : Certificat non reconnu ou simplement
Certificat non valide.
430
WatchGuard System Manager
Paramètres proxy
Nous vous conseillons d’importer le certificat que vous utilisez, ainsi que tout autre certificat
nécessaire pour que le client approuve ce certificat, sur chaque périphérique de client. Lorsqu’un
client n’approuve pas automatiquement le certificat utilisé pour la fonctionnalité d’inspection du
contenu, un avertissement s’affiche dans le navigateur du client, et les services tels que Windows
Update ne fonctionnent pas correctement.
Certains programmes tiers enregistrent des copies privées des certificats nécessaires et n’utilisent
pas la bibliothèque de certificats du système d’exploitation ou transmettent d’autres types de
données via le port TCP 443. Ces programmes sont :
n
n
n
Des logiciels de communication, tels que AOL Instant Messenger et Google Voice
Des logiciels de bureau à distance et de présentation, tels que LiveMeeting et WebEx
Des logiciels financiers et commerciaux, tels que ADP, iVantage, FedEx et UPS
Si ces programmes ne disposent pas de méthode d’importation des certificats approuvés par
l’autorité de certification, ils ne fonctionnent pas correctement lorsque l’inspection de contenu est
activée. Contactez le fournisseur de votre logiciel pour plus d’informations sur l’utilisation des
certificats ou sur le support technique, ou ajoutez les adresses IP des ordinateurs qui utilisent ce
logiciel à la liste Ignorer.
Pour plus d’informations, voir À propos des certificats à la page 781 ou Utiliser des certificats pour le
proxy HTTPS à la page 807.
Action de proxy
Sélectionnez une stratégie de proxy HTTP que la Firebox doit utiliser lorsqu’elle inspecte des
contenus HTTPS déchiffrés.
Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de
proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses
IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance de ces sites sera filtré avec
les paramètres WebBlocker du proxy HTTPS.
Pour plus d’informationssur laconfiguration de WebBlocker, voir À proposde WebBlocker à lapage 993.
Utiliser OCSP pour confirmer la validité des certificats
Cochez cette case afin que la Firebox vérifie automatiquement les révocations de certificats avec
OCSP (Online Certificate Status Protocol - Protocole de vérification en ligne de certificat). Lorsque
cette fonctionnalité est activée, la Firebox utilise les informations du certificat pour contacter un
serveur OCSP qui conserve un enregistrement de l’état des certificats. Si le serveur OCSP répond
que le certificat a été révoqué, la Firebox désactive le certificat.
Si vous sélectionnez cette option, il peut y avoir un délai de plusieurs secondes car la Firebox
demande une réponse au serveur OCSP. La Firebox conserve entre 300 et 3000 réponses OCSP
dans la mémoire cache afin d’améliorer les performances des sites Web fréquemment visités. Le
nombre de réponses conservées dans la mémoire cache est déterminé par votre modèle de
Firebox.
User Guide
431
Paramètres proxy
Traiter les certificats dont la validité ne peut être confirmée comme étant non valide
Lorsque cette option est sélectionnée et que le répondeur OCSP n’envoie pas de réponse à une
demande d’état de révocation, la Firebox considère le certificat original comme non valide ou
révoqué. Cette option peut faire qu’un certificat soit considéré comme non valide en cas d’erreur
de routage ou de problème avec votre connexion réseau.
Liste Ignorer
La Firebox n’inspecte pas le contenu envoyé vers ou provenant d’adresses IP figurant sur cette liste.
Pour ajouter un site Web ou un nom d’hôte, saisissez son adresse IP dans la zone de texte et cliquez
sur le bouton Ajouter.
Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de
proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses
IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance de ces sites sera filtré avec
les paramètres WebBlocker du proxy HTTPS.
Pour plus d’informationssur laconfiguration de WebBlocker, voir À proposde WebBlocker à lapage 993.
Utilisez le bouton Recherche DNS pour trouver rapidement l’adresse IP d’un site Web ou d’un nom d’hôte.
1. Cliquez sur le bouton Recherche DNS.
2. Saisissez le nom de domaine ou le nom d’hôte et cliquez sur Rechercher. Si le nom de domaine ou
le nom d’hôte est valide, ses adresses IP s’affichent dans la liste ci-dessous.
3. Cochez la case située à côté de chaque adresse IP que vous souhaitez ajouter et cliquez sur OK.
4. Pour sélectionner toutes ou aucune des adresses IP, cliquez sur la case à cocher en haut de la liste.
Proxy HTTPS : Noms de certificats
Les noms de certificats servent à filtrer le contenu d’un site entier. La Firebox autorise ou refuse l’accès à
un site si le domaine d’un certificat HTTPS correspond à une entrée de cette liste.
Par exemple, si vous souhaitez refuser le trafic de l’un des sites du domaine exemple.com, ajoutez une règle
Noms de certificats avec le modèle *.exemple.com et définissez l’action En cas de correspondance sur
Refuser.
1. Dans l’arborescence Catégories, sélectionnez Noms de certificats.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez
à la section relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
432
WatchGuard System Manager
Paramètres proxy
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy HTTPS : WebBlocker
Vous pouvez associer une configuration WebBlocker à votre proxy HTTPS afin d’appliquer des paramètres
cohérents pour le blocage du contenu des sites Web.
Choisissez une option pour sélectionner une configuration :
n
n
Sélectionnez une configuration dans la liste déroulante.
Cliquez sur le bouton situé à côté pour créer une nouvelle configuration WebBlocker.
Pour plus d’informations, voir À propos de WebBlocker à la page 993 et Démarrer avec WebBlocker à la
page 1001.
Proxy HTTPS : Paramètres généraux
La page Paramètres généraux permet de configurer des paramètres HTTP de base tels que le délai
d’inactivité ou les limites de longueur totale et de ligne.
User Guide
433
Paramètres proxy
Alarme proxy
Vous pouvez définir le proxy de sorte qu’il envoie une interruption SNMP, une notification à un
administrateur réseau ou les deux. La notification peut être soit un e-mail envoyé à un
administrateur réseau ou une fenêtre contextuelle sur l’ordinateur de gestion de l’administrateur.
Pour plus d’informations sur les champs Alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification à la page 656.
Délai d’inactivité
Cochez cette case pour contrôler le temps d’attente du proxy HTTPS afin de permettre au client
Web d’effectuer une requête depuis le serveur Web externe après avoir démarré une connexion
TCP/IP ou après une requête antérieure, le cas échéant, pour la même connexion. Si le délai
dépasse ce paramètre, le proxy HTTPS ferme la connexion. Dans le champ adjacent, saisissez le
nombre de minutes s’écoulant avant la déconnexion du proxy.
Activer la journalisation pour les rapports
Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal
volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si
vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les
connexions de proxy HTTP dans les rapports.
À propos de la Proxy POP3
POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie
vers un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie
basés sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et
vérifie tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie
local. Une fois l’e-mail reçu par le client de messagerie, la connexion prend fin.
Avec un filtre de proxy POP3, vous pouvez :
n
n
n
n
Ajuster le délai d’attente et les limites de longueur de lignes pour garantir que le proxy POP3
n’utilise pas trop de ressources réseau, et afin d’éviter certains types d’attaques.
Personnaliser le message de refus qui s’affiche lorsqu’un e-mail envoyé aux utilisateurs est bloqué.
Filtrer le contenu intégré dans les e-mails à l’aide des types MIME.
Bloquer des modèles de chemins et URL spécifiques.
Pour ajouter le proxy POP3 à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 388.
Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier
les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets :
Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de
règles par défaut des actions de proxy.
Pour plus d’informations, voir À propos des actions de proxy à la page 381.
434
WatchGuard System Manager
Paramètres proxy
Onglet Stratégie
n
n
n
Les connexions du proxy POP3 sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet
Stratégie de la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour
une stratégie à la page 360.
Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition
de proxy, voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage
de charge côté serveur à la page 182.
Onglet Propriétés
n
n
n
n
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy
à la page 381.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 656.
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé
(envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le POP3.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 500.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles si nécessaire.
Pour modifier les paramètres et ensembles de règles d’une action de proxy :
1. Cliquez sur .
2. Sélectionnez une catégorie :
n
n
n
n
n
n
n
n
n
n
User Guide
Proxy POP3 : Paramètres généraux
Proxy POP3 : Authentification
Proxy POP3 : Types de contenus
Proxy POP3 : Noms de fichiers
Proxy POP3 : En-têtes
Proxy POP3 : Antivirus
Proxy POP3 : Message de refus
Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy
Proxy POP3 : spamBlocker
Proxy et antivirus les alarmes
435
Paramètres proxy
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Proxy POP3 : Paramètres généraux
Dans la page Paramètres généraux, vous pouvez ajuster le délai d’attente et les limites de longueur de ligne
ainsi que d’autres paramètres généraux pour le proxy POP3 :
Définir un délai d’attente
Utilisez ce paramètre pour limiter la durée (en minutes) pendant laquelle le client de messagerie
essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à la connexion.
Cela garantit que le proxy n’utilise pas trop de ressources réseau lorsque le serveur POP3 est lent ou
inaccessible.
436
WatchGuard System Manager
Paramètres proxy
Définir la longueur de ligne d’e-mail maximum à
Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire
tampon. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire
tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie
envoient des lignes relativement courtes, mais certains systèmes de messagerie basés sur le Web
envoient des lignes très longues. Cependant, il est peu probable que vous deviez modifier ce
paramètre à moins qu’il n’empêche l’accès d’e-mails légitimes.
Masquer les réponses serveur
Activez cette case à cocher pour remplacer les chaînes de salutation POP3 dans les e-mails. Les pirates
informatiques utilisent ces chaînes pour identifier le fournisseur et la version du serveur POP3.
Autoriser des pièces jointes codées UU
Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes codées UU dans les
e-mails. Cet ancien programme permet d’envoyer des fichiers binaires au format ASCII sur Internet.
Les pièces jointes codées UU peuvent présenter des risques de sécurité car elles apparaissent
comme fichiers texte ASCII mais peuvent en fait contenir des fichiers exécutables.
Autoriser des pièces jointes BinHex
Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes BinHex dans les emails. BinHex, contraction de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier binaire
au format ASCII.
Activer la journalisation pour les rapports
Cochez cette case pour que le proxy POP3 envoie un message du journal à chaque demande de
connexion POP3. Si vous souhaitez utiliser WatchGuard Reports pour créer des rapports sur le trafic
POP3, vous devez activer cette case à cocher.
Proxy POP3 : Authentification
Un client POP3 doit s’authentifier auprès d’un serveur POP3 avant que ces derniers puissent échanger des
informations. Vous pouvez définir les types d’authentification du proxy à autoriser et de l’action à
déclencher pour les types ne répondant pas aux critères. Vous pouvez ajouter, supprimer ou modifier des
règles.
1. Dans l’arborescence Catégories, sélectionnez Authentification.
User Guide
437
Paramètres proxy
2. Ajouter, modifier ou supprimer des règles.
3. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
4. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy POP3 : Types de contenus
Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et des
pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans
le message. Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité
pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs.
438
WatchGuard System Manager
Paramètres proxy
Vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez également définir des valeurs de
filtrage du contenu et l’action à déclencher pour les types de contenus ne répondant pas aux critères. Pour
l’action de proxy de serveur POP3, vous définissez des valeurs de filtrage de contenu entrant. Pour l’action
de proxy de client POP3, vous définissez des valeurs de filtrage de contenu sortant.
1. Dans l’arborescence Catégories, sélectionnez Types de contenu.
2. Cochez la case Activer la détection automatique du type de contenu pour que le proxy POP3
examine le contenu et détermine son type.
Si vous ne sélectionnez pas cette option, le proxy POP3 utilise la valeur indiquée dans l’en-tête de
l’e-mail, que les clients règlent parfois de façon incorrecte.
Comme les personnes malveillantes tentent souvent de déguiser des fichiers exécutables en
d’autres types de contenus, nous vous conseillons d’activer la détection automatique des types de
contenu afin de sécuriser votre installation.
Par exemple, un fichier .pdf joint peut avoir un type de contenu indiqué comme application/flux
d’octet. Si vous activez la détection automatique du type de contenu, le proxy POP3 reconnaît le
fichier .pdf et utilise le type de contenu réel, application/pdf. Si le proxy ne reconnaît pas le type de
contenu après l’avoir examiné, il utilise la valeur indiquée dans l’en-tête de l’e-mail, comme il le
ferait si la détection automatique du type de contenu n’était pas activée.
3. Ajouter, modifier ou supprimer des règles.
Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images
JPEG, ajoutez image/jpg. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour
autoriser tout format d’image, ajoutez image/* à la liste.
4. Pour ajouter un type de contenu prédéfini, cliquez sur Prédéfini.
Une liste de types de contenus s’affiche, avec de brèves descriptions des types de contenus.
User Guide
439
Paramètres proxy
5. Une fois l’ensemble de règles modifié, cliquez sur OK.
6. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
7. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
8. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
9. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy POP3 : Noms de fichiers
Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de
proxy de serveur POP3 pour les pièces jointes d’e-mails entrants. Cet ensemble de règles permet de fixer
des limites sur les noms de fichiers dans le cadre d’une action de proxy de client POP3 pour les pièces
jointes d’e-mails sortants. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez
ajouter, supprimer ou modifier des règles.
1. Dans l’arborescence Catégories, sélectionnez Pièces jointes > Noms de fichier.
440
WatchGuard System Manager
Paramètres proxy
2. Ajouter, modifier ou supprimer des règles.
3. Une fois l’ensemble de règles modifié, cliquez sur OK.
4. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
5. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
6. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
7. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
8. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
9. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy POP3 : En-têtes
Le proxy POP3 examine les en-têtes d’e-mail pour rechercher les modèles communs aux « faux » e-mails
ainsi que ceux des expéditeurs légitimes. Vous pouvez ajouter, supprimer ou modifier des règles.
1. Dans l’arborescence Catégories, sélectionnez En-têtes.
User Guide
441
Paramètres proxy
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy POP3 : Antivirus
Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus
définissent les actions requises en cas de détection d’un virus dans un e-mail. Ils définissent également des
actions lorsqu’un e-mail contient une pièce jointe que Firebox ne peut pas analyser.
n
n
n
Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway
AntiVirus à partir de définitions de proxy à la page 1100.
Pour utiliser le menu Services d’abonnement dans Policy Manager pour activer Gateway AntiVirus,
voir Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097.
Pour configurer Gateway AntiVirus pour le proxy POP3, voir Actions de configuration de Gateway
AntiVirus à la page 1101.
Lorsque vous activez Gateway AntiVirus, vous devez paramétrer les actions à déclencher en cas de
détection de virus ou d’erreur dans un e-mail ou une pièce jointe. Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
Verrouiller
Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par
le périphérique WatchGuard. Un fichier verrouillé ne peut pas être ouvert facilement par
l’utilisateur. Seul l’administrateur est en mesure de déverrouiller le fichier. L’administrateur peut
utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe.
Pour plus d’informations sur le déverrouillage d’un fichier verrouillé par Gateway AntiVirus, voir
Déverrouiller un fichier verrouillé par Gateway AntiVirus à la page 1105.
Supprimer
Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire.
Note Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est
moins sécurisée.
442
WatchGuard System Manager
Paramètres proxy
Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet
supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers
très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le
champ Limiter l’analyse aux premiers.
Pour plus d’informations sur les limites d’analyse maximales et par défaut pour chaque modèle de
périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106.
Proxy POP3 : Message de refus
Lorsqu’un contenu est refusé, la Firebox envoie un message de refus par défaut remplaçant le contenu
refusé. Ce message s’affiche dans un e-mail au destinataire lorsque le proxy bloque un e-mail. Vous pouvez
modifier le texte de ce message de refus. La première ligne du message de refus est une partie de l’en-tête
HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message.
Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message,
utilisez les variables suivantes :
%(raison)%
Inclut la raison pour laquelle Firebox a refusé le contenu.
%(nom_fichier)%
Indique le nom de fichier du contenu refusé.
%(virus)%
Indique le nom ou l’état d’un virus pour les utilisateurs de Gateway AntiVirus.
%(action)%
Indique le nom de l’action déclenchée. Par exemple : verrouiller ou enlever.
%(récupération)%
Indique si vous pouvez récupérer la pièce jointe.
Pour configurer le message de refus :
1. Dans l’arborescence Catégories, sélectionnez Message de refus.
User Guide
443
Paramètres proxy
2. Dans la zone de texte Message de refus, saisissez un message personnalisé en texte brut en HTML
standard.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Proxy POP3 : spamBlocker
Les courriers indésirables, également appelés spam, peuvent rapidement saturer votre boîte de réception.
Une trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des
employés et gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité
à bloquer les courriers indésirables à la périphérie de votre réseau lorsqu’ils tentent de pénétrer dans le
système. Si vous avez acquis et activé la fonctionnalité spamBlocker, les champs de la catégorie
spamBlocker définissent les actions nécessaires à l’identification des e-mails en tant que courrier
indésirable.
444
WatchGuard System Manager
Paramètres proxy
Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer spamBlocker, il est
plus simple d’utiliser le menu Services d’abonnement de Policy Manager.
Pour plus d’informations sur cette opération ou sur l’utilisation des écrans spamBlocker dans la définition du
proxy, voir À propos de spamBlocker à la page 1067.
À propos de la Proxy SIP
Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter un protocole
SIP (Session Initiation Protocol) ou une passerelle ALG (Application Layer Gateway) H.323 pour ouvrir les
ports nécessaires à l’activation du protocole VoIP via votre Firebox. Une passerelle ALG est créée
pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles ALG ont
été conçues pour un environnement de translation d’adresses réseau (NAT) et visent à maintenir la sécurité
au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique
Firebox.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels
seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de
travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser
simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à
ajouter, consultez la documentation fournie avec vos périphériques ou applications VoIP.
Note Le proxy du protocole SIP prend en charge les connexions SIP de type ami mais non
de type pair.
Composants voix sur IP
Il est important de comprendre que le protocole VoIP est généralement mis en œuvre :
User Guide
445
Paramètres proxy
Connexions pair à pair
Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci
peut acheminer le trafic d’appel correctement.
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec le protocole SIP standard, deux composants clés du système de gestion des appels sont le Registraire
SIP et le Proxy SIP. Ensemble, ces composants gèrent les connexions hébergées par le système de gestion
des appels. La passerelle ALG SIP WatchGuard ouvre et ferme les ports nécessaires au fonctionnement du
protocole SIP. La passerelle ALG SIP peut prendre en charge le registraire SIP et le proxy SIP lorsqu’ils sont
utilisés dans un système de gestion des appels extérieur à la Firebox. SIP n’est pas pris en charge dans cette
version si votre système de gestion d’appel est protégé par Firebox.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous
recommandons de vous assurer que les connexions VoIP fonctionnent normalement avant d’ajouter une
passerelle H.323 ou ALG SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se
présenter.
Fonctions ALG
Lorsque vous activez une passerelle ALG SIP, le périphérique Firebox :
n
n
n
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
s’assure que les connexions VoIP utilisent les protocoles SIP standard
génère des messages de journal à des fins d’audit.
De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address
Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le
même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez
une passerelle H.323 ou SIP.
Pour ajouter une passerelle ALG SIP à votre configuration Firebox, voir Ajouter une stratégie de proxy à
votre configuration à la page 388.
Si vous devez modifier la définition de la passerelle ALG, utilisez la boîte de dialogue Nouvelle/Modifier les
stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie,
Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par
défaut des actions de proxy.
Pour plus d’informations, voir À propos des actions de proxy à la page 381.
Onglet Stratégie
n
446
Les connexions SIP-ALG sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la
définition de la passerelle ALG). Pour plus d’informations, voir Définir des règles d’accès pour une
stratégie à la page 360.
WatchGuard System Manager
Paramètres proxy
n
n
Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition
de la passerelle ALG, voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage
de charge côté serveur à la page 182.
Onglet Propriétés
n
n
n
n
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur.
Pour plus d’informations sur les actions de proxy et de la passerelle ALG, voir À propos des actions
de proxy à la page 381.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé
(envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le protocole SIP. Pour plus
d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur
d’authentification, voir Définir un délai d'inactivité personnalisé à la page 365.
Les passerelles ALG WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon
équilibre entre la sécurité et l’accessibilité de la plupart des installations. Vous pouvez ajouter, supprimer
ou modifier les règles si nécessaire.
Pour modifier les paramètres et ensembles de règles d’une action de proxy :
1. Cliquez sur
.
2. Sélectionnez une catégorie :
n
n
n
Passerelle ALG SIP : Paramètres généraux
Passerelle ALG SIP : Contrôle d’accès
Passerelle ALG SIP : Codecs refusés
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de la passerelle ALG :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
User Guide
447
Paramètres proxy
Passerelle ALG SIP : Paramètres généraux
Sur la page Paramètres généraux, vous pouvez définir les options de sécurité et de performance pour la
passerelle ALG (Application Layer Gateway) SIP .
Activer la normalisation d’en-tête
Cochez cette case pour refuser les en-têtes SIP incorrects ou extrêmement longs. Alors que ces entêtes indiquent souvent une attaque de la Firebox, vous pouvez si nécessaire désactiver cette option
pour le fonctionnement correct de votre solution VoIP.
Activer le masquage de topologie
Cette fonction réécrit les en-têtes de trafic SIP pour supprimer les informations de réseau privé,
telles que les adresses IP. Nous vous recommandons de sélectionner cette option sauf si vous
possédez déjà un périphérique de passerelle VoIP qui effectue le masquage de topologie.
Activer la protection de collecte de répertoire
Cochez cette case pour empêcher les personnes malveillantes de dérober des informations
relatives aux utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est
activée par défaut.
448
WatchGuard System Manager
Paramètres proxy
Nombre maximal de sessions
Utilisez cette fonction pour limiter le nombre de sessions audio ou vidéo pouvant être créées à
l’aide d’un seul appel VoIP.
Par exemple, si vous réglez le nombre maximal de sessions sur 1 et participez à un appel VoIP audio
et vidéo, la deuxième connexion est abandonnée. La valeur par défaut est de deux sessions et la
valeur maximale de quatre sessions. La Firebox crée une entrée de journal lorsqu’une session
média supérieure à ce nombre est refusée.
Informations d’agent utilisateur
Saisissez une nouvelle chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent utilisateur en
tant que pour identifier le trafic H.323 sortant en tant que client spécifié. Pour supprimer un agent
utilisateur incorrect, effacez la zone de texte.
Délais
Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio,
vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut est de
180 secondes (trois minutes) et la valeur maximale est de 600 secondes (dix minutes). Pour
spécifier un intervalle de temps différent, saisissez ou sélectionnez le temps en secondes dans la
zone de texte Canaux multimédia inactifs.
Activer la journalisation pour les rapports
Sélectionnez pour envoyer un message du journal pour chaque demande de connexion gérée par la
passerelle ALG SIP. Cette option est nécessaire pour permettre à WatchGuard Reports de créer des
rapports précis sur le trafic SIP et est activée par défaut.
Passerelle ALG SIP : Contrôle d’accès
Vous pouvez créer une liste d’utilisateurs autorisés à envoyer du trafic réseau VoIP sur la page Contrôle
d’accès.
User Guide
449
Paramètres proxy
Activer le contrôle d’accès pour VoIP
Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la passerelle
ALG SIP autorise ou limite les appels en fonction des options définies.
Paramètres par défaut
Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à effectuer
des appels.
Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à
recevoir des appels.
Cochez la case Journal adjacente pour créer un message du journal pour chaque connexion VoIP SIP
passée ou reçue.
Niveaux d’accès
Pour créer une exception pour les paramètres par défaut que vous avez spécifiés ci-dessus, saisissez
un nom d’hôte, une adresse IP ou une adresse e-mail. Sélectionnez un niveau d’accès dans la liste
déroulante située juste à côté, puis cliquez sur Ajouter. Vous pouvez autoriser les utilisateurs à
passer des appels uniquement, recevoir des appels uniquement, passer et recevoir des appels ou
ne leur octroyer aucun accès VoIP. Ces paramètres s’appliquent uniquement au trafic VoIP SIP.
Pour supprimer une exception, sélectionnez-la dans la liste et cliquez sur Supprimer.
Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont journalisées
par défaut. Si vous ne souhaitez pas journaliser les connexions établies par les utilisateurs ayant une
exception de niveau d’accès, décochez la case Journal située à côté de l’exception.
450
WatchGuard System Manager
Paramètres proxy
Passerelle ALG SIP : Codecs refusés
Sur la page Codecs refusés, vous pouvez définir les codecs voix VoIP, vidéo et transmission de données que
vous souhaitez refuser sur votre réseau.
Liste des codecs refusés
Utilisez cette fonction pour refuser un ou plusieurs codecs VoIP. Lorsqu’une connexion VoIP SIP
utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard ferme
automatiquement la connexion.
Par défaut, cette liste est vide. Nous vous recommandons d’ajouter un codec à cette liste s’il
consomme trop de bande passante, s’il présente un risque de sécurité ou s’il est nécessaire pour
que votre solution VoIP fonctionne correctement.
Vous pouvez par exemple choisir de refuser les codecs G.711 ou G.726 car ils utilisent plus de 32
ko/s de bande passante, ou de refuser le codec Speex car il est utilisé par une application VoIP non
autorisée.
Pour ajouter un codec à la liste, saisissez le nom ou le modèle de texte unique du codec dans la zone
de texte, puis cliquez sur Ajouter. Ne pas utiliser de caractères génériques ou de syntaxe
d’expression normale. Les modèles de codecs respectent la casse.
Pour supprimer un codec de la liste, sélectionnez-le et cliquez sur Supprimer.
User Guide
451
Paramètres proxy
Consigner chaque transaction correspondant à un schéma de codec refusé
Sélectionnez cette option pour créer un message du journal lorsque votre Firebox refuse le trafic
SIP correspondant à un codec de cette liste.
À propos de la Proxy SMTP
SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de
messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise habituellement
une connexion TCP sur le port 25. Vous pouvez utiliser le proxy SMTP pour contrôler les e-mails et leur
contenu. Le proxy analyse des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les
compare aux règles de la configuration du proxy.
Avec un filtre de proxy SMTP, vous pouvez :
n
n
n
n
Ajuster le délai d’attente, la taille maximale des e-mails et les limites de longueur de lignes pour
assurer que le proxy SMTP n’utilise pas trop de ressources réseau, et afin d’éviter certains types
d’attaques.
Personnaliser le message de refus reçu par les utilisateurs lorsqu’un e-mail qu’ils essaient d’afficher
est bloqué.
Filtrer le contenu intégré dans les e-mails avec des types MIME et des modèles de nom.
Limiter les adresses e-mail vers lesquelles des e-mails peuvent être envoyés et bloquer
automatiquement les e-mails provenant d’expéditeurs spécifiques.
Pour ajouter le proxy SMTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 388.
Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier
les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets :
Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de
règles par défaut des actions de proxy.
Pour plus d’informations, voir À propos des actions de proxy à la page 381.
Onglet Stratégie
n
n
n
Les connexions SMTP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégiede la
définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la
page 360.
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage
de charge côté serveur à la page 182.
Onglet Propriétés
n
452
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur.
WatchGuard System Manager
Paramètres proxy
n
n
n
Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser SMTP. Pour plus
d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur
d’authentification, voir Définir un délai d'inactivité personnalisé à la page 365.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles si nécessaire.
Pour modifier les paramètres et ensembles de règles d’une action de proxy :
1. Cliquez sur .
2. Sélectionnez une catégorie :
n
n
n
n
n
n
n
n
n
n
n
n
n
Proxy SMTP : Paramètres généraux
Proxy SMTP : Règles de salutation
Proxy SMTP : Paramètres ESMTP
Proxy SMTP : Authentification
Proxy SMTP : Types de contenus
Proxy SMTP : Noms de fichiers
Proxy SMTP : E-mail de/Récept à
Proxy SMTP : En-têtes
Proxy SMTP : Antivirus
Proxy SMTP : Refuser message
Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy
Proxy SMTP : spamBlocker
Proxy et antivirus les alarmes
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Proxy SMTP : Paramètres généraux
Sur la page Paramètres généraux, vous pouvez définir les paramètres de proxy SMTP de base tels que le
délai d’inactivité et les limites de message.
User Guide
453
Paramètres proxy
Délai d’inactivité
Vos pouvez définir la durée pendant laquelle une connexion SMTP peut rester inactive avant
d’expirer. La valeur par défaut est de 10 minutes.
Nombre maximum de destinataires d’e-mail
Vous pouvez définir le nombre maximum de destinataires d’e-mail auxquels un message peut être
envoyé.
Cochez la case Définir le nombre de destinataires d’e-mail maximum. Dans la zone de texte
adjacente, saisissez ou sélectionnez le nombre de destinataires.
La Firebox compte et autorise le nombre spécifié d’adresses, puis ignore les adresses
supplémentaires. Par exemple, si vous réglez la valeur sur 50 et qu’un message est envoyé à 52
adresses, seules les 50 premières adresses recevront le message. Les deux dernières adresses ne
recevront pas de copie du message. La Firebox compte une liste de distribution comme une adresse
e-mail SMTP unique (par exemple, [email protected]). Vos pouvez utiliser cette fonctionnalité
pour réduire le courrier indésirable, étant donné que le courrier indésirable utilise généralement
une très grande liste de destinataires. Lorsque vous activez cette option, assurez-vous de ne pas
refuser également des e-mails désirés.
454
WatchGuard System Manager
Paramètres proxy
Longueur maximale de l’adresse
Vous pouvez définir la longueur maximale des adresses e-mail. Cochez la case Définir la longueur
d’adresse maximum. Dans la zone de texte adjacente, saisissez ou sélectionnez la longueur
maximale d’une adresse e-mail en octets.
Taille maximale des e-mails
Vous pouvez définir la longueur maximale d’un message SMTP entrant.
La plupart des e-mails sont envoyés sous forme de texte ASCII 7 bits. Les exceptions sont le format
MIME binaire et MIME 8 bits. Le contenu MIME 8 bits (par exemple, pièces jointes MIME) est
encodé avec des algorithmes standards (encodage Base64 ou Quoted-printable) afin de pouvoir être
envoyé via des systèmes de messagerie à 7 bits. L’encodage peut augmenter d’un tiers la taille totale
des fichiers. Pour autoriser les messages allant jusqu’à 10 Ko, vous devez paramétrer ce champ sur
un minimum de 1334 octets pour assurer le passage de tous les e-mails.
Cochez la case Définir la taille d’e-mail maximum. Dans la zone de texte adjacente, saisissez ou
sélectionnez la taille maximale de chaque e-mail en kilo-octets.
Longueur de ligne d’e-mail maximum
Vous pouvez définir la longueur maximale des lignes d’un message SMTP. Cochez la case Définir la
longueur de ligne d’e-mail maximum à. Dans la zone de texte adjacente, saisissez ou sélectionnez la
longueur maximale d’une ligne d’e-mail en octets.
Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire tampon sur
certains systèmes de messagerie. La plupart des systèmes et clients de messagerie envoient des
lignes courtes, mais certains systèmes de messagerie Web envoient des lignes très longues.
Masquer le serveur d’’e-mail
Vous pouvez remplacer les chaînes de frontière MIME et de salutation SMTP dans les messages d’email. Celles-ci sont utilisées par les pirates informatiques pour identifier le fournisseur et la version
de serveur SMTP.
Cochez les cases ID de message et Réponses de serveur.
Si vous avez un serveur de messagerie et utilisez l’action de proxy SMTP entrante, vous pouvez faire
en sorte que le proxy SMTP remplace le domaine affiché sur votre bannière de serveur SMTP par le
nom de domaine de votre choix. Pour cela, à côté de Réécrire le domaine de bannière, saisissez le
nom de domaine que vous souhaitez utiliser dans votre bannière dans la zone de texte qui s’affiche.
La case Réponses de serveur doit également être cochée.
Si vous utilisez l’action de proxy SMTP sortante, vous pouvez faire en sorte que le proxy SMTP
remplace le domaine affiché dans la salutation HELO ou EHLO. Une salutation HELO ou EHLO est la
première partie d’une transaction SMTP, lorsque votre serveur de messagerie s’annonce à un
serveur de messagerie de réception. Pour ce faire, à côté de Réécrire le domaine HELO, saisissez le
nom de domaine que vous souhaitez utiliser dans votre salutation HELO ou EHLO dans la zone de
texte qui s’affiche.
User Guide
455
Paramètres proxy
Autoriser des pièces jointes codées UU
Cochez cette case pour que le proxy SMTP autorise les pièces jointes codées UU dans les e-mails.
Cet ancien programme permet d’envoyer des fichiers binaires au format ASCII sur Internet. Les
pièces jointes codées UU peuvent présenter des risques de sécurité car elles apparaissent comme
fichiers texte ASCII mais peuvent en fait contenir des fichiers exécutables.
Autoriser des pièces jointes BinHex
Cochez cette case pour que le proxy SMTP autorise les pièces jointes BinHex dans les e-mails.
BinHex, contraction de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier binaire au
format ASCII.
Blocage automatique des sources des commandes non valides
Cochez cette case pour ajouter des expéditeurs de commandes SMTP non valides à la liste des sites
bloqués. Les commandes SMTP non valides indiquent souvent une attaque contre votre serveur SMTP.
Activer la journalisation des rapports
Sélectionnez cette option pour envoyer un message de journal pour chaque requête de connexion
par SMTP. Afin de créer des rapports détaillés sur le trafic SMTP via WatchGuard Reports, vous
devez cocher cette case.
Proxy SMTP : Règles de salutation
Le proxy examine les réponses HELO/EHLO initiales lorsque la session SMTP est initialisée. Les règles par
défaut pour l’action de proxy SMTP entrante assurent que les paquets contenant des salutations trop
longues ou des caractères incorrects sont refusés. Vous pouvez ajouter, supprimer ou modifier des règles.
1. Dans l’arborescence Catégories, sélectionnez Règles de salutation.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
456
WatchGuard System Manager
Paramètres proxy
Proxy SMTP : Paramètres ESMTP
Sur la page Paramètres ESMTP, vous pouvez définir le filtrage pour le contenu ESMTP. Bien que le SMTP
soit largement accepté et utilisé, certaines parties de la communauté Internet lui réclament davantage de
fonctionnalité. ESMTP offre une méthode pour ajouter des extensions fonctionnelles au SMTP et pour
identifier les serveurs et clients qui prennent en charge ces fonctionnalités étendues.
1. Dans l’arborescence Catégories, sélectionnez Paramètres ESMTP.
2. Configurez les options suivantes :
Activer ESMTP
Cochez cette case pour activer tous les champs. Si vous décochez cette case, toutes les autres
cases à cocher de cette page seront désactivées. Lorsque ces options sont désactivées, les
paramètres pour chaque option sont enregistrés. Si cette option est à nouveau activée, tous les
paramètres sont restaurés.
Autoriser BDAT/CHUNKING
Cochez cette case pour autoriser BDAT/CHUNKING. Ceci permet d’envoyer plus facilement des
messages volumineux via les connexions SMTP.
Autoriser ETRN (Remote Message Queue Starting)
Ceci est une extension de SMTP permettant au client et au serveur SMTP d’interagir pour
commencer l’échange de files de messages pour un hôte donné.
User Guide
457
Paramètres proxy
Autoriser MIME binaire
Sélectionnez pour autoriser l’extension MIME binaire, si l’expéditeur et le destinataire
l’acceptent. Le MIME binaire empêche l’overhead de l’encodage base64 et Quoted-printable
d’objets binaires envoyés utilisant le format de message MIME avec SMTP. Il est déconseillé de
cocher cette option dans la mesure où elle peut constituer un risque de sécurité.
Consigner les options ESMTP refusées
Cochez cette case pour créer un message du journal pour les options ESMTP inconnues
enlevées par le proxy SMTP. Décochez cette case pour désactiver cette option.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
Proxy SMTP : Authentification
Cet ensemble de règles autorise les types d’authentification ESMTP suivants : DIGEST- MD5, CRAM-MD5,
PLAIN, LOGIN, LOGIN (ancien style), NTLM et GSSAPI. La règle par défaut refuse tous les autres types
d’authentification. Le RFC correspondant à l’extension d’authentification SMTP est RFC 2554.
Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou
modifier des règles :
1. Dans l’arborescence Catégories, sélectionnez Authentification.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy SMTP : Types de contenus
Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre
réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Vous pouvez utiliser
l’ensemble de règles pour l’action de proxy SMTP entrante de façon à définir les valeurs pour le filtrage du
458
WatchGuard System Manager
Paramètres proxy
contenu SMTP entrant. Vous pouvez utiliser l’ensemble de règles pour l’action de proxy SMTP sortante de
façon à définir les valeurs pour le filtrage du contenu SMTP sortant. Le proxy SMTP autorise les types de
contenu suivants : text/*, image/*, multipart/* et message/*. Vous pouvez ajouter, supprimer ou modifier
des règles.
Vous pouvez également configurer le proxy SMTP pour lui faire examiner automatiquement le contenu des
e-mails afin de déterminer le type de contenu. Si vous n’activez pas cette option, le proxy SMTP utilise la
valeur indiquée dans l’en-tête d’e-mail, que les clients règlent parfois de façon incorrecte. Par exemple, un
fichier .pdf joint peut avoir un type de contenu indiqué comme application/flux d’octet. Si vous activez la
détection automatique du type de contenu, le proxy SMTP reconnaît le fichier .pdf et utilise le type de
contenu réel, application/pdf. Si le proxy ne reconnaît pas le type de contenu après l’avoir examiné, il utilise
la valeur indiquée dans l’en-tête de l’e-mail, comme il le ferait si la détection automatique du type de
contenu n’était pas activée. Comme les personnes malveillantes tentent souvent de déguiser des fichiers
exécutables en d’autres types de contenus, nous vous conseillons d’activer la détection automatique des
types de contenu afin de sécuriser votre installation.
1. Dans l’arborescence Catégories, sélectionnez Types de contenu.
2. Cochez la case Activer la détection automatique du type de contenu pour que le proxy SMTP
examine le contenu et détermine son type.
3. Ajouter, modifier ou supprimer des règles.
4. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
6. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
7. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Ajouter des types de contenu courants
La définition de proxy comprend plusieurs types de contenus que vous pouvez facilement ajouter à
l’ensemble de règles Type de contenu.
Pour ajouter un type de contenu :
1. Cliquez sur Prédéfini.
La boîte de dialogue Sélectionner le type de contenu s’affiche.
User Guide
459
Paramètres proxy
2. Sélectionnez un ou plusieurs types de contenus dans la liste.
3. Cliquez sur OK.
Importation et exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy SMTP : Noms de fichiers
Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de
proxy de client SMTP entrant pour les pièces jointes d’e-mails entrants. Cet ensemble de règles permet de
fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de client SMTP sortant pour les
pièces jointes d’e-mails sortants. Vous pouvez ajouter, supprimer ou modifier des règles.
1.
2.
3.
4.
Dans l’arborescence Catégories, sélectionnez Noms de fichier.
Ajouter, modifier ou supprimer des règles.
Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
460
WatchGuard System Manager
Paramètres proxy
Proxy SMTP : E-mail de/Récept à
Vous pouvez utiliser Adresse : L'ensemble de règles E-mail de pour définir des limites sur les e-mails et
autoriser sur votre réseau uniquement les e-mails provenant d’expéditeurs spécifiés. La configuration par
défaut est d’autoriser les e-mails provenant de tous les expéditeurs. Vous pouvez ajouter, supprimer ou
modifier des règles.
L’onglet Adresse : L’ensemble de règles Récept à limite les e-mails sortant de votre réseau aux
destinataires spécifiés. La configuration par défaut autorise les e-mails vers tous les destinataires depuis
votre réseau. Sur une action de proxy SMTP entrante, vous pouvez utiliser l’ensemble de règles Récept à
pour empêcher que votre serveur de messagerie ne soit utilisé pour le relais d’e-mails. Pour plus
d’informations, voir Protéger votre serveur SMTP du relais d’e-mails à la page 465.
Vous pouvez également utiliser l’option Remplacer par pour configurer la Firebox de façon à modifier les
composants De et Vers de votre adresse e-mail avec une valeur différente. Cette fonction est également
appelée masquage SMTP.
Autres options disponibles dans les ensembles de règles E-mail de et Récept à :
Bloquer les adresses avec routage à la source
Cochez cette case pour bloquer un message lorsque l’adresse de l’expéditeur ou du destinataire
contient des routes source. Une route source identifie le chemin que doit prendre un message
quand il va de hôte à hôte. La route peut identifier quels routeurs d’e-mail ou sites backbone utiliser.
Par exemple, @backbone.com:[email protected] signifie que l’hôte nommé Backbone.com doit
être utilisé en tant qu’hôte relais pour envoyer le courrier à [email protected]. Par défaut, cette
option est activée pour les paquets SMTP entrants et désactivée pour les paquets SMTP sortants.
Bloquer les caractères 8 bits
Cochez cette case pour bloquer un message possédant des caractères 8 bits dans le nom
d’utilisateur de l’expéditeur ou du destinataire. Ceci permet de placer un accent sur un caractère
alphabétique. Par défaut, cette option est activée pour les paquets SMTP entrants et désactivée pour
les paquets SMTP sortants.
Pour configurer le proxy SMTP de façon à limiter le trafic des e-mails via votre réseau :
1.
2.
3.
4.
Dans l’arborescence Catégories, sélectionnez Adresse : E-mail de ou Adresse : Récept à.
Ajouter, modifier ou supprimer des règles.
Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy.
User Guide
461
Paramètres proxy
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy SMTP : En-têtes
Les ensembles de règles d’en-tête vous permettent de définir des valeurs pour le filtrage d’en-tête SMTP
entrant ou sortant. Vous pouvez ajouter, supprimer ou modifier des règles.
1. Dans l’arborescence Catégories, sélectionnez En-têtes.
2. Ajouter, modifier ou supprimer des règles.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Importation ou exportation d’ensembles de règles
Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus
d’informations, voir Importer et exporter ensembles de règles à la page 380.
Proxy SMTP : Antivirus
Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus
définissent les actions requises en cas de détection d’un virus dans un e-mail. Ils définissent également des
actions lorsqu’un e-mail contient une pièce jointe que Firebox ne peut pas analyser.
n
n
n
Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway
AntiVirus à partir de définitions de proxy à la page 1100.
Pour utiliser le menu Services d’abonnement dans Policy Manager pour activer Gateway AntiVirus,
voir Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097.
Pour configurer Gateway AntiVirus pour le proxy SMTP, voir Actions de configuration de Gateway
AntiVirus à la page 1101.
Lorsque vous activez Gateway AntiVirus, vous devez paramétrer les actions à effectuer en cas de détection
d’un virus ou d’une erreur dans un e-mail ou un fichier joint. Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
462
WatchGuard System Manager
Paramètres proxy
Verrouiller
Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par
le périphérique WatchGuard. Un fichier verrouillé ne peut pas être ouvert facilement par
l’utilisateur. Seul l’administrateur est en mesure de déverrouiller le fichier. L’administrateur peut
utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe.
Pour plus d’informations sur le déverrouillage d’un fichier verrouillé par Gateway AntiVirus, voir
Déverrouiller un fichier verrouillé par Gateway AntiVirus à la page 1105.
Quarantaine
Lorsque vous utilisez le proxy SMTP avec abonnement au service de sécurité spamBlocker, vous
pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur
Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de
Quarantine Server à la page 1121. Pour plus d’informations sur la façon de configurer Gateway
AntiVirus pour qu’il fonctionne avec Quarantine Server, voir Configurer les Gateway AntiVirus :
placer du courrier en quarantaine à la page 1105.
Supprimer
Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire.
Abandonner
Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message.
Bloquer
Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués.
Note Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est
moins sécurisée.
Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet
supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers
très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le
champ Limiter l’analyse aux premiers.
Pour plus d’informations sur les limites d’analyse maximales et par défaut pour chaque modèle de
périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106.
Proxy SMTP : Refuser message
Lorsqu’un contenu est refusé, la Firebox envoie un message de refus par défaut remplaçant le contenu
refusé. Ce message s’affiche dans un e-mail au destinataire lorsque le proxy bloque un e-mail. Vous pouvez
modifier le texte de ce message de refus. La première ligne du message de refus est une partie de l’en-tête
HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message.
Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message,
utilisez les variables suivantes :
%(raison)%
Inclut la raison pour laquelle Firebox a refusé le contenu.
User Guide
463
Paramètres proxy
%(type)%
Indique le type de contenu refusé.
%(nom_fichier)%
Indique le nom de fichier du contenu refusé.
%(virus)%
Indique le nom ou l’état d’un virus pour les utilisateurs de Gateway AntiVirus.
%(action)%
Indique le nom de l’action déclenchée. Par exemple : verrouiller ou enlever.
%(récupération)%
Indique si vous pouvez récupérer la pièce jointe.
Pour configurer le message de refus :
1. Dans l’arborescence Catégories, sélectionnez Message de refus.
2. Dans la zone de texte Message de refus, saisissez un message personnalisé en texte brut en HTML
standard.
3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
6. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy
prédéfinies et définies par l’utilisateur actions de proxy à la page 382.
Proxy SMTP : spamBlocker
Les courriers indésirables, également appelés spam, peuvent rapidement saturer votre boîte de réception.
Une trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des
employés et gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité
à bloquer les courriers indésirables à la périphérie de votre réseau lorsqu’ils tentent de pénétrer dans le
système. Si vous avez acquis et activé la fonctionnalité spamBlocker, les champs de la catégorie
spamBlocker définissent les actions nécessaires à l’identification des e-mails en tant que courrier
indésirable.
Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer spamBlocker, il est
plus simple d’utiliser le menu Services d’abonnement de Policy Manager.
Pour plus d’informations sur cette opération ou sur l’utilisation des écrans spamBlocker dans la définition du
proxy, voir À propos de spamBlocker à la page 1067.
464
WatchGuard System Manager
Paramètres proxy
Configurer le proxy SMTP pour placer du courrier en
quarantaine
WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les emails soupçonnés d’être indésirables ou de contenir des virus. Ce référentiel reçoit les e-mails à partir du
proxy SMTP et les messages sont filtrés par spamBlocker.
Pour configurer le proxy SMTP afin de mettre en quarantaine du courrier :
1. Ajoutez le proxy SMTP à votre configuration et activez spamBlocker dans la définition de proxy.
Ou activez spamBlocker et activez-le pour le proxy SMTP.
2. Lorsque vous définissez les actions que spamBlocker applique à différentes catégories d’e-mails (tel
que décrit dans Configurer spamBlocker à la page 1072), assurez-vous de sélectionner l’action
Quarantaine pour au moins l’une des catégories. Lorsque vous sélectionnez cette action, vous êtes
invité à configurer le serveur Quarantine Server, si vous ne l’avez pas encore fait.
Vous pouvez également sélectionner l’action Quarantaine pour les e-mails identifiés par VOD comme
contenant des virus. Pour plus d’informations, voir Configurer les actions de Virus Outbreak Detection pour
une stratégie : à la page 1078.
Protéger votre serveur SMTP du relais d’e-mails
Le relais d’e-mails, également appelé spamming , est une intrusion au cours de laquelle une personne
utilise votre serveur de messagerie, votre adresse et d’autres ressources pour envoyer de grandes
quantités d’e-mails indésirables. Ceci peut entraîner des plantages du système, des dommages matériels ou
des pertes financières.
Si vous n’êtes pas familiarisé avec les problèmes liés au spamming, ou si vous n’êtes pas sûr que votre serveur
de messagerie soit protégé contre le spamming, il est recommandé d’examiner votre serveur de messagerie
afin d’en connaître les vulnérabilités potentielles. La Firebox peut assurer une protection de base contre le
relais d’e-mails si vous ne savez pas comment configurer votre serveur de messagerie. Renseignez-vous
néanmoins sur la façon dont votre serveur de messagerie peut empêcher le relais d’e-mails.
Pour protéger votre serveur, changez la configuration de la stratégie de proxy SMTP qui filtre le trafic
depuis le réseau externe vers votre serveur SMTP interne de manière à inclure les informations relatives à
votre domaine. Lorsque vous saisissez votre nom de domaine, vous pouvez utiliser le caractère générique
*. Ensuite, toute adresse e-mail se terminant par @votre-nom-de-domaine est autorisée. Si votre serveur
de messagerie accepte les e-mails pour plus d’un domaine, vous pouvez ajouter d’autres domaines. Par
exemple, si vous ajoutez *@watchguard.com et *@*.watchguard.com à la liste, votre serveur de
messagerie acceptera tous les e-mails destinés au domaine de plus haut niveau watchguard.com et tous les
e-mails destinés aux sous-domaines de watchguard.com. Par exemple, rnd.watchguard.com.
Avant de lancer cette procédure, vous devez connaître les noms de tous les domaines pour lesquels votre
serveur de messagerie SMTP reçoit des e-mails.
1. Ouvrir Policy Manager.
2. Double-cliquez sur la stratégie de proxy SMTP qui filtre le trafic depuis le réseau externe vers un
serveur SMTP interne.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
User Guide
465
Paramètres proxy
3. Cliquez sur l’onglet Propriétés.
4. Cliquez sur .
La boîte de dialogue Configuration de l’action de proxy SMTP s’affiche.
5. Dans l’arborescence Catégories, sélectionnez Adresse > Récept à.
6. Dans la zone de texte Modèle, saisissez *@[votre-nom-de--domaine] .
7. Dans la rubrique Actions à entreprendre, cliquez sur la liste déroulante Aucune correspondance et
sélectionnez Refuser.
Tout e-mail destiné à une adresse autre que les domaines figurant sur la liste est refusé.
8.
9.
10.
11.
12.
Pour fermer la boîte de dialogue Configuration de l’action de proxy SMTP, cliquez sur OK.
Cliquez à nouveau sur OK pour fermer la définition de stratégie SMTP.
Cliquez sur Fermer pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
Enregistrer le fichier de configuration.
Cliquez sur Ajouter.
Votre domaine s’affiche dans la liste des règles.
Une autre façon de protéger votre serveur est de saisir une valeur dans la zone de texte Remplacer par de
cette boîte de dialogue. La Firebox modifie alors la valeur des composants De et Vers de votre adresse email. Cette fonction est également appelée masquage SMTP.
À propos de la Proxy TCP-UDP
Le proxy TCP/UDP est disponible pour les protocoles suivants sur les ports non standards : HTTP, HTTPS, SIP
et FTP. Pour ces protocoles, le proxy TCP-UDP relaie le trafic vers les proxies appropriés ou vous permet
d’autoriser ou de refuser du trafic. Pour les autres protocoles, vous pouvez choisir d’autoriser ou de refuser
le trafic. Vous pouvez également utiliser cette stratégie de proxy pour autoriser ou refuser le trafic réseau
de messagerie instantanée et P2P (pair à pair). Le proxy TCP-UDP est destiné uniquement aux connexions
sortantes.
Pour ajouter le proxy TCP-UDP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 388.
Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier
les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets :
Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de
règles par défaut des actions de proxy.
Pour plus d’informations, voir À propos des actions de proxy à la page 381.
Onglet Stratégie
n
n
n
466
Les connexions TCP-UDP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet
Stratégiede la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une
stratégie à la page 360.
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 363.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage
de charge côté serveur à la page 182.
WatchGuard System Manager
Paramètres proxy
Onglet Propriétés
n
n
n
n
Dans la liste déroulante Action de proxy, sélectionnez une action de proxy.
Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser TCP-UDP. Voir
Bloquer temporairement les sites avec des paramètres de stratégie à la page 500.
Si vous voulez utiliser un délai d’inactivité autre que celui défini par le périphérique WatchGuard ou
le serveur d’authentification, Définir un délai d'inactivité personnalisé.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les
règles si nécessaire.
Pour modifier les paramètres et ensembles de règles d’une action de proxy :
1. Cliquez sur .
2. Sélectionnez une catégorie :
n
n
n
n
Proxy TCP-UDP : Paramètres généraux
Proxy TCP-UDP : Blocage de l’application
Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy
Proxy et antivirus les alarmes (Les interruptions et la notification SNMP sont désactivées par
défaut)
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Proxy TCP-UDP : Paramètres généraux
Su la page Général, vous définissez les paramètres de base pour le proxy TCP-UDP.
Actions de proxy pour la redirection du trafic
Le proxy TCP-UDP peut transmettre le trafic HTTP, HTTPS, SIP et FTP vers des stratégies de proxy que
vous avez déjà créées lorsque ce trafic est envoyé via des ports non standards. Pour chacun de ces
protocoles, sélectionnez dans la liste déroulante adjacente la stratégie de proxy avec laquelle vous
souhaitez gérer ce trafic. Si vous ne voulez pas que votre Firebox utilise une stratégie de proxy pour
User Guide
467
Paramètres proxy
filtrer un protocole, sélectionnez Autoriser ou Refuser dans la liste déroulante adjacente.
Note Pour garantir le bon fonctionnement de votre Firebox, vous ne devez pas
sélectionner l’option Autoriser pour le protocole FTP.
Activer la journalisation pour les rapports
Cochez cette case pour recueillir des informations de journalisation supplémentaires concernant les
rapports.
Proxy TCP-UDP : Blocage de l’application
Vous pouvez utiliser cet ensemble de règles pour définir les actions que la Firebox doit effectuer lorsque le
proxy TCP-UDP détecte des services de messagerie instantanée ou pair à pair (P2P). Le proxy TCP-UDP
détecte les services de messagerie instantanée suivants : AOL Instant Messenger (AIM), ICQ, IRC, MSN
Messenger et Yahoo! Messenger. Il détecte les types de services P2P suivants : BitTorrent, eDonkey2000
(Ed2k), Gnutella, Kazaa, Napster et Phatbot.
Vous pouvez utiliser la fonction de blocage d’application si vous n’avez pas acheté le service Intrusion
Prevention Service.
1. Ouvrir Policy Manager.
2. Double-cliquez sur la stratégie de proxy TCP-UDP.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
3. Cliquez sur l’onglet Propriétés.
4. Cliquez sur .
La boîte de dialogue Configuration de l’action de proxy TCP-UDP s’affiche.
5. Dans l’arborescence Catégories, sélectionnez Bloqueur d’application.
6. Cliquez sur l’onglet Messagerie instantanée.
7. Dans la liste déroulante, sélectionnez l’action que la Firebox doit effectuer lorsqu’elle détecte un
service de messagerie instantanée :
Autoriser
Autorise le paquet à se rendre au destinataire, même si le contenu coïncide avec une
signature.
Refuser
Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur.
8. Cochez la case de chaque application de messagerie instantanée pour laquelle vous souhaitez que la
Firebox effectue une action concernant son trafic.
9. Pour sélectionner toutes les applications de messagerie instantanée, sélectionnez Toutes les
catégories.
Toutes les applications sont automatiquement sélectionnées.
10. Pour définir des actions relatives aux applications P2P, cliquez sur l’onglet P2P.
11. Pour sélectionner les actions et catégories relatives aux applications P2P, répétez les étapes 7 à 9.
12. Cliquez sur Journalisation et notification pour configurer la journalisation et la notification pour IPS.
Pour plus d’informations, voir Définir les préférences de journalisation et de notification à la page 656.
468
WatchGuard System Manager
Paramètres proxy
13. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section
relative à la prochaine catégorie à modifier.
14. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK.
15. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une
nouvelle action.
16. Saisissez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
User Guide
469
Paramètres proxy
User Guide
470
15
Gestion du trafic et QoS
À propos de Gestion du trafic et QoS
Dans un réseau de grande taille comptant de nombreux ordinateurs, le volume de données qui traverse le
pare-feu peut être très important. Un administrateur réseau peut utiliser les actions de gestion du trafic et
de qualité de service (QoS) pour empêcher toute perte de données pour des applications d’entreprise
importantes et pour garantir que les applications critiques ont priorité sur le reste du trafic.
La gestion du trafic et QoS fournissent de nombreux avantages. Vous pouvez :
n
n
n
Garantir ou limiter la bande passante
Contrôler la vitesse à laquelle la Firebox envoie des paquets au réseau
Fixer des priorités pour le moment où les paquets doivent être envoyés vers le réseau
Pour appliquer une gestion de trafic aux stratégies, vous devez définir une action de gestion de trafic, à
savoir une collection de paramètres que vous pouvez appliquer à une ou plusieurs définitions de stratégie.
De cette manière, vous n’avez pas besoin de configurer les paramètres de gestion du trafic de façon
distincte dans chaque stratégie. Vous pouvez définir des actions de gestion de trafic supplémentaires si vous
voulez appliquer des paramètres différents à différentes stratégies.
Activer la gestion du trafic et la fonction QoS
Pour des raisons de performances, toutes les fonctions de gestion de trafic et QoS sont désactivées par
défaut. Vous devez activer ces fonctions dans les Paramètres globaux pour pouvoir les utiliser.
1. Sélectionnez Installation > Paramètres globaux.
La fenêtre Paramètres globaux s’affiche.
User Guide
471
Gestion du trafic et QoS
2. Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de
service).
3. Cliquez sur OK.
4. Enregistrer le fichier de configuration.
Garantir la bande passante
La réservation de la bande passante sert à empêcher les dépassements de délai d’attente de connexion.
Une file d’attente de gestion du trafic avec une bande passante réservée et une priorité basse peut offrir de
la bande passante à des applications en temps réel avec une priorité plus élevée lorsque cela est
nécessaire, sans interrompre la connexion. D’autres files d’attente de gestion du trafic peuvent tirer profit
de la bande passante réservée inutilisée lorsqu’elle devient disponible.
Par exemple, supposez que votre entreprise possède un serveur FTP sur le réseau externe et que vous
voulez garantir que le trafic FTP dispose toujours d’au moins 200 kilo-octets par seconde (Ko/s) par le biais
de l’interface externe. Vous pouvez également envisager de définir une bande passante minimale à partir
de l’interface approuvée pour vous assurer que la connexion possède une bande passante garantie de bout
472
WatchGuard System Manager
Gestion du trafic et QoS
en bout. Pour cela, vous pouvez créer une action de gestion de trafic qui définit un minimum de 200 Ko/s
pour le trafic FTP sur l’interface externe. Vous pouvez alors créer une stratégie FTP et appliquer l’action de
gestion de trafic. Cela permettra un envoi FTP à 200 Ko/s. Si vous voulez permettre une réception FTP à 200
Ko/s, vous devez configurer le trafic FTP sur l’interface approuvée à un minimum de 200 Ko/s.
Autre exemple : supposez que votre entreprise utilise des documents multimédias (transmission
multimédia en continu) pour la formation de clients externes. Cette transmission multimédia en continu
utilise le RTSP via le port 554. Vous effectuez des transferts FTP fréquents à partir de l’interface approuvée
vers l’interface externe et vous ne voulez pas que ces transferts interfèrent avec la réception par vos clients
du contenu de transmission multimédia en continu. Vous pouvez appliquer une action de gestion de trafic à
l’interface externe pour le port de transmission multimédia en continu afin de garantir une bande passante
suffisante.
Restreindre la bande passante
Le paramètre de bande passante garantie fonctionne avec le paramètre Bande passante de l’interface en
sortie configuré pour chaque interface externe afin de ne pas garantir davantage de bande passante que ce
dont vous disposez. Ce paramètre vous permet également de vous assurer que la somme de vos
paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission du trafic
non garanti. Par exemple, supposez que la liaison soit de 1 Mbits/s et que vous essayez d’utiliser une action
de gestion de trafic qui garantit 973 Kbits/s (0,95 Mbits/s) à la stratégie FTP sur cette liaison. Avec ces
paramètres, le trafic FTP pourrait utiliser la bande passante disponible au point d’empêcher d’autres types
de trafic d’utiliser l’interface. Si vous essayez de configurer la Firebox de cette manière, Policy Manager
vous avertit que vous approchez de la limite fixée pour le paramètre Bande passante de l’interface en
sortie pour cette interface.
Marquage QoS
Le marquage QoS crée différentes classes de service pour différentes sortes de trafic réseau sortant.
Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à
cet effet. D’autres périphériques externes peuvent utiliser ce marquage et fournir une gestion appropriée
d’un paquet lors de son trajet d’un point à un autre point dans un réseau.
Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous
définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué.
Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est
également marqué.
Priorité du trafic
Vous pouvez attribuer des niveaux de priorité différents aux stratégies ou pour le trafic sur une interface
particulière. La définition de priorités pour le trafic au niveau du pare-feu vous permet de gérer plusieurs
files d’attente de classes de services (CoS) et de réserver la priorité la plus élevée pour les données en
temps réel ou les données de diffusion en continu. Une stratégie avec une priorité élevée risque de
confisquer la bande passante à des connexions à priorité basse existantes, lorsque la liaison est saturée et
que la bande passante ne suffit pas pour tout le trafic.
User Guide
473
Gestion du trafic et QoS
Limiter le nombre de connexions
Afin d’améliorer la sécurité du réseau, vous pouvez créer une limite sur une stratégie de façon à ce qu’elle
ne filtre qu’un nombre défini de connexions par seconde. En cas de tentatives de connexions
supplémentaires, le trafic est refusé et un message de journal est généré. Vous pouvez également créer
une alarme qui se déclenche lorsque cela se produit. Vous pouvez configurer l’alarme pour que Firebox
envoie une notification d’événement au système de gestion SNMP ou envoie une notification sous la forme
d’un e-mail ou d’une fenêtre contextuelle sur la station de gestion.
1. Double-cliquez sur une stratégie pour la modifier.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Sélectionnez l’onglet Avancé.
3. Dans la liste déroulante Vitesse de connexion, sélectionnez le nombre maximal de connexions par
seconde.
La configuration par défaut n’inclut aucune limite sur la vitesse de connexion.
Pour définir une limite, sélectionnez Personnaliser et saisissez le nombre maximal de connexions
dans la zone de texte adjacente.
4. Si vous voulez recevoir une notification lors d’un dépassement de la vitesse de connexion, cochez la
case Déclencher l’alarme lors du dépassement de la capacité.
5. Cliquez sur Notification et définissez les paramètres de notification, comme décrit dans Définir les
préférences de journalisation et de notification à la page 656.
6. Cliquez sur OK.
À propos de Marquage QoS
Les réseaux actuels comprennent souvent plusieurs types de trafic réseau qui sont en concurrence pour la
bande passante. Tout trafic, qu’il soit d’une importance vitale ou négligeable, a des chances égales
d’atteindre sa destination dans le délai imparti. Le marquage de qualité de service (QoS) offre au trafic
critique un traitement préférentiel afin de garantir sa remise d’une manière rapide et fiable.
La fonctionnalité QoS doit être en mesure de différencier les différents types de flux de données qui
parcourent votre réseau. Elle doit alors marquer les paquets de données. Le marquage QoS crée
différentes catégories de services pour différents types de trafic réseau. Lorsque vous marquez le trafic,
vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à cet effet. Firebox et d’autres
périphériques prenant en charge la fonction QoS peuvent utiliser ce marquage pour fournir une gestion
appropriée d’un paquet lors de son trajet d’un point à un autre sur un réseau.
Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé
également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Pour plus
d’informations sur ces types de marquage et les valeurs que vous pouvez définir, voir Types et valeurs de
marquage à la page 476.
474
WatchGuard System Manager
Gestion du trafic et QoS
Avant de commencer
n
n
Assurez-vous que votre matériel de réseau local prend en charge le marquage et la gestion QoS.
Vous devez également vous assurer que votre fournisseur de services Internet prend en charge la
fonction QoS.
L’utilisation des procédures QoS sur un réseau exige des efforts importants de planification. Vous
pouvez commencer par identifier la bande passante théoriquement disponible, puis déterminer les
applications réseau à priorité élevée, celles particulièrement sensibles à la latence et aux instabilités,
ou les deux.
Marquage QoS pour interfaces et stratégies
Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous
définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué.
Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est
également marqué. Le marquage QoS pour une stratégie remplace tout marquage QoS défini sur une
interface.
Par exemple, supposez que votre Firebox reçoit du trafic marqué QoS à partir d’un réseau approuvé et
l’envoie vers un réseau externe. Sur le réseau approuvé, le marquage QoS est déjà appliqué, mais vous
souhaitez que le trafic en direction de votre équipe de dirigeants bénéficie d’une priorité plus élevée que
le reste du trafic réseau en provenance de l’interface approuvée. Tout d’abord, définissez le marquage QoS
pour l’interface approuvée en spécifiant une valeur. Ensuite, ajoutez une stratégie avec le marquage QoS
défini avec une valeur supérieure pour le trafic en direction de l’équipe dirigeante.
Marquage Qos et trafic IPSec
Si vous voulez appliquer la qualité de service (QoS) au trafic IPsec, vous devez créer une stratégie de parefeu spécifique pour la stratégie IPsec correspondante et appliquer le marquage QoS à cette stratégie.
Vous pouvez également choisir si vous souhaitez préserver le marquage existant lorsqu’un paquet marqué
est encapsulé dans un en-tête IPSec.
Pour préserver le marquage :
1. Sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN s’affiche.
2. Cochez la case Activer le type de service (TOS) pour IPSec.
3. Cliquez sur OK..
Tout marquage existant est préservé lorsque le paquet est encapsulé dans un en-tête IPSec.
Pour supprimer le marquage :
1. Sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN s’affiche.
2. Décochez la case Activer le type de service (TOS) pour IPSec.
3. Cliquez sur OK..
Les bits TOS sont réinitialisés et le marquage n’est pas préservé.
User Guide
475
Gestion du trafic et QoS
Types et valeurs de marquage
Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé
également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Le marquage de
priorité IP affecte uniquement les trois premiers bits de l’octet de type de service (ToS) IP. Le marquage
DSCP étend le marquage aux six premiers bits de l’octet ToS IP. Ces deux méthodes vous permettent de
conserver les bits de l’en-tête, qui peuvent avoir été marqués précédemment par un périphérique
externe, ou de modifier leur valeur.
Les valeurs DSCP peuvent être exprimées sous une forme numérique ou par des mots clés spéciaux qui
correspondent au comportement par saut (PHB, per-hop behavior). Le comportement par saut correspond
à la priorité appliquée à un paquet lors d’un trajet d’un point à un autre dans un réseau. Le marquage DSCP
de Fireware prend en charge trois types de comportement par saut :
Best Effort
Best Effort correspond au type de service par défaut et est recommandé pour le trafic qui n’est pas
critique ni en temps réel. Tout le trafic correspond à cette classe si vous n’utilisez pas le marquage QoS.
Transfert assuré (AF)
Le transfert assuré est recommandé pour le trafic qui a besoin d’une plus grande fiabilité que le
type de service Best Effort. Avec un comportement par saut de type Transfert assuré (AF), le trafic
peut être affecté dans trois classes : bas, moyen et élevé.
Transfert expédié (EF)
Ce type a la priorité la plus élevée. Il est généralement réservé pour le trafic critique et en temps réel.
Les points de code de sélecteur de classe (CSx) sont définis de façon à assurer la compatibilité descendante
avec les valeurs de priorité IP. Les points de code CS1 à CS7 sont identiques aux valeurs de priorité IP 1 à 7.
Le tableau ci-dessous indique les valeurs DSCP que vous pouvez sélectionner, la valeur de priorité IP
correspondante (qui est la même que la valeur CS) et la description par des mots clés PHB.
Valeur DSCP
Valeur de priorité IP équivalente
(valeurs CS)
0
8
Description : mot clé de comportement par
saut
Best Effort (identique à aucun marquage)
1
Scavenger*
10
AF Classe 1 - Bas
12
AF Classe 1 - Moyen
14
AF Classe 1 - Élevé
16
2
18
AF Classe 2 - Bas
20
AF Classe 2 - Moyen
476
WatchGuard System Manager
Gestion du trafic et QoS
Valeur DSCP
Valeur de priorité IP équivalente
(valeurs CS)
22
Description : mot clé de comportement par
saut
AF Classe 2 - Élevé
24
3
26
AF Classe 3 - Bas
28
AF Classe 3 - Moyen
30
AF Classe 3 - Élevé
32
4
34
AF Classe 4 - Bas
36
AF Classe 4 - Moyen
38
AF Classe 4 - Élevé
40
5
46
EF
48
6
Contrôle Internet
56
7
Contrôle du réseau
* La classe Scavenger est utilisée pour le trafic de la plus faible priorité (par exemple, les applications de
partage de médias ou de jeu). Ce trafic a une priorité inférieure au type de service Best Effort.
Pour plus d’informations sur les valeurs DSCP, consultez le document RFC suivant :http://www.rfceditor.org/rfc/rfc2474.txt
Activer le marquage QoS pour une interface
Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces
paramètres peuvent être remplacés par des paramètres définis pour une stratégie.
1. Sélectionnez Installation > Paramètres globaux.
La boîte de dialogue Paramètres globaux s’affiche.
2. Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de
service). Cliquez sur OK.
Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des
performances ou un débogage du réseau.
3. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
4. Sélectionnez l’interface pour laquelle vous souhaitez activer le marquage QoS. Cliquez sur
Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
5. Cliquez sur l’onglet Avancé.
User Guide
477
Gestion du trafic et QoS
6. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP.
7. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage :
n
n
n
Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en
fonction de cette valeur.
Attribuer — Attribuer une nouvelle valeur au bit.
Effacer — Effacer la valeur de bit (la remettre à zéro).
8. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage.
Si vous avez choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0
(priorité normale) à 7 (priorité la plus élevée).
Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56.
Pour plus d’informations sur ces valeurs, voir Types et valeurs de marquage à la page 476.
9. Cochez la case Définir les priorités du trafic en fonction du marquage QoS.
10. Cliquez sur OK.
Activer le marquage QoS ou les paramètres de priorité d’une
stratégie
Outre le marquage du trafic quittant une interface Firebox, vous pouvez marquer le trafic stratégie par
stratégie. L’action de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise la stratégie.
Plusieurs stratégies qui utilisent les mêmes actions de marquage n’ont aucun effet les unes sur les autres.
Les interfaces Firebox peuvent également avoir leurs propres paramètres de marquage QoS. Pour utiliser
le marquage QoS ou les paramètres de définition des priorités pour une stratégie, vous devez remplacer
tous les paramètres de marquage QoS par interface.
1. Double-cliquez sur l’icône de la stratégie dont vous souhaitez marquer le trafic.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Cliquez sur l’onglet Avancé.
3. Cliquez sur l’onglet QoS dans la partie centrale de la boîte de dialogue.
478
WatchGuard System Manager
Gestion du trafic et QoS
4. Cochez la case Remplacer les paramètres par interface pour activer les autres champs QoS et de
définition des priorités.
5. Complétez les paramètres tels que décrit dans les rubriques suivantes.
6. Cliquez sur OK.
7. Enregistrer le fichier de configuration
Paramètres de marquage QoS
Pour plus d’informations sur les valeurs de marquage QoS, voir Types et valeurs de marquage à la page 476.
1. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP.
2. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage :
n
n
n
Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en
fonction de cette valeur.
Attribuer — Attribuer une nouvelle valeur au bit.
Effacer — Effacer la valeur de bit (la remettre à zéro).
3. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage.
Si vous avec choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0
(priorité normale) à 7 (priorité la plus élevée).
Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56.
4. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Marquage QoS.
Paramètres de définition des priorités
De nombreux algorithmes différents peuvent être utilisés pour définir des priorités pour le trafic réseau.
Fireware XTM utilise une méthode de mise en file d’attente basée sur les classes, de hautes performances,
qui s’appuie sur l’algorithme Hierarchical Token Bucket. La définition des priorités dans Fireware XTM
s’applique stratégie par stratégie et équivaut aux niveaux de classe de service (CoS) 0 à 7, où 0 correspond à
une priorité normale (par défaut) et 7 à la priorité la plus élevée. Le niveau 5 est communément utilisé
pour diffuser en continu des données, comme dans le cas de la vidéoconférence ou de VoIP. Réservez les
niveaux 6 et 7 pour les stratégies qui permettent des connexions d’administration système afin de garantir
leur disponibilité constante et d’éviter les interférences provenant d’un autre trafic réseau à priorité
élevée. Utilisez le tableau des niveaux de priorité comme référence lorsque vous attribuez des priorités.
User Guide
479
Gestion du trafic et QoS
1. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Valeur
personnalisée.
2. Dans la liste déroulante Valeur, sélectionnez un niveau de priorité.
Niveaux de priorité
Nous vous recommandons d’attribuer une priorité supérieure à 5 seulement aux stratégies administratives
WatchGuard, telles que la stratégie WatchGuard, la stratégie WG-Logging ou la stratégie WG-Mgmt-Server.
Attribuez au trafic d’entreprise de priorité élevée une priorité égale ou inférieure à 5.
Priorité
Description
0
Routine (HTTP, FTP)
1
Priorité
2
Immédiat (DNS)
3
Flash (Telnet, SSH, RDP)
4
Ignorer le flash
5
Critique (VoIP)
6
Contrôle de l’interconnectivité Internet (configuration de routeur distant)
7
Contrôle du réseau (gestion de pare-feu, de routeur et de commutateur)
Activer le marquage QoS pour un tunnel BOVPN géré
Pour utiliser la fonction QoS avec un tunnel BOVPN administré, vous devez créer un modèle de stratégie
pare-feu VPN et appliquer ce modèle au tunnel BOVPN administré. Vous ne pouvez pas modifier la
stratégie Tout par défaut pour les tunnels BOVPN administrés.
Vous pouvez utiliser le marquage QoS dans un modèle de stratégie de pare-feu VPN afin de définir
différentes priorités pour les tunnels BOVPN administrés utilisant différents modèles de stratégie. L’action
de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise le modèle de stratégie.
1. Démarrez WatchGuard System Manager et connectez-vous à un serveur de gestion Management
Server.
2. Cliquez sur l’onglet Gestion des périphériques.
3. Développez les dossiers VPN administrés et Modèles de stratégie pare-feu VPN.
4. Sélectionnez un modèle de stratégie pare-feu VPN dans l’arborescence afin de le modifier ou
Ajouter des modèles de stratégie de pare-feu VPN.
5. Dans la rubrique Paramètres, cliquez sur Configurer.
La boîte de dialogue Modèle de stratégie pare-feu VPN s’affiche.
6. Cliquez sur l’onglet Avancé.
480
WatchGuard System Manager
Gestion du trafic et QoS
7. Cochez la case Remplacer les paramètres par interface.
8. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP.
9. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage :
n
n
n
Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en
fonction de cette valeur.
Attribuer — Attribuer une nouvelle valeur au bit.
Effacer — Effacer la valeur de bit (la remettre à zéro).
10. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage.
Si vous avec choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0
(priorité normale) à 7 (priorité la plus élevée).
Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56.
11. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez la méthode de
définition des priorités pour le trafic :
n
n
Valeur personnalisée — Utilisez une valeur personnalisée pour donner une priorité au trafic.
Marquage QoS — Donnez une priorité au trafic en fonction des paramètres de marquage QoS
pour ce modèle de stratégie.
12. Si vous avez sélectionné Valeur personnalisée dans la liste déroulante Valeur, sélectionnez un
niveau de priorité.
Pour plus d’informations sur les valeurs de priorité de trafic, voir le tableau dans Activer le
marquage QoS ou les paramètres de priorité d’une stratégie.
13. Cliquez sur OK.
User Guide
481
Gestion du trafic et QoS
Contrôle du trafic et définition de stratégies
Définir un Action de gestion de trafic
Les actions de gestion de trafic permettent d’appliquer des restrictions de bande passante et de garantir
une quantité minimum de bande passante pour une ou plusieurs stratégies. Chaque action de gestion de
trafic peut comporter des paramètres pour plusieurs interfaces. Par exemple, sur une action de gestion de
trafic utilisée avec une stratégie HTTP pour une petite société, vous pouvez régler la bande passante
minimale garantie d’une interface approuvée à 250 Kbits/s et la bande passante maximale à 1000 Kbits/s.
Ceci permet de limiter les vitesses auxquelles les utilisateurs peuvent télécharger des fichiers, mais garantit
qu’une petite quantité de bande passante soit toujours disponible pour le trafic HTTP. Vous pouvez alors
régler la bande passante minimale garantie d’une interface externe à 150 Kbits/s et la bande passante
maximale à 300 Kbits/s afin de gérer les vitesses de transfert de fichiers en même temps.
Déterminer la bande passante disponible
Avant de commencer, vous devez déterminer la bande passante disponible de l’interface utilisée pour la ou
les stratégies pour lesquelles vous souhaitez garantir la bande passante. Pour les interfaces externes, vous
pouvez contacter votre fournisseur de services Internet pour vérifier le niveau de bande passante garanti
accordé par votre contrat. Vous pouvez ensuite procéder à un test de vitesse grâce aux outils en ligne pour
vérifier cette valeur. Ces outils peuvent donner des valeurs différentes en fonction du nombre de variables.
Pour d’autres interfaces, vous pouvez considérer que la vitesse de connexion sur l’interface Firebox
correspond à la bande passante maximale théorique pour ce réseau. Vous devez également prendre en
considération les besoins en termes d’envoi et de réception d’une interface et régler la valeur seuil en
fonction de ces besoins. Si votre connexion Internet est asymétrique, utilisez la bande passante de liaison
montante définie par votre fournisseur de services Internet comme valeur seuil.
Déterminer la somme de votre bande passante
Vous devez également déterminer la somme de la bande passante que vous souhaitez garantir pour toutes
les stratégies d’une interface donnée. Par exemple, sur une interface externe de 1500 Kbits/s, vous pouvez
choisir de réserver 600 Kbits/s pour l’intégralité de la bande passante garantie et utiliser les 900 Kbits/s
restants pour le reste du trafic.
Toutes les stratégies qui utilisent une action de gestion de trafic donnée partagent ses paramètres de
vitesse de connexion et de bande passante. Lors de leur création, les stratégies appartiennent
automatiquement à l’action de gestion de trafic par défaut laquelle n’applique aucune restriction ni
réservation. Si vous créez une action de gestion de trafic pour définir une bande passante maximale de 10
Mbits/s et l’appliquez à une stratégie FTP et à une stratégie HTTP, toutes les connexions gérées par ces
stratégies doivent partager 10 Mbits/s. Si vous appliquez ultérieurement la même action de gestion de trafic
à une stratégie SMTP, les trois stratégies doivent se partager 10 Mbits/s. Ceci s’applique également aux
limites de vitesse de connexion ainsi qu’à la bande passante minimale garantie. La bande passante garantie
inutilisée, réservée par une action de gestion de trafic, peut être utilisée par les autres actions de gestion de
trafic.
482
WatchGuard System Manager
Gestion du trafic et QoS
Créer ou modifier une action de gestion de trafic
1. Double-cliquez sur la stratégie pour laquelle vous souhaitez garantir une bande passante minimale.
Cliquez sur l’onglet Avancé. Cliquez sur .
Ou sélectionnez Installation > Actions > Gestion de trafic et cliquez sur Ajouter.
La boîte de dialogue Configuration de la nouvelle action de gestion de trafic s’affiche.
2. Dans la rubrique Configuration de bande passante pour le trafic sortant, cliquez sur Ajouter.
Une liste déroulante d’interface s’affiche.
3. Dans la colonne Interface, cliquez sur la liste déroulante pour sélectionner l’interface pour laquelle
vous souhaitez définir une bande passante minimale.
4. Double-cliquez sur les colonnes Bande passante minimale garantie et Bande passante maximale
pour en modifier les paramètres. Saisissez un nombre pour définir la bande passante minimale ou
maximale en kilo-octets par seconde.
5. Cliquez sur OK.
6. Si vous avez défini l’action de trafic à partir d’une définition de stratégie, la nouvelle action de trafic
figure à présent dans Gestion du trafic, sous l’onglet Avancé.
Si vous avez défini les actions de trafic dans Installation > Actions > Gestion du trafic, vous devez
Ajouter une une action de gestion de trafic à une stratégie pour que cela s’applique sur votre réseau.
Ajouter une une action de gestion de trafic à une stratégie
Après que vous Définir un Action de gestion de trafic, vous pouvez l’ajouter aux définitions de la stratégie.
Vous pouvez également ajouter une action de gestion de trafic existante aux définitions de stratégie.
User Guide
483
Gestion du trafic et QoS
1. Double-cliquez sur la stratégie pour laquelle vous souhaitez garantir une bande passante minimale.
2. Cliquez sur l’onglet Avancé.
3. Dans la liste déroulante Gestion du trafic, sélectionnez une action de gestion de trafic à appliquer à
la stratégie.
4. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
Si la somme de toutes les bandes passantes garanties pour une interface s’approche de la limite de
bande passante que vous avez définie pour cette interface, ou la dépasse, un message
d’avertissement s’affiche.
La nouvelle action figure dans la boîte de dialogue Actions de gestion du trafic.
Si vous voulez effectuer le suivi de la bande passante utilisée par une stratégie, affichez l’onglet Suivi du
service de Firebox System Manager et spécifiez Bande passante à la place de Connexions. Pour plus
d’informations, voir Affichage visuel de utilisation des stratégies (onglet Suivi du service) à la page 700.
Note Si vous avez une configuration multi-WAN, les limites de bande passante sont
appliquées séparément à chaque interface.
Appliquer une action de gestion de trafic à plusieurs stratégies
Lorsque la même action de gestion de trafic est ajoutée à plusieurs stratégies, les bandes passantes
maximale et minimale s’appliquent à chaque interface de votre configuration. Si deux stratégies partagent
une action qui comporte une bande passante maximale de 100 Kbits/s sur une seule interface, alors tout le
trafic sur cette interface qui sera conforme à ces stratégies sera limité à 100 Kbits/s au total.
Si vous disposez d’une bande passante limitée sur une interface utilisée pour plusieurs applications,
chacune avec des ports uniques, vous pourrez avoir besoin de toutes les connexions haute priorité pour
partager une action de gestion de trafic. Si vous disposez de beaucoup de bande passante supplémentaire,
vous pouvez créer des actions de gestion de trafic séparées pour chaque application.
Ajouter une action de gestion de trafic à une stratégie de parefeu BOVPN
Pour utiliser la gestion de trafic avec un tunnel BOVPN administré, vous devez créer un modèle de stratégie
pare-feu VPN et appliquer ce modèle au tunnel BOVPN administré. Vous ne pouvez pas modifier la
stratégie Tout par défaut pour les tunnels BOVPN administrés.
Vous pouvez utiliser la gestion de trafic dans un modèle de stratégie de pare-feu VPN pour définir
différentes limites de bande passante pour les tunnels BOVPN administrés utilisant différents modèles de
stratégie. L’action de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise le modèle de
stratégie.
1. Démarrez WatchGuard System Manager et connectez-vous à un serveur de gestion Management
Server.
2. Cliquez sur l’onglet Gestion des périphériques.
484
WatchGuard System Manager
Gestion du trafic et QoS
3. Développez les dossiers VPN administrés et Modèles de stratégie pare-feu VPN.
4. Sélectionnez un modèle de stratégie pare-feu VPN dans l’arborescence afin de le modifier ou
Ajouter des modèles de stratégie de pare-feu VPN.
5. Dans la rubrique Paramètres, cliquez sur Configurer.
La boîte de dialogue Modèle de stratégie pare-feu VPN s’affiche.
6. Cliquez sur l’onglet Gestion du trafic.
7. Cochez la case Spécifier une action de gestion de trafic personnalisée.
8. Définissez l’action de gestion de trafic personnalisée tel que décrit dans Définir un Action de gestion
de trafic à la page 482.
9. Cliquez sur OK.
User Guide
485
Gestion du trafic et QoS
User Guide
486
16
Default Threat Protection
À propos de default threat protection
Le système d’exploitation WatchGuard Fireware XTM et les stratégies que vous créez vous permettent de
contrôler rigoureusement l’accès à votre réseau. Une stratégie d’accès stricte permet de protéger votre
réseau des pirates. En revanche, il existe d’autres types d’attaques qu’une simple stratégie stricte n’est pas
en mesure de déjouer. Une configuration rigoureuse des options Default Threat Protection du
périphérique WatchGuard permet d’arrêter différents types d’attaques (par exemple, les attaques SYN
Flood, d’usurpation ou d’exploration des espaces de ports et d’adresses).
Avec Default Threat Protection, un pare-feu examine la source et la destination de chaque paquet qu’il
reçoit. Il vérifie l’adresse IP et le numéro de port et contrôle les paquets à la recherche de modèles
indiquant un danger pour votre réseau. En cas de danger, vous pouvez configurer le périphérique
WatchGuard pour qu’il bloque automatiquement une attaque éventuelle. Cette méthode proactive de
détection et de prévention des intrusions permet de protéger votre réseau des personnes malveillantes.
Pour configurer Default Threat Protection, cf. :
n
n
n
À propos de options de gestion des paquets par défaut
À propos de sites bloqués
À propos de Ports bloqués
Vous pouvez également acheter une mise à niveau du périphérique WatchGuard pour utiliser la
fonctionnalité Intrusion Prevention basée sur les signatures. Pour plus d’informations, voir À propos de
Gateway AntiVirus et Intrusion Prévention à la page 1095.
User Guide
487
Default Threat Protection
À propos de options de gestion des paquets par
défaut
Lorsque le périphérique WatchGuard reçoit un paquet, il examine sa source et sa destination. Il vérifie
l’adresse IP et le numéro de port. Il contrôle également les paquets à la recherche de modèles indiquant un
danger pour votre réseau. Ce processus est appelé gestion des paquets par défaut.
La gestion des paquets par défaut permet les actions suivantes :
n
n
n
n
n
Rejeter un paquet qui pourrait représenter un risque de sécurité, y compris les paquets qui
pourraient faire partie d’une attaque d’usurpation ou d’une attaque SYN Flood ;
Bloquer automatiquement tout le trafic vers l’adresse IP et en provenant ;
Ajouter un évènement au fichier journal ;
Envoyer une interruption SNMP au Management Server SNMP ;
Envoyer une notification relative aux risques de sécurité potentiels.
La plupart des options de gestion des paquets par défaut sont activées dans la configuration par défaut du
périphérique WatchGuard. Vous pouvez modifier les seuils de prise d’action du périphérique WatchGuard.
Vous pouvez également modifier les options sélectionnées pour la gestion des paquets par défaut.
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
488
WatchGuard System Manager
Default Threat Protection
2. Activez les cases à cocher pour les modèles de trafics contre lesquels vous souhaitez agir, en vous
basant sur les explications fournies dans les rubriques suivantes :
n
n
n
n
n
n
À propos de attaques d’usurpation à la page 489
À propos de Attaques d’Itinéraire source des adresses IP à la page 490
À propos de exploration des espaces de ports et d’adresses à la page 491
À propos de Attaques Flood à la page 493
À propos de À propos des paquets non gérés à la page 494
À propos des attaques de prévention répartie contre les refus de service à la page 496
Définir des options de journalisation et de notification
La configuration par défaut du périphérique WatchGuard indique au périphérique WatchGuard d’envoyer
un message du journal lorsqu’un évènement spécifié dans la boîte de dialogue Gestion des paquets par
défautse produit.
Pour configurer une interruption SNMP ou une notification :
1. Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s’ouvre.
2. Configurez les paramètres de notification tel que décrit dans Définir les préférences de journalisation
et de notification à la page 656.
À propos de attaques d’usurpation
Une des méthodes utilisées par les personnes malveillantes pour accéder à un réseau consiste à créer une
fausse identité électronique . Il s’agit d’une méthode d’ usurpation d’IP utilisée par les personnes
malveillantes pour envoyer un paquet TCP/IP avec une adresse IP différente de celle du premier ordinateur
à l’avoir envoyé en premier.
Lorsque la protection contre l’usurpation est activée, le périphérique WatchGuard s’assure que l’adresse IP
source d’un paquet provient bien d’un réseau sur cette interface.
Dans la configuration par défaut, le périphérique WatchGuard rejette les attaques d’usurpation. Pour
modifier les paramètres de cette fonctionnalité :
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
User Guide
489
Default Threat Protection
2. Activez ou désactivez les cases à cocher Rejeter les attaques d’usurpation.
3. Cliquez sur OK.
À propos de Attaques d’Itinéraire source des adresses IP
Pour trouver l’itinéraire pris par les paquets sur votre réseau, les personnes malveillantes lancent des
attaques d’itinéraire source d’adresses IP. Elles peuvent envoyer un paquet IP et utiliser la réponse envoyée
par votre réseau et obtenir des informations sur le système d’exploitation de l’ordinateur cible ou du
périphérique réseau.
Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques d’itinéraire source
d’adresse IP. Pour modifier les paramètres de cette fonctionnalité :
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
490
WatchGuard System Manager
Default Threat Protection
2. Activez ou désactivez les cases à cocherRejeter itinéraire source d’adresse IP.
3. Cliquez sur OK.
À propos de exploration des espaces de ports et d’adresses
Les personnes malveillantes cherchent fréquemment des ports ouverts aux points de départ pour lancer
des attaques réseau. Une exploration d’espace de port correspond à du trafic TCP ou UDP envoyé à une
plage de ports. Il peut s’agir d’une séquence de ports ou de ports aléatoires, de 0 à 65535. Une exploration
d’espace d’adresses correspond à du trafic TCP ou UDP envoyé à une plage d’adresses réseau. Les
explorations de l’espace de ports examinent un ordinateur pour trouver les services qu’il utilise. Les
explorations de l’espace d’adresses examinent un réseau pour déterminer les périphériques réseau situés
sur ce réseau.
Pour de plus amples informations sur les ports, cf. À propos des ports à la page viii.
Note Le périphérique WatchGuard détecte les explorations des espaces de ports et
d’adresses uniquement sur les interfaces dont le type est configuré sur Externe.
User Guide
491
Default Threat Protection
Méthode d’identification des explorations réseau du périphérique
WatchGuard
Une exploration de l’espace d’adresses est identifiée lorsqu’un ordinateur sur un réseau externe envoie un
nombre spécifié de paquets à différentes adresses IP affectées à des interfaces externes du périphérique
WatchGuard. Pour identifier une exploration de l’espace de ports, le périphérique WatchGuard compte le
nombre de paquets envoyés à partir d’une adresse IP vers les adresses IP d’interface externe. Les adresses
peuvent inclure l’adresse IP d’interface externe ainsi que toute adresse IP secondaire configurée sur
l’interface externe. Si le nombre de paquets envoyés à différentes adresses IP ou ports de destination en
une seconde est plus élevé que le nombre défini, l’adresse IP source est ajoutée à la liste des sites bloqués.
Lorsque les cases à cocher Bloquer les explorations d’adresses de port et Bloquer les explorations de
l’espace d’adresses sont activées, l’ensemble du trafic entrant d’une interface externe est examiné par le
périphérique WatchGuard. Vous ne pouvez pas désactiver ces fonctionnalités pour des adresses IP
spécifiées ou des périodes de temps différentes.
Protection contre les explorations d’espaces de ports et d’espaces
d’adresses
Dans la configuration par défaut, le périphérique WatchGuard bloque les explorations réseau. Vous pouvez
modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum explorations d’espaces
de ports et d’espaces d’adresses par seconde pour chaque adresse IP source (la valeur par défaut est 50).
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
492
WatchGuard System Manager
Default Threat Protection
2. Activez ou désactivez les cases à cocher Bloquer les explorations d’espace de ports et Bloquer les
explorations d’espace d’adresses.
3. Utilisez les flèches pour sélectionner le nombre maximal d’explorations de ports ou d’adresses par
seconde à autoriser en provenance de la même adresse IP. La valeur par défaut pour la
fonctionnalité Bloquer les explorations d’espaces de ports est de 100, et la valeur par défaut pour la
fonctionnalité et Bloquer les explorations d’espaces d’adresses est de 50. Une source est donc
bloquée si elle initie des connexions à 100 ports ou à 50 hôtes différents en une seconde.
4. Cliquez sur OK.
Pour bloquer les attaques de personnes malveillantes plus rapidement, définissez le seuil du nombre
maximal d’explorations de ports ou d’adresses par seconde sur une valeur moins élevée. Si le nombre
défini est trop bas, le périphérique WatchGuard pourrait aussi refuser le trafic réseau légitime. Le risque de
bloquer du trafic réseau légitime est moindre si vous définissez la valeur sur un niveau élevé, mais le
périphérique WatchGuard doit envoyer des paquets de réinitialisations TCP pour chaque connexion qu’il
rejette. Ces envois utilisent de la bande passante et des ressources du périphérique WatchGuard et
fournissent des informations sur le pare-feu à la personne malveillante.
À propos de Attaques Flood
Lors d’une attaque Flood, des personnes malveillantes envoient un volume très important de trafic à un
système l’empêchant ainsi de l’examiner et d’autoriser le trafic réseau légitime. Par exemple, une attaque
ICMP Flood se produit lorsqu’un système reçoit un nombre de commandes ping ICMP tel qu’il est obligé
d’utiliser toutes ses ressources pour envoyer des commandes de réponse. Le périphérique WatchGuard
offre une protection contre les types d’attaques Flood suivants :
n
n
n
n
n
IPSec
IKE
ICMP
SYN
UDP
Les attaques Flood sont également appelées attaques de refus de service (DoS, Denial of Service). Dans la
configuration par défaut, le périphérique WatchGuard bloque les attaques Flood.
Pour modifier les paramètres pour cette fonctionnalité ou modifier le nombre maximum de paquets
autorisés par seconde :
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
User Guide
493
Default Threat Protection
2. Activez ou désactivez les cases à cocher Attaque Flood.
3. Utilisez les flèches pour sélectionner le nombre maximal de paquets autorisés par seconde pour
chaque adresse IP source.
Par exemple, si le paramètre est réglé sur 1 000, Firebox bloque une source s’il reçoit plus de 1 000
paquets par seconde en provenance de cette source.
4. Cliquez sur OK.
À propos du paramètre des attaques SYN Flood
Pour les attaques SYN Flood, vous pouvez définir le seuil en fonction duquel le périphérique WatchGuard
établit un rapport sur une attaque SYN Flood possible, mais aucun paquet n’est rejeté si le nombre de
paquets sélectionné n’est pas dépassé. Lorsque le double du seuil défini est atteint, tous les paquets SYN
sont rejetés. Si le niveau atteint se situe entre le niveau défini et le double de ce niveau, et que les valeurs
src_IP, dst_IP et total_length d’un paquet sont identiques au précédent paquet reçu, ce paquet est toujours
rejeté. Sinon, 25 % des nouveaux paquets reçus sont rejetés.
Par exemple, admettons que vous définissiez le seuil d’attaque SYN Flood sur 18 paquets/sec. Lorsque le
périphérique WatchGuard reçoit 18 paquets/sec., il vous envoie un rapport d’attaque SYN Flood éventuelle,
mais il ne rejette aucun paquet. Par contre, s’il reçoit 20 paquets par seconde, il rejette 25 % des paquets
reçus (5 paquets). Si le périphérique reçoit 36 paquets ou plus, les 18 derniers paquets ou plus sont rejetés.
À propos de À propos des paquets non gérés
Un paquet non géré est un paquet qui ne correspond à aucune règle de stratégie. Le périphérique
WatchGuard refuse toujours les paquets non gérés, mais vous pouvez prendre des mesures
supplémentaires pour protéger votre réseau en modifiant les paramètres du périphérique.
494
WatchGuard System Manager
Default Threat Protection
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
2. Activez ou désactivez les cases à cocher correspondant aux options suivantes :
Bloquer automatiquement la source des paquets non traités
Sélectionnez l’option permettant de bloquer automatiquement la source des paquets non
gérés. Le périphérique WatchGuard ajoute l’adresse IP qui a envoyé le paquet à la liste Sites
bloqués temporairement.
Envoyer un message d’erreur aux clients dont les connexions sont désactivées
Sélectionnez l’option permettant de renvoyer une réinitialisation TCP ou une erreur ICMP au
client lorsque le périphérique WatchGuard reçoit un paquet non géré.
Consulter les statistiques sur les paquets non gérés
Vous pouvez consulter les statistiques relatives aux paquets non gérés reçus par le périphérique
WatchGuard sur le Affichage visuel de utilisation des stratégies (onglet Suivi du service) dans Firebox System
Manager. Utilisez la liste déroulante Afficher les connexions par pour afficher les connexions par règle
plutôt que par stratégie.
User Guide
495
Default Threat Protection
À propos des attaques de prévention répartie contre les refus
de service
Les attaques de refus de service distribué (DDoS, Distributed Denial of Service) sont quasiment identiques
aux attaques flood. Lors d’une attaque DDoS, un grand nombre de clients et serveurs différents envoient
des connexions à un ordinateur pour tenter d’inonder le système. Lorsqu’une attaque DDoS se produit, elle
empêche les utilisateurs habituels d’utiliser le système cible.
Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques DDoS. Vous pouvez
modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum de connexions
autorisées par seconde.
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
2. Activez ou désactivez les cases à cocher Quota par client ou Quota par serveur.
3. Utilisez les touches de direction pour définir le nombre maximal de connexions par seconde
autorisé à partir d’une adresse IP source protégée par le périphérique WatchGuard (Quota par
client) ou vers une adresse IP de destination protégée par le périphérique WatchGuard (Quota par
serveur). Les connexions qui dépassent ce quota sont rejetées.
496
WatchGuard System Manager
Default Threat Protection
À propos de sites bloqués
Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique
WatchGuard. Vous indiquez au périphérique WatchGuard de bloquer des sites spécifiques connus pour
présenter ou pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic
suspect, vous pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en
outre possible de configurer le périphérique WatchGuard pour qu’il envoie un message du journal chaque
fois que la source tente de se connecter à votre réseau. Les services utilisés par les sources lors de leurs
attaques sont mentionnés dans le fichier journal.
L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types
d’adresses IP bloquées : les adresses permanentes et les adresses automatiquement bloquées.
Sites bloqués de façon permanente
Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces
adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par
exemple, vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser
votre réseau, afin d’empêcher les analyses de port à partir de ce site.
Pour bloquer un site, cf. Bloquer un site de façon permanente à la page 497.
Liste des sites automatiquement bloqués/sites bloqués de
façon temporaire
Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Pour déterminer si
un site doit être bloqué, le périphérique Firebox se base sur les règles de traitement des paquets spécifiées
dans chaque stratégie. Par exemple, si vous créez une stratégie visant à refuser l’intégralité du trafic qui
transite par le port 23 (Telnet), toute adresse IP essayant de faire circuler des données Telnet par le biais de
ce port est automatiquement bloquée pour la durée spécifiée.
Pour savoir comment bloquer automatiquement les sites dont le trafic est refusé, cf. Bloquer
temporairement les sites avec des paramètres de stratégie à la page 500.
Par ailleurs, vous avez la possibilité de bloquer automatiquement les sites fournissant des paquets qui ne
correspondent à aucune des règles de stratégie. Pour plus d’informations, voir À propos de À propos des
paquets non gérés à la page 494.
Bloquer un site de façon permanente
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Sites bloqués.
La boîte de dialogue Configuration des sites bloqués s’affiche.
User Guide
497
Default Threat Protection
2. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un site s’affiche.
3. Dansla liste déroulante Choisirun type,sélectionnez une méthode d’identificationdu site bloqué.
Lesoptions sontles suivantes : IP del’hôte, IPréseau, Plaged’hôtesou Nomde l’hôte(recherche DNS).
4. Entrez la valeur.
La valeur indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Si vous devez bloquer une
plage d’adresses incluant une ou plusieurs adresses IP affectées au périphérique WatchGuard,
commencez par inclure ces adresses IP dans la liste des exceptions aux sites bloqués.
Pour ajouter des exceptions, cf. Créer Exceptions aux sites bloqués à la page 499.
5. (Facultatif) Entrez un commentaire pour fournir des informations concernant le site.
6. Cliquez sur OK.
Le nouveau site est ajouté à la liste des sites bloqués.
Configurer la journalisation pour les sites bloqués
Vous pouvez configurer le périphérique WatchGuard pour qu’il crée une entrée de journal ou envoie un
message de notification si un ordinateur tente de se connecter à un site bloqué.
Dans la boîte de dialogue Configuration des sites bloqués :
498
WatchGuard System Manager
Default Threat Protection
1. Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s’ouvre.
2. Configurez les paramètres de notification tel que décrit dans Définir les préférences de journalisation
et de notification à la page 656.
Créer Exceptions aux sites bloqués
Lorsque vous ajoutez un site à la liste des exceptions aux sites bloqués, le trafic vers ce site n’est pas bloqué
par la fonctionnalité de blocage automatique.
1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués.
2. Cliquez sur l’onglet Exceptions aux sites bloqués.
3. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un site s’affiche.
4. Dans la liste déroulante Choisir un type, sélectionnez un type de membre. Les options sont les
suivantes : IP de l’hôte, IP réseau, Plage d’hôtesou Nom de l’hôte (recherche DNS).
5. Entrez la valeur du membre.
Le type de membre indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Lorsque vous
entrez une adresse IP, tapez tous les chiffres sans oublier le point. N’utilisez pas les touches TAB ni
les touches de direction.
6. Cliquez sur OK.
Importer une liste des sites bloqués ou des exceptions aux
sites bloqués
Si vous gérez plusieurs périphériques WatchGuard et que vous souhaitez utiliser la même liste de sites
bloqués ou d’exceptions aux sites bloqués sur plus d’un périphérique, vous pouvez créer une liste des sites
à bloquer dans un fichier texte (.txt) et importer le fichier dans chaque périphérique.
User Guide
499
Default Threat Protection
Les adresses IP que vous y indiquez doivent être séparées par des espaces ou des sauts de ligne. Pour
préciser les réseaux, utilisez des barres obliques. Pour indiquer une plage d’adresses, indiquez la première
adresse de la plage, suivie d’un tiret, puis la dernière adresse. Un fichier texte importé peut, par exemple,
se présenter ainsi :
2.2.2.2 5.5.5.0/24 3.3.3.3-3.3.3.8 6.6.6.6 7.7.7.7
Pour importer les adresses IP dans les sites bloqués ou la liste des exceptions aux sites bloqués pour le
périphérique WatchGuard actuel :
1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués.
La boîte de dialogue Configuration des sites bloqués s’affiche.
2. Pour importer des sites bloqués à partir d’un fichier, cliquez sur l’onglet Sites bloqués.
Sinon, pour importer les exceptions aux sites bloqués, cliquez sur l’onglet Exceptions aux sites
bloqués.
3. Cliquez sur Importer.
La boîte de dialogue Sélectionner un fichier s’affiche.
4. Parcourez l’arborescence pour sélectionner le fichier. Cliquez sur Sélectionner un fichier.
Les sites repris dans le fichier apparaissent dans la liste des sites bloqués ou des exceptions aux sites bloqués.
5. Cliquez sur OK.
Bloquer temporairement les sites avec des paramètres de
stratégie
Pour bloquer temporairement des sites tentant d’utiliser un service refusé, vous pouvez recourir à la
configuration de stratégie. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de
façon temporaire, pour une durée de 20 minutes (par défaut).
1. Dans Policy Manager, double-cliquez sur l’icône de stratégie pour le service refusé.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Dans l’onglet Stratégie , assurez-vous de sélectionner dans la liste déroulante Les connexions sont
l’option refusée ou refusée (envoyer réinitialisation).
3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de
se connecter. Par défaut, les adresses IP des paquets refusés sont ajoutées à la liste des sites
bloqués de façon temporaire, pour une durée de 20 minutes.
Si vous activez la journalisation des sites bloqués de manière temporaire, les messages du journal peuvent
vous aider à choisir les adresses IP à bloquer de manière permanente. Pour activer la journalisation des
paquets refusés :
1. Dans la définition de stratégie, cliquez sur l’onglet Propriétés
2. Cliquez sur Journalisation.
3. Activez la case à cocher Envoyer un message du journal .
Pour de plus amples informations sur la journalisation, cf. Définir les préférences de journalisation et
de notification à la page 656.
Modifier la durée du blocage automatique des sites
Pour activer la fonctionnalité blocage automatique :
500
WatchGuard System Manager
Default Threat Protection
Dans Policy Manager, sélectionnez Configurer > Default Threat Protection >Gestion des paquets
par défaut.
Pour plus d’informations, voir À propos de À propos des paquets non gérés à la page 494.
Pour bloquer automatiquement des sites tentant d’utiliser un service refusé, vous pouvez recourir aux
paramètres de stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des
paramètres de stratégie à la page 500.
Pour définir la durée du blocage automatique des sites :
1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués.
2. Sélectionnez l’onglet Blocageauto.
3. Pour modifier la durée du blocage automatique du site, entrez ou sélectionnez le nombre de
minutes de blocage d’un site dans la zone de texte Durée du blocage automatique des sites La
valeur par défaut est de 20 minutes.
4. Cliquez sur OK.
À propos de Ports bloqués
Vous pouvez bloquer les ports susceptibles d’être utilisés pour attaquer votre réseau. Ceci permet d’arrêter
les services réseau externes spécifiés. En bloquant vos ports, vous protégez vos services les plus
vulnérables.
Lorsque vous bloquez un port, vous annulez toutes les règles de vos définitions de stratégie. Pour bloquer
un port, cf. Bloquer un port à la page 503.
User Guide
501
Default Threat Protection
Ports bloqués par défaut
Dans la configuration par défaut, le périphérique WatchGuard bloque certains ports de destination. En règle
générale, il est inutile de modifier cette configuration par défaut. Les paquets TCP et UDP sont bloqués pour
les ports suivants :
X Window System (ports 6000-6005)
La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est
dangereux d’y avoir recours sur Internet.
X Font Server (port 7100)
De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent
le rôle de super utilisateur sur certains hôtes.
Système de gestion de fichiers en réseau (NFS) (port 2049)
Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé
permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau.
Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité
ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet.
Note Le portmapper utilise fréquemment le port 2049 pour le système de gestion de
fichiers en réseau. Si vous employez ce système, vérifiez que le port 2049 lui est
dédié sur l’ensemble des ordinateurs.
rlogin, rsh, rcp (ports 513 et 514)
Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en
matière de sécurité et de nombreux pirates les explorent.
Portmapper RPC (port 111)
Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC
spécifique. Les services RPC sont très vulnérables via Internet.
port 8000
De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité.
port 1
Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi
rendre l’examen des ports par les outils plus difficile.
port 0
Ce port est systématiquement bloqué par le périphérique WatchGuard. Vous ne pouvez pas
autoriser le trafic entre le port 0 et le périphérique.
Note Si vous devez autoriser le trafic sur l’un des ports bloqués par défaut pour utiliser
les applications logicielles associées, nous vous recommandons de n’autoriser le
trafic que par un tunnel VPN ou d’utiliser SSH (Secure Shell) avec ces ports.
502
WatchGuard System Manager
Default Threat Protection
Bloquer un port
Note Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients
utilisent fréquemment ces numéros de port source.
1. Dans Policy Manager, cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Sites bloqués.
La boîte de dialogue Ports bloqués s’affiche.
2. Cliquez sur les flèches du champPortou entrez le numéro de port à bloquer.
3. Cliquez sur Ajouter.
Le nouveau numéro de port est ajouté à la liste des ports bloqués.
Blocage d’adresses IP tentant d’utiliser des ports bloqués
Vous pouvez configurer le périphérique WatchGuard pour qu’il bloque automatiquement un ordinateur
externe tentant d’utiliser un port bloqué. Dans la boîte de dialogue Ports bloqués, activez la case à cocher
Bloquer automatiquement les sites qui tentent d’utiliser des ports bloqués.
Définir des options de journalisation et de notification pour les ports
bloqués
Vous pouvez configurer le périphérique WatchGuard pour qu’il crée une entrée de journal si un ordinateur
tente de se connecter à un port bloqué. Vous pouvez également définir une notification lorsqu’un
ordinateur tente d’accéder à un port bloqué.
Dans la boîte de dialogue Ports bloqués :
1. Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s’ouvre.
2. Configurez les paramètres de notification tel que décrit dans Définir les préférences de journalisation
et de notification à la page 656.
User Guide
503
Default Threat Protection
User Guide
504
17
Configuration de WatchGuard
Server
Présentation des serveurs WatchGuard System
Manager
Lorsque vous installez le logiciel WatchGuard System Manager, vous avez le choix d’installer un ou plusieurs
serveurs WatchGuard System Manager. Vous pouvez également exécuter le programme d’installation et
choisir d’installer un seul ou plusieurs serveurs, sans WatchGuard System Manager. Lorsque vous installez
un serveur, le programme WatchGuard Server Center est en effet automatiquement installé. WatchGuard
Server Center est une application autonome que vous utilisez pour installer, configurer, sauvegarder et
restaurer tous vos serveurs WatchGuard System Manager.
WatchGuard System Manager englobe cinq serveurs :
n
n
n
n
n
Management Server
Serveur Log Server
Report Server
Quarantine Server
WebBlocker Server
Pour configurer les serveurs WatchGuard System Manager, cf. Configurer les serveurs WatchGuard System
Manager à la page 507.
Pour les instructions d’installation de WatchGuard System Manager, cf. Installer le logiciel WatchGuard
System Manager à la page 25.
Chaque serveur a une fonction spécifique :
Management Server
Le serveur Management Server fonctionne sous Windows. Avec ce serveur, vous pouvez gérer tous
les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) à l’aide d’une
simple fonction glisser-déposer. Les fonctions de base de Management Server sont les suivantes :
User Guide
505
Configuration de WatchGuard Server
n
n
n
Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol
Security).
Gestion de configuration des tunnels VPN
Gestion de plusieurs périphériques Fireware XTM et Firebox
Pour plus d’informations sur Management Server, voir À propos de WatchGuard Management
Server à la page dxvii.
Serveur Log Server
Le Log Server recueille les messages de journaux de chaque Firebox et périphérique XTM, et les
stocke dans une base de données PostgreSQL. Les messages des journaux sont chiffrés lorsqu’ils
sont envoyés au serveur Log Server. Le format d’un message du journal est XML (texte brut). Les
types de messages recueillis par le Log Server incluent ceux du journal du trafic, du journal
d’événements, des alarmes et des diagnostics.
Pour de plusamples informationssur lesLog Servers, cf.Configurer un serveur Log Server à lapage 627.
Report Server
Le serveur Report Server consolide périodiquement des données collectées par vos serveurs Log
Server sur vos périphériques Firebox et XTM, et les stocke dans une base de données PostgreSQL.
Le Report Server produit ensuite les rapports que vous indiquez. Lorsque les données sont sur le
Report Server, vous pouvez les consulter avec Report Manager ou Reporting Web UI.
Pour plus d’informations sur les rapports et Report Server, voir À propos de Report Server à la page 741.
Pour plus d’informations sur Report Manager, cf. À propos de WatchGuard Report Manager à la
page 758.
Pour plus d’informations sur la configuration de Reporting Web UI, voir Configurer les paramètres de
Reporting Web UI à la page 754.
Pour plus d’informations sur l’utilisation de Reporting Web UI, voir l’Aide pour l’interface utilisateur
Web de rapport.
Quarantine Server
Le Quarantine Server recueille et isole les messages d’e-mail identifiés par spamBlocker comme
courrier indésirable possible.
Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server à la
page 1121.
WebBlocker Server
Le WebBlocker Server utilise le proxy HTTP pour refuser l’accès utilisateur à des catégories
spécifiques de sites Web. Lorsque vous configurez un Firebox, vous définissez les catégories de sites
Web que vous souhaitez autoriser ou bloquer.
Pour plus d’informations sur WebBlocker et le WebBlocker Server, cf. À propos de WebBlocker à la
page 993.
506
WatchGuard System Manager
Configuration de WatchGuard Server
Configurer les serveurs WatchGuard System
Manager
WatchGuard Server Center est une application autonome que vous utilisez pour installer, configurer,
sauvegarder et restaurer tous les serveurs WatchGuard System Manager.
Après avoir installé WatchGuard System Manager et les serveurs WatchGuard, l’assistant WatchGuard
Server Center Setup Wizard crée les serveurs WatchGuard que vous avez choisi d’installer sur votre poste
de travail. L’assistant affiche uniquement les écrans correspondants aux composants installés. Par exemple,
si vous avez installé Log Server et Report Server, mais non Quarantine Server, l’assistant affichera
uniquement les pages pertinentes aux paramètres du Log Server et du Report Server. Les pages utilisées
pour créer une liste de domaines pour Quarantine Server ne seront donc pas affichées.
Si vous n’avez pas installé ou configuré des serveurs WatchGuard, vous pourrez le faire plus tard. Il vous
suffit de lancer le programme d’installation de WatchGuard System Manager à la page principale de
configuration de chaque serveur qui n’a pas été installé. Vous pouvez également lancer l’assistant
WatchGuard Server Center Setup Wizard à la page principale de configuration de chaque serveur qui n’a
pas été installé.
Pour plus d’informations, voir Installer ou configurer les serveurs WatchGuard à partir du WatchGuard
Server Center à la page 514.
Avant de commencer
Avant de lancer l’assistant, vérifiez que vous avez toute l’information nécessaire :
n
n
n
n
Si vous souhaitez utiliser une passerelle Firebox pour protéger le Management Server, l’adresse IP
de l’interface externe de ce Firebox.
La clé de licence du Management Server
Pour rechercher la clé de licence, cf. Recherche de votre clé de licence de Management Server à la
page 511.
Si vous souhaitez configurer le Quarantine Server, le ou les noms de domaine pour lesquels le
Quarantine Server acceptera les messages d’e-mail.
Si vous souhaitez configurer le Log Server, l’adresse IP du périphérique que vous utiliserez à titre de
Log Server.
Démarrage de l’assistant
1. Faites un clic droit dans la zone de notification et sélectionnez Ouvrir WatchGuard Server Center.
Si vous ne voyez pas cette icône, vous n’avez pas installé de logiciel du serveur WatchGuard.
Pour exécuter à nouveau le procédé d’installation et installer un ou plusieurs serveurs, cf. Installer le
logiciel WatchGuard System Manager à la page 25.
L’assistant WatchGuard Server Center Setup Wizard démarre.
2. Prenez connaissance des détails de la page d’accueil pour vérifier que vous avez toute l’information
qui sera demandée par l’assistant.
3. Cliquez sur Suivant.
La page Paramètres généraux - Identifier le nom de votre organisation s’affiche.
User Guide
507
Configuration de WatchGuard Server
Paramètres généraux
1. Tapez votre Nom de l’organisation.
Ce nom est utilisé pour l’autorité de certification sur Management Server, tel qu’expliqué dans
Configurer l’autorité de certification sur Management Server à la page dxix.
2. Cliquez sur Suivant.
La page Paramètres généraux - Définir le mot de passe Administrateur s’affiche.
3. Tapez puis confirmer le Mot de passe Administrateur.
Ce mot de passe doit comporter au moins huit caractères.
Le mot de passe Administrateur sert à contrôler l’accès à l’ordinateur de gestion (celui doté de WSM).
4. Cliquez sur Suivant.
Paramètres de Management Server
Ces paramètres sont affichés dans l’assistant lorsque vous avez installé Management Server.
1. Si vous avez une passerelle Firebox pour le Management Server, cliquez sur Oui.
La passerelle Firebox est facultative, mais il est conseillé d’en utiliser une pour protéger le
Management Server d’Internet.
Pour plus d’informations, voir À propos de la passerelle Firebox à la page 510.
2. Tapez l’adresse IP externe et les mots de passe pour la passerelle Firebox.
3. Cliquez sur Suivant.
La page Management Server - Entrer une clé de licence s’affiche.
4. Tapez la clé de licence Management Server, puis cliquez sur Ajouter.
Pour vous aider à rechercher la clé de licence, consultez Recherche de votre clé de licence de
Management Server à la page 511.
5. Cliquez sur Suivant.
Note Lorsqu’une interface dont l’adresse IP est liée à Management Server échoue puis
redémarre, nous vous recommandons de redémarrer Management Server.
Paramètres Log Server et Report Server
Ces paramètres sont affichés dans l’assistant lorsque vous avez installé Log Server.
1. Tapez et confirmez la clé de chiffrement à utiliser pour la connexion sécurisée entre Firebox et les
serveurs Log Server.
La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les
caractères à l’exception des espaces et des barres obliques (/ ou \).
2. Dans le champ Emplacement de la base de données, le dossier par défaut dans lequel les fichiers
de journaux, rapports et définitions de rapports sont stockés s’affiche :
C:\Documents and Settings\WatchGuard\logs .
Il est conseillé d’utiliser l’emplacement par défaut.
Pour changer d’emplacement, cliquez sur Parcourir, puis sélectionnez un nouveau dossier. Assurezvous de choisir un emplacement qui a beaucoup d’espace disque libre.
508
WatchGuard System Manager
Configuration de WatchGuard Server
Note Choisissez cet emplacement avec soin. Une fois que vous avez installé la base de
données, vous ne pouvez pas modifier le répertoire par le biais de l’interface
utilisateur Log Server. S’il vous faut changer d’emplacement, consultez Déplacer le
répertoire de données de journal à la page 639.
3. Cliquez sur Suivant.
Paramètres du Quarantine Server
Ces paramètres sont affichés dans l’assistant lorsque vous avez installé Quarantine Server.
La liste de domaines est un ensemble de noms de domaines pour lesquels le Quarantine Server accepte les
messages d’e-mail. Le Quarantine Server n’envoie les messages que pour les utilisateurs dans les domaines
inclus dans la liste de domaines. Les messages envoyés à des utilisateurs qui ne figurent pas dans l’un de ces
domaines sont supprimés.
1. Pour ajouter un domaine, tapez le nom de celui-ci dans la zone de texte supérieure, puis cliquez sur
Ajouter.
Le nom du domaine sera affiché dans la fenêtre.
Pour supprimer un domaine, sélectionnez-le dans la liste et cliquez sur Supprimer.
Le nom du domaine est retiré de la fenêtre.
2. Cliquez sur Suivant.
Paramètres WebBlocker Server
Ces paramètres sont affichés dans l’assistant lorsque vous avez installé WebBlocker Server.
Vous avez le choix entre télécharger la base de données WebBlocker maintenant, ou plus tard. La base de
données WebBlocker contient plus de 220 Mo de données. La vitesse de votre connexion détermine la
vitesse de téléchargement, parfois plus de 30 minutes. Assurez-vous que le disque dur contient au
minimum 250 Mo d’espace libre.
1. Pour télécharger la base de données maintenant, sélectionnez Oui et cliquez sur Télécharger.
Pour télécharger la base de données plus tard, sélectionnez Non.
2. Cliquez sur Suivant.
Vérification et achèvement
Vérifiez si vos paramètres sont bien corrects.
Pour modifier vos paramètres :
1. Cliquez sur Retour pour revenir à la page que vous souhaitez modifier.
2. Faites les modifications nécessaires.
3. Cliquez sur Suivant pour revenir à la page Vérifier les paramètres.
Si vos paramètres sont corrects :
1. Cliquez sur Suivant.
L’Assistant affiche la progression de la configuration du serveur.
User Guide
509
Configuration de WatchGuard Server
2. Cliquez sur Suivant.
La page L’assistant WatchGuard Server Center Setup Wizard a terminé, s’affiche.
3. Cliquez sur Terminer.
WatchGuard Server Center s’affiche.
Dans WatchGuard Server Center, vous pouvez :
n
n
n
n
n
n
n
Surveiller l’état des serveurs WatchGuard
À propos de WatchGuard Management Server
Configurer un serveur Log Server
Installer Report Server
Configurer les paramètres du serveur Quarantine Server
Configurer WebBlocker Server
Changer le mot de passe Administrateur
À propos de la passerelle Firebox
La passerelle Firebox aide à protéger votre Management Server d’Internet. Lorsque vous configurez votre
Management Server, vous avez le choix entre utiliser ou non une passerelle Firebox. L’utilisation d'une
passerelle Firebox est recommandée.
Lorsque vous ajoutez une adresse IP pour votre passerelle Firebox, l’assistant effectue trois actions :
n
Il utilise cette adresse IP pour configurer la passerelle Firebox et autoriser les connexions à
Management Server.
La stratégie de Management Server est automatiquement ajoutée au fichier de configuration
Firebox. Cette stratégie ouvre les ports TCP 4 110, 4 112 et 4 113, en vue d’autoriser les connexions
au Management Server.
Si vous ne tapez d’adresse IP ici, vous devez configurer un pare-feu entre Management Server et
Internet de m